GOST 34.10-2018

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 11. juni 2021; checks kræver 4 redigeringer .

34.10-2018 _ _ _ _ _ - den nuværende mellemstatslige kryptografiske standard , som beskriver algoritmerne til at generere og verificere en elektronisk digital signatur implementeret ved hjælp af operationer i en gruppe af punkter i en elliptisk kurve defineret over et begrænset enkelt felt.

Standarden blev udviklet på grundlag af den nationale standard for Den Russiske Føderation GOST R 34.10-2012 og trådte i kraft den 1. juni 2019 efter ordre fra Rosstandart nr. 1059-st dateret den 4. december 2018 .

Omfang

Den digitale signatur tillader:

Godkend den person, der underskrev beskeden;
Overvåg meddelelsens integritet;
Beskyt beskeden mod forfalskning;

Historie

De første versioner af algoritmen blev udviklet af FAPSI Hoveddirektoratet for Kommunikationssikkerhed med deltagelse af All-Russian Research Institute for Standardization (VNIIstandart) , senere gik udviklingen i hænderne på Center for Information Protection and Special Communications of the Ruslands føderale sikkerhedstjeneste og JSC InfoTeKS .

Beskrivelse

Den kryptografiske styrke af de første digitale signaturstandarder GOST R 34.10-94 og GOST 34.310-95 var baseret på problemet med diskret logaritme i den multiplikative gruppe af et simpelt begrænset felt af stor orden. Startende med GOST R 34.10-2001 er robustheden af algoritmen baseret på det mere komplekse problem med at beregne den diskrete logaritme i en gruppe af punkter på en elliptisk kurve . Styrken af den digitale signaturgenereringsalgoritme er også baseret på styrken af den tilsvarende hashfunktion:

Type	Navn	sat i værk	hash funktion	Bestille
national	GOST R 34,10-94	1. januar 1995	GOST R 34,11-94	Vedtaget af dekretet fra Ruslands statsstandard nr. 154 af 23. maj 94
Interstate	GOST 34.310-95	16. april 1998	GOST 34.311-95
national	GOST R 34.10-2001	1. juli 2002	GOST R 34,11-94	Vedtaget af resolutionen fra Ruslands statsstandard nr. 380-st af 12. september 2001 [1]
Interstate	GOST 34.310-2004	2. marts 2004	GOST 34.311-95	Vedtaget af det eurasiske råd for standardisering, metrologi og certificering ved korrespondance (protokollat nr. 16 dateret 2. marts 2004)
national	GOST R 34.10-2012	1. januar 2013	GOST R 34.11-2012	Godkendt og sat i kraft efter ordre fra det føderale agentur for teknisk regulering og metrologi nr. 215-st dateret 7. august 2012 som den nationale standard for Den Russiske Føderation fra 1. januar 2013
Interstate	GOST 34.10-2018	1. juni 2019	GOST 34.11-2018	Vedtaget af Interstate Council for Metrology, Standardization and Certification (protokollat nr. 54 af 29. november 2018). Efter ordre fra det føderale agentur for teknisk regulering og metrologi nr. 1059-st dateret den 4. december 2018 blev det sat i kraft som den nationale standard for Den Russiske Føderation fra den 1. juni 2019

Standarderne bruger den samme ordning til generering af en elektronisk digital signatur. Nye standarder siden 2012 er kendetegnet ved tilstedeværelsen af en ekstra version af skemaparametrene, svarende til længden af den hemmelige nøgle på omkring 512 bit.

Efter signering af beskeden M tilføjes en digital signatur på 512 eller 1024 bit i størrelse og et tekstfelt til den. Tekstfeltet kan for eksempel indeholde dato og klokkeslæt for afsendelse eller forskellige data om afsenderen:

Besked M

Digital signatur

Tekst

Tilføjelse

Denne algoritme beskriver ikke mekanismen til at generere de nødvendige parametre for at generere en signatur, men bestemmer kun hvordan man opnår en digital signatur baseret på sådanne parametre. Parametergenereringsmekanismen bestemmes in situ, afhængigt af det system, der udvikles.

Algoritme

En beskrivelse af en variant af EDS-skemaet med en hemmelig nøglelængde på 256 bit er givet. For hemmelige nøgler med en længde på 512 bit (den anden mulighed for at generere en EDS, beskrevet i standarden), er alle transformationer ens.

Indstillinger for digital signaturskema

et primtal er modulet af en elliptisk kurve således, at $s$ $p>2^{{255}}$
en elliptisk kurve er givet ved dens invariante eller koefficienter , hvor er et endeligt felt af p elementer. er relateret til koefficienterne og som følger $E$ $J(E)$ $a,b\in F_{p}$ $F_{p}$ $J(E)$ $-en$ $b$

J(E)=1728{\frac {4a^{3}}{4a^{3}+27b^{2}}}{\pmod {p}}

, og .

