Станислав Смышляев: вопросы применимости российских криптоалгоритмов

© 2000-2015 КРИПТО-ПРО

Вопросы применимости российскихкриптоалгоритмов

Смышляев Станислав Витальевич, к.ф.-м.н.,начальник отдела защиты информации

Смышляев С.В. (КРИПТО-ПРО) 24.07.15 1 / 77


Расхожее мнение о российской криптографииМорально устаревшие решения.Проблемы с быстродействием.Проблемы со стойкостью.Ориентированность на ”бумажную“ безопасность исоответствие требованиям, а не на реальнуюзащищенность.

Следствие 1: Нередка позиция ”когда требуется показатьсертификат ФСБ, используем ГОСТ, а в иных случаяхпереключаемся на RSA/AES“.



Расхожее мнение о российской криптографииМорально устаревшие решения.Проблемы с быстродействием.Проблемы со стойкостью.Ориентированность на ”бумажную“ безопасность исоответствие требованиям, а не на реальнуюзащищенность.

Следствие 1: Нередка позиция ”когда требуется показатьсертификат ФСБ, используем ГОСТ, а в иных случаяхпереключаемся на RSA/AES“.



Следствие 2: Критика российских решений зачастую неконструктивна, а шаблонна, полна клише.

Многие ”и так знают“, что все плохо — всякая критика охотноподхватывается аудиторией без апробации и верификации.

У специалистов по практической безопасности — меньшевыбор доступных криптографических механизмов,продуктов для встраивания.У российских криптографов — априорно пыльноватаярепутация.У разработчиков и интеграторов российскихкриптосредств — меньше конструктивной критики,информации о реальных уязвимостях.













Российские криптографические алгоритмы

1 Российские криптоалгоритмы: стандарты, мифы,перспективыСтойкость алгоритмов ГОСТПроизводительность алгоритмов ГОСТ

2 Криптография на ГОСТ и реальная защищенностьБезопасность ”бумажная“ и реальнаяУязвимости при небезопасном выборе IV в CBC, CFBУязвимости при небезопасном использовании паддингаУязвимости при перекрытии гаммыУязвимости при превышении нагрузки на ключВыбор алгоритма хэшированияРекомендации по стандартизации ТК 26



Российские криптографические алгоритмы Стойкость алгоритмов ГОСТ






Стойкость ГОСТ 28147-89 (блоковый шифр)

ГОСТ 28147-89, атаки КуртуаОктябрь 2010: начат процесс рассмотрения включенияГОСТ 28147-89 в стандарт ISO/IEC 18033-3.Май 2011: статья Николя Куртуа на ePrint (ипоследующие 5 работ), использование алгебраическихметодов и дифференциальных.Алгебраические: нет детального описания/анализатрудоемкости главного этапа метода; лишь эксперим.данные на аналогах меньшей размерности.Дифференциальные: анализ для узлов замены, отличныхот действующих и от предложенных в ISO.Рудской, Дмух (ePrint): если даже принять ”факты“Куртуа, провести анализ ГОСТ 28147-89 с актуальнымиузлами замены, то атака не лучше полного перебора.









ГОСТ 28147-89, атаки Исобе и Динура–Данкельмана–ШамираКорректные, математически строгие описания атак.Показано, что некоторые свойства алгоритма ГОСТ28147-89 позволяют находить пути анализа, не учтенныесоздателями алгоритма.Трудоемкость атаки Исобе составляет 2224 операцийзашифрования, атаки ДДШ — 2192.Для метода Исобе требуется 232 пар открытых ишифрованных текстов, для метода ДДШ — 264.При материале 232 уже с вероятностью ≈ 0.5 появляютсяповторяющиеся блоки шифртекста, при 264 ключ вовсеболее не нужен (есть полная таблица зашифрования).Не произошло снижения даже теоретической стойкости.




Стойкость ГОСТ Р 34.11-94 (хэш)

ГОСТ Р 34.11-94, атаки Менделя-Прамшталлера-РехбергераНахождение коллизии:2105 вместо априорных 2128.Нахождение (второго) прообраза:2192 вместо априорных 2256.Корректные, математически строгие описания атак.




