GOST 34.10-2018

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 11. června 2021; kontroly vyžadují 4 úpravy .

34.10-2018 _ _ _ _ _ - aktuální mezistátní kryptografický standard , který popisuje algoritmy pro generování a ověřování elektronického digitálního podpisu realizované pomocí operací ve skupině bodů eliptické křivky definované nad konečným jednoduchým polem.

Norma byla vyvinuta na základě národní normy Ruské federace GOST R 34.10-2012 a vstoupila v platnost dne 1. června 2019 nařízením Rosstandart č. 1059-st ze dne 4. prosince 2018 .

Rozsah

Digitální podpis umožňuje:

Ověřte osobu, která zprávu podepsala;
Monitorujte integritu zprávy;
Chraňte zprávu před paděláním;

Historie

První verze algoritmu byly vyvinuty Hlavním ředitelstvím pro bezpečnost komunikací FAPSI za účasti Všeruského výzkumného institutu pro standardizaci (VNIIstandart) , později vývoj přešel do rukou Centra pro ochranu informací a speciální komunikace Federální bezpečnostní služba Ruska a JSC InfoTeKS .

Popis

Šifrovací síla prvních standardů digitálního podpisu GOST R 34.10-94 a GOST 34.310-95 byla založena na problému diskrétního logaritmu v multiplikativní skupině jednoduchého konečného pole velkého řádu. Počínaje GOST R 34.10-2001 je robustnost algoritmu založena na složitějším problému výpočtu diskrétního logaritmu ve skupině bodů na eliptické křivce . Síla algoritmu generování digitálního podpisu je také založena na síle odpovídající hashovací funkce:

Typ	název	uvést do akce	hashovací funkce	Objednat
Národní	GOST R 34.10-94	1. ledna 1995	GOST R 34.11-94	Přijato výnosem státní normy Ruska č. 154 ze dne 23. května 94
Mezistátní	GOST 34.310-95	16. dubna 1998	GOST 34.311-95
Národní	GOST R 34.10-2001	1. července 2002	GOST R 34.11-94	Přijato usnesením Státní normy Ruska č. 380-st ze dne 12. září 2001 [1]
Mezistátní	GOST 34.310-2004	2. března 2004	GOST 34.311-95	Přijato Euroasijskou radou pro normalizaci, metrologii a certifikaci korespondenčně (zápis č. 16 ze dne 2. března 2004)
Národní	GOST R 34.10-2012	1. ledna 2013	GOST R 34.11-2012	Schváleno a uvedeno v platnost nařízením Federální agentury pro technickou regulaci a metrologii č. 215-st ze dne 7. srpna 2012 jako národní norma Ruské federace od 1. ledna 2013
Mezistátní	GOST 34.10-2018	1. června 2019	GOST 34.11-2018	Přijato Mezistátní radou pro metrologii, normalizaci a certifikaci (zápis č. 54 ze dne 29. listopadu 2018). Nařízením Federální agentury pro technickou regulaci a metrologii č. 1059-st ze dne 4. prosince 2018 byla uvedena v účinnost jako národní norma Ruské federace od 1. června 2019

Standardy používají stejné schéma pro generování elektronického digitálního podpisu. Nové standardy od roku 2012 se vyznačují přítomností další verze parametrů schématu, která odpovídá délce tajného klíče asi 512 bitů.

Po podepsání zprávy M je k ní připojen digitální podpis o velikosti 512 nebo 1024 bitů a textové pole. Textové pole může obsahovat například datum a čas odeslání nebo různé údaje o odesílateli:

Zpráva M

Digitální podpis

Text

Přidání

Tento algoritmus nepopisuje mechanismus pro generování parametrů nezbytných pro generování podpisu, ale pouze určuje, jak získat digitální podpis na základě takových parametrů. Mechanismus generování parametrů je určen in situ v závislosti na vyvíjeném systému.

Algoritmus

Je uveden popis varianty schématu EDS s délkou tajného klíče 256 bitů. U tajných klíčů o délce 512 bitů (druhá možnost generování EDS, popsaná ve standardu) jsou všechny transformace podobné.

Možnosti schématu digitálního podpisu

prvočíslo je modul eliptické křivky takový, že $p$ $p>2^{{255}}$
eliptická křivka je dána svým invariantem nebo koeficienty , kde je konečné pole p prvků . souvisí s koeficienty a následovně $E$ $J(E)$ $a,b\in F_{p}$ $F_{p}$ $J(E)$ $A$ $b$

J(E)=1728{\frac {4a^{3}}{4a^{3}+27b^{2}}}{\pmod {p}}

a .

