GOST 34.10-2018

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 11 juni 2021; kontroller kräver 4 redigeringar .

34.10-2018 _ _ _ _ _ - den nuvarande mellanstatliga kryptografiska standarden , som beskriver algoritmerna för att generera och verifiera en elektronisk digital signatur implementerad med hjälp av operationer i en grupp av punkter i en elliptisk kurva definierad över ett ändligt enkelt fält.

Standarden utvecklades på basis av den nationella standarden för Ryska federationen GOST R 34.10-2012 och trädde i kraft den 1 juni 2019 genom order av Rosstandart nr 1059-st daterad den 4 december 2018 .

Omfattning

Den digitala signaturen tillåter:

Autentisera personen som undertecknade meddelandet;
Övervaka meddelandets integritet;
Skydda meddelandet från förfalskning;

Historik

De första versionerna av algoritmen utvecklades av FAPSI Main Directorate for Communications Security med deltagande av All-Russian Research Institute for Standardization (VNIIstandart) , senare övergick utvecklingen i händerna på Center for Information Protection and Special Communications av Rysslands federala säkerhetstjänst och JSC InfoTeKS .

Beskrivning

Den kryptografiska styrkan hos de första digitala signaturstandarderna GOST R 34.10-94 och GOST 34.310-95 baserades på problemet med diskret logaritm i den multiplikativa gruppen av ett enkelt ändligt fält av stor ordning. Från och med GOST R 34.10-2001 är robustheten hos algoritmen baserad på det mer komplexa problemet med att beräkna den diskreta logaritmen i en grupp av punkter på en elliptisk kurva . Styrkan hos den digitala signaturgenereringsalgoritmen är också baserad på styrkan hos motsvarande hashfunktion:

Sorts	namn	sätta i verket	hash-funktion	Ordning
Nationell	GOST R 34,10-94	1 januari 1995	GOST R 34,11-94	Antagen genom dekretet av Rysslands statliga standard nr 154 av 23 maj 94
Mellanstatlig	GOST 34.310-95	16 april 1998	GOST 34.311-95
Nationell	GOST R 34.10-2001	1 juli 2002	GOST R 34,11-94	Antagen genom resolutionen från Rysslands statliga standard nr 380-st av den 12 september 2001 [1]
Mellanstatlig	GOST 34.310-2004	2 mars 2004	GOST 34.311-95	Antagen av det eurasiska rådet för standardisering, metrologi och certifiering genom korrespondens (protokoll nr 16 daterat 2 mars 2004)
Nationell	GOST R 34.10-2012	1 januari 2013	GOST R 34.11-2012	Godkänd och satt i kraft genom order från Federal Agency for Technical Regulation and Metroology nr. 215-st daterad 7 augusti 2012 som den nationella standarden för Ryska federationen från 1 januari 2013
Mellanstatlig	GOST 34.10-2018	1 juni 2019	GOST 34.11-2018	Antagen av Interstate Council for Metrology, Standardization and Certification (protokoll nr 54 av 29 november 2018). Genom order från Federal Agency for Technical Regulation and Metrology nr. 1059-st av den 4 december 2018 trädde den i kraft som den nationella standarden för Ryska federationen från den 1 juni 2019

Standarderna använder samma schema för att generera en elektronisk digital signatur. Nya standarder sedan 2012 kännetecknas av närvaron av en ytterligare version av schemaparametrarna, motsvarande längden på den hemliga nyckeln på cirka 512 bitar.

Efter signering av meddelandet M läggs en digital signatur på 512 eller 1024 bitar och ett textfält till det. Textfältet kan innehålla till exempel datum och tid för sändningen eller olika uppgifter om avsändaren:

Meddelande M

Digital signatur

Text

Tillägg

Denna algoritm beskriver inte mekanismen för att generera de parametrar som är nödvändiga för att generera en signatur, utan bestämmer bara hur man skaffar en digital signatur baserat på sådana parametrar. Mekanismen för generering av parameter bestäms på plats, beroende på vilket system som utvecklas.

Algoritm

En beskrivning av en variant av EDS-schemat med en hemlig nyckellängd på 256 bitar ges. För hemliga nycklar med en längd på 512 bitar (det andra alternativet för att generera en EDS, beskrivet i standarden), är alla transformationer lika.

Alternativ för digital signaturschema

ett primtal är modulen för en elliptisk kurva så att $sid$ $p>2^{{255}}$
en elliptisk kurva ges av dess invarianta eller koefficienter , där är ett ändligt fält av p element. är relaterad till koefficienterna och enligt följande $E$ $J(E)$ $a,b\in F_{p}$ $F_{p}$ $J(E)$ $a$ $b$

J(E)=1728{\frac {4a^{3}}{4a^{3}+27b^{2}}}{\pmod {p}}

, och .

