Объединенный
.pdf2
проверки подписи выберем открытый ключ шифрования ke . Тогда цифровую подпись под сообщением s можно определить равенством
D kd ,s c,
а процедуру проверки подписи - проверкой равенства s E ke,c .
Легко видеть, что последнее равенство истинно только в том случае, когда для асимметричной схемы выполнено равенство
E ke,D kd ,s s
для любого s X . Примером такой асимметричной схемы шифрования служит схема
RSA.
Такое прямолинейное обращение схемы асимметричного шифрования обладает рядом недостатков, что не позволяет использовать его на практике.
Использование электронной подписи одновременно со схемой асимметричного шифрования, на которой она построена, недопустимо, поскольку в качестве зашифрованных сообщений можно использовать ранее созданные подписи, и наоборот.
Пусть абонент Б, обладающий парой ключей ke , kd , подписал сообщение s1 и
вычислил подпись D kd ,s1 c1 . Тогда для проверки этой подписи достаточно проверить выполнимость равенства s1 E kd ,c1 .
Любой имеющий возможность проверить это равенство и обладающий парой s1 , c1
может направить абоненту Б зашифрованное сообщение s1 , которое будет воспринято абонентом Б как корректное, поскольку
D kd ,s1 D kd ,E kd ,c1 c1 .
Таким образом, абонент Б может принять свою собственную подпись c1 в качестве
корректно расшифрованного сообщения.
Самостоятельно предъявите последовательность действий, позволяющих использовать в качестве подписи ранее зашифрованное сообщение.
Основным способом защиты от подобных атак является использование бесключевых функций хеширования. Такой подход позволяет проводить вычисления не с самими сообщениями, а с их кодами целостности.
Далее, мы приведем несколько примеров схем электронной подписи, основанных на асимметричных схемах шифрования, уделив основное внимание схемам, реализуемым в группе точек эллиптической кривой.
Схема ЭльГамаля
Предложенная в 1984 году схема электронной подписи Эль-Гамаля является наиболее распространенной и лежит в основе стандартов Российской Федерации, Германии, Соединенных Штатов Америки и еще целого ряда стран.
Стойкость данной схемы основывается на решении задачи дискретного логарифмирования в некоторой абелевой группе. В качестве такой группы, как правило, выступает либо мультипликативная группа конечного простого поля, либо группа точек эллиптической кривой. Основная привлекательность схемы Эль-Гамаля заключается в том, что она представляет собой семейство схем, которые могут быть оптимизированы в зависимости от потребностей субъекта, использующего данную схему.
Вначале мы дадим краткое описание общей схемы Эль-Гамаля применительно к мультипликативной группе поля, а далее приведем примеры конкретных схем, реализованных в группе точек эллиптической кривой.
Пусть р - большое простое число, q - простое число, для которого выполнено условие q|p — 1. Рассмотрим вычет a GF p * такой, что ord a GF p * q, то есть число q является показателем вычета а по модулю р.
3
Также мы зафиксируем бесключевую функцию хеширования H :V* Vn
отображающую сообщения произвольной длины в двоичные векторы длины n. Дополнительно будем считать, что выполнено неравенство q < 2n.
Поскольку каждый двоичный вектор (h1,..., hn) может быть естественным образом представлен в виде целого числа
n 1
h hi 12i
|
i 0 |
|
|
|
|
|
|
|
GF |
q , определяемое равенством |
|
||
то далее мы будем использовать отображение H :V* |
|
|||||
|
|
|
|
|
|
|
H |
s H s modq ,s V*,H s GF q . |
|
|
|
|
|
Будем считать, то абонент, подписывающий сообщения, обладает секретным |
||||||
ключом |
электронной подписи kd , представленным в |
виде |
вычета |
kd GF q * , |
и |
|
открытым ключом подписи ke , представленным в |
виде |
вычета |
ke GF q * |
и |
||
удовлетворяющим равенству |
|
|
|
|
|
|
ke |
akd mod p . |
|
|
|
|
|
Для выработки электронной подписи с под сообщением s в обобщенной схеме ЭльГамаля абонент должен выполнить следующие шаги.