Переход на ГОСТ Р 34.11-2012 и ГОСТ Р34.10-2012

2012 год: стандарт функции хэширования ГОСТ Р 34.11-2012(”Стрибог“).

Документ ФСБ России № 149/7/1/3-58 от 31.01.2014.ТЗ после 31 декабря 2012 года — должна быть реализацияГОСТ Р 34.10-2012 (и ГОСТ Р 34.11-2012).Использование ГОСТ Р 34.11-94 для использования приформировании подписи после 31 декабря 2018 года недопускается.




Стойкость ГОСТ Р 34.11-2012

AlTawy R., Youssef A. M. – Preimage Attacks on reduced-roundStribog.AlTawy R., Kircanski A., Youssef A. M. – Rebound attacks onStribog.Kazymyrov O., Kazymyrova V. – Algebraic aspects of the russianhash standard GOST R 34.11-2012.Ma B., Li B., Hao R., Li X. – Improved cryptanalysis ofreduced-round GOST and Whirlpool hash function.Zou J., Wu W., Wu S. – Cryptanalysis of the round-reducedGOST hash function.AlTawy R., Youssef A. M. – Integral distinguishers forreduced-round Stribog.AlTawy R., Youssef, A. M. – Watch your Constants: MaliciousStreebog.




Стойкость ГОСТ Р 34.10-2001 и ГОСТ Р34.10-2012 (электронная подпись)

С точки зрения структуры (и стойкости) ГОСТ Р 34.10-2001 иГОСТ Р 34.10-2012 предельно близки к ECDSA: стойкостьопределяется:

выбором эллиптических кривых;гарантией случайности одноразовых случайных величин впроцессе подписи (вспомним уязвимость 2010 года в SonyPlayStation 3 из-за проблем в реализации ECDSA).



Российские криптографические алгоритмы Производительность алгоритмов ГОСТ






Производительность ГОСТ 28147-89

Шифрование: ГОСТ 28147-89, режим гаммированиябез SSE/AVX: 28 тактов/байт (120 МБ/с/ядро 3.3 GHz);с AVX: 8.7 тактов/байт (390 МБ/с/ядро 3.3 GHz).





Шифрование: ГОСТ 28147-89, режим гаммированиябез SSE/AVX: 28 тактов/байт (120 МБ/с/ядро 3.3 GHz);с AVX: 8.7 тактов/байт (390 МБ/с/ядро 3.3 GHz).





Шифрование: ГОСТ 28147-89, режим гаммированияРеализация на GPU (OpenCL): 1300 МБ/с (AMD RadeonHD 6970).




Производительность ГОСТ Р 34.11

Хэширование: ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012ГОСТ Р 34.11-94: 40 тактов/байт (85 МБ/с/ядро 3.3 GHz);ГОСТ Р 34.11-2012: 30 тактов/байт (110 МБ/с/ядро 3.3GHz).





С точки зрения совокупности математических операций (и,следовательно, производительности) ГОСТ Р 34.10-2001 иГОСТ Р 34.10-2012 предельно близки к ECDSA:производительность определяется выбором используемыхполей, эллиптических кривых (параметров алгоритмаподписи), а также проработкой реализаций операций вконечных полях и эллиптических кривых в реализациях.

Сравнение с RSAСравнимая стойкость ГОСТ Р 34.10-2001/2012-256 (поNIST SP 800-57): RSA-3072.Сравнимая стойкость ГОСТ Р 34.10-2012-512 (по NIST SP800-57): между RSA-7680 и RSA-15360.




Производительность ГОСТ Р 34.10 (проверка)

Проверка ЭП: ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012ГОСТ Р 34.10-2001/2012-256: 9700 проверок в секунду;ГОСТ Р 34.10-2012-512: 1850 проверок в секунду.




Производительность ГОСТ Р 34.10 (создание)

Формирование ЭП: ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012ГОСТ Р 34.10-2001/2012-256: 15800 формирований всекунду;ГОСТ Р 34.10-2012-512: 3400 формирований в секунду.





