31.5 Захищеність цп дсту 4145-2002 від атак на реалізацію

Орієнтуючись на підхід та результати, отримані вище, розглянемо також умови здійснення атаки на реалізації ЦП ДСТУ 4145-2002 та EC SS. Як і раніше, будемо вважати, що порушник у змозі примусити засіб ЦП виробити k1 = k2 = k  (1, n –1). Тоді

R1 = R2 = kG = (xR, yR) = R;

fk1 = fk2 = xR = fk;

y1 = h1 fk

y2 = h2 fk;

y1  r1; y 2  r2;

S1 = (k + dr1) (mod n)

S2 = (k + dr2) (mod n); (6.161)

Розв’язавши систему рівнянь (6.161) відносно d та, за необхідності, й відносно k, отримуємо:

(6.162)

(6.163)

За аналогією для алгоритму ECSS також маємо:

k1 = k2 = k  (1, n –1);

R1 = R2 = kG = (xR, yR) = R;

fk1 = fk2 = fk = xR;

y1 = h1 + fk

y2 = h2 + fk;

y1  r1

y2  r2;

S1 = (k – dr1) (mod n) (6.164)

S2 = (k – dr2) (mod n). (6.165)

Розв’язуючи систему рівнянь (6.164) і (6.165) відносно d та k, отримуємо:

(6.166)

. (6.167)

Наведені вище результати свідчать про те, що на всі алгоритми ЦП, визначені стандартом ISO/IEC 15946-2, тобто ECDSA, ЕС-GDSA та EC-KCDSA, існує атака на програмну чи інші реалізації, якщо тільки порушник у змозі примусити застосувати два рази один і той самий особистий (таємний) ключ сеансу, тобто k1 = k2 = k  (1, n –1).

У цілому, можна зробити висновок, що в Україні набули розповсюдження програмні реалізації ЦП [26, 109]. На наш погляд, необхідно розглянути різні можливі атаки на такі реалізації, у тому числі з боку як розробника, так і клієнта, що їх використовує. Сутність цієї задачі в такому. Нехай розробник може закласти лазівку в програмну реалізацію вироблення підпису. Для цього він, наприклад, у програмну реалізацію записує «троянського коня» або вірус, який активізується за командою і сформує або використає для двох різних повідомлень один і той самий ключ сеансу k. Можливий й інше втручання.

Таким чином, для алгоритмів ЦП ECDSA, EC GDSA, EC KCDSA, ДСТУ 4145-2002, ECSS та ГОСТ Р 34.10-2001 існують атаки на програмну реалізацію ЦП. Якщо порушнику вдасться змусити програму «вироблення підпису» і 2 рази використати одне й те саме значення k для двох повідомлень, то він в реальному часі визначить особистий довгостроковий ключ d і зможе нав’язувати як хибні повідомлення, так і викривляти істинні. Для захисту від такої атаки необхідно використовувати надійні засоби КЗІ типу ЦП у сенсі наявності на них сертифікатів відповідності, експертних висновків та обов’язкового безперервного контролю цілісності й справжності програми вироблення ЦП. Найкращим способом захисту від такої загрози є апаратна реалізація процедур вироблення та перевірення ЦП.

31.6. Атаки на цп спеціального виду та захист від них

Встановлено, що гарантований захист особистих і таємних ключів від їх розголошення (компрометації) може бути забезпечено за умови апаратної або апаратно-програмної реалізації відповідних засобів КЗІ [332-335, 12, 109]. Указане визначає необхідність реалізації засобів КЗІ перш за все у такому вигляді. Окрім того, при апаратній реалізації досягаються більш високі швидкості прямих і зворотних криптографічних перетворень. Але за такої реалізації засобів КЗІ потенційно можуть бути реалізовані специфічні атаки, перш за все «фізичні атаки», атаки на «криптопристрої», атаки на «реалізацію», атаки «спеціальних впливів» [332] тощо. Атаки на «криптопристрої» та на реалізацію можуть бути здійснені через застосування атак «апаратних помилок», «час виконання операцій», «енергоспоживання» тощо.

Основною метою фізичної атаки є дослідження особливостей реалізації пристрою КЗІ (мікросхеми) для отримання інформації відносно особистого або таємного ключів, наприклад, шляхом дослідження області всередині кристалу ПЛІС. Тобто такі атаки орієнтовані на специфічні області ПЛІС, які в режимі нормального функціонування є не доступними.