4a^{3}+27b^{2}\ikke \equiv 0{\pmod {p}}

heltal — rækkefølgen af gruppen af punkter i den elliptiske kurve skal være forskellig fra $m$ $m$ $s$
et primtal , rækkefølgen af nogle cykliske undergruppe af gruppen af punkter i en elliptisk kurve, det vil sige, det gælder , for nogle . Ligger også indenfor . $q$ $m=nq$ $n\in \mathbb{N}$ $q$ $2^{{254}}<q<2^{{256}}$
punkt af den elliptiske kurve , som er generatoren af undergruppen af orden , det vil sige for alle k = 1, 2, ..., q -1, hvor er det neutrale element i gruppen af punkter i den elliptiske kurve E . $P=(x_{P},\;y_{P})$ $E$ $q$ $q\cdot P={\mathbf {0}}$ $k\cdot P\neq {\mathbf {0}}$ $\mathbf {0}$
$h(M)$ er en hash-funktion ( GOST R 34.11-2012 ), som kortlægger beskeder M i binære vektorer med en længde på 256 bit.

Hver digital signaturbruger har private nøgler:

krypteringsnøgle er et heltal i . $d$ $0<d<q$
dekrypteringsnøgle , beregnet som . $Q=(x_{Q},\;y_{Q})$ $Q=d\cdot P$

Yderligere krav:

$p^{t}\neq 1{\pmod {q}}$ , , hvor $\foralt t=1..B$ $B\geq 31$
$J(E)\neq 0$ og $J(E)\neq 1728$

Binære vektorer

Der er en en-til-en overensstemmelse mellem binære vektorer med længden 256 og heltal i henhold til følgende regel . Her er det enten lig med 0 eller lig med 1. Dette er med andre ord repræsentationen af tallet z i det binære talsystem. ${\bar {h}}=(\alpha _{{255}},...,\alpha _{0})$ $z\leq 2^{{256}}$ $z=\sum _{{i=0}}^{{255}}\alpha _{i}2^{i}$ $\alpha_i$ ${\bar {h}}$

Resultatet af operationen af sammenkædning af to vektorer kaldes en vektor med længden 512 . Den inverse operation er operationen med at opdele en vektor med længden 512 i to vektorer med længden 256. ${\bar {h_{1}}}=(\alpha _{{255}},...,\alpha _{0})$ ${\bar {h_{2}}}=(\beta _{{255}},...,\beta _{0})$ $({\bar {h_{1}}}|{\bar {h_{2}}})=(\alpha _{{255}},...,\alpha _{0},\beta _{{ 255}},...,\beta _{0})$

Dannelse af en digital signatur

Flowdiagrammer :

Generering af en digital signatur
Verifikation af digital signatur

Beregning af hash-funktionen fra beskeden M: ${\bar {h}}=h(M)$
Beregning , og hvis , læg . Hvor svarer et heltal til $e=z\,{\bmod \,}q$ $e=0$ $e=1$ $z$ ${\bar{h}}.$
Generering af et tilfældigt tal , således at $k$ $0<k<q.$
Beregning af punktet for den elliptiske kurve , og ved hjælp af den til at finde , hvor er koordinaten for punktet If , vender vi tilbage til det forrige trin. $C=kP$ $r=x_{c}\,{\bmod \,}q,$ $x_{c}$ $x$ $C.$ $r=0$
Finde . Hvis , gå tilbage til trin 3. $s=(rd+ke)\,{\bmod \,}q$ $s=0$
Dannelse af en digital signatur , hvor og er vektorerne svarende til og . $\xi =({\bar {r}}|{\bar {s}})$ ${\bar {r}}$ ${\bar{s))$ $r$ $s$

Verifikation af digital signatur

Beregning fra den digitale signatur af tal og , givet at , hvor og er tallene svarende til vektorerne og . Hvis mindst en af ulighederne er falsk, er signaturen ugyldig. $\xi$ $r$ $s$ $\xi =({\bar {r}}|{\bar {s}})$ $r$ $s$ ${\bar {r}}$ ${\bar{s))$ $r<q$ $s<q$
Beregning af hash-funktionen fra beskeden M: ${\bar {h}}=h(M).$
Beregning , og hvis , læg . Hvor svarer et heltal til $e=z\,{\bmod \,}q$ $e=0$ $e=1$ $z$ ${\bar{h}}.$
beregning $\nu =e^{{-1}}\,{\bmod \,}q.$
Beregning og $z_{1}=s\nu \,{\bmod \,}q$ $z_{2}=-r\nu \,{\bmod \,}q.$
Beregning af et punkt på en elliptisk kurve . Og definitionen af , hvor er koordinaten for punktet $C=z_{1}P+z_{2}Q$ $R=x_{c}\,{\bmod \,}q$ $x_{c}$ $x$ $C.$
Ved ligestilling er underskriften korrekt, ellers er den forkert. $R=r$