Криптосистема с открытым ключомВ России нет стандарта для криптосистем с открытымключом. Решение задачи ”зашифровать данные сиспользованием открытого ключа PubKA“ (зафиксировано вРекомендациях по стандартизации ТК 26):

породить эфемерный ключ β (с открытым ключомPubKβ), случайную величину UKM;вычислить SK = H(UKM · β · PubKA);зашифровать вход (как правило, ключ шифрованияосновных данных) на SK, передать шифртекст вместе сPubKβ и UKM.

Время шифрования/расшифрования ≈ время проверкиподписи.



Криптография на ГОСТ и реальная защищенность





Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная






Безопасность ”бумажная“ и реальная

Требования ФСБ России к шифровальным(криптографическим) средствам.Требования к средствам электронной подписи.Приказ ФСБ России N 378 ”Об утверждении . . . мер пообеспечению безопасности персональных данных при ихобработке в информационных системах персональныхданных с использованием СКЗИ . . .“Требования к средствам удостоверяющего центра.





КритикаФормальные модели нарушителя, не имеющие отношенияк реальности.Проверяется безопасность к ”бумажным“ моделям, а не креальным нарушителям.При возникновении проблем безопасности разработчикидают ответы ”в такой-то формальной модели все хорошо“.Из-за закрытости требований возникает (справедливо)ощущение непрозрачности при анализе защищенности.





Приказ ФСБ России N 378КС1: ”проведение атаки, находясь вне контролируемойзоны“

КС2: ”проведение атаки при нахождении в пределахконтролируемой зоны“





Приказ ФСБ России N 378КС1: ”проведение атаки, находясь вне контролируемойзоны“— атаки на криптографические протоколы через сетьКС2: ”проведение атаки при нахождении в пределахконтролируемой зоны“ — нарушитель в непосредственнойблизости, анализ секторов диска после удаления данных





Приказ ФСБ России N 378КС3: ”возможность располагать аппаратнымикомпонентами СКЗИ и СФ, ограниченная мерами,реализованными в информационной системе, в которойиспользуется СКЗИ, и направленными на предотвращениеи пресечение несанкционированных действий“

KB: ”создание способов, подготовка и проведение атак спривлечением специалистов в области анализа сигналов,сопровождающих функционирование СКЗИ и СФ, и вобласти использования для реализации атакнедокументированных (недекларированных)возможностей прикладного ПО“





Приказ ФСБ России N 378КС3: ”возможность располагать аппаратнымикомпонентами СКЗИ и СФ, ограниченная мерами,реализованными в информационной системе, в которойиспользуется СКЗИ, и направленными на предотвращениеи пресечение несанкционированных действий“ —возможность атак при доступе из-под другого аккаунтаKB: ”создание способов, подготовка и проведение атак спривлечением специалистов в области анализа сигналов,сопровождающих функционирование СКЗИ и СФ, и вобласти использования для реализации атакнедокументированных (недекларированных)возможностей прикладного ПО“— возможность атак по побочным каналам





Пример: ключевой носительПассивный носитель.Активный автономный вычислитель.Функциональный ключевой носитель.





Пассивный носительИспользование ключа основным криптосредством:вычисления в оперативной памяти машины.





Активный автономный вычислительВсе вычисления на самом устройстве, ключ в память непопадает.




Безопасность ”бумажная“ и реальнаяДоступ нарушителя к пользовательскому процессу всистеме в любом случае (даже в случае HSM) означаеткомпрометацию доступа к ключу.

Доступ нарушителя к каналу от системы к носителюозначает неминуемую компрометацию доступа к ключу.

В случае пассивного носителя нарушитель потенциальноизвлекает из памяти ключ.В случае автономного вычислителя нарушительпотенциально перехватывает пароль и возможностьподписи произвольных данных.

В случае автономного вычислителя несоизмеримо опаснееатаки по побочным каналам (потребление, время).








