DSTU 4145-2002

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 12. september 2018; checks kræver 16 redigeringer .

DSTU 4145-2002 (fulde navn: " DSTU 4145-2002. Informationsteknologier. Kryptografisk informationsbeskyttelse. Digital signatur baseret på elliptiske kurver. Dannelse og verifikation ") er en ukrainsk standard, der beskriver algoritmer til generering og verifikation af en elektronisk digital signatur baseret på egenskaber grupper af punkter med elliptiske kurver over felter og regler for anvendelse af disse regler på meddelelser, der sendes over kommunikationskanaler og/eller behandles i edb-systemer til generelle formål. $GF(2^{m})$

Vedtaget og sat i kraft efter ordre fra Ukraines statskomité om teknisk regulering og forbrugerpolitik dateret 28. december 2002 nr. 31 [1] . Teksten til standarden er offentlig ejendom [2] .

Standardstandarden bruger GOST 34.311-95 hash-funktionen og en tilfældig sekvensgenerator, der bruger DSTU GOST 28147:2009 algoritmen .

I henhold til ordre fra Ukraines Ministerium for Digital Udvikling af 30. september 2020 nr. 140/614, fra 1. januar 2021 , skal standarden bruges sammen med DSTU 7564:2014 ( Kupina hashfunktion ), men brugen af standarden i forbindelse med GOST 34.311-95 er tilladt indtil 1. januar 2022 [ 3] .

Grundlæggende algoritme

De vigtigste procedurer for den digitale signaturalgoritme etableret af DSTU 4145-2002 er præ -signaturberegning, signaturberegning og digital signaturverifikation [2] .

Generelle indstillinger for digital signatur

ekspansionsgrad - primtal (feltparameter ) $m$ $GF(2^{m})$
irreducible grad polynomial definerende operationer i $f(t)$ $m$ $GF(2^{m})$
koefficienter for en elliptisk kurve af formen , hvor . Elliptiske kurver, der anbefales til brug for polynomigrundlaget og det optimale normalgrundlag, er specificeret i tillægget til standarden [1] $y^{2}+xy=x^{3}+Ax^{2}+B$ ${\displaystyle A,B\in GF(2^{m}),B\neq 0,A\in \{0,1\))$
basispunkt for en elliptisk kurve , der genererer en undergruppe af gruppen $P$ $E_{n}$ $E$
basispunktrækkefølge ( primtal ) _ $n$ $P$
binær repræsentationslængde $n$ $L(n)$
identifikator for hashfunktionen, der skal bruges $iH$
digital signatur længde $L_{D}$

Yderligere betingelser for parametre

rækkefølgen af en cyklisk undergruppe skal opfylde betingelsen $n$ $n\geq \max(2^{160},4[{\sqrt {2^{m))}]+1)$
MOV betingelse skal være opfyldt (Menezes-Okamoto-Wenstone betingelse): for $2^{mk}\neq 1(modn)$ $k=1,2,...,32$

Dannelse af en digital signatur

Den digitale signatur beregnes ud fra beskeden og præsignaturen .

Input data

generelle muligheder for digital signatur
digital signatur privat nøgle $d$
længde besked $T$ $L_{T}>0$
hash funktion med hash kode længde og id $H(T)$ $L_{H}$ $iH$
digital signatur længde , som er valgt for en gruppe brugere: $L_{D}$ $L_{D}\geq 2L(n),L_{D}\equiv 0\ (mod\ \ 16)$

Computer digital signatur

Beregningen af signaturen består i at vælge den første koordinat af et hemmeligt, tilfældigt valgt punkt fra punktets bane . Efter brug af den digitale signatur bliver den straks ødelagt sammen med den tilsvarende randomizer. $P$

