GOST 34.10-2018

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 11. kesäkuuta 2021 tarkistetusta versiosta . tarkastukset vaativat 4 muokkausta .

34.10-2018 _ _ _ _ _ - nykyinen valtioiden välinen salausstandardi , joka kuvaa algoritmeja sähköisen digitaalisen allekirjoituksen generoimiseksi ja todentamiseksi, joka on toteutettu äärellisen yksinkertaisen kentän yli määritetyn elliptisen käyrän pisteryhmän operaatioilla.

Standardi on kehitetty Venäjän federaation kansallisen standardin GOST R 34.10-2012 pohjalta ja se tuli voimaan 1.6.2019 Rosstandartin 4.12.2018 antamalla määräyksellä nro 1059-st .

Laajuus

Digitaalinen allekirjoitus mahdollistaa:

Todista viestin allekirjoittanut henkilö;
Valvo viestin eheyttä;
Suojaa viesti väärentämiseltä;

Historia

Algoritmin ensimmäiset versiot kehitti FAPSI :n viestintäturvallisuuden pääosasto, johon osallistui All-Russian Research Institute for Standardization (VNIIstandart) , myöhemmin kehitys siirtyi tietosuoja- ja erityisviestintäkeskuksen käsiin. Venäjän liittovaltion turvallisuuspalvelu ja JSC InfoTeKS .

Kuvaus

Ensimmäisten digitaalisten allekirjoitusstandardien GOST R 34.10-94 ja GOST 34.310-95 kryptografinen vahvuus perustui diskreetin logaritmin ongelmaan suuren kertaluvun yksinkertaisen äärellisen kentän multiplikatiivisessa ryhmässä. Alkaen GOST R 34.10-2001, algoritmin kestävyys perustuu monimutkaisempaan ongelmaan diskreetin logaritmin laskemisessa elliptisen käyrän pisteryhmässä . Myös digitaalisen allekirjoituksen generointialgoritmin vahvuus perustuu vastaavan hajautusfunktion vahvuuteen:

Tyyppi	Nimi	panna toimeen	hash-toiminto	Tilaus
kansallinen	GOST R 34.10-94	1. tammikuuta 1995	GOST R 34.11-94	Hyväksytty Venäjän valtion standardin asetuksella nro 154, 23. toukokuuta 94
Interstate	GOST 34.310-95	16. huhtikuuta 1998	GOST 34.311-95
kansallinen	GOST R 34.10-2001	1. heinäkuuta 2002	GOST R 34.11-94	Hyväksytty Venäjän valtion standardin nro 380 päätöksellä 12. syyskuuta 2001 [1]
Interstate	GOST 34.310-2004	2. maaliskuuta 2004	GOST 34.311-95	Euraasian standardointi-, metrologia- ja sertifiointineuvosto hyväksynyt kirjeitse (pöytäkirja nro 16, 2. maaliskuuta 2004)
kansallinen	GOST R 34.10-2012	1. tammikuuta 2013	GOST R 34.11-2012	Hyväksytty ja otettu käyttöön liittovaltion teknisten määräysten ja metrologian viraston määräyksellä nro 215, päivätty 7. elokuuta 2012 Venäjän federaation kansalliseksi standardiksi 1. tammikuuta 2013 alkaen
Interstate	GOST 34.10-2018	1. kesäkuuta 2019	GOST 34.11-2018	Hyväksynyt Interstate Council for Metrology, Standardization and Certification (pöytäkirja nro 54, 29.11.2018). Liittovaltion teknisten määräysten ja metrologian viraston määräyksellä nro 1059, päivätty 4. joulukuuta 2018, se otettiin käyttöön Venäjän federaation kansallisena standardina 1. kesäkuuta 2019 alkaen.

Standardit käyttävät samaa mallia sähköisen digitaalisen allekirjoituksen luomiseen. Vuodesta 2012 lähtien uudet standardit eroavat järjestelmän parametrien lisäversiosta, joka vastaa noin 512 bitin salaisen avaimen pituutta.