Уровень защищенности (без дополнительных орг. мер) — КС1.Смышляев С.В. (КРИПТО-ПРО) 24.07.15 34 / 77







Уровень защищенности (без дополнительных орг. мер) — КС1.Смышляев С.В. (КРИПТО-ПРО) 24.07.15 34 / 77



Функциональный ключевой носитель





Функциональный ключевой носительНа аутентифицированном на пароле ключе согласованияустанавливается защищенный канал связи междусистемой и носителем.Все дальнейшие пересылки между носителемпроизводятся посредством защищенного канала.За счет распределения вычислений возможно уменьшениеопасности атак по побочным каналам.Сам пароль также защищен от оффлайного переборапароля с опробованием по полученным в канале данным(после действий нарушителя в канале).

Оценочный уровень защищенности — КС3.





Функциональный ключевой носительНа аутентифицированном на пароле ключе согласованияустанавливается защищенный канал связи междусистемой и носителем.Все дальнейшие пересылки между носителемпроизводятся посредством защищенного канала.За счет распределения вычислений возможно уменьшениеопасности атак по побочным каналам.Сам пароль также защищен от оффлайного переборапароля с опробованием по полученным в канале данным(после действий нарушителя в канале).

Оценочный уровень защищенности — КС3.





Анализируемые проблемыУязвимости в базовых криптографических алгоритмах.Уязвимости в сопутствующих криптографическихалгоритмах.Уязвимости в криптографических протоколах.Уязвимости при встраивании криптографическихпротоколов.Ошибки в реализации.Отсутствие в реализации достаточных мерпротиводействия предполагаемому нарушителю.





Анализируемые проблемыУязвимости в базовых криптографических алгоритмах.Уязвимости в сопутствующих криптографическихалгоритмах.Уязвимости в криптографических протоколах.

2010:«Ха-ха, теоретические проблемы стойкости протоколов не

влияют на реальную защищенность»

2015:TLS: BEAST, POODLE, Lucky13...





















Потенциальные ошибки при шифровании данныхПри зашифровании/расшифровании данных насессионных симметричных ключах возможны ошибки,связанные, в частности:

с использованием небезопасных режимов работы шифра(ECB, иногда CBC);возникновением побочных каналов при небезопасномиспользовании механизмов выравнивания (паддинга);перекрытиями гаммы;использованием синхропосылок без обеспечения условияих непредсказываемости;работой с превышением допустимой нагрузки на ключ(работа без преобразования ключа).



Криптография на ГОСТ и реальная защищенность Выбор IV в CBC, CFB






Режимы CBC, CFB: уязвимости принебезопасном выборе синхропосылок

Особенность протокола TLS 1.0, в котором при использованииблоковых шифров в режиме CBC в качестве синхропосылкиочередного пакета выбирается последний блок шифртекстапредыдущего пакета.

Для эксплуатации данной уязвимости Дуонгом и Риззо в 2011году был создан модуль BEAST, позволявшийдешифровывать передаваемые cookie-файлы пользователя.

Описание теоретической уязвимости было предложено еще за7 лет до этого в работе Грегори Барда.




Режимы CBC, CFB: уязвимости принебезопасном выборе синхропосылок

В TLS с российскими алгоритмами, утвержденном ТК 26,данная уязвимость отсутствует, так как в данной версиииспользуется режим гаммирования, а состояние регистровшифратора после обработки очередного пакета (являющеесянекоторым аналогом синхропосылки в CBC), остаетсянеизвестным нарушителю.



Криптография на ГОСТ и реальная защищенность Использование паддинга






Уязвимости при небезопасном использованиипаддинга

ПримерПаддинг PKCS #5: сообщение дополняется ненулевым числомбайтовых констант PADLEN до конца блока, где PADLEN —число требуемых байт паддинга.Например, при длине блока 8 байт сообщение(0x0A, 0x0B, 0x0C) будет дополнено до(0x0A, 0x0B, 0x0C, 0x05, 0x05, 0x05, 0x05, 0x05).

При непродуманном выборе процедуры проверки паддингавозможно появление уязвимостей к атакам с выбором ШТ.




Уязвимости при небезопасном использованиипаддинга

POODLE attack: Padding Oracle On Downgraded LegacyEncryption.

Смена ключа после каждой ошибки на приеме не полностьюустраняет проблему — соответствующая уязвимость впротоколе TLS версии 1.0 для использующих CBC наборовшифрования описана в 2001 году в работе Сержа Воденея.