4a^{3}+27b^{2}\ne \equiv 0{\pmod {p}}

celé číslo — pořadí skupiny bodů eliptické křivky, musí být odlišné od $m$ $m$ $p$
prvočíslo , řád nějaké cyklické podgrupy skupiny bodů eliptické křivky, tedy platí , pro některé . Také leží uvnitř . $q$ $m=nq$ $n\in \mathbb{N}$ $q$ $2^{{254}}<q<2^{{256}}$
bod eliptické křivky , který je generátorem podgrupy řádu , tedy pro všechna k = 1, 2, ..., q -1, kde je neutrální prvek skupiny bodů eliptické křivky E . $P=(x_{P},\;y_{P})$ $E$ $q$ $q\cdot P={\mathbf {0}}$ $k\cdot P\neq {\mathbf {0}}$ $\mathbf {0}$
$h(M)$ je hashovací funkce ( GOST R 34.11-2012 ), která mapuje zprávy M do binárních vektorů o délce 256 bitů.

Každý uživatel digitálního podpisu má soukromé klíče:

šifrovací klíč je celé číslo uvnitř . $d$ $0<d<q$
dešifrovací klíč , vypočítaný jako . $Q=(x_{Q},\;y_{Q})$ $Q=d\cdot P$

Další požadavky:

$p^{t}\neq 1{\pmod {q}}$ , , kde $\forall t=1..B$ $B\geq 31$
$J(E)\neq 0$ a $J(E)\neq 1728$

Binární vektory

Mezi binárními vektory délky 256 a celými čísly existuje korespondence jedna ku jedné podle následujícího pravidla . Zde je buď rovna 0, nebo 1. Jinými slovy, toto je reprezentace čísla z v binární číselné soustavě. ${\bar {h}}=(\alpha _{{255}},...,\alpha _{0})$ $z\leq 2^{{256}}$ $z=\sum _{{i=0}}^{{255}}\alpha _{i}2^{i}$ $\alpha_i$ ${\bar {h}}$

Výsledek operace zřetězení dvou vektorů se nazývá vektor délky 512 . Inverzní operace je operace rozdělení jednoho vektoru délky 512 na dva vektory délky 256. ${\bar {h_{1}}}=(\alpha _{{255}},...,\alpha _{0})$ ${\bar {h_{2}}}=(\beta _{{255}},...,\beta _{0})$ $({\bar {h_{1}}}|{\bar {h_{2}}})=(\alpha _{{255}},...,\alpha _{0},\beta _{{ 255}},...,\beta _{0})$

Vytvoření digitálního podpisu

Vývojové diagramy :

Generování digitálního podpisu
Ověření digitálního podpisu

Výpočet hashovací funkce ze zprávy M: ${\bar {h}}=h(M)$
Výpočet , a pokud , dejte . Kde je celé číslo odpovídající $e=z\,{\bmod \,}q$ $e=0$ $e=1$ $z$ ${\bar{h}}.$
Generování náhodného čísla tak, že $k$ $0<k<q.$
Výpočtem bodu eliptické křivky a jejím použitím ke zjištění, kde je souřadnice bodu If , se vrátíme k předchozímu kroku. $C=kP$ $r=x_{c}\,{\bmod \,}q,$ $x_{c}$ $X$ $C.$ $r=0$
Hledání . Pokud , vraťte se ke kroku 3. $s=(rd+ke)\,{\bmod \,}q$ $s=0$
Vytvoření digitálního podpisu , kde a jsou vektory odpovídající a . $\xi =({\bar {r}}|{\bar {s}})$ ${\bar {r}}$ ${\bar{s))$ $r$ $s$

Ověření digitálního podpisu

Výpočet z digitálního podpisu čísel a , vzhledem k tomu , kde a jsou čísla odpovídající vektorům a . Pokud je alespoň jedna z nerovností nepravdivá, pak je podpis neplatný. $\xi$ $r$ $s$ $\xi =({\bar {r}}|{\bar {s}})$ $r$ $s$ ${\bar {r}}$ ${\bar{s))$ $r<q$ $s<q$
Výpočet hashovací funkce ze zprávy M: ${\bar {h}}=h(M).$
Výpočet , a pokud , dejte . Kde je celé číslo odpovídající $e=z\,{\bmod \,}q$ $e=0$ $e=1$ $z$ ${\bar{h}}.$
výpočet $\nu =e^{{-1}}\,{\bmod \,}q.$
Výpočet a $z_{1}=s\nu \,{\bmod \,}q$ $z_{2}=-r\nu \,{\bmod \,}q.$
Výpočet bodu na eliptické křivce . A definice , kde je souřadnice bodu $C=z_{1}P+z_{2}Q$ $R=x_{c}\,{\bmod \,}q$ $x_{c}$ $X$ $C.$
V případě rovnosti je podpis správný, jinak je nesprávný. $R=r$

