2.12 Електронні цифрові підписи та їх застосування. Приклади розв’язку задач та задачі для самостійного розв’язання

2.12.1 Приклади розв’язку задач

Задача 1.

Визначте ЕЦП, зробіть класифікацію та оцініть ступінь дії загроз відносно ЕЦП.

Згідно з прийнятою класифікацією можна зазначити такі види загроз.

1. Екзистенціальна підробка (existential forgery). При її реалізації зловмис-ник (криптоаналітик) може створити для довільного повідомлення , що відрізняється від перехопленого М, діючий (правильний) для цифровий підпис.

2. Селективна підробка (selective forgery). Є загроза створення для раніше вибраного повідомлення М правильного ЕЦП (М).

3. Універсальна підробка (universal forgery). Сутність цієї загрози в тому, що криптоаналітик, використовуючи ненадійність математичного стандарту ЕЦП, може знайти другий алгоритм цифрового підпису, функціонально еквівалентний істинному, що дозволяє йому створити або модифікувати істинні повідомлення.

4. Повне розкриття. Загроза “повне розкриття” заключається в успішному розв’язку криптоаналітиком задачі криптоаналізу і він може обчислити особистий (таємний) ключ, можливо такий, що відрізняється від діючого, але такий, що разом з відкритим складає узгоджену пару. В цьому випадку криптоаналітик може виробляти підписи для будь-яких повідомлень і потім нав’язувати їх кореспондентам.

Задача 2.

Визначте, зробіть класифікацію та оцініть атаки, що можуть бути реалізовані на ЕЦП.

Відносно ЕЦП можуть бути здійснені такі атаки:

- атака на основі відомого відкритого ключа;

- атака на основі відомих підписаних повідомлень;

- проста атака з вибором підписаних повідомлень;

- направлена атака з вибором підписаних повідомлень;

- адаптивна атака з вибором підписаного повідомлення.

1. Атака на основі відомого відкритого ключа (сертифіката) завжди доступна внутрішньому зловмиснику, який зареєстрований та має доступ до бази сертифікатів. Крім того, до бази сертифікатів може мати доступ і зовнішній зловмисник, так як згідно з протоколом Х-509 бази сертифікатів центрів управління сертифікатами є загальнодоступними, а їх криптографічний захист здійснюється тільки для забезпечення цілісності та справжності. Таким чином, ця атака є однією із найслабших. Вона може бути виконана зловмисником при знанні криптоаналітиком загальносистемних параметрів, відкритих ключів та знанні принципів застосування ЕЦП.

2. Атака на основі відомих підписаних повідомлень. Ця атака може бути здійснена як внутрішнім так і зовнішнім зловмисником. При її підготовці злов- мисник знає принципи застосування ЕЦП, знає або має доступ до загальносистемних параметрів, а також має деяку кількість підписаних повідомлень . При цьому криптоаналітик не може вибирати підписані повідомлення. Особливістю цієї атаки є те, що криптоаналітик може не знати відкритих ключів.

3. Проста атака з вибором підписаних повідомлень. При її здійсненні злов- мисник знає принципи та особливості застосування ЕЦП, знає або має доступ до загальносистемних параметрів, може вибирати деяку множину підписаних повідомлень, а також має доступ до відкритих ключів уже після вибору підписаних повідомлень.

4. Направлена атака з вибором повідомлень. Під час здійснення цієї атаки зловмисник також знає принципи та можливості застосування ЕЦП, знає або має доступ до загальносистемних параметрів, може по своїй волі вибирати спочатку відкритий ключ конкретного абонента (користувача), а після цього вибирати підписані повідомлення.

5. Адаптивна атака з вибором підписаного повідомлення. При здійсненні цієї атаки зловмисник також знає принципи та особливості застосування ЕЦП, знає загальносистемні параметри і може вибирати як відкритий ключ так і підписані повідомлення. При цьому вибір наступного підписаного повідомлення він може робити, знаючи підпис попереднього вибраного повідомлення.