Sikkerhed

Den kryptografiske styrke af en digital signatur er baseret på to komponenter – styrken af hashfunktionen og styrken af selve krypteringsalgoritmen. [2]

Sandsynligheden for at knække en hash-funktion i henhold til GOST 34.11-94 er, når du vælger en kollision for en fast besked, og når du vælger enhver kollision. [2] Styrken af krypteringsalgoritmen er baseret på problemet med diskret logaritme i en gruppe af punkter på en elliptisk kurve. I øjeblikket er der ingen metode til at løse dette problem selv med subeksponentiel kompleksitet. [3] $1{,}73\ gange {10}^{-77}$ $2{,}94\ gange {10}^{-39}$

En af de hurtigste algoritmer i øjeblikket, med det rigtige valg af parametre, er -metoden og -Pollards metode. [fire] $\rho$ $\mathrm{I}$

For den optimerede Pollard-metode estimeres beregningskompleksiteten til . Derfor skal du bruge en 256-bit for at sikre den kryptografiske styrke af operationer . [2] $\rho$ $O({\sqrt {q)))$ ${10}^{{30}}$ $q$

Forskelle fra GOST R 34.10-94 (standard 1994-2001)

De nye og gamle digitale signatur-GOST'er minder meget om hinanden. Den største forskel er, at i den gamle standard udføres nogle operationer på marken og i den nye på en gruppe af punkter i en elliptisk kurve, så kravene til et primtal i den gamle standard ( eller ) er strengere end i den nye. $\mathbb {Z} _{p}$ $s$ $2^{{509}}<p<2^{{512}}$ $2^{{1020}}<p<2^{{1024}}$

Signaturgenereringsalgoritmen adskiller sig kun i afsnit 4 . I den gamle standard, i dette afsnit , og og beregnes, hvis , vender vi tilbage til afsnit 3. Hvor og . ${\tilde {r}}=a^{k}\,{\bmod \,}s$ $r={\tilde {r))\,{\bmod {\,}}q$ $r=0$ $1<a<p-1$ $a^{q}{\bmod {\,}}p=1$

Signaturverifikationsalgoritmen adskiller sig kun i afsnit 6 . I den gamle standard beregner dette afsnit , hvor er den offentlige nøgle til at verificere signaturen, . Hvis , er signaturen korrekt, ellers er den forkert. Her er et primtal, og er en divisor af . $R=(a^{{z_{1}}}y^{{z_{2}}}\,{\bmod \,}p)\,{\bmod \,}q$ $y$ $y=a^{d}\,{\bmod \,}s$ $R=r$ $q$ $2^{{254}}<q<2^{{256}}$ $q$ $p-1$

Brugen af det matematiske apparat af gruppen af punkter i en elliptisk kurve gør det muligt at reducere rækkefølgen af modulet betydeligt uden at miste kryptografisk styrke. [2] $s$

Den gamle standard beskriver også mekanismerne til at opnå tal , og . $s$ $q$ $-en$

Mulige anvendelser

Brug af et nøglepar (offentligt, privat) til at etablere en sessionsnøgle. [5]
Brug af offentlige nøgler i certifikater . [6]
Brug i S/MIME ( PKCS #7 , kryptografisk meddelelsessyntaks ). [7]
Bruges til at sikre forbindelser i TLS ( SSL , HTTPS , WEB ). [otte]
Bruges til at sikre meddelelser i XML-signatur ( XML-kryptering ). [9]
Beskyttelse af integriteten af internetadresser og navne ( DNSSEC ). [ti]