Zabezpečení

Kryptografická síla digitálního podpisu je založena na dvou složkách – síle hashovací funkce a síle samotného šifrovacího algoritmu. [2]

Pravděpodobnost prolomení hašovací funkce podle GOST 34.11-94 je při výběru kolize pro pevnou zprávu a při výběru jakékoli kolize. [2] Síla šifrovacího algoritmu je založena na problému diskrétního logaritmu ve skupině bodů na eliptické křivce. V tuto chvíli neexistuje žádná metoda, jak tento problém vyřešit i se subexponenciální složitostí. [3] $1{,}73\times {10}^{-77}$ $2{,}94\times {10}^{-39}$

Jedním z nejrychlejších algoritmů v současnosti se správnou volbou parametrů je -metoda a -Pollardova metoda. [čtyři] $\rho$ $\mathrm{I}$

Pro optimalizovanou Pollardovu metodu se výpočetní složitost odhaduje jako . Proto, abyste zajistili kryptografickou sílu operací, musíte použít 256bitový . [2] $\rho$ $O({\sqrt {q)))$ ${10}^{{30}}$ $q$

Rozdíly od GOST R 34.10-94 (standard 1994-2001)

Nový a starý digitální podpis GOST jsou si navzájem velmi podobné. Hlavní rozdíl je v tom, že ve staré normě se některé operace provádějí na poli , v novém na skupině bodů eliptické křivky, takže požadavky kladené na prvočíslo ve staré normě ( nebo ) jsou přísnější než v novém. $\mathbb {Z} _{p}$ $p$ $2^{{509}}<p<2^{{512}}$ $2^{{1020}}<p<2^{{1024}}$

Algoritmus generování podpisu se liší pouze v odstavci 4 . Ve staré normě, v tomto odstavci , a a se počítají, jestliže , se vrátíme k odstavci 3. Kde a . ${\tilde {r}}=a^{k}\,{\bmod \,}str$ $r={\tilde {r))\,{\bmod {\,}}q$ $r=0$ $1<a<p-1$ $a^{q}{\bmod {\,}}p=1$

Algoritmus ověřování podpisu se liší pouze v odstavci 6 . Ve starém standardu tento odstavec vypočítává , kde je veřejný klíč pro ověření podpisu, . Pokud je podpis správný, jinak je nesprávný. Zde je prvočíslo a je dělitelem . $R=(a^{{z_{1}}}y^{{z_{2}}}\,{\bmod \,}p)\,{\bmod \,}q$ $y$ $y=a^{d}\,{\bmod \,}str$ $R=r$ $q$ $2^{{254}}<q<2^{{256}}$ $q$ $p-1$

Použití matematického aparátu skupiny bodů eliptické křivky umožňuje výrazně snížit pořadí modulu bez ztráty kryptografické síly. [2] $p$

Také starý standard popisuje mechanismy pro získávání čísel , a . $p$ $q$ $A$

Možné aplikace

Použití páru klíčů (veřejný, soukromý) k vytvoření klíče relace. [5]
Použití veřejných klíčů v certifikátech . [6]
Použití v S/MIME ( PKCS #7 , syntaxe kryptografických zpráv ). [7]
Slouží k zabezpečení připojení v TLS ( SSL , HTTPS , WEB ). [osm]
Slouží k zabezpečení zpráv ve formátu XML Signature ( XML Encryption ). [9]
Ochrana integrity internetových adres a jmen ( DNSSEC ). [deset]