Задача 3.

Визначте умови та сформуйте пропозиції з реалізації в системі КЗІ загрози типу екзистенційна на підробку ЕЦП.

Аналіз показує, що ця загроза може бути реалізована при обчисленні ЕЦП з використанням геш-функції. Відомо, що при використанні однонаправлених або криптографічних геш-функцій можливі колізії, коли для двох різних пові-домлень М та . Для захисту від загрози екзистенціальна підробка до геш-функції висувається вимога відсутності поліноміального алгоритму створення колізій.

При доведенні стійкості ЕЦП проти цієї загрози вважається, що значення геш-функції формується деяким оракулом (чорним ящиком). На його вхід подаються випадкові повідомлення M₁,M₂,M₃,…,M_k , в результаті чого на виході формуються також випадкові значення геш-функції Послідовності M_i та h_i, що обчислені, він запам’ятовує і, якщо M_i=M_j, ij, то оракул видає раніше обчислене значення h_i.

Для захисту від екзистенціальної підробки ЕЦП геш-функція має задовольняти такі вимоги:

1) не вище ніж поліноміальна складність обчислення значення геш-функції;

2) не нижче ніж експоненціальна складність визначення повідомлення M_i за відомим значенням h_i;

3) практична захищеність від колізій, коли можна знайти M_i та M_j, такі, що H(M_i)=H(M_j), з імовірністю не вище ніж P_k, де P_k завідомо задане значення.

Розглянемо реалізацію загрози. Нехай Q та G є відкритий ключ і базова точка для ЕЦП ECDSA. Зловмисник вибирає випадкове число l та обчислює параметр цифрового підпису , де r є х координата. Далі приймається, що s=r та обислюється , де n – порядок базової точки. Якщо криптоаналітик може сформувати повідомлення М₁ таке, що

,

то є дійсний ЕЦП.

Далі, якщо геш-функція не захищена від колізій, то криптоаналітик може знайти M₂ таке, що H(M₂)=H(M₁), де M₁ – дійсне, уже підписане повідомлення. Потім ЕЦП приєднується до і M₂ посилається замість M₁. Отримувач не визначить, що до M₂ приклеєний підпис від M₁ і йому буде нав’язано хибне повідомлення.

Таким чином, для практичного захисту від загрози типу екзистенціальна підробка при використанні ЕЦП типу ECDSA необхідно, щоб геш-функція, яка використовується, забезпечувала практичний захист від колізій.

Задача 4.

При виробці цифрового підпису використовуються однонаправлені геш-функції SHA-1 ГОСТ 34.311-95 та SHA-2. Вони формують геш значення для SHA-1 довжина l =160 бітів, для ГОСТ 34.311-95 l=256 бітів і SHA-2 – 256,384 чи 512 бітів. Оракул здійснює обчислення геш значень зі швидкістю Мбіт/с для SHA-1, для ГОСТ 34.311-95, для SHA-2 (l_h=256 бітів) і для SHA-2 (l_h=512 бітів).

Необхідно знайти імовірність екзистенціальної підробки, якщо оракул функціонує протягом одного року.

Розв’язок задачі зробимо, використовуючи загальну теорію колізій, що базується на “парадоксі про день народження”.

Справедливо рівняння

,

де k – число обчислень, зроблених оракулом за один рік, n – розмір множини допустимих значень геш, P_k – імовірність колізії.

Обчислимо значення n_i та k_i. Величини n_i обчислюються просто

Далі обчислено число k геш-значень, що можуть бути сформовані оракулом протягом року, якщо довжина повідомлень, що гешуються  Кбіт= 1 Кбайт.

,

де с/рік.

Підставивши значення, маємо

Оскільки усі , то для обчислення імовірності колізії можна застосувати формулу

.

Підставивши в наведену формулу значення k_i та n_i , маємо:

Із наведених розрахунків випливає, що усі розглянуті геш-функції є колізійно стійкими, тому ЕЦП на сонові ECDSA є захищеною від загрози типу екзистенціальна підробка.