4a^{3}+27b^{2}\not \equiv 0{\pmod {p}}

heltal — ordningen för gruppen av punkter i den elliptiska kurvan måste skilja sig från $m$ $m$ $sid$
ett primtal , ordningen för någon cyklisk undergrupp av gruppen av punkter i en elliptisk kurva, det vill säga det gäller , för vissa . Ligger också inom . $q$ $m=nq$ $n\in \mathbb{N}$ $q$ $2^{{254}}<q<2^{{256}}$
punkt av den elliptiska kurvan , som är generatorn av undergruppen av ordning , det vill säga för alla k = 1, 2, ..., q -1, där är det neutrala elementet i gruppen av punkter i den elliptiska kurvan E . $P=(x_{P},\;y_{P})$ $E$ $q$ $q\cdot P={\mathbf {0}}$ $k\cdot P\neq {\mathbf {0}}$ $\mathbf {0}$
$h(M)$ är en hashfunktion ( GOST R 34.11-2012 ), som mappar meddelanden M till binära vektorer med längden 256 bitar.

Varje användare av digital signatur har privata nycklar:

krypteringsnyckeln är ett heltal inom . $d$ $0<d<q$
dekrypteringsnyckel , beräknad som . $Q=(x_{Q},\;y_{Q})$ $Q=d\cdot P$

Ytterligare krav:

$p^{t}\neq 1{\pmod {q}}$ , , var $\forall t=1..B$ $B\geq 31$
$J(E)\neq 0$ och $J(E)\neq 1728$

Binära vektorer

Det finns en en-till-en-överensstämmelse mellan binära vektorer med längden 256 och heltal enligt följande regel . Här är det antingen lika med 0 eller lika med 1. Detta är med andra ord representationen av talet z i det binära talsystemet. ${\bar {h}}=(\alpha _{{255}},...,\alpha _{0})$ $z\leq 2^{{256}}$ $z=\summa _{{i=0}}^{{255}}\alpha _{i}2^{i}$ $\alpha_i$ ${\bar {h}}$

Resultatet av operationen av sammanlänkning av två vektorer kallas en vektor med längden 512 . Den omvända operationen är operationen att dela en vektor med längden 512 i två vektorer med längden 256. ${\bar {h_{1}}}=(\alpha _{{255}},...,\alpha _{0})$ ${\bar {h_{2}}}=(\beta _{{255}},...,\beta _{0})$ $({\bar {h_{1}}}|{\bar {h_{2}}})=(\alpha _{{255}},...,\alpha _{0},\beta _{{ 255}},...,\beta _{0})$

Bildande av en digital signatur

Flödesscheman :

Generering av en digital signatur
Verifiering av digital signatur

Beräkning av hashfunktionen från meddelandet M: ${\bar {h}}=h(M)$
Beräkning , och om , sätta . Var är ett heltal som motsvarar $e=z\,{\bmod \,}q$ $e=0$ $e=1$ $z$ ${\bar{h}}.$
Generera ett slumpmässigt tal så att $k$ $0<k<q.$
Beräknar punkten för den elliptiska kurvan och använder den för att hitta var koordinaten för punkten If är, återgår vi till föregående steg. $C=kP$ $r=x_{c}\,{\bmod \,}q,$ $x_{c}$ $x$ $C.$ $r=0$
Hitta . Om , gå tillbaka till steg 3. $s=(rd+ke)\,{\bmod \,}q$ $s=0$
Bildning av en digital signatur , där och är vektorerna som motsvarar och . $\xi =({\bar {r}}|{\bar {s}})$ ${\bar {r}}$ ${\barer))$ $r$ $s$

Verifiering av digital signatur

Beräkning från den digitala signaturen av siffror och , givet att , var och är de siffror som motsvarar vektorerna och . Om minst en av ojämlikheterna är falsk, är signaturen ogiltig. $\xi$ $r$ $s$ $\xi =({\bar {r}}|{\bar {s}})$ $r$ $s$ ${\bar {r}}$ ${\barer))$ $r<q$ $s<q$
Beräkning av hashfunktionen från meddelandet M: ${\bar {h}}=h(M).$
Beräkning , och om , sätta . Var är ett heltal som motsvarar $e=z\,{\bmod \,}q$ $e=0$ $e=1$ $z$ ${\bar{h}}.$
beräkning $\nu =e^{{-1}}\,{\bmod \,}q.$
Beräkning och $z_{1}=s\nu \,{\bmod \,}q$ $z_{2}=-r\nu \,{\bmod \,}q.$
Beräkna en punkt på en elliptisk kurva . Och definitionen av , var är punktens koordinat $C=z_{1}P+z_{2}Q$ $R=x_{c}\,{\bmod \,}q$ $x_{c}$ $x$ $C.$
Vid jämlikhet är signaturen korrekt, annars är den felaktig. $R=r$

