Формирование цифровой подписи сообщения. Р 34.10 – 94 Р 34.10 –2012
Ввод сообщения M и закрытого
ключа x формирования ЦП сообщения
Хэширование сообщения: h ( M )
Генерирование случайного числа k, 0 < k < q
Вычисление первого параметра r ЦП сообщения
r = ak(mod q)
Вычисление второго параметра s ЦП сообщения s=(rx+ kh(M))(mod q)
Передача сообщения M и его цифровой подписи {r, s}
Р 34.11 –2012
С( xС , y C) = k P( xP , y P)
r = xС (mod q)
52 52
Алгоритм проверки подписи
1. Вычисляется значение v = h (M^) - 1 (mod q).
2. Вычисляются два числа:
z1 = s^·v (mod q) и z2 = (q – r^) v (mod q).
3. Находится точка С эллиптической кривой
С( xС , y C) = z1 P( xP , y P) + z2 Q(xq, yq).
4. Из координаты по оси абсцисс этой точки определяется значение
u = xС (mod q)
5. Проверяется выполнение равенства
u r .
6. При выполнении равенства подлинность полученного сообщения и авторство удостоверены, иначе подпись неверна.
53 53
Проверка цифровой подписи сообщения. Р 34.10 -94 Р 34.10 –2012
Ввод принятых сообщения M и цифровой подписи {r , S }
Вычисление хэшфункции h(M )
Вычисление
= (h(M^)) q-2 mod q
Вычисление
z1 = s^ (mod q) z2 = (s-r^) mod q
Р 34.11 –2012
Вычисление
u = (az1yz2)(mod p)(mod q)
r^ =u
да
Подлинность принятого сообщения и авторство отправителя удостоверены
С( xС , y C) = z1 P( xP , y P) + z2 Q(xq, yq) u = xС (mod q)
нет
Подлинность сообщения не установлена
54 54
Формирование подписи в ГОСТ Р34.10-12
|
Н АЧАЛО |
|
|
|
Ввод сообщения M |
|
|
||
и ключа подписи d |
|
|
||
Хеширование сообщения h (M ) |
|
|
||
|
|
да |
|
|
|
h( M ) 0 |
|
|
|
|
|
нет |
Установить |
h(M ) 000 . . . 01 |
Генерирование случайного |
|
|
||
числа k, |
0 < k < q |
|
|
|
Вычисление точки эллиптической |
|
|
||
кривой С (xC , yC ) kP( xP , yP ) |
|
|
||
Вычисление первого параметра |
|
|
||
подписи |
r xС (mod q) |
|
|
|
да |
r = 0 |
|
|
|
|
|
|
||
|
|
нет |
|
|
Вычисление второго параметра |
|
|
||
подписи |
s (rd kh (M )) mod q |
|
|
|
да |
s = 0 |
|
|
|
|
|
|
||
|
|
нет |
|
|
Передача сообщения М и его |
|
|
||
цифровой подписи {r, s} |
|
|
||
55
КОНЕЦ
Проверка подписи в
НАЧАЛО |
|
|
|
ГОСТ Р34.10-12 |
|||||
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||
Ввод принятых |
|
|
|
|
|||||
сообщения |
|
|
и его |
M |
|
|
|
||
|
|
|
|
|
|
||||
цифровой подписи |
{r, s} |
|
|
|
|||||
|
|
|
|
|
|
||||
|
|
|
|
|
нет |
|
|
|
|
0 |
|
|
|
|
|
||||
r q |
|
|
|
|
|
|
|||
|
|
|
|
|
|
||||
|
|
|
да |
|
нет |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
||||
0 |
|
|
|
|
|
||||
s q |
|
|
|
|
|
|
|||
|
|
|
|
|
|
||||
|
|
|
да |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
Хеширование сообщения |
|
|
|
|
|
|
|||
h(M ) |
|
|
|
|
|
||||
|
|
|
|
да |
|
|
|
||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
||||
h(M ) 0 |
|
|
|
|
|
|
|||
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Установить |
|
|
|
|
|
|
нет |
|
|
h(M ) 000 . . . 01 |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Вычисление v h(M ) 1 (mod q)
Вычисление значений |
|
|
|
|
|
|||
Z 1 sv mod q |
|
|
|
|
|
|||
Z 2 rv mod q |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Вычисление точки эллиптической кривой |
|
|
|
|
|
|||
C (x c , yc ) Z 1P( x p , y p ) Z 2Q(x q , yq ) |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Вычисление R xc (mod q) |
|
|
|
|
|
|||
|
|
|
нет |
|||||
|
|
|
||||||
|
|
|||||||
R r |
|
|
|
|
|
|||
|
|
|
|
|
||||
|
|
да |
|
|
|
|
|
|
|
|
|
|
|
|
|||
Подлинность принятого |
|
|
|
|
|
|||
сообщения и авторство |
Подпись неверна |
|||||||
отправителя |
||||||||
|
|
|
|
|
||||
удостоверены |
|
|
56 |
|||||
|
|
|
|
|||||
|
|
|
|
|||||
КОНЕЦ
Оценка стойкости ЭП по стандарту Р34.10-2012 и Р34.11- 2012
Криптографическая стойкость
Криптографическая стойкость хеш-функции:
-стойкость к нахождения коллизий
Криптографическая стойкость алгоритма ЭП:
Сложность решения задачи дискретного логарифмирования В группе точек эллиптической кривой
Сложность нахождения коллизии
Для обнаружения двух сообщений с одинаковым хэш-значением, потребовалось бы хэшировать только 
случайных сообщений. Вероятность взлома хэш-функции при этом равна 
.