Noter

↑ Om vedtagelse og implementering af statsstandarden. Dekret fra Den Russiske Føderations statsstandard af 12. september 2001 N 380-st (utilgængeligt link) . bestpravo.ru. Hentet 1. september 2019. Arkiveret fra originalen 1. september 2019. (Russisk)
↑ 1 2 3 4 Igonichkina E. V. Analyse af elektroniske digitale signaturalgoritmer . Hentet 16. november 2008. Arkiveret fra originalen 15. januar 2012. (ubestemt)
↑ Semyonov G. Digital signatur. Elliptiske kurver . " Åbne systemer " nr. 7-8/2002 (8. august 2002). Hentet 16. november 2008. Arkiveret fra originalen 31. december 2012. (ubestemt)
↑ Bondarenko M. F., Gorbenko I. D., Kachko E. G., Svinarev A. V., Grigorenko T. A. Essensen og resultaterne af forskning i egenskaberne ved lovende digitale signaturstandarder X9.62-1998 og nøglefordeling X9.63 -199X på elliptiske kurver . Dato for adgang: 16. november 2008. Arkiveret fra originalen 22. februar 2012. (ubestemt)
↑ RFC 4357 , kapitel 5.2, "VKO GOST R 34.10-2001" - Yderligere kryptografiske algoritmer til brug med GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001 og GOST R 341.
↑ RFC 4491 - Brug af GOST R 34.10-94, GOST R 34.10-2001 og GOST R 34.11-94 algoritmer med Internet X.509 Public Key Infrastructure
↑ RFC 4490 - Brug af GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94 og GOST R 34.10-2001 algoritmer med kryptografisk meddelelsessyntaks (CMS)
↑ Leontiev, S., Ed. og G. Chudov, Ed. GOST 28147-89 Cipher Suites for Transport Layer Security (TLS) ( december 2008). — Internet-udkast, igangværende arbejde. Hentet 12. juni 2009. Arkiveret fra originalen 24. august 2011.
↑ S. Leontiev, P. Smirnov, A. Chelpanov. Brug af GOST 28147-89, GOST R 34.10-2001 og GOST R 34.11-94 algoritmer til XML-sikkerhed ( december 2008). — Internet-udkast, igangværende arbejde. Hentet 12. juni 2009. Arkiveret fra originalen 24. august 2011.
↑ V. Dolmatov, red. Brug af GOST-signaturalgoritmer i DNSKEY og RRSIG Resource Records for DNSSEC ( april 2009). — Internet-udkast, igangværende arbejde. Hentet 12. juni 2009. Arkiveret fra originalen 22. februar 2012.

Links

Teksten til standarden GOST R 34.10-94 "Informationsteknologi. Kryptografisk beskyttelse af information. Procedurer for udvikling og verifikation af en elektronisk digital signatur baseret på en asymmetrisk kryptografisk algoritme"
Teksten til standarden GOST R 34.10-2001 "Informationsteknologi. Kryptografisk beskyttelse af information. Processer til dannelse og verifikation af elektronisk digital signatur»
Teksten til standarden GOST R 34.10-2012 "Informationsteknologi. Kryptografisk beskyttelse af information. Processer til dannelse og verifikation af elektronisk digital signatur»
Teksten til standarden GOST 34.10-2018 "Informationsteknologi. Kryptografisk beskyttelse af information. Processer til dannelse og verifikation af elektronisk digital signatur»

Software implementeringer

MagPro CryptoPacket . er et kryptografisk projekt af Cryptocom LLC for at tilføje russiske kryptografiske algoritmer til OpenSSL- biblioteket . (ubestemt)
Project Reference implementering af russiske krypteringsalgoritmer i openssl på GitHub
CryptoPro CSP er et kryptografisk projekt fra Crypto-Pro-virksomheden.
Signal-COM CSP . er et kryptografisk projekt af CJSC "Signal-COM". (ubestemt)
LIRSSL-CSP . er et cross-platform kryptografisk bibliotek af LISSI LLC. (ubestemt)
ViPNet CSP . — softwaresystemer, midler til kryptografisk beskyttelse af oplysninger fra virksomheden JSC "InfoTeKS" . (ubestemt)
WebCrypto-projekt GOST Javascript-bibliotek på GitHub
libgcrypt
Hoppeborg

Hardware implementeringer

Rutoken EDS 2.0
JaCarta-2 GOST
ESMART Token GOST (utilgængeligt link) . Arkiveret fra originalen den 15. juli 2017. (ubestemt)
MS_KEY K "Angara" (utilgængeligt link) . Arkiveret fra originalen den 27. december 2017. (ubestemt)

Offentlig nøgle kryptosystemer

Algoritmer

Faktorisering af heltal	Benalo kryptosystem Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern betalingsmodtager Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskret logaritme	BLS Cramer - Shoup Diffie-Hellman protokol DSA ECDH Kurve25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Krypteret nøgleudveksling Ordning af ElGamal underskriftsordning MQV Schnorr ordning SPEKE SRP STS
Kryptografi på gitter	NTRUEncrypt NTRUSign Læringsbaseret nøgleudveksling med fejl Signaturbaseret træning med fejl i ringen LYKKELIGHED Nyt håb
Andet	AE CEILIDH EPOC Skjulte feltligninger IES Lamports underskrift McEliece Merkle-Hellman rygsæk kryptosystem Naccache-Stern rygsæk kryptosystem Tre trins protokol XTR

Teori

Standarder

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Post kvantekryptering

Emner

Elektronisk signatur
OAEP
Fingeraftryk
PKI
web af tillid
Nøglestørrelse
Identitetsbaseret kryptografi
Postkvantekryptografi
OpenPGP-kort