Säkerhet

Den kryptografiska styrkan hos en digital signatur baseras på två komponenter – styrkan hos hashfunktionen och styrkan hos själva krypteringsalgoritmen. [2]

Sannolikheten för att knäcka en hashfunktion enligt GOST 34.11-94 är när man väljer en kollision för ett fast meddelande och när man väljer någon kollision. [2] Krypteringsalgoritmens styrka är baserad på problemet med diskret logaritm i en grupp av punkter på en elliptisk kurva. För närvarande finns det ingen metod för att lösa detta problem även med subexponentiell komplexitet. [3] $1{,}73\ gånger {10}^{-77}$ $2{,}94\ gånger {10}^{-39}$

En av de snabbaste algoritmerna för tillfället, med rätt val av parametrar, är -metoden och -Pollards metod. [fyra] $\rho$ $\mathrm{I}$

För den optimerade Pollard-metoden uppskattas beräkningskomplexiteten till . Därför måste du använda en 256-bitars för att säkerställa operationernas kryptografiska styrka . [2] $\rho$ $O({\sqrt {q)))$ ${10}^{{30}}$ $q$

Skillnader från GOST R 34.10-94 (standard 1994-2001)

Den nya och gamla digitala signaturen GOST är väldigt lika varandra. Den största skillnaden är att i den gamla standarden utförs vissa operationer på fältet och i den nya på en grupp av punkter i en elliptisk kurva, så kraven som ställs på ett primtal i den gamla standarden ( eller ) är strängare än i den nya. $\mathbb {Z} _{p}$ $sid$ $2^{{509}}<p<2^{{512}}$ $2^{{1020}}<p<2^{{1024}}$

Algoritmen för signaturgenerering skiljer sig endast i punkt 4 . I den gamla standarden, i detta stycke , och och beräknas, om , återgår vi till punkt 3. Var och . ${\tilde {r}}=a^{k}\,{\bmod \,}s$ $r={\tilde {r))\,{\bmod {\,}}q$ $r=0$ $1<a<p-1$ $a^{q}{\bmod {\,}}p=1$

Signaturverifieringsalgoritmen skiljer sig endast i punkt 6 . I den gamla standarden beräknar detta stycke , var är den publika nyckeln för att verifiera signaturen, . Om , är signaturen korrekt, annars är den felaktig. Här är ett primtal och är en divisor av . $R=(a^{{z_{1}}}y^{{z_{2}}}\,{\bmod \,}p)\,{\bmod \,}q$ $y$ $y=a^{d}\,{\bmod \,}s$ $R=r$ $q$ $2^{{254}}<q<2^{{256}}$ $q$ $p-1$

Användningen av den matematiska apparaten i gruppen av punkter i en elliptisk kurva gör det möjligt att avsevärt minska modulens ordning utan att förlora kryptografisk styrka. [2] $sid$

Den gamla standarden beskriver också mekanismerna för att erhålla siffror och . $sid$ $q$ $a$

Möjliga tillämpningar

Använda ett nyckelpar (offentligt, privat) för att upprätta en sessionsnyckel. [5]
Användning av publika nycklar i certifikat . [6]
Användning i S/MIME ( PKCS #7 , kryptografisk meddelandesyntax ). [7]
Används för att säkra anslutningar i TLS ( SSL , HTTPS , WEB ). [åtta]
Används för att säkra meddelanden i XML-signatur ( XML-kryptering ). [9]
Skydda integriteten för Internetadresser och namn ( DNSSEC ). [tio]