Заметим, что данная уязвимость в TLS с российскимиалгоритмами, утвержденном ТК 26, отсутствует, так как вданной версии используется режим гаммирования, паддингвовсе не используется.



Криптография на ГОСТ и реальная защищенность Уязвимости при перекрытии гаммы






Уязвимости при перекрытии гаммы

Для IND-CPA стойкой криптосистемы в режимегаммирования наличие шифртекста вовсе не уменьшаетнеопределенности открытого текста.В случае переиспользования гаммы любой криптосистемыв режиме гаммирования неопределенность падает дозначений, позволяющих провести практическую атаку.

Элементарный примерПусть биты a, b независимы Pr(a = 1) = Pr(b = 1) = 0.6.Тогда энтропия при наличии битов шифртекста ca = a⊕ kaи cb = b ⊕ kb составляет 1.942 бита.Если же ka = kb, энтропия падает в среднем до 0.945 бит— такой же она была бы, если бы каждый бит принималбы некоторое значение с вероятностью ≈ 90%.





Известный пример: режимы ECB и гаммирования















Пример: режим гаммирования при перекрытии гаммы




























Криптография на ГОСТ и реальная защищенность Уязвимости при превышении нагрузки на ключ






Уязвимости при превышении нагрузки наключ

При существенном превышении допустимых значений всякийалгоритм шифрования теряет положительныекриптографические качества.

При шифровании ГОСТ 28147-89 более 32 ГБинформации вероятность совпадения выходных блоковалгоритма шифрования достигает 50%.При шифровании без смены ключа текста длиннеедопустимых значений могут становиться практическиосуществимыми атаки по побочным каналам(напряжение, акустика, радиоволны и пр.).Оценочное значение допустимой нагрузки на ключ:

IPsec ESP с ГОСТ 28147-89 — ограничение в 4 МБ.Смышляев С.В. (КРИПТО-ПРО) 24.07.15 58 / 77



Организация работы с сессионными ключами

Необходимо проектировать процедуры работы с сессионнымиключами по принципу использования каждого ключа длявесьма небольшого числа сообщений. Нагрузка на ключ частоконтролируется на уровне самих криптосредств.

Неудачные (но встречающиеся) решенияМногократное дублирование ключа (лишь слегкауменьшаются проблемы с побочкой).Использование расшифрования в режиме гаммирования(бессмысленный обход технических ограничений).Пересогласование ключа через каждые 4 МБ (задержки).Прямая диверсификация сессионных ключей измастер-ключа (почти хорошо, но вероятно превышениенагрузки на сам мастер-ключ).





Решение 1: преобразование ключейПри шифровании использовать режим преобразования ключа(реализуется в криптосредстве, прозрачно для приложений).

RFC 4357: 2.3.2: Key Meshing.

При этом сохраняется ограничение на количество шифруемыхсообщений на одном ключе (T · 1024 сообщений произвольнойдлины).

Без преобразования ключей: шифровать не более T МБна одном ключе.С преобразованием ключей: шифровать не более T · 1024независимых сообщений на одном ключе.





Решение 2: дерево ключей (на примере IPsec ESP)

”Техническая спецификация по использованию ГОСТ 28147-89при шифровании вложений в протоколе IPsec ESP“, раздел 5.6.Преобразование ESP_GOST-4M-IMIT.

RootKeyDivers( RootKey , i&Mask1)

Divers( Divers( RootKey , i&Mask1) , i&Mask2)Key[i] = Divers( Divers( Divers( RootKey , i&Mask1) , i&Mask2) , i&Mask3)

Mask1 = 0xffffffff00000000, Mask2 = 0xffffffffffff0000, Mask3 = 0xffffffffffffffc0.

Использование для шифрования файлов на дискеАналогичным образом (с замешиванием случайных данных)происходит диверсификация ключа шифрования блока в EFSс российскими криптографическими алгоритмами.





Решение 2: дерево ключей (на примере IPsec ESP)

”Техническая спецификация по использованию ГОСТ 28147-89при шифровании вложений в протоколе IPsec ESP“, раздел 5.6.Преобразование ESP_GOST-4M-IMIT.