Задача 5.

Виробіть особистий ключ, обчисліть для нього відкритий ключ, виробіть та перевірте цифровий підпис, якщо в ECDSA використовується еліптична крива , базова точка G=(13,7) має порядок , величина кофактора h=4.

Розв’язок задачі.

Спочатку необхідно згенерувати особистий ключ . Вибираємо випадково d=3. Розраховуємо відкритий ключ

Q=dG=3(13,7)=(17,3).

Таким чином, особистий ключ d=3, відкритий ключ Q=(17,3).

Виробка цифрового підпису.

Нехай значення геш-функції е=6.

Виробка підпису здійснюється в такому порядку:

1. Генерується випадкове ціле число k із інтервалу [1,6], наприклад 4.

2. Знаходимо

.

3. Виділяємо х₁ компонента x₁=17.

4. Знаходимо .

5. Обчислюємо .

Таким чином підпис повідомлення М з геш-функцією .

Перевірка цифрового підпису.

При перевірці цифрового підпису відомо значення , відкритий ключ Q=(17,3) та е=6. Перевірка здійснюється в такому порядку:

1. Обчислюємо .

2. Знаходимо

3. Обчислюємо

.

4. Виділяємо x₁ координату x₁=17.

5. Знаходимо

.

6. Таким чином

.

Повідомлення цілісне та справжнє.

2.12.2 Задачі для самостійного розв’язання

Задача 1.

Обґрунтуйте та сформуйте пропозиції із захисту ЕЦП від загрози типу екзистенціальна підробка.

Задача 2.

Визначте умови та сформулюйте пропозиції із реалізації в системі КЗІ загрози типу селективна підробка ЕЦП. Обґрунтуйте та сформулюйте пропозиції із захисту загроз типу селективна підробка.

Задача 3.

Визначте умови та сформулюйте пропозиції з реалізації в системі КЗІ загрози типу універсальна підробка ЕЦП. Обґрунтуйте та сформулюйте пропозиції з реалізації в системі КЗІ загрози типу універсальна підробка. Наведіть приклади відомих вам та реалізованих відносно ЕЦП загроз типу універсальна підробка.

Задача 4.

Визначте умови та розробіть методику реалізації загрози типу повне розкриття відносно ЕЦП. Конкретизуйте розв’язок задачі для випадку, коли як ЕЦП використовуються алгоритми визначені в ISO-15946-2.

Задача 5.

Визначте умови та розробіть методику реалізації загрози типу повне розкриття відносно ЕЦП ДСТУ 4145-2002. Порівняйте стійкість ЕЦП, що визначені в Х9.62 (ISO 15946-2), ДСТУ 4145-2002 та ГОСТ Р 34.10-2001.

Задача 6.

Визначте сутність та порівняйте обчислювальну складність реалізації відносно ЕЦП Х9.62 (ISO 15946-2), ДСТУ 4145-2002 та ГОСТ Р 34.10-2001 загроз типу повне розкриття.

Задача 7.

Проведіть пошук атак на ЕЦП ГОСТ Р 34.10-2001 та ДСТУ 4145-2002, зробіть їх класифікацію та порівняйте складність їх здійснення.

Задача 8.

Порівняйте за критерієм мінімуму обчислювальної складності і атаки типу повне розкриття ЕЦП, що реалізовані на основі криптографічних перетворень в простому полі Галуа (Х9.30, Х9.42), в кільці (Х9.31 - RSA) та групі точок ЕК (Х9.63, ДСТУ 4145-2002, ГОСТ Р 34.10-2001). Сформулюйте пропозиції відносно застосування вказаних перетворень для виробки ЕЦП.

Задача 9.

Визначте безпечний час ЕЦП, що визначені ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ДСТУ 4145-2002 та ISO 15946-2, якщо потужність криптоаналітичної системи складає:

- відносно ГОСТ 34.10-94 – 10⁸,10¹⁰,10¹² опер/с;

- відносно ЕЦП, що реалізується за рахунок перетворень в групі точок ЕК – 10⁶, 10⁷,10⁸,10¹⁰,10¹² операцій складання в групі точок ЕК.