Алгоритм выработки электронной подписи
Открытые параметры схемы р, q, отображение , а также сообщение s, под
Вход: H
которым вычисляется подпись.
Выход: Электронная подпись с под сообщением s, представляющая собой пару вычетов по модулю q.
1. |
|
|
|
s . |
Определить образ сообщения s - величину h H |
||||
2. |
Вычислить случайное число k |
|
. |
|
1,q 1 |
|
|||
3. |
Определить вычет r ak mod p . |
|
||
4. Определить значение t, удовлетворяющее сравнениюa hke r r t mod p
(**), где знаки ± должны быть выбраны заранее и фиксированы.
5.Определить в качестве электронной подписи пару (r (mod q),t).
Вкачестве примера зафиксируем в сравнении (**) исключительно знаки +, тогда сравнение (**) принимает вид
ahker rt mod p или ah kd r rt mod p ,
и величина t может быть определена сравнением t h kdr k 1 modq .
Поскольку показатель числа r по модулю р равен q, q -простое число, a k 1,q 1, то такое определение величины t является корректным.
Алгоритм проверки электронной подписи с под сообщением s заключается в проверке выполнимости сравнения (**). Поскольку показатель открытого ключа ke по модулю р равен q, то для проверке подписи достаточно знания величины r (mod q).
Стандарт ГОСТ 34.10-2018
Первый стандарт Российской Федерации на электронную подпись был принят в 1994 году и получил название ГОСТ Р 34.10-94. Данный стандарт должен был использоваться совместно со стандартом ГОСТ Р 34.11-94 на бесключевую функцию хеширования, и реализовывал схему электронной подписи в мультипликативной группе простого поля GF(p), где простое число р удовлетворяло либо условию log2 p 512,
либо log2 p 1024.
Однако существенней прогресс в развитии методов дискретного логарифмирования
4
в мультипликативной группе поля привел к тому, что в 2001 году была принята новая редакция данного стандарта, предписывающая производить вычисления в группе точек эллиптической кривой, определенной над конечным простым полем.
Появившиеся в 2008 году работы по анализу функции хеширования ГОСТ Р 34.1194 привели к необходимости разработки нового алгоритма бесключевой функции хеширования. В результате этого была разработана и стандартизирована новая бесключевая функция хеширования «Стрибог», а также принята третья версия стандарта на электронную подпись ГОСТ Р 34.10-2012, которая стала ныне межгосударственным стандартом ГОСТ 34.10-2018.
Далее мы опишем последний вариант отечественной схемы электронной подписи, позволяющей выработать цифровую подпись длины либо 512, либо 1024 бит. Размер
подписи зависит от используемого варианта функции хеширования «Стрибог». |
|
|
||||||||
|
Открытые параметры схемы |
|
|
|
||||||
Открытыми параметрами схемы являются: |
|
|
|
|
|
|||||
1. простое число р - модуль эллиптической кривой, |
|
|
|
|||||||
2. эллиптическая |
кривая Ea,b GF p [y2 x3 ax b], задаваемая |
своим |
||||||||
инвариантом |
j Ea,b |
1728 |
|
4a |
3 |
|
(a 3ck2 ,b 2ck3 ,c |
j Ea,b |
, |
|
|
|
|
|
|||||||
|
|
|
|
|
||||||
4a |
3 |
|
2 |
1728 j Ea,b |
||||||
|
|
|
27b |
|
|
|
||||
k - произвольный отличный от 0 элемент поля |
GF p ) |
или |
||||||||
коэффициентами |
a,b GF p , |
|
удовлетворяющими |
неравенству |
||||||
4a3 27b2 0 mod p , |
|
|
|
|
|
|
|
|||
3.целое число m - порядок группы точек эллиптической кривой Ea,b GF p ;
4.простое число q - порядок циклической подгруппы группы точек эллиптической кривой Ea,b , для которого выполнены следующие условия:
m nq,n |
, |
|
|
|
q 2256 or 2508 |
|
|
2254 |
q 2512 |
с координатами xp, yp , |
|
5. точка |
эллиптической |
кривой P 0 |
|
удовлетворяющая равенству qP 0;
6.бесключевая функция хеширования «Стрибог» H :V* Vl , отображающая сообщения, представленные в виде двоичных векторов произвольной конечной длины, в двоичные векторы длины l бит. Функция описана в стандарте ГОСТ 34.11-2018, при этом если 2254 q 2256 , то
l = 256. В противном случае, когда 2508 q 2512 , полается l = 512.