RootKeyDivers( RootKey , i&Mask1)

Divers( Divers( RootKey , i&Mask1) , i&Mask2)Key[i] = Divers( Divers( Divers( RootKey , i&Mask1) , i&Mask2) , i&Mask3)

Mask1 = 0xffffffff00000000, Mask2 = 0xffffffffffff0000, Mask3 = 0xffffffffffffffc0.

Использование для шифрования файлов на дискеАналогичным образом (с замешиванием случайных данных)происходит диверсификация ключа шифрования блока в EFSс российскими криптографическими алгоритмами.





Алгоритмы диверсификацииCALG_PRO_DIVERS: RFC 4357, раздел 7.Алгоритм Secret Key Diversification;CALG_PRO12_DIVERS: ТК 26, ”Рекомендации постандартизации. Использование криптографическихалгоритмов...“. АлгоритмKDF_TREE_GOSTR3411_2012_256.



Криптография на ГОСТ и реальная защищенность Выбор алгоритма хэширования






Уязвимости при использовании стойкого алг.подписи со слабым алг. хэширования

Не запрещено использовать MD5 + RSA или даже MD5 +ГОСТ Р 34.10-2001 как усиленную неквалифицированнуюподпись.

Миф: даже поломанные с точки зрения теории хэш-функцииможно использовать с ЭП

Частично правда: если подписать MD5-хэш документа,подделать подписанный документ на практикеневозможно (стойкость MD5 к нахождению (второго)прообраза снижена с 2128 только на 5 порядков).При ошибке проектирования систем документооборота сиспользованием такой подписи уязвимость становитсяэксплуатируемой на практике.





Рассмотрим систему, в которой документы подписываютсяследующим образом

Signature(Key, Src) = SignRSA−2048 (Key, hSHA3 (hMD5(Src)|Attrs))

Аналогичная процедура формирования подписи (свариабельностью алгоритмов) используется в MicrosoftAuthenticode.





Signature(Key, Src) = SignRSA−2048 (Key, hSHA3 (hMD5(Src)|Attrs))

Подписывающая сторонаИнтересы честной подписывающей стороны удовлетворены:модифицировать документ, снабдив его поддельной подписью,текущее состояние криптоанализа не позволяет (слабое звено— второй прообраз для хэш-значения MD5 — 2123, околодесяти миллиардов лет работы миллиардов3ГГц–процессорных ядер).




Уязвимости при использовании стойкого алг.подписи со слабым алг. хэшированияSignature(Key, Src) = SignRSA−2048 (Key, hSHA3 (hMD5(Src)|Attrs))

Проверяющая сторонаВвод в заблуждение: RSA-2048 в паре со стойкой SHA3.Но: вычисление основного хэша документа производитбыстрая, но обладающая практическими уязвимостямиMD5 (коллизии строятся за 224 — одна-две секунды).Для ряда форматов — практические атаки с созданиемпары документов (pdf, djvu, исполняемых файлов) сразличным (выбранным нарушителем) содержанием, ноодним значением MD5 ⇒ значением Signature(K, Src).Развитие атак на MD5 ⇒ поддельные сертификаты(возможно, использовано в Stuxnet/Flame).





Усиленная квалифицированная электронная подпись можетбыть сформирована только с помощью:

ГОСТ Р 34.11-94 + ГОСТ Р 34.10-2001.ГОСТ Р 34.11-2012 (256 бит) + ГОСТ Р 34.10-2012 (256бит).ГОСТ Р 34.11-2012 (512 бит) + ГОСТ Р 34.10-2012 (512бит).

В стандартах электронной подписи явным образом прописаналгоритм хэширования, с которым можно использоватьподпись.





Известные уязвимости существуют только у ГОСТ Р34.11-94, однако носят сугубо теоретический характер:построение коллизии за 2105 — миллион лет работымиллиарда 3-ГГц процессорных ядер (против секунды наодном ядре для MD5).Известных уязвимостей у ГОСТ Р 34.11-2012, ГОСТ Р34.10-2001, ГОСТ Р 34.10-2012 нет.