Anteckningar

↑ Om antagandet och genomförandet av den statliga standarden. Dekret från Ryska federationens statliga standard av den 12 september 2001 N 380-st (otillgänglig länk) . bestpravo.ru. Hämtad 1 september 2019. Arkiverad från originalet 1 september 2019. (ryska)
↑ 1 2 3 4 Igonichkina E. V. Analys av elektroniska digitala signaturalgoritmer . Hämtad 16 november 2008. Arkiverad från originalet 15 januari 2012. (obestämd)
↑ Semyonov G. Digital signatur. Elliptiska kurvor . " Öppna system " nr 7-8/2002 (8 augusti 2002). Hämtad 16 november 2008. Arkiverad från originalet 31 december 2012. (obestämd)
↑ Bondarenko M. F., Gorbenko I. D., Kachko E. G., Svinarev A. V., Grigorenko T. A. Kärnan och resultaten av forskning om egenskaperna hos lovande digitala signaturstandarder X9.62-1998 och nyckelfördelning X9.63 -199X på elliptiska kurvor . Datum för åtkomst: 16 november 2008. Arkiverad från originalet den 22 februari 2012. (obestämd)
↑ RFC 4357 , kapitel 5.2, "VKO GOST R 34.10-2001" - Ytterligare kryptografiska algoritmer för användning med GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001 och GOST R 341.
↑ RFC 4491 - Använda algoritmerna GOST R 34.10-94, GOST R 34.10-2001 och GOST R 34.11-94 med Internet X.509 Public Key Infrastructure
↑ RFC 4490 - Använda algoritmerna GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94 och GOST R 34.10-2001 med kryptografisk meddelandesyntax (CMS)
↑ Leontiev, S., Ed. och G. Chudov, Ed. GOST 28147-89 Cipher Suites for Transport Layer Security (TLS) ( december 2008). — Internet-utkast, pågående arbete. Hämtad 12 juni 2009. Arkiverad från originalet 24 augusti 2011.
↑ S. Leontiev, P. Smirnov, A. Tjelpanov. Använder GOST 28147-89, GOST R 34.10-2001 och GOST R 34.11-94-algoritmer för XML-säkerhet ( december 2008). — Internet-utkast, pågående arbete. Hämtad 12 juni 2009. Arkiverad från originalet 24 augusti 2011.
↑ V. Dolmatov, Ed. Användning av GOST-signaturalgoritmer i DNSKEY och RRSIG Resource Records för DNSSEC ( april 2009). — Internet-utkast, pågående arbete. Hämtad 12 juni 2009. Arkiverad från originalet 22 februari 2012.

Länkar

Texten i standarden GOST R 34.10-94 "Informationsteknik. Kryptografiskt skydd av information. Rutiner för utveckling och verifiering av en elektronisk digital signatur baserad på en asymmetrisk kryptografisk algoritm"
Texten i standarden GOST R 34.10-2001 "Informationsteknik. Kryptografiskt skydd av information. Processer för bildande och verifiering av elektronisk digital signatur"
Texten i standarden GOST R 34.10-2012 "Informationsteknik. Kryptografiskt skydd av information. Processer för bildande och verifiering av elektronisk digital signatur"
Texten i standarden GOST 34.10-2018 "Informationsteknik. Kryptografiskt skydd av information. Processer för bildande och verifiering av elektronisk digital signatur»

Mjukvaruimplementationer

MagPro CryptoPacket . är ett kryptografiskt projekt av Cryptocom LLC för att lägga till ryska kryptografiska algoritmer till OpenSSL- biblioteket . (obestämd)
Projektreferensimplementering av ryska krypteringsalgoritmer i openssl på GitHub
CryptoPro CSP är ett kryptografiskt projekt från Crypto-Pro-företaget.
Signal-COM CSP . är ett kryptografiskt projekt av CJSC "Signal-COM". (obestämd)
LIRSSL-CSP . är ett plattformsoberoende kryptografiskt bibliotek av LISSI LLC. (obestämd)
ViPNet CSP . — Programvarusystem, medel för kryptografiskt skydd av information från företaget JSC "InfoTeKS" . (obestämd)
WebCrypto-projektet GOST Javascript-bibliotek på GitHub
libgcrypt
Hoppborg

Hårdvaruimplementationer

Rutoken EDS 2.0
JaCarta-2 GOST
ESMART Token GOST (otillgänglig länk) . Arkiverad från originalet den 15 juli 2017. (obestämd)
MS_KEY K "Angara" (inte tillgänglig länk) . Arkiverad från originalet den 27 december 2017. (obestämd)

Public key kryptosystem

Algoritmer

Faktorisering av heltal	Benalo kryptosystem Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern betalare Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskret logaritm	BLS Cramer - Shoup Diffie-Hellman-protokollet DSA ECDH Kurva25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Krypterad nyckelutbyte Schema för ElGamal signaturschema MQV Schnorr-schema SPEKE SRP STS
Kryptografi på galler	NTRUEncrypt NTRUSign Inlärningsbaserat nyckelutbyte med fel Signaturbaserad träning med fel i ringen SALIGHET Nytt hopp
Övrig	AE CEILIDH EPOC Dolda fältekvationer IES Lamports signatur McEliece Merkle-Hellman ryggsäckskryptosystem Naccache–Stern ryggsäckskryptosystem Trestegsprotokoll XTR

Teori

Standarder

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Postkvantkryptering

Ämnen

Elektronisk signatur
OAEP
Fingeravtryck
PKI
nät av förtroende
Nyckelstorlek
Identitetsbaserad kryptografi
Postkvantkryptografi
OpenPGP-kort