Всоответствии с ГОСТ 34.10-2018, на приведенные выше параметры схемы электронной подписи накладываются следующие требования: .
1.Выполнено условие pt 1 modq , для всех целых t 1,B, где В = 31 при l = 256 или В = 131 при l = 512.
2.Выполнено неравенство m p .
3.Инвариант кривой удовлетворяет условию
j Ea,b 0 mod p |
и j Ea,b 1728 mod p . |
Ключевая система
Каждый пользователь схемы электронной подписи должен обладать личными ключами:
1.секретным ключом kd - целым числом d, удовлетворяющим неравенствам 0 <d< q;
5
2. открытым ключом ke точкой эллиптической кривой Q, с координатами
xq , yq , удовлетворяющей равенству Q dP.
Алгоритмы выработки и проверки электронной подписи
Для получения электронной подписи под сообщением s необходимо выполнить следующие действия.
Алгоритм выработки подписи ГОСТ 34.12-2018
: Параметры схемы a, b, р, q, Р, отображение и сообщение s.
Вход H
Выход: Цифровая подпись с.
|
s , где h GF q |
1. Вычислить значение хеш-функции от сообщения s: h H |
Если выполнено равенство h = 0, то положить h равным 1.
2.Вычислить случайное k GF q * . удовлетворяющее неравенствам 0 <k < q.
3.Вычислить точку эллиптической кривой С =kР и положить r хс mod q .
|
где хс - х-координата точки С. Если r = 0, то вернуться на шаг 2. |
|||||||||||
4. |
Вычислить значение s' |
rd kh |
(modq). Если s' |
= |
0, |
то вернуться на |
||||||
|
шаг 2. |
|
|
|
|
s' . , где |
|
|
|
|
|
|
5. |
Определить цифровую |
подпись c |
|
|| |
|
|
и |
|
|
|
||
r |
|
r |
s' - двоичные |
|||||||||
вектора, соответствующие числам r и s'.
Для проверки подписи с под полученным сообщением s необходимо выполнить следующее действия.
Алгоритм проверки подписи ГОСТ 34.12-2018
Вход: Параметры схемы a,b.p.q,P. отображение подпись с.
Выход: Заключение о том, верна подпись или нет.
, сообщение s и электронная
H
1.По полученной подписи с вычислить целые числа r, s'. Если выполнены неравенства 0 < r, s' < q, то перейти к следующему шагу. В противном случае подпись неверна.
|
s . где h GF q |
2. Вычислить значение хеш-функции от сообщения s: h H |
. Если выполнено равенство h = 0, то положить h равным 1.
3. |
Вычистить значение v h 1 modq . |
|
|
4. |
Вычислить значения z1 sv modq , |
z2 rv modq . |
и r' хC' mod q |
5. |
Вычислить точку эллиптической кривой С' z1P z2Q |
||
|
. где хC' — х-координата точки С’. |
|
|
6.Если выполнено равенство r' = r, то подпись принимается, в противном случае подпись неверна.