Пусть ЭВМ хеширует миллион сообщений в секунду. (MIPS - Million Instruction Per Second) При таких условиях число хэш-значений,
вычисленных одной MIPS машиной за один год составляет 
.
Вероятность взлома хэш-функции для атаки поиска коллизий при различных значениях длины выходного хэш-значения.
Длина |
Поиск коллизии |
||
хэш- |
|
|
|
Вероятность |
Продолжительность |
||
значения, |
|||
бит |
взлома |
взлома, MIPS-лет |
|
|
|
||
|
|
|
|
64 |
2,33 × 10–10 |
1,19 часа |
|
|
|
|
|
128 |
5,42 × 10–20 |
600000 |
|
|
|
|
|
256 |
2,94 × 10–39 |
1,1 × 1025 |
|
|
|
|
|
512 |
8,64 × 10–78 |
3,7 × 1063 |
|
|
|
|
|
Сложность решения задачи дискретного логарифмирования в простом поле GF(p)
(ГОСТ Р34.10-1994)
Постановка задачи:
заданы простые числа p, q и натуральное число a < p порядка, q, то есть
;
зная значение 
, необходимо найти 
.
Внастоящее время наиболее быстрым алгоритмом решения общей задачи дискретного логарифмирования (при произвольном выборе a является алгоритм обобщенного решета числового поля, вычислительная сложность которого
оценивается как 
операций в поле GF(p), где 
.
Методами решения частной задачи дискретного логарифмирования являются также r- и -метод Полларда и некоторые близкие методы, требующие для ее
решения выполнения порядка 
операций умножения в поле GF(p).
Сложность решения задачи дискретного логарифмирования в группе точек
эллиптической кривой
Задача формулируется следующим образом:
задана эллиптическая кривая E над полем GF(p), где p – простое число;
выбрана точка P, имеющая простой порядок q в группе точек кривой
E;
зная точку dP необходимо восстановить натуральное число d.
В настоящее время наиболее быстрыми алгоритмами решения задачи дискретного логарифмирования в группе точек эллиптической кривой при правильном выборе параметров считаются -метод и l-метод Полларда.
Для улучшенного -метода Полларда вычислительная сложность оценивается
как 
.
В таблице приведена оценка вычислительной сложности решения задач дискретного логарифмирования в простом поле и в группе точек эллиптической кривой.
Разрядность |
128 |
256 |
512 |
1024 |
1536 |
2048 |
||||||
Порядка |
|
|
|
|
|
|
|
|
|
|
|
|
поля Р и |
|
|
|
|
|
|
|
|
|
|
|
|
порядок |
|
|
|
|
|
|
|
|
|
|
|
|
точки Р |
|
|
|
|
|
|
|
|
|
|
|
|
Ip |
|
1.35 1010 |
|
1.12 1014 |
|
1.76 1019 |
|
1.32 1026 |
|
1.31 1031 |
|
1.53 1035 |
Iq |
|
1.63 1019 |
|
3.02 1038 |
|
1.03 1077 |
|
1.19 10154 |
|
1.38 10231 |
|
1.59 10308 |
Из таблицы видно, что, при одинаковом порядке параметров q и p, взлом
российского стандарта, использующего вычисления в группе точек эллиптической кривой (2012), потребует выполнения большего числа операций, чем взлом старого стандарта (1994), который базируется на использовании несимметричных криптографических преобразований, выполняемых в кольцах. Так, при 256- разрядных q и p, трудоемкость взлома нового стандарта составляет 3,02 × 1038, а старого – 1,12 × 1014.
Также из табл видно, что для обеспечения трудоемкость взлома ЭП, например, 1030 операций в ГОСТ Р 34.10-94 необходимо использовать 1536-разрядное p, а в ГОСТ Р 34.10-2001 достаточно использовать 256-разрядное q.
Основываясь на полученных оценках, можно сделать вывод, что схема ЭП ГОСТ Р 34.10-2001, базирующаяся на математическом аппарате эллиптических кривых, является более стойкой по сравнению со схемой ЭП ГОСТ Р 34.10-94, основанной на сложности решения задачи дискретного логарифмирования в простом поле. Другими словами, в российском стандарте ЭП (2012) оказалось влозможныи использовать меньшую длину ключа, чем в старом,.