Input data

generelle muligheder for digital signatur

Algoritme til beregning af pre-signaturen

valg af en randomizer baseret på en kryptografisk pseudo-tilfældig talgenerator $e$
elliptisk kurvepunktberegning $R=eP=(x_{R},y_{R})$
kontrol af værdien af koordinaten (hvis , gentag derefter proceduren for at vælge en randomizer) $x_{R}$ $x_{R}=0$
ellers acceptere . (anden betegnelse: ) $F_{R}=x_{R}$ $F_{e}=\pi (R)$

Resultat

digital signatur $F_{e}\in GF(2^{n})$

Signaturberegningsalgoritme

verifikation af rigtigheden af de generelle parametre, nøgler og opfyldelse af betingelser og begrænsninger vedrørende værdierne af mellemværdier i overensstemmelse med procedurerne defineret af standarden
beregning af en hash-kode baseret på en besked $H(T)$ $T$
opnåelse af et element af hovedfeltet fra hash-koden i henhold til proceduren fastsat af standarden. Hvis dette viser sig , så accepter $h$ $H(T)$ $h=0$ $h=1$
valg af randomizer $e$
digital signaturberegning ${\displaystyle F_{e))$
beregning af elementet i hovedfeltet (produktet er et element af ) (faktisk, ) ${\displaystyle y=hF_{e))$ $GF(2^{m})$ $r=y=h\pi (R)$
opnåelse af et heltal fra elementet i hovedfeltet i overensstemmelse med proceduren fastsat af standarden (i tilfælde af at en ny randomizer er valgt) $r$ $y$ $r=0$
heltalsberegning (hvis , en ny randomizer er valgt) $s=(e+dr)\ mod\ n$ $s=0$
baseret på et par heltal skrives den digitale signatur som en binær række af længde : værdien placeres i de mindst signifikante bits af venstre halvdel af bits, værdien placeres i de mindst signifikante bits af højre halvdel af bits , de resterende bits er fyldt med nuller $(r, s)$ $D$ $L_{D}$ $s$ $r$

Resultat

underskrevet besked i formen ( , , ), hvor er en digital signatur $iH$ $T$ $D$ $D$

Verifikation af digital signatur

Input data

generelle muligheder for digital signatur
digital signatur offentlig nøgle , $Q$ $Q=-dP$
underskrevet besked ( , , ) af længde $iH$ $T$ $D$ ${\displaystyle L=L(iH)+L_{T}+L_{D))$
hash funktion $H(T)$

Signaturberegningsalgoritme

verifikation af rigtigheden af de generelle parametre, nøgler og opfyldelse af betingelser og begrænsninger vedrørende værdierne af mellemværdier i overensstemmelse med procedurerne defineret af standarden
verifikation af hash-funktionsidentifikatoren : hvis den givne identifikator ikke bruges i en given gruppe af brugere, træffes beslutningen "signaturen er ugyldig", og verifikationen er fuldført $iH$
baseret på længden af hashkoden $iH$ $L_{H}$
tilstandskontrol . Hvis mindst en af dem ikke er opfyldt, træffes beslutningen "signaturen er ugyldig", og verifikationen er afsluttet. $L_{D}\geq 2L(n),L_{D}\equiv 0\ (mod\ \ 16)$
kontrollere tilstedeværelsen af beskedteksten og dens længde . Hvis der ikke er nogen tekst, eller hvis beslutningen "signaturen er ugyldig" træffes, og verifikationen er afsluttet ${\displaystyle L_{T}=LL(iH)-L_{D))$ $L_{T}\leq 0$
beregning af en hash-kode baseret på en besked $H(T)$ $T$
opnåelse af et element af hovedfeltet fra hash-koden i henhold til proceduren fastsat af standarden. Hvis dette viser sig , så accepter $h$ $H(T)$ $h=0$ $h=1$
udtrækning af et talpar fra en binær notation af en digital signatur $(r, s)$ $D$
kontrol af betingelser og . Hvis mindst en af dem ikke er opfyldt, træffes beslutningen "signaturen er ugyldig", og verifikationen er afsluttet. $0<r<n$ $0<s<n$
elliptisk kurvepunktberegning $R=sP+rQ,R=(x_{R},y_{R})$
hovedfeltelementberegning ${\displaystyle y=hx_{R))$
opnåelse af et heltal fra et element i hovedfeltet i henhold til proceduren fastsat af standarden ${\tilde {r))$ $y$
hvis , så træffes beslutningen "signaturen er gyldig", ellers - "signaturen er ugyldig" $r={\tilde {r))$