Легко проверить, что выполняемые в приведенном алгоритме вычисления
позволяют |
получить |
на последнем шаге истинное равенство, |
если |
сообщение s не |
||
изменено |
(равенство |
|
выполнено как при выработке, |
так |
и при |
проверке |
h H s |
||||||
подписи). Действительно, из равенства для точек эллиптических кривых |
|
|
||||
С' |
z1P z2Q (sv rvd)P v(s rd)P vkhP kP C . |
|
|
|
||
следует не только равенство их х-координат, но и истинность электронной подписи. |
||||||
|
|
|
Стандарт ECDSA |
|
|
|
Американский |
стандарт |
на электронную подпись |
FIPS |
186 |
вначале |
|
стандартизировал схему электронной подписи Эль-Гамаля. реализуемую в мультипликативной группе конечного простого поля и получившую название DSA (digital signature algorithm). Начиная со второй редакции данного стандарта допускается возмож-
6
ность реализации схемы DSA в группе точек эллиптической кривой, определенной либо над конечным простым полем GF(p) либо над конечным простым полем характеристики 2.
Такую схему принято называть ECDSA (elliptic curve digital signature algorithm).
Далее мы дадим описание схемы ECDSA применительно к группе точек эллиптической кривой, определенной над конечным простым полем GF(p). Открытые параметры такой схемы аналогичны параметрам ГОСТ 34.10-2018, за исключением используемой функции хеширования.
До последнего времени стандарт FIPS 186 предписывал использовать семейство функций SHA, вырабатывающих коды целостности длины l = 160, 256, 384 и 512 бит. Соответственно, изменение длины кода целостности приводит к изменению величины q, определяющей порядок подгруппы, которую порождает точка Р. Мы будем считать, что для q выполнено неравенство 2l q.
Ключевая система схемы ECDSA совпадает с ключевой системой схемы ГОСТ 34.10-2018, описанной выше.
Для выработки и проверки электронной подписи необходимо выполнить следующие действия.
Алгоритм выработки подписи ECDSA
|
|
|
|
|
|
|
|
|
|
|
|
||
Вход: Параметры алгоритма a,b,p,q,P, отображение H , сообщение s. |
|||||||||||||
Выход: Цифровая подпись с под сообщением s. |
|
|
|
|
|
|
|||||||
1. |
Вычислить значение хеш-функции от сообщения s: |
|
|||||||||||
h H s . где h GF q |
|||||||||||||
|
. Если выполнено равенство h = 0, то положить h равным 1. |
||||||||||||
2. |
Вычислить случайное число k |
|
|
и определить точку С = kР. |
|||||||||
1,q 1 |
|||||||||||||
3. |
Определить r хс mod q . где хс - х-координата точки С. |
||||||||||||
4. |
Вычислить |
s' k 1 h dr mod q |
(mod |
|
q) |
и |
|
определить цифровую |
|||||
|
подпись с |
равенством c |
|
|| |
s' . |
, где |
|
|
|
и |
|
|
|
|
r |
|
r |
|
s' - двоичные вектора, |
||||||||
соответствующие числам r и s'.
Алгоритм проверки подписи ECDSA
Вход: Параметры схемы а, b, p, q. Р, отображение подпись с.
Выход: Заключение о том, верна подпись или нет.
, сообщение s и электронная
H
1.По полученной подписи с вычислить целые числа r, s'. Если выполнены неравенства 0 < r, s' < q, то перейти к следующему шагу. В противном случае подпись неверна.
2. |
|
|
s . где h GF q . |
Вычислить значение хеш-функции от сообщения s: h H |
|||
|
Если выполнено равенство h = 0, то положить h равным 1. |
||
3. |
Вычислить значения z1 hs 1 modq , z2 |
rs 1 modq . |
и r хC' mod q . |
4. |
Вычислить точку эллиптической кривой |
С' z1P z2Q |
|
|
где хC' — х-координата точки С’. |
|
|
5. |
Если выполнено равенство r' = r, то подпись принимается, в противном |
||
случае подпись неверна.
Так же как и для схемы ГОСТ 34.10-2018, для схемы ECDSA легко проверить, что алгоритм проверки даст истинное суждение если исходное сообщение не изменено. Действительно, равенство точек эллиптической кривой
С' z1P z2Q hs 1P rs 1Q s 1(h dr)P kP C
дает нам равенство их x-координат.