Задача 10.

Поясніть вимоги та принципи реалізації ЕЦП дуального типу (наприклад, в протоколі SET). Розробіть пропозиції щодо реалізації дуального підпису на основі ДСТУ 4145-2002.

Задача 11.

Розробіть методику та порівняйте стійкість ЕЦП, що визначені ГОСТ 34.310-95 та ГОСТ Р 34.10-2001.

Задача 12.

Розробіть методику та порівняйте за показниками стійкість та складність перетворень ЕЦП, що визначені в ГОСТ Р 34.10-2001 та ДСТУ 4145-2002.

Задача 13.

Обґрунтуйте умови та розробіть пропозиції з реалізації відносно ЕЦП ISO-15946-2:

- атаки на основі відомого відкритого ключа;

- атаки на основі відомих підписаних повідомлень;

- простої атаки з вибором підписаних повідомлень;

- направленої атаки з вибором підписаних повідомлень;

- адаптивної атаки з вибором підписаних повідомлень.

Задача 14.

Визначте умови та розробіть пропозиції щодо здійснення відносно ЕЦП ГОСТ Р 34.10-2001 та ДСТУ 4145-2002 атаки на основі зв’язаних особистих ключів, якщо власник може мати не менше двох ключів ЕЦП і генерує ключі за принципом “сам собі”.

2.12.3 Контрольні запитання та завдання

1. Дайте визначення ЕЦП, яким вимогам має відповідати ЕЦП?

2. Зробіть огляд та дайте характеристику діючих у світі стандартів на ЕЦП?

3. В чому сутність та особливості ЕЦП, що реалізуються за рахунок криптографічних перетворень в кільцях?

4. В чому сутність та особливості ЕЦП, що реалізуються за рахунок криптоперетворень в простих полях Галуа?

5. Як реалізуються ЕЦП з використанням криптоперетворень в групі точок ЕК?

6. Які переваги ЕЦП, що реалізуються за рахунок криптоперетворень в групі точок ЕК?

7. Дайте загальну характеристику ЕЦП, що дозволені або можуть застосовуватися в Україні?

8. Дайте загальну характеристику ЕЦП ДСТУ 4145-2002?

9. Які переваги має ЕЦП ДСТУ 4145-2002 в порівнянні з ГОСТ Р 34.310-95?

10. Поясніть алгоритми виробки ключів, що використовуються в ДСТУ 4145-2002?

11. Поясніть алгоритм виробки ЕЦП, що реалізований в ДСТУ 4145-2002?

12. Поясніть алгоритм перевірки ЕЦП, що реалізований в ДСТУ 4145-2002?

13. Яким вимогам мають відповідати загальносистемні параметри, що використовуються в ДСТУ 4145-2002 ?

14. Визначте обчислювальну складність здійснення криптоаналізу ДСТУ 4145-2002, якщо порядок базової точки ?

15. Визначте обчислювальну складність здійснення криптоаналізу ГОСТ Р 34.10-2001?

16. Обґрунтуйте та виберіть стандарт ЕЦП із рекомендованих в ISO 15946-2 для застосування на міжнародному рівні?

17. Які нормативні документи України визначають порядок застосування ЕЦП в Україні?

18. Яким вимогам мають відповідати геш-функції, що застосовуються в стандартах на ЕЦП?

19. Від яких параметрів геш-функцій залежить імовірність виникнення колізії та яким чином?

20. Якими властивостями відрізняються ЕЦП та коди автентифікації повідомлень (КАП)?

21. Яким чином мають формуватись загальносистемні параметри та ключі ЕЦП?

22. Порівняйте властивості та захищеність від можливих атак на ЕЦП ISO-15946-2 (ECDSA, EC GDSA, EC KC DSA)?