Viestin M allekirjoittamisen jälkeen siihen liitetään 512 tai 1024 bitin digitaalinen allekirjoitus ja tekstikenttä. Tekstikenttä voi sisältää esimerkiksi lähetyspäivämäärän ja -ajan tai erilaisia tietoja lähettäjästä:

Viesti M

Digitaalinen allekirjoitus

Teksti

Lisäys

Tämä algoritmi ei kuvaa mekanismia allekirjoituksen muodostamiseen tarvittavien parametrien generoimiseksi, vaan määrittää vain, kuinka digitaalinen allekirjoitus saadaan tällaisten parametrien perusteella. Parametrien generointimekanismi määritetään paikan päällä kehitettävän järjestelmän mukaan.

Algoritmi

Kuvaus EDS-mallin muunnelmasta, jonka salaisen avaimen pituus on 256 bittiä. 512 bitin pituisille salaisille avaimille (standardissa kuvattu toinen vaihtoehto EDS:n luomiseksi) kaikki muunnokset ovat samanlaisia.

Digital Signature Scheme Options

alkuluku on elliptisen käyrän moduuli siten, että $s$ $p>2^{{255}}$
elliptinen käyrä annetaan sen invariantilla tai kertoimilla , jossa on p - elementin äärellinen kenttä . liittyy kertoimiin ja seuraavasti $E$ $J(E)$ $a,b\in F_{p}$ $F_{p}$ $J(E)$ $a$ $b$

J(E)=1728{\frac {4a^{3}}{4a^{3}+27b^{2}}}{\pmod {p}}

, ja .

4a^{3}+27b^{2}\not \equiv 0{\pmod {p}}

kokonaisluku — elliptisen käyrän pisteryhmän järjestyksen on oltava eri kuin $m$ $m$ $s$
alkuluku , elliptisen käyrän pisteiden ryhmän jonkin syklisen aliryhmän järjestys, eli se pätee , joillekin . Sijaitsee myös sisällä . $q$ $m = nq$ $n\in \mathbb{N}$ $q$ $2^{{254}}<q<2^{{256}}$
elliptisen käyrän piste , joka on järjestyksen aliryhmän generaattori, eli kaikille k = 1, 2, ..., q -1, missä on elliptisen käyrän E pisteryhmän neutraali elementti . $P=(x_{P},\;y_{P})$ $E$ $q$ $q\cdot P={\mathbf {0}}$ $k\cdot P\neq {\mathbf {0}}$ $\mathbf {0}$
$h(M)$ on hash-funktio ( GOST R 34.11-2012 ), joka kartoittaa viestit M binäärivektoreiksi, joiden pituus on 256 bittiä.

Jokaisella digitaalisen allekirjoituksen käyttäjällä on yksityiset avaimet:

salausavain on kokonaisluku sisällä . $d$ $0<d<q$
salauksen purkuavain , laskettu muodossa . $Q=(x_{Q},\;y_{Q})$ $Q=d\cdot P$

Lisävaatimukset:

$p^{t}\neq 1{\pmod {q}}$ ,, missä $\forall t=1..B$ $B\geq 31$
$J(E)\neq 0$ ja $J(E)\neq 1728$

Binäärivektorit

256 pituisten binäärivektorien ja kokonaislukujen välillä on yksi yhteen vastaavuus seuraavan säännön mukaisesti . Tässä se on joko 0 tai 1. Toisin sanoen tämä on luvun z esitys binäärilukujärjestelmässä. ${\bar {h}}=(\alpha _{{255}},...,\alpha _{0})$ $z\leq 2^{{256}}$ $z=\summa _{{i=0}}^{{255}}\alpha _{i}2^{i}$ $\alpha_i$ ${\bar {h}}$

Kahden vektorin ketjutusoperaation tulosta kutsutaan vektoriksi, jonka pituus on 512 . Käänteinen operaatio on toimenpide, jossa yksi vektori, jonka pituus on 512, jaetaan kahdeksi vektoriksi, joiden pituus on 256. ${\bar {h_{1}}}=(\alpha _{{255}},...,\alpha _{0})$ ${\bar {h_{2}}}=(\beta _{{255}},...,\beta _{0})$ $({\bar {h_{1}}}|{\bar {h_{2}}})=(\alpha _{{255}},...,\alpha _{0},\beta _{{ 255}},...,\beta _{0})$

Digitaalisen allekirjoituksen muodostaminen

Vuokaaviot :

Digitaalisen allekirjoituksen luominen
Digitaalisen allekirjoituksen vahvistus

Hajautusfunktion laskeminen sanomasta M: ${\bar {h}}=h(M)$
Laskenta , ja jos , laita . Missä on kokonaisluku, joka vastaa $e=z\,{\bmod \,}q$ $e=0$ $e=1$ $z$ ${\bar{h}}.$
Luodaan sellainen satunnaisluku $k$ $0<k<q.$
Laskemalla elliptisen käyrän pisteen ja käyttämällä sitä etsimään missä on pisteen If koordinaatti , palaamme edelliseen vaiheeseen. $C=kP$ $r=x_{c}\,{\bmod \,}q,$ $x_{c}$ $x$ $C.$ $r = 0$
Löytäminen . Jos , palaa vaiheeseen 3. $s=(rd+ke)\,{\bmod \,}q$ $s = 0$
Digitaalisen allekirjoituksen muodostaminen , missä ja ovat vektorit, jotka vastaavat ja . $\xi =({\bar {r}}|{\bar {s}})$ ${\bar {r}}$ ${\bar(t))$ $r$ $s$

Digitaalisen allekirjoituksen vahvistus

Laskenta numeroiden digitaalisesta allekirjoituksesta ja ottaen huomioon, että missä ja ovat luvut, jotka vastaavat vektoreita ja . Jos ainakin yksi epäyhtälöistä on epätosi, allekirjoitus on virheellinen. $\xi$ $r$ $s$ $\xi =({\bar {r}}|{\bar {s}})$ $r$ $s$ ${\bar {r}}$ ${\bar(t))$ $r<q$ $s<q$
Hajautusfunktion laskeminen sanomasta M: ${\bar {h}}=h(M).$
Laskenta , ja jos , laita . Missä on kokonaisluku, joka vastaa $e=z\,{\bmod \,}q$ $e=0$ $e=1$ $z$ ${\bar{h}}.$
laskeminen $\nu =e^{{-1}}\,{\bmod \,}q.$
Laskeminen ja $z_{1}=s\nu \,{\bmod \,}q$ $z_{2}=-r\nu \,{\bmod \,}q.$
Pisteen laskeminen elliptisellä käyrällä . Ja määritelmä , jossa on pisteen koordinaatti $C=z_{1}P+z_{2}Q$ $R=x_{c}\,{\bmod \,}q$ $x_{c}$ $x$ $C.$
Tasa-arvon tapauksessa allekirjoitus on oikein, muuten se on virheellinen. $R=r$

Turvallisuus

Digitaalisen allekirjoituksen kryptografinen vahvuus perustuu kahteen komponenttiin - hajautusfunktion vahvuuteen ja itse salausalgoritmin vahvuuteen. [2]

Hajautusfunktion murtumisen todennäköisyys standardin GOST 34.11-94 mukaan on valittaessa törmäystä kiinteälle viestille ja valittaessa mikä tahansa törmäys. [2] Salausalgoritmin vahvuus perustuu diskreetin logaritmin ongelmaan pisteryhmässä elliptisellä käyrällä. Tällä hetkellä ei ole menetelmää tämän ongelman ratkaisemiseksi edes subeksponentiaalisella monimutkaisella tavalla. [3] $1{,}73\times {10}^{-77}$ $2{,}94\times {10}^{-39}$

Yksi nopeimmista algoritmeista tällä hetkellä oikealla parametrivalinnalla on -method ja -Pollardin menetelmä. [neljä] $\rho$ $\mathrm{I}$

Optimoidulle Pollard-menetelmälle laskennallinen monimutkaisuus on arvioitu muodossa . Siksi toimintojen kryptografisen vahvuuden varmistamiseksi sinun on käytettävä 256-bittistä . [2] $\rho$ $O({\sqrt {q)))$ ${10}^{{30}}$ $q$

Erot GOST R 34.10-94:stä (standardi 1994-2001)

Uudet ja vanhat digitaalisen allekirjoituksen GOSTit ovat hyvin samankaltaisia toistensa kanssa. Suurin ero on siinä, että vanhassa standardissa jotkin operaatiot suoritetaan kentällä ja uudessa elliptisen käyrän pisteryhmässä, joten vanhan standardin ( tai ) alkuluvulle asetetut vaatimukset ovat tiukempi kuin uudessa. $\mathbb {Z} _{p}$ $s$ $2^{{509}}<p<2^{{512}}$ $2^{{1020}}<p<2^{{1024}}$

Allekirjoituksen luontialgoritmi eroaa vain kohdasta 4 . Vanhassa standardissa, tässä kappaleessa , ja ja lasketaan, jos , palaamme kohtaan 3. Missä ja . ${\tilde {r}}=a^{k}\,{\bmod \,}s$ $r={\tilde {r))\,{\bmod {\,}}q$ $r = 0$ $1<a<p-1$ $a^{q}{\bmod {\,}}p=1$

Allekirjoituksen varmistusalgoritmi eroaa vain kohdasta 6 . Vanhassa standardissa tämä kappale laskee , missä on julkinen avain allekirjoituksen tarkistamiseksi, . Jos , allekirjoitus on oikein, muuten se on väärä. Tässä on alkuluku, ja se on luvun jakaja . $R=(a^{{z_{1}}}y^{{z_{2}}}\,{\bmod \,}p)\,{\bmod \,}q$ $y$ $y=a^{d}\,{\bmod \,}s$ $R=r$ $q$ $2^{{254}}<q<2^{{256}}$ $q$ $p-1$

Elliptisen käyrän pisteryhmän matemaattisen laitteen käyttö mahdollistaa moduulin järjestyksen pienentämisen merkittävästi menettämättä salauksen vahvuutta. [2] $s$

Lisäksi vanha standardi kuvaa mekanismeja lukujen , ja . $s$ $q$ $a$

Mahdolliset sovellukset

Avainparin (julkinen, yksityinen) käyttö istuntoavaimen muodostamiseen. [5]
Julkisten avainten käyttö varmenteissa . [6]
Käyttö S/MIME :ssä ( PKCS #7 , kryptografisen viestin syntaksi ). [7]
Käytä yhteyksien suojaamiseen TLS :ssä ( SSL , HTTPS , WEB ). [kahdeksan]
Käytä viestien suojaamiseen XML-allekirjoituksessa ( XML Encryption ). [9]
Internet-osoitteiden ja nimien eheyden suojaaminen ( DNSSEC ). [kymmenen]

Muistiinpanot

↑ Valtion standardin hyväksymisestä ja käyttöönotosta. Venäjän federaation valtion standardin asetus, 12. syyskuuta 2001 N 380-st (pääsemätön linkki) . bestpravo.ru. Haettu 1. syyskuuta 2019. Arkistoitu alkuperäisestä 1. syyskuuta 2019. (Venäjän kieli)
↑ 1 2 3 4 Igonichkina E. V. Sähköisten digitaalisten allekirjoitusalgoritmien analyysi . Haettu 16. marraskuuta 2008. Arkistoitu alkuperäisestä 15. tammikuuta 2012. (määrätön)
↑ Semjonov G. Digitaalinen allekirjoitus. Elliptiset käyrät . " Avoimet järjestelmät " nro 7-8/2002 (8. elokuuta 2002). Haettu 16. marraskuuta 2008. Arkistoitu alkuperäisestä 31. joulukuuta 2012. (määrätön)
↑ Bondarenko M. F., Gorbenko I. D., Kachko E. G., Svinarev A. V., Grigorenko T. A. Lupaavien digitaalisten allekirjoitusstandardien X9.62-1998 ja avainjakauman X9.63 -199X ominaisuuksia koskevien tutkimusten ydin ja tulokset elliptisillä käyrillä . Käyttöpäivä: 16. marraskuuta 2008. Arkistoitu alkuperäisestä 22. helmikuuta 2012. (määrätön)
↑ RFC 4357 , luku 5.2, "VKO GOST R 34.10-2001" - Kryptografiset lisäalgoritmit käytettäväksi GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001 ja GOST 1-94 Algoritm1-94 kanssa.
↑ RFC 4491 - Käyttämällä GOST R 34.10-94, GOST R 34.10-2001 ja GOST R 34.11-94 algoritmeja Internetin X.509 julkisen avaimen infrastruktuurin kanssa
↑ RFC 4490 - Käyttämällä GOST 28147-89-, GOST R 34.11-94-, GOST R 34.10-94- ja GOST R 34.10-2001 -algoritmeja salaussyntaksilla (CMS)
↑ Leontiev, S., toim. ja G. Chudov, toim. GOST 28147-89 Cipher Suites for Transport Layer Security (TLS) ( joulukuu 2008). — Internet-luonnokset, työ kesken. Haettu 12. kesäkuuta 2009. Arkistoitu alkuperäisestä 24. elokuuta 2011.
↑ S. Leontiev, P. Smirnov, A. Chelpanov. Käyttämällä GOST 28147-89-, GOST R 34.10-2001- ja GOST R 34.11-94 -algoritmeja XML-suojaukseen ( joulukuu 2008). — Internet-luonnokset, työ kesken. Haettu 12. kesäkuuta 2009. Arkistoitu alkuperäisestä 24. elokuuta 2011.
↑ V. Dolmatov, toim. GOST-allekirjoitusalgoritmien käyttö DNSSEC:n DNSKEY- ja RRSIG-resurssitietueissa ( huhtikuu 2009). — Internet-luonnokset, työ kesken. Haettu 12. kesäkuuta 2009. Arkistoitu alkuperäisestä 22. helmikuuta 2012.