Основное отличие стандарта FIPS 186 от остальных международных стандартов, регламентирующих применение электронной подписи, заключается в том, что FIPS 186
7
жестко определяет параметры эллиптических кривых, используемых в государственных структурах США. Каждая эллиптическая кривая, рекомендованная к использованию, определяется сравнением
E GF p : y2 x3 3x b mod p ,b GF p ,b 2 mod p .
Кроме этого, стандарт в явном виде определяет q — порядок циклической подгруппы, в которой реализуется схема электронной подписи, а также простое число р. Ниже мы приводим список кривых, порядок группы точек которых превышает 160 бит.
Curve Р-192
р= 6277101735386680763835789423207666416083908700390324961279 q =6277101735386680763835789423176059013767194773182842284081 Curve Р-224
р= 26959946667150639794667015087019630673557916260026308143510066298881 q = 26959946667150639794667015087019625940457807714424391721682722368061 Curve Р-256
р= 11579208921035624876269744694940757353008614341529031419553363130886 7097853951
q= 11579208921035624876269744694940757352999695522413576034242225806106 8512044369
Curve Р-384
р= 39402006196394479212279040100143613805079739270465446667948293404245 721771496870329047266088258938001861606973112319 q=39402006196394479212279040100143613805079739270465446667946905279627 659399113263569398956308152294913554433653942643
Curve Р-521 р=686479766013060971498190079908139321726943530014330540939446345910^ 4318339766605212255964066145455497729631139148085803712198799971 812574028291115057151
q = 686479766013060971498190079908139321726943530014330540939446345 43183397655394245057746333217197532963996371363321113864768612340372808 892707005449
Схема Шнорра
Схема электронной подписи Шнорра, как и схема Эль-Гамаля основывается на сложности решения задачи дискретного логарифмирования в некоторой абелевой группе. Как и ранее, мы будем использовать для реализации схемы электронной подписи группу точек эллиптической кривой, определенной над конечным простым нолем.
Будем считать, что открытые параметры схемы и ключевая система аналогичны введенным нами ранее в разделе ГОСТ 34.10-2018
Для выработки электронной подписи необходимо выполнить следующие шаги.
Алгоритм выработки подписи Шнорра
: Параметры схемы a, b, р, q, Р, отображение и сообщение s.
Вход H
Выход: Цифровая подпись с под сообщением s.
1.Вычислить случайное число k 1,q 1 и определить точку С = kР
2.Вычислить значение хеш-функции от сообщения s и случайной точки С,
выработанной на предыдущем шаге : |
|
s||C . где |
h GF q Если |
h H |
выполнено равенство h = 0, то положить h равным 1.
3. Вычислить s' k dh mod q |
и определить цифровую подпись |
|||
c |
|
|| |
s' . |
|
h |
|
|||
Основное отличие схемы электронной подписи Шнорра от схемы Эль-Гамаля заключается в вычислении значения бесключевой функции хеширования не только от
8
подписываемого сообщения s, но и от случайной точки С, выработанной в ходе вычисления подписи. Таким образом, увеличивается защита от атак на построение коллизий для функции хеширования и снижаются накладываемые на нее требования.
Проверка корректности электронной подписи в схеме Шнорра основывается на равенстве точек эллиптической кривой
С s'P h Q s dh P kР
|
s||C . |
и проверке выполнимости равенства h H |
Схема Шнорра разработана одновременно со схемой Эль-Гамаля, но была запатентована автором. Наличие патента повлекло за собой снижение практического интереса к внедрению схемы в средства защиты информации и, в основном, исключение из перечня стандартизированных решений.
Схема Нюберг-Рюппеля
Одним из нормативных документов, представляющих собой комплексное решение целого спектра задач в области криптографии с открытым ключом, является стандарт
IEEE Р1363, разработанный американским институтом IEEE (Institute of Electrical and Electronics Engineers). Стандарт регламентирует несколько семейств криптографических схем, стойкость которых основывается на следующих трудноразрешимых математических задачах:
1.задаче разложения больших целых чисел на множители (задаче факторизации),
2.задаче вычисления дискретного логарифма в циклической подгруппе простого порядка мультипликативной группы простого поля GF(p),
3.задаче дискретного логарифмирования в группе точек эллиптической
кривой.
