11.4 Криптографічний генератор випадкових послідовностей
В ДСТУ 4145-2002 (додаток А) встановлено процедуру генерації випадкових двійкових послідовностей.
Генератор повинен використовуватися для отримання випадкових цілих чисел, випадкових елементів основного поля і випадкових точок еліптичних кривих. За один цикл роботи генератор видає один випадковий біт.
Як криптографічне перетворення в генераторі застосовується алгоритм ГОСТ 28147 у режимі простої заміни. Ключі перетворення повинні відповідати вимогам цього стандарту.
Ключі, що використовується в генераторі випадкових послідовностей, використовувати для інших цілей заборонено.
Генератор функціонує наступним чином.
Позначимо
через
шифрування двійкового рядка довжиною
64 біти алгоритмом ГОСТ 28147-89 в режимі
простої заміни на сеансовому ключі
.
Нехай
,
,
,
двійкові рядки довжиною 64 біти.
Перед
застосуванням необхідно задати секретний
початковий стан
генератора випадкових послідовностей.
За стандартом, для цього використовують фізичне джерело випадковості, наприклад, шумові діоди, сигнали від мікрофонного входу і т.і.
С початку
циклу роботи генератора задають значення
двійкового рядка
.
Для цього використовують поточне
значення дати і часу з точністю 64
двійкових розрядів. Далі обчислюють
двійковий рядок
.
При
кожному зверненні до генератора
випадкових послідовностей виконують
такі обчислення (символ
позначає порозрядне додавання за модулем
два):
,
.
Випадковий
біт є крайнім правим розрядом блоку
.
Очевидно, ця схема співпадає зі схемою криптографічного генератора стандарту ANSI X9.17, якщо 3DES замінити на ГОСТ 28147-89.
11.5 Питання обчислення параметрів механізму цифрового підпису
Обчислення
параметрів, у цілому, нетривіальне.
Зокрема, вимагає значних зусиль обчислення
простого числа
-
порядку циклічної підгрупи
.
У
стандарті надані таблиці, щодо параметрів
обов’язкових породжуючих поліномів
полів
,
які є оптимальними як з точки зору
обчислень так і з точки зору надійності
ЦП.
Користувач,
за бажанням, може застосовувати кріві,
параметри яких, а також відповідні
значення
надані у стандарті в додатку Г.
У
стандарті надано як вимоги до параметрів,
так і методику їх перевірки. Наприклад,
та базова точка
має задовільняти наступні умови:
а) порядок
циклічної підгрупи
має бути простим числом, таким, що
;
б) має
виконуватися
-
умова (умова Менезеса-Окамото-Венстоуна),
тобто
для
;
в) порядок
базової точки
точки
має дорівнювати
.
При
невиконанні
-
можливе відновлення секретного ключа
підпису.
При невиконанні інших умов можлива підробка ЦП.
За стандартом, при перевірці ЦП необхідно виконувати перевірку параметрів, наприклад, чи базова точка задовільняє рівняння кривої, тощо.
Вибір
базової точки
здійснюють користувачі.
Для
цього точку
вибірають випадково, а потім перевіряють,
чи
,
якщо так, то порядок точки
дорівнює
і точка
- базова.
У свою
чергу, для вибору
потрібно випадково вибірати
і шукати
з рівняння кривої:
,
.
Якщо
розвязків намає, то перейти на вибір
іншого
.
Таким
чином, необхідно знаходити розв’язки
рівняння
у полі
відносно
.
Якщо
,
тобто
,
то
.
Дійсно,
,
оскільки, за теоремою Ферма,
,
.
Якщо
,
тобто
,
то
і
,
.
У випадку
,
поділимо частини рівняння
на
,
отримаємо
,
або
,
де
,
.
Щоб
розв’язати останне рівняння визначимо
поняття сліду
і напівсліду
елемента
для часткового випадку поля
.
Визначення.
Слідом елемента
називається сума
,
напівслідом називається сума
.
Таким
чином,
-
кожний попередній показник степеня
виду
множиться на 2, тобто до показника
надстепеня додається одиниця
.
Аналогічно,
- кожний попередній показник степеня
множиться на 4, тобто до показника
надстепеня додається двійка.
Можна
довести, що слід - лінійна функція, тобто
.
Покажемо,
що
.
Дійсно, за теоремою Ферма,
,
тому
.
Таким
чином, з
випливає
,
тобто наше рівняння нерозв’язне, якщо
.
Покажемо,
що
є розв’язком рівняння
.
У виразі
показник степеня в останьому доданку
має вигляд
,
тому
і
.
Таким
чином,
,
оскільки
і
.
Зауважимо,
що
- ще один корінь рівняння
.
Дійсно,
.
З виразу
,
отримаємо розв’язки рівняння
:
,
.