GOST 34.10-2018

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 11 de junio de 2021; las comprobaciones requieren 4 ediciones .

34.10-2018 _ _ _ _ _ - el estándar criptográfico interestatal actual , que describe los algoritmos para generar y verificar una firma digital electrónica implementada usando operaciones en un grupo de puntos de una curva elíptica definida sobre un campo simple finito.

El estándar se desarrolló sobre la base del estándar nacional de la Federación Rusa GOST R 34.10-2012 y entró en vigor el 1 de junio de 2019 por orden de Rosstandart No. 1059-st con fecha 4 de diciembre de 2018 .

Alcance

La firma digital permite:

Autenticar a la persona que firmó el mensaje;
Supervisar la integridad del mensaje;
Proteger el mensaje de la falsificación;

Historia

Las primeras versiones del algoritmo fueron desarrolladas por la Dirección Principal de Seguridad de las Comunicaciones de la FAPSI con la participación del Instituto de Investigación de Normalización de toda Rusia (VNIIstandart) , posteriormente el desarrollo pasó a manos del Centro de Protección de la Información y Comunicaciones Especiales de la Servicio Federal de Seguridad de Rusia y JSC InfoTeKS .

Descripción

La fuerza criptográfica de los primeros estándares de firma digital GOST R 34.10-94 y GOST 34.310-95 se basó en el problema del logaritmo discreto en el grupo multiplicativo de un campo finito simple de orden grande. A partir de GOST R 34.10-2001, la robustez del algoritmo se basa en el problema más complejo de calcular el logaritmo discreto en un grupo de puntos en una curva elíptica . Además, la fuerza del algoritmo de generación de firmas digitales se basa en la fuerza de la función hash correspondiente:

Tipo de	Nombre	poner en marcha	función hash	Ordenar
Nacional	GOST R 34.10-94	1 de enero de 1995	GOST R 34.11-94	Adoptado por el Decreto de la Norma Estatal de Rusia No. 154 del 23 de mayo de 94
Interestatal	GOST 34.310-95	16 de abril de 1998	GOST 34.311-95
Nacional	GOST R 34.10-2001	1 de julio de 2002	GOST R 34.11-94	Adoptado por la resolución de la Norma Estatal de Rusia No. 380-st del 12 de septiembre de 2001 [1]
Interestatal	GOST 34.310-2004	2 de marzo de 2004	GOST 34.311-95	Adoptado por el Consejo Euroasiático de Normalización, Metrología y Certificación por correspondencia (Acta No. 16 del 2 de marzo de 2004)
Nacional	GOST R 34.10-2012	1 de enero de 2013	GOST R 34.11-2012	Aprobado y puesto en vigor por orden de la Agencia Federal de Regulación Técnica y Metrología No. 215-st del 7 de agosto de 2012 como estándar nacional de la Federación Rusa a partir del 1 de enero de 2013
Interestatal	GOST 34.10-2018	1 de junio de 2019	GOST 34.11-2018	Adoptado por el Consejo Interestatal de Metrología, Normalización y Certificación (Acta N° 54 de 29 de noviembre de 2018). Por orden de la Agencia Federal de Regulación Técnica y Metrología No. 1059-st del 4 de diciembre de 2018, entró en vigencia como norma nacional de la Federación Rusa a partir del 1 de junio de 2019

Los estándares utilizan el mismo esquema para generar una firma digital electrónica. Los nuevos estándares desde 2012 se distinguen por la presencia de una versión adicional de los parámetros del esquema, que corresponde a la longitud de la clave secreta de aproximadamente 512 bits.

Después de firmar el mensaje M , se le agrega una firma digital de 512 o 1024 bits de tamaño y un campo de texto. El campo de texto puede contener, por ejemplo, la fecha y hora de envío o varios datos sobre el remitente:

Mensaje M

Firma digital

Texto

Suma

Este algoritmo no describe el mecanismo para generar los parámetros necesarios para generar una firma, sino que solo determina cómo obtener una firma digital basada en dichos parámetros. El mecanismo de generación de parámetros se determina in situ, dependiendo del sistema que se esté desarrollando.

Algoritmo

Se proporciona una descripción de una variante del esquema EDS con una longitud de clave secreta de 256 bits. Para claves secretas con una longitud de 512 bits (la segunda opción para generar un EDS, descrita en el estándar), todas las transformaciones son similares.

Opciones del esquema de firma digital

un número primo es el módulo de una curva elíptica tal que $pags$ $p>2^{{255}}$
una curva elíptica viene dada por su invariante o coeficientes , donde es un campo finito de p elementos. está relacionado con los coeficientes y de la siguiente manera $mi$ $J(E)$ $a,b\en F_{p}$ $F_{p}$ $J(E)$ $a$ $b$

J(E)=1728{\frac {4a^{3}}{4a^{3}+27b^{2}}}{\pmod {p}}

, y .

4a^{3}+27b^{2}\no \equiv 0{\pmod {p}}

entero — el orden del grupo de puntos de la curva elíptica, debe ser diferente de $metro$ $metro$ $pags$
un número primo , el orden de algún subgrupo cíclico del grupo de puntos de una curva elíptica, es decir, se cