CC BY
69
Санчес Россель Хосе Агустин ©
Аспирант Института компьютерных технологий и информационной безопасности Южного
Федерального Университета
АНАЛИЗ НОВЫХ РОССИЙСКИХ КРИПТОГРАФИЧЕСКИХ АЛГОРИТМОВ С ЦЕЛЬЮ ИХ ИНТЕГРАЦИИ В ИНФОКОММУНИКАЦИОННЫЕ СТРУКТУРЫ БОЛИВАРИАНСКОЙ РЕСПУБЛИКИ ВЕНЕСУЭЛА
Аннотация
В статье рассмотрены новые российские стандарты криптографических преобразований ГОСТ Р 34.10-2012, описывающий алгоритмы формирования и проверки электронной цифровой подписи и ГОСТР 34.11-2012, описывающий алгоритмы и процедуры вычисления хэш-функции, которые используются в процессах создания и верификации цифровой подписи. Проанализированы их криптографическая стойкость и возможность интеграции в инфокоммуникационные структуры Боливарианской Республики Венесуэла.
Ключевые сова: шифрование, ЭЦП, функция хэширования.
Keywords: encryption, digital signature, hash function.
Обеспечение безопасности инфокоммуникационных структур в настоящий момент является одной из важнейших задач любого государства, наряду с обеспечением обороноспособности страны, развитием здравоохранения, экономики и образования. Обеспечение информационной безопасности организуется с помощью криптографических систем, для реализации которых используются криптографические функции [1, 2].
Настоящая работа посвящена анализу новых российских стандартов криптографических преобразований, связанных с вопросами электронной цифровой подписи (ЦП) и функции хэширования (хэш-функции).
Цифровая подпись. В августе 2012 года в Российской Федерации был введен новый стандарт, описывающий алгоритмы формирования и проверки электронной цифровой подписи - ГОСТ Р 34.10-2012 (далее просто «ГОСТ»), который содержит в себе набор требований к кривым, используемых в средствах криптографической защиты [3]. ГОСТ описывает методы создания и верификации электронной цифровой подписи, основанный на применении операции с группой точек эллиптической кривой, определенным над конечным простым полем.
При использовании данной схемы параметрами являются: p - модуль эллиптической кривой (простое число); E - эллиптическая кривая, описываемая с помощью инварианты J(E)
или коэффициентами a, b G Fp; m - порядок группы точек эллиптической кривой E (целое
число); q - порядок циклической подгруппы группы точек эллиптической кривой E (простое число), для которого: m=nq, neZ, 2254<q<2256 или 2508<q<2512; P ф 0 - точка эллиптической кривой E , с координатами (Xq > У, ) такая, что qP= 0; h (•) :V* ®V - хэш-функция,
отображающая сообщения, представляющие собой двоичные векторы произвольной конечной длины, в двоичные вектора длины l бит.
Каждый пользователь схемы должен обладать ключом подписи (целое числом d , такое что 0<d<q) и ключом проверки подписи (точка эллиптической кривой Q с координатами (xq, у,) такая, что dP = Q).
Для параметров схемы должно быть выполнено условие p1 Ф1 (mod q), для всех целых t = 1, 2, ... B, где B = 31, при 2254 < q < 2256, B=131, при 2508 < q < 2512; инвариант кривой должен удовлетворять условию J(E) Ф 0,1728, а так же должно быть истинным неравенство m
ФР.
© Санчес Россель Хосе Агустин, 2015 г.
При процессах создания и верификации цифровой подписи устанавливаются следующие соответствия между входной информацией, представленной как целые числа, и двоичными векторами длиной l бит.
Возьмем на рассмотрение двоичный вектор длиной l бит, в котором старшие биты расположены слева, а младшие - справа:
h = (aM,...,a), h еУ» О)
где a;, i=0,.., l-l равно 1 или 0. Если верно равенство
а = У1"1 a 21
£—Н=0 1
(2)
то число aeZ ставится в соответствие с двоичным вектором h, Для двоичных векторов h1 и h2 :
h1 ai-1,..., ao,
h2 =bl-1,..., b (3)
которые соответствуют целым числам а, в, операция сложения (объединения) определяется
как:
h1 II h2 (ai-1,...,ao,bi-1,...,bo).
(4)
В результате объединения образуется двоичный вектор длиной 21 бит, полученный из значений векторов h1 и h2.
Для успешной реализации процессов необходимо, чтобы пользователь обладал ключом подписи d и ключом проверки подписи Q(xq, yq) .
Получение цифровой подписи сообщения M е V*, где V* множество всех двоичных векторов произвольной конечной длины, осуществляется с помощью алгоритма представленного на рис.1. Верификация цифровой подписи Z полученного сообщения M осуществляется с помощью алгоритма представленного на рис. 2.
Функция хэширования. Алгоритмы и процедуры вычисления хэш-функции, которые используются в процессах создания и верификации цифровой подписи ГОСТ, регламентированы новым стандартом ГОСТ Р 34.11-2012 [4].
Необходимость разработки стандарта вызвана потребностью создания хэш-функции, отвечающей современным требованиям к криптографической стойкости и необходимым потребностям нового стандарта на электронную цифровую подпись.
Кратко можно описать работу хэш-функции ГОСТ следующим образом: подается сообщение на вход хэш-функции произвольного размера, которое затем делиться на 512битные блоки. В случае не кратности размера сообщения 512, сообщение дополняется до необходимого количества бит. Затем итерационно применяется функция сжатия (как результат, обновляется внутреннее состояние хэш-функции):
8» = V512 XV512 ®V512,Nе V51,, (5)
значение которой определяется по формуле:
gn (h, m): E(LPSh © N),m) © h © m, (6)
где
E(K, m) = X[K13]LPSJ[K12]..LPSJ[K2]LPSJ[K1](m). (7)
Выбор ключа каждого раунда блочного шифра является важным параметром. Ключи для каждого из 13-ти раундов генерируются с помощью самой функции шифрования.
Базовый алгоритм шифрования реализует перестановку элементов множества V228 в зависимости от значений итерационных ключей K е V228, i=1,2,.. .,10.
Алгоритм зашифрования реализует преобразование множества Vi28 в соответствии с равенством
E
K1,...,Klt
(a) = X [K10]LSX [K9]...LSX [K2]LSX [K1](a),
(8)
где ae Vm.
Алгоритм расшифрования реализует преобразование множества Vi28 в соответствии с равенством
D
K1,...,K10
(a) = X [ K1]S-1L- X [ K2]... S-1L- X [ K9]S ^L"1 X [ K10]( a),
(9)
где ae Vm.
Значения Ki eV512, i = 1,...13 вычисляются как:
K = K;
K = LPSiK-1 ©CJ,i=2,...13. (10)
Аналогично находится число обратных бит, а так же контрольная сумма блоков. В конечном итоге, если обработаны все блоки исходного сообщения, производится обработка функций сжатия блока с общей длиной сообщения и с контрольной суммой.
Криптоанализ. Криптографическая стойкость цифровой подписи основана на стойкости алгоритма шифрования и на стойкости хэш-функции.
Стойкость алгоритма шифрования стандарта ГОСТ базируется на трудности, возникающей при решении задачи дискретного логарифмирования в группе точек эллиптической кривой. На данном этапе развития науки и техники не найден метод решения этой задачи хотя бы с субэкспоненциальной сложностью. Так при применении улучшенного
^-метода Полларда сложность решения с точки зрения затраченного времени на вычислисление оценивается как:
L =Т4
Оценка вычислительной сложности решения задачи приведена в табл. 1.
(3)
Таблица 1
Порядок поля p и порядок q базовой точки P (в разрядах) Lp
128 1,63 х 1019
256 3,02 х 1038
512 1,03 х 1077
1028 1,19 х 10154
1536 1,38 х 10231
2048 1,59 х 10308
При использовании 256-разрядных величин параметров q и р, трудоемкость взлома нового стандарта ГОСТ оценивается как 3,02 х 1038. Опираясь на полученные оценки, схема ЦП обладает высокой криптостойкостью и на данном этапе развития вычислительных мощностей позволяет надежно защищать важную информацию.
В 2013 году встала необходимость в замене старого стандарта получения хэш-функции в связи с возможностью ее теоретического взлома. В качестве замены был принят стандарт Хэш-функции ГОСТ («Стрибог») с размером выходных данных 512/256 бит, о котором шла речь выше.
Против алгоритма AES, который является основой функции «Стрибог», интегральный криптоанализ показал свою актуальность и обоснованность, в связя с чем группа исследователей под руководством Riham AlTawy и Amr M. Youssef из университета Конкордия провели работу в этом направлении [5]. Они нашли 4-раундовый прямой и 3.5-раундовый обратный интегральный различитель использующийся для функции сжатия ГОСТ. При использовании атак старта посредине и сочетания двух найденных интегралов, они находят 6.5 и 7.5-раундовый различитель для внутренней перестановки и 6 и 7-
раундовый различитель для функции сжатия. Результатом исследования использования
064 0120
данного вида атаки стало получение значении от 2 до 2 входных или среднераундовых значений при разных условиях нахождения различителя.
Группа исследователей Jian Guo, Jeremy Jean, Thomas Peyrin, Lei Wang и Gaetan Leurent в своей работе [6] утверждают, что российский стандарт получения хэш-функции «Стрибог» содержит в себе ошибку при использовании счётчика.
Тривиальная ошибка использования счётчика позволила исследователям осуществить атаку на полнораундовую функцию «Стрибог «(полный теоретический взлом), причем она заключалась не в нахождении коллизий, а в нахождении для данного сообщения N произвольного сообщения N’, которые будут иметь одинаковые хэш-сообщения (атака нахождения второго прообраза).
При отсутствии такой ошибки для нахождения второго прообраза при использовании 512-битовой хэш-функции требовалось бы 2n или 2512 шагов. В случае же атаки основанной на ошибке для этого необходимо n*2n/2 или 2266 шагов. Однако, это значение является недостижимом для возможности осуществить такую атаку на практике.
Выводы:
1. Новые российские криптографические алгоритмы ГОСТ является достаточно простым в реализации, удобны в эксплуатации и обладают высокой эффективностью.
2. Стойкость алгоритма шифрования нового российского стандарта ГОСТ основана на сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой. На данный момент нет метода решения этой проблемы хотя бы с субэкспоненциальной сложностью.
3. Для осуществления атаки на полнораундовую функцию Стрибог (теоретический взлом) необходимо осуществить 2266 шагов, что является недостижимым значением для возможности осуществить такую атаку на практике.
4. Для повышения эффективности информационной безопасности Боливарианской Республики Венесуэла представляется целесообразным интегрировать новые алгоритмы шифрования России в инфокоммуникационные структуры государства с помощью встраиваемого программного модуля, разработанного на их основе.
Литература
1. Шальгин В.Ф. «Защита компьютерной информации. Эффективные методы и средства». М.: ИД "ФОРУМ": ИНФРА-М. - 2010. -544 с.
2. Бабенко Л.К., Ищукова Е.А. «Современные алгоритмы блочного шифрования и методы их анализа». Учебное пособие // Москва, "Гелиос АРВ", 2006 г. - 376 с.
3. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи. ГОСТ Р 34.11-2012. М.: Стандарттинформ, 2012. - 38 с.
4. Информационная технология. Криптографическая защита информации. Функция хэширования. ГОСТ Р 34.11-2012. М.: Стандартинформ, 2012. - 38с.
5. R. R. 2. 2. h. Riham AlTawy and Amr M. Youssef. Integral Distinguishes for Reduced-round Stribog. Cryptology ePrint Archive.
6. Jian Guo and Jeremy Jean and Gaetan Leurent and Thomas Peyrin and Lei Wang.The Usage of Counter Revisited: Second-Preimage Attack on New Russian Standardized Hash Funct. Cryptology ePrint Archive, Report 2014/675, 2014. http://eprint.iacr.org/2014/675.