Криптография на ГОСТ и реальная защищенность Рекомендации по стандартизации ТК 26






Технический комитет по стандартизации

”Криптографическая защита информации“Росстандарта (ТК 26)

Производительность и стойкость ГОСТ Р 34.10-2001 и ГОСТР 34.10-2012 определяется, в частности, выбором параметровэллиптических кривых.

"Рекомендации по стандартизации. Задание параметровэллиптических кривых в соответствии с ГОСТ Р34.10-2012"."Рекомендации по стандартизации. Задание параметровскрученных эллиптических кривых Эдвардса всоответствии с ГОСТ Р 34.10-2012".




ТК 26 Росстандарта

Доверие к выбору параметров: принцип ”проверяемойслучайности“.

В теории: выработка параметров с помощьюодносторонней функции.С помощью ”трудно“ обратимого преобразования: наоснове хэш-функции ГОСТ Р 34.11-2012.На вход данного преобразования — случайные строки.Разные алгебраические структуры — подбор входов недаст выбрать окончательные величины с известнымисекретными параметрами (логарифмами точек и пр.).Но: предполагает защиты от наличия неизвестныхслабостей кривых (возникающих не ”точечно“, не спренебрежимо малыми вероятностями).





Доверие к выбору параметров: принцип ”проверяемойслучайности“.

В теории: выработка параметров с помощьюодносторонней функции.С помощью ”трудно“ обратимого преобразования: наоснове хэш-функции ГОСТ Р 34.11-2012.На вход данного преобразования — случайные строки.Разные алгебраические структуры — подбор входов недаст выбрать окончательные величины с известнымисекретными параметрами (логарифмами точек и пр.).Но: предполагает защиты от наличия неизвестныхслабостей кривых (возникающих не ”точечно“, не спренебрежимо малыми вероятностями).





Стойкость ГОСТ 28147-89 определяется, в частности, выборомузлов замены.

"Рекомендации по стандартизации. Задание узлов заменыблока подстановки алгоритма шифрования ГОСТ 28147-89".





Для использования в протоколах описанных в стандартахалгоритмов необходимы происследованные безопасныеконструкции на их основе (аутентификация сообщений,диверсификация, ключевые деревья, экспорт ключей, PRF,обмен ключами на основе процедуры Диффи-Хеллмана).

"Рекомендации по стандартизации. Использованиекриптографических алгоритмов, сопутствующих применениюстандартов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012".

Для работы российских криптоалгоритмов в протоколахнеобходимы происследованные безопасные процедуры работы.





Для использования в протоколах описанных в стандартахалгоритмов необходимы происследованные безопасныеконструкции на их основе (аутентификация сообщений,диверсификация, ключевые деревья, экспорт ключей, PRF,обмен ключами на основе процедуры Диффи-Хеллмана).

"Рекомендации по стандартизации. Использованиекриптографических алгоритмов, сопутствующих применениюстандартов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012".

Для работы российских криптоалгоритмов в протоколахнеобходимы происследованные безопасные процедуры работы.





"Техническая спецификация использования алгоритмовГОСТ Р 34.10, ГОСТ Р 34.11 в профиле сертификата исписке отзыва сертификатов (CRL) инфраструктурыоткрытых ключей X.509"."Рекомендации по стандартизации. Использованиеалгоритмов ГОСТ 28147-89, ГОСТ Р 34.11 и ГОСТ Р34.10 в криптографических сообщениях формата CMS"."Рекомендации по стандартизации. Использованиюнаборов алгоритмов шифрования на основе ГОСТ28147-89 для протокола безопасности транспортногоуровня (TLS)".

Регистрация в IANA — в процессе.





"Техническая спецификация по использованию ГОСТ28147-89, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001 присогласовании ключей в протоколах IKE и ISAKMP"."Техническая спецификация по использованию ГОСТ28147-89 при шифровании вложений в протоколе IPsecESP"."Техническая спецификация по использованию ГОСТ Р34.11-94 при обеспечении целостности в протоколах IPsec".




Спасибо за внимание!

Вопросы?

Материалы, вопросы, комментарии:[email protected]


Internet

Станислав Смышляев: вопросы применимости российских криптоалгоритмов