Вопрос 19 и 20. Корректность, стойкость схемы цифровой подписи гост р 34.10-94.
ЭЦП (из закона) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Корректность ЦП
Если
r’=r(modq), r=ak(modp)
s=ke+r’x(modq)
(шаг
8)
(из
алгоритма формирования шаг
7)
,
где
,
где
,
где
,
где
.
(шаг 8) – выполняется.
-
Американский стандарт DSA
ГОСТ
q=160 бит, |ЦП|=320
q=256 бит, |ЦП|=512
Безопасность ЦП
1) атака на З.К,
х
– З.К.,
–
O.T.
– в общем случае задача дискретного
логарифмирования для противника.
Сложность задачи
=
=1,3*1026
для ГОСТ, n
– длина р
в битах
р=1024
бита, т.к.
- частная задача дискретного
логарифмирования.
Задача нахождения по y:
=3*1038(ГОСТ),
m
– длина q
в битах =>
;
2) атака на неотказуемость
- атака с 2-мя ключами
Генерация х1 и у1, х2 и у2, s1=S(m1, x1) и s2=S(m2, x2), s1=s2. (m1, s1) отправляются получателю, который V(m1, s1, y1). (m2, s2) утверждаются как истина, и отказывается от m1.
Как осуществить: k, r’
,
требуется осуществить равенство, для
этого решаем систему.
k*e1-k*e2=-(x1-x2)*r’, фиксируем x1 => x2=x1+k*(e1-e2)/r’, т.к. есть m1 и m2 => имеем е1 и е2.
Защита: генерация З.К. в специальном месте; сделать подписываемое сообщение неизвестным для того, кто может подписать заранее.
- атака на уязвимость эфемерного k
а) ] k повторился
находит х.
Повторение k приводит к тому, что противник легко находит З.К. х.
k должен генерироваться качественным датчиком случайных или псевдослучайных чисел.
б)
если
Вопрос 21. Операции в группе точек эллиптической кривой.
Простое число р>3.
Эллиптической
кривой, определенной над полем из
р-элементов,
называется множество точек х
и у,
где х
и у
из этого поля удовлетворяют следующему
уравнению
Сложение точек
Удвоение точек
О(
)
Р+О=Р, (-Р)+Р=О, Р=(х,у), -Р=(х,-у)
Множество точек кривой Е являются коммутативной группой.
Задача дискретного логарифмирования на эллиптической кривой
Q=xP,
при известных
Q
и P
найти х.
В настоящее время не известно быстрого
алгоритма решения этой задачи, чем
алгоритма со сложностью быстрее
.
Вопрос 22, 23 и 24. Гост р 34.10–2001. Параметры и ключи. Алгоритмы формирования и проверки цифровой подписи. Корректность, стойкость схемы цифровой подписи гост р 34.10–2001.
ГОСТ 34
– 1026,
,
у=ах,
r=ak(modp)
– надо улучшать, r’=r(modq),
S=ke+xr’(modq).
- надо
улучшать,
.
ГОСТ Р 34.10-2001
Выбор параметров:
- простое число р, р>2255;
-
эллиптическая кривая Е,
;
- простое число q, 2254<q<2256;
-
:
qP=o(aq=1(modp);
- фиксируется ХФ ГОСТ 34.11 Н.
Условия:
-
должно быть выполнено
,
для
t=1….B(B=31);
-
;
-
Выбор ключей:
- З.К. d: 0<d<q;
- О.К. Q=dP (аналог у=ах)
Формирование
ЦП: S(H,d)=
:
h=H(m);
α: h=<α>256, e=α(modq), если е=0, то е:=1;
генерируется специальное число k: 0<k<q;
C=kP, r=xc(modq), если r=0, то переходить к 3);
s=(ke+rd)(modq), если s=0, то переходим к 3);
=<r>256||<s>256.
Проверка ЦП: V(m, ,Q), =<r>||<s>:
1) проверка 0<r<1, 0<s<q. Если хоть одно нарушается, то ЦП не действительна;
2) h=H(m);
3) α: h=<α>256, e=α(modq), если е=0, то е:=1;
4) v=e-1(modq);
5) z1=sv(modq), z2=-rv(modq);
6) C=z1P+z2Q, R=xc(modq)
Аналог
ГОСТ 34.10 – 94 –
7)
,
если
совпали, то ЦП действительна, если нет,
то не действительна.
Корректность
s=S(m,d),
z1=sv(modq),
z1=sv+qt1,
z2=-rv+qt2,
c2=(sv+qt1)P+(-rv+qt2)Q=,
где Q=dP, =(sv-rvd)P+(t1+t2d)*qP=,
где qP=0, =(sv-rvd)P=v(s-rd)P=,
где ev=1(modq) => ev=1+qt3,
s=(ke+rd)(modp) => s-rd=ke+qt4,
=r(ke+qt4)P=v(keP+t4qP)=,
где t4qP=0,
= vkeP=(1+(q)t3)k(P)=kP=c1
=> c2=c1
=>
.
0<s<q,
0<r<q.
s<q,
т.к. остаток
,
т.к. не может выпустить алгоритм.
r<q
, т.к. остаток
,
т.к. не может выпустить алгоритм.
Безопасность
1) Атака на З.К. Задача нахождения значения d при условии, что известно Q и P, называется задачей дискретного логарифмирования в группе точек эллиптической кривой
,
,
а для ГОСТ 94 Т~1026.
2) Атака на неотказуемость. Представляет собой для данной съемы. Сам ГОСТ не предоставляет методы защиты от таких атак. Безопасность должен обеспечивать протокол.
3) Уязвимости эфемерного ключа k.