Одним из предлагаемых стандартом IEEE Р1363 решений в области электронной подписи является схема Нюберг-Рюппеля, стойкость которой основывается на сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой. Данную схему принято обозначать ECXR.
Будем считать, что открытые параметры схемы и ключевая система аналогичны введенным нами ранее в разделе ГОСТ 34.10-2018.
Для выработки электронной подписи необходимо выполнить следующие шаги.
Алгоритм выработки подписи Нюберг-Рюппеля
Параметры алгоритма a,b,p,q,P, отображение , сообщение s.
Вход: H
Выход: Цифровая подпись с под сообщением s.
1. Вычислить случайное число k 1,q 1 и определить точку С = kР.
2. Вычислить значение хэш-функции от сообщения s: |
|
s , |
где |
h H |
h GF q . Если выполнено равенство h = 0, то положить h равным 1.
3. Определить r h хс mod q . где хс - х-координата точки С.
4. Вычислить s' k rd (modq) и определить цифровую подпись c r || s' .
Проверка корректности электронной подписи в схеме Нюберг-Рюппеля основывается на равенстве точек эллиптической кривой
С' sР rQ (k rd)P rdP kР C
и проверке выполнимости равенства r h хс mod q , где хс - x-координата точки С, а
величина h определяется равенством |
|
s . |
h H |
Как видно из приведенного выше равенства точек эллиптической кривой, основным достоинством схемы Нюберг-Рюппеля является экономия операций в поле GF(p) при проверке подписи и, как следствие, ускорение времени ее проверки. Это может
9
являться важным в автоматизированных системах централизованной обработки электронной документации.
Схема KCDSA
В рамках стандарта ISO/IEC 15946-2, описывающего «рамочные» международные схемы электронной подписи, предлагается использовать корейскую схему электронной подписи. Данная схема, так же как все изложенные выше, основывается на стойкости дискретного логарифмирования в группе точек эллиптической кривой.
Будем считать, что открытые параметры схемы и ключевая система аналогичны введенным нами ранее в разделе ГОСТ 34.10-2018.
Для выработки электронной подписи необходимо выполнить следующие шаги.
Алгоритм выработки подписи KCDSA
Параметры алгоритма a,b,p,q,P, отображение , сообщение s.
Вход: H
Выход: Цифровая подпись с под сообщением s
1. |
Вычислить случайное число k 1,q 1 и определить точку С = kР |
|
||
2. |
Вычислить значение хеш-функции от точки кривой, r |
|
C . |
|
H |
|
|||
3. |
Вычислить значение хеш-функции от сообщения |
s: |
|
s , где |
h H |
||||
h GF q . Если выполнено равенство h = 0, то положить h равным 1.
4. Определить вычет w r h modq .
5. Вычислить s' d l k w |
mod q и определить цифровую подпись |
|||
c |
|
|| |
s' . |
|
r |
|
|||
Основным отличием данной схемы от изложенных нами выше схем, является использование операции побитового сложения для определения величины w: вначале вычеты r, h представляются как двоичные вектора, после складываются по модулю 2, а после сумма представляется в виде неотрицательного целого числа, которое приводится по модулю q.
Определим . Тогда проверка корректности электронной
q
mod
s
H
r
w
подписи в схеме KCDSA основывается на следующем равенстве точек
С' sQ wP sd w P d 1 k w d w P kP C
и последующей проверке выполнимости равенства . r H C
Данная схема использует бесключевую функцию хеширования для отображения точек эллиптической кривой в вычеты по модулю простого числа q, что повышает ее стойкость к построению коллизий. Вместе с тем двукратное использование бесключевой функции хеширования существенно увеличивает время выработки и проверки подписи.
1
МЕТОДЫ И СРЕДСТВА УПРАВЛЕНИЯ КРИПТОГРАФИЧЕСКИМИ КЛЮЧАМИ
Согласно сформулированному нами ранее принципу Кирхгофа единственное, что недоступно нарушителю при попытке компрометации шифра, это значение ключей, используемых для обеспечения конфиденциальности передаваемой информации. Таким образом, система управления ключами является основополагающей частью шифра, обеспечивающей его стойкость.