Linkit

Standardin GOST R 34.10-94 teksti "Tietotekniikka. Tietojen kryptografinen suojaus. Menettelyt epäsymmetriseen salausalgoritmiin perustuvan sähköisen digitaalisen allekirjoituksen kehittämiseksi ja todentamiseksi"
Standardin GOST R 34.10-2001 teksti "Tietotekniikka. Tietojen kryptografinen suojaus. Sähköisen digitaalisen allekirjoituksen muodostus- ja todentamisprosessit"
Standardin GOST R 34.10-2012 teksti "Tietotekniikka. Tietojen kryptografinen suojaus. Sähköisen digitaalisen allekirjoituksen muodostus- ja todentamisprosessit"
Standardin GOST 34.10-2018 teksti "Tietotekniikka. Tietojen kryptografinen suojaus. Sähköisen digitaalisen allekirjoituksen muodostus- ja todentamisprosessit"

Ohjelmistototeutukset

MagPro CryptoPacket . on Cryptocom LLC:n salausprojekti venäläisten salausalgoritmien lisäämiseksi OpenSSL -kirjastoon . (määrätön)
Project Reference venäläisten salausalgoritmien toteutus openssl :ssä GitHubissa
CryptoPro CSP on Crypto-Pro-yrityksen salausprojekti.
Signal-COM CSP . on CJSC "Signal-COM" kryptografinen projekti. (määrätön)
LIRSSL-CSP . on LISSI LLC:n cross-platform kryptografinen kirjasto. (määrätön)
VIPNet CSP . — ohjelmistojärjestelmät, JSC "InfoTeKS" -yhtiön tietojen salaussuojausvälineet . (määrätön)
WebCrypto-projektin GOST Javascript -kirjasto GitHubissa
libgcrypt
Pomppulinna

Laitteistototeutukset

Rutoken EDS 2.0
JaCarta-2 GOST
ESMART Token GOST (pääsemätön linkki) . Arkistoitu alkuperäisestä 15. heinäkuuta 2017. (määrätön)
MS_KEY K "Angara" (linkki ei saatavilla) . Arkistoitu alkuperäisestä 27. joulukuuta 2017. (määrätön)

Julkisen avaimen salausjärjestelmät

Algoritmit

Kokonaislukujen faktorointi	Benalon kryptojärjestelmä Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern paye Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskreetti logaritmi	BLS Cramer - Shoup Diffie-Hellman-protokolla DSA ECDH Käyrä 25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Salatun avaimen vaihto ElGamalin kaava allekirjoitusmalli MQV Schnorrin kaava SPEKE SRP STS
Kryptografia ristikoilla	NTRUEncrypt NTRUSign Oppimiseen perustuva avainten vaihto virheineen Allekirjoituspohjainen koulutus, jossa virheitä kehässä AUTUUS Uusi toivo
muu	AE CEILIDH EPOC Piilotettu kenttäyhtälöt IES Lamportin allekirjoitus McEliece Merkle-Hellmanin selkärepun salausjärjestelmä Naccache-Stern selkäreppujen salausjärjestelmä Kolmivaiheinen protokolla XTR

Teoria

Diskreetti logaritmi elliptisellä käyrällä
Elliptinen kryptografia
Hash-pohjainen kryptografia
Ei-kommutatiivinen kryptografia
RSA ongelma
Yksisuuntainen toiminto salaisella sisäänkäynnillä

Standardit

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Postkvanttisalaus

Aiheet

Sähköinen allekirjoitus
OAEP
Sormenjälki
PKI
luottamuksen verkko
Avaimen koko
Identiteettiin perustuva kryptografia
Postkvanttisalaus
OpenPGP-kortti