Resultat

truffet beslutning: "signaturen er gyldig" eller "signaturen er ugyldig"

Sikkerhed

Den kryptografiske styrke af en digital signatur er baseret på kompleksiteten af den diskrete logaritme i den cykliske undergruppe af en gruppe punkter på en elliptisk kurve . $R=eP,Q=-dP$

Hjælpealgoritmer brugt

Hentning af et heltal fra et element i hovedfeltet

Input data

hovedfeltelement $x\in GF(2^{m}),x=(x_{m-1},...,x_{0})$
rækkefølgen af basispunktet for en elliptisk kurve $n$

Resultat

et heltal , der opfylder betingelsen $a=(a_{L-1},...,a_{0})$ $L=L(a)<L(n)$

Beregningsalgoritme

hvis elementet i hovedfeltet er lig med 0, så , slutningen af algoritmen $x$ $a\leftarrow 0\ \ \ L=L(a)\leftarrow 1$
at finde et heltal $k=L(n)-1$
er accepteret og fundet svarende til det største indeks for hvilket . Hvis der ikke er et sådant indeks, accepteres og afsluttes algoritmen. $a_{i}=x_{i}\ \ i=0,...k-1$ $j$ $jeg$ $a_{i}=1$ $a\leftarrow 0$
den binære længdeserie er den binære repræsentation af algoritmens outputnummer $(a_{j},...,a_{0})$ $L=L(a)=j+1$

Noter

↑ 1 2 Informationsteknologier. Kryptografisk beskyttelse af information. Digital signatur, der kører på elliptiske kurver. Støbning og pereviryannya . shop.uas.org.ua. Hentet 13. december 2019. Arkiveret fra originalen 5. maj 2019. (ubestemt)
↑ 1 2 Nationale standarder for yakі є sylannya i lovgivningsmæssige retsakter | DP "UkrNDNC" . www.org.ua. Hentet 13. december 2019. Arkiveret fra originalen 14. maj 2019. (ubestemt)
↑ Bekendtgørelse fra Ukraines Ministerium for Digital Udvikling af 30. september 2020 nr. 140/614 . Dato for adgang: 11. januar 2020. (ubestemt)

Offentlig nøgle kryptosystemer

Algoritmer

Faktorisering af heltal	Benalo kryptosystem Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern betalingsmodtager Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskret logaritme	BLS Cramer - Shoup Diffie-Hellman protokol DSA ECDH Kurve25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Krypteret nøgleudveksling Ordning af ElGamal underskriftsordning MQV Schnorr ordning SPEKE SRP STS
Kryptografi på gitter	NTRUEncrypt NTRUSign Læringsbaseret nøgleudveksling med fejl Signaturbaseret træning med fejl i ringen LYKKELIGHED Nyt håb
Andet	AE CEILIDH EPOC Skjulte feltligninger IES Lamports underskrift McEliece Merkle-Hellman rygsæk kryptosystem Naccache-Stern rygsæk kryptosystem Tre trins protokol XTR

Teori

Standarder

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Post kvantekryptering

Emner

Elektronisk signatur
OAEP
Fingeraftryk
PKI
web af tillid
Nøglestørrelse
Identitetsbaseret kryptografi
Postkvantekryptografi
OpenPGP-kort

DSTU 4145-2002

Grundlæggende algoritme

Generelle indstillinger for digital signatur

Dannelse af en digital signatur

Verifikation af digital signatur

Sikkerhed

Hjælpealgoritmer brugt

Hentning af et heltal fra et element i hovedfeltet

Links

Noter