Управление ключами включает в себя следующие процедуры:
выработку, распределение и введение ключа в соответствующую аппаратуру;
смену и уничтожение ключей;
хранение и восстановление ключей.
Совокупность приведенных процедур, а также множество обрабатываемых ими ключей мы будем называть ключевой системой.
Ключевая система должна обеспечивать:
конфиденциальность секретных ключей;
аутентичность секретных и открытых ключей, то есть возможность проверки идентичности абонента, для связи с которым используется данный ключ;
защиту от несанкционированного использования ключей. Управление ключами обычно осуществляется в рамках политики
безопасности, определяющей правила, которыми следует руководствоваться в процессе управления ключами.
Традиционно к используемой ключевой информации предъявляются следующие требования.
1.Выбор секретного ключа k должен производиться по случайной равновероятной схеме из ключевого множества k K . При этом вероятность выбора ключа k не должна зависеть от шифруемого (защищаемого) открытого текста.
2.При смене ключа новый ключ выбирается независимо от ранее использованных.
3.Мощность ключевого множества K должна быть достаточно большой, чтобы исключить возможность их полного перебора.
4.Для несимметричных криптосхем выбор ключей производится с учетом необходимых теоретико-числовых (и иных) требований к ним. Что касается мощности ключевого множества, то известные к
настоящему времени международные и национальные стандарты алгоритмов шифрования и цифровой подписи свидетельствуют о том, что для симметричных схем длина ключа должна быть не менее 128 бит, а для асимметричных схем, основанных на сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой, не менее 256 бит. Вместе с тем асимметричные системы, основанные на сложности решения задачи факторизации больших целых чисел — не менее 1024 бит.
2
Характеристики ключевой системы
Рассмотрим некоторые характеристики ключевой системы, существенно влияющие на криптографическую стойкость шифрсистем.
Все шифрсистемы, как правило, нуждаются в периодической замене ключей. Последовательность стадий от установки ключей до следующей замены называется их жизненным циклом. К основным этапам жизненного цикла ключей относятся:
1.Генерация ключей. При генерации ключей должны быть обеспечены их необходимые криптографические качества.
2.Установка ключей в криптографическое оборудование. На этой стадии при необходимости выполняются также соответствующие процедуры, связанные с регистрацией ключей и их пользователей.
3.Хранение ключа (в период его эксплуатации) в надлежащих условиях, обеспечивающих его безопасность до замены на новый ключ.
4.Замена ключа проводится до истечения срока его действия в соответствии с процедурами генерации ключей и протоколами обмена информацией между абонентами, а также доверенной третьей стороной.
5.Архивирование (хранение ключа после его замены на новый ключ) ключей с целью их использования в специальных случаях (например, для проверки цифровой подписи под документами длительного срока хранения).
6.Уничтожение ключей после окончания срока их действия. При этом должны быть приняты меры, исключающие возможность их восстановления по остаточной информации на материальных носителях.
7.Отмена ключей до окончания срока действия в случае их компрометации с оповещением абонентов сети.
Кроме того, в некоторых случаях могут быть предусмотрены меры по восстановлению утерянной (но не скомпрометированной!) ключевой информации из хранимой в надлежащих условиях ее копии.
В системе управления ключами во многих случаях важную роль играет доверенная третья сторона, которая может выполнять следующие функции.
1.Центр управления ключами. Обеспечивает генерацию, установку, хранение, замену и отмену ключей, а также контрольные функции, связанные с их жизненным циклом.
2.Удостоверяющий центр. Выдает сертификаты открытых ключей, заверенные своей цифровой подписью. Также может выполнять функции по генерации и выдаче пользователям их секретных ключей. Ведет учет сроков действия открытых ключей, а также содержит списки отозванных сертификатов открытых ключей.
3.Центр установки временных меток. Обеспечивает установку