Poznámky

↑ O přijetí a implementaci státní normy. Vyhláška státní normy Ruské federace ze dne 12. září 2001 N 380-st (nepřístupný odkaz) . bestpravo.ru. Staženo 1. září 2019. Archivováno z originálu 1. září 2019. (Ruština)
↑ 1 2 3 4 Igonichkina E. V. Analýza algoritmů elektronického digitálního podpisu . Získáno 16. listopadu 2008. Archivováno z originálu 15. ledna 2012. (neurčitý)
↑ Semjonov G. Digitální podpis. Eliptické křivky . " Otevřené systémy " č. 7-8/2002 (8. srpna 2002). Získáno 16. listopadu 2008. Archivováno z originálu 31. prosince 2012. (neurčitý)
↑ Bondarenko M. F., Gorbenko I. D., Kachko E. G., Svinarev A. V., Grigorenko T. A. Podstata a výsledky výzkumu vlastností slibných standardů digitálního podpisu X9.62-1998 a distribuce klíčů X9.63 -199X na eliptických křivkách . Datum přístupu: 16. listopadu 2008. Archivováno z originálu 22. února 2012. (neurčitý)
↑ RFC 4357 , kapitola 5.2, "VKO GOST R 34.10-2001" - Další kryptografické algoritmy pro použití s GOST 28147-89, GOST R 34.10-94, R 34.10-2001 a GOST R 34.10-2001 GOST 9 Algorithm- GOST9
↑ RFC 4491 – Použití algoritmů GOST R 34.10-94, GOST R 34.10-2001 a GOST R 34.11-94 s internetovou infrastrukturou veřejného klíče X.509
↑ RFC 4490 – Použití algoritmů GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94 a GOST R 34.10-2001 se syntaxí kryptografických zpráv (CMS)
↑ Leontiev, S., Ed. a G. Chudov, Ed. GOST 28147-89 Cipher Suites pro zabezpečení transportní vrstvy (TLS) ( prosinec 2008). — Internet-Drafts, nedokončené. Získáno 12. června 2009. Archivováno z originálu dne 24. srpna 2011.
↑ S. Leontiev, P. Smirnov, A. Čehelpanov. Použití algoritmů GOST 28147-89, GOST R 34.10-2001 a GOST R 34.11-94 pro zabezpečení XML ( prosinec 2008). — Internet-Drafts, nedokončené. Získáno 12. června 2009. Archivováno z originálu dne 24. srpna 2011.
↑ V. Dolmatov, Ed. Použití podpisových algoritmů GOST v DNSKEY a RRSIG Resource Records pro DNSSEC ( duben 2009). — Internet-Drafts, nedokončené. Získáno 12. června 2009. Archivováno z originálu 22. února 2012.

Odkazy

Text normy GOST R 34.10-94 „Informační technologie. Kryptografická ochrana informací. Postupy pro vývoj a ověřování elektronického digitálního podpisu založeného na asymetrickém kryptografickém algoritmu“
Text normy GOST R 34.10-2001 „Informační technologie. Kryptografická ochrana informací. Procesy vytváření a ověřování elektronického digitálního podpisu"
Text normy GOST R 34.10-2012 „Informační technologie. Kryptografická ochrana informací. Procesy vytváření a ověřování elektronického digitálního podpisu»
Text normy GOST 34.10-2018 „Informační technologie. Kryptografická ochrana informací. Procesy vytváření a ověřování elektronického digitálního podpisu»

Softwarové implementace

MagPro CryptoPacket . je kryptografický projekt společnosti Cryptocom LLC za účelem přidání ruských kryptografických algoritmů do knihovny OpenSSL . (neurčitý)
Projekt Reference implementace ruských šifrovacích algoritmů v openssl na GitHubu
CryptoPro CSP je kryptografický projekt společnosti Crypto-Pro.
Signal-COM CSP . je kryptografický projekt CJSC "Signal-COM". (neurčitý)
LIRSSL-CSP . je multiplatformní kryptografická knihovna společnosti LISSI LLC. (neurčitý)
ViPNet CSP . — softwarové systémy, prostředky kryptografické ochrany informací společnosti JSC "InfoTeKS" . (neurčitý)
Knihovna JavaScript projektu WebCrypto GOST na GitHubu
libgcrypt
Skákací hrad

Hardwarové implementace

Rutoken EDS 2.0
JaCarta-2 GOST
ESMART Token GOST (nepřístupný odkaz) . Archivováno z originálu 15. července 2017. (neurčitý)
MS_KEY K "Angara" (nedostupný odkaz) . Archivováno z originálu 27. prosince 2017. (neurčitý)

Kryptosystémy s veřejným klíčem

Algoritmy

Faktorizace celých čísel	kryptosystém Benalo Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern zaplatit Rabin RSA Okamoto – Uchijama Schmidt-Samoa
Diskrétní logaritmus	BLS Cramer - Shoup protokol Diffie-Hellman DSA ECDH Křivka25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Výměna šifrovaných klíčů Schéma ElGamal podpisové schéma MQV Schnorrovo schéma SPEKE SRP STS
Kryptografie na mřížkách	NTRUEncrypt NTRUSsign Výměna klíčů založená na učení s chybami Trénink založený na podpisu s chybami v kruhu BLAHO Nová naděje
jiný	AE CEILIDH EPOC Rovnice skrytého pole IES Lamportův podpis McEliece Zádový kryptosystém Merkle-Hellman Zádový kryptosystém Naccache–Stern Tříkrokový protokol XTR

Teorie

Diskrétní logaritmus na eliptické křivce
Eliptická kryptografie
Kryptografie založená na hash
Nekomutativní kryptografie
Problém RSA
Jednosměrná funkce s tajným vstupem

Normy

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Post kvantová kryptografie

Témata

Elektronický podpis
OAEP
Otisk prstu
PKI
síť důvěry
Velikost klíče
Kryptografie založená na identitě
Postkvantová kryptografie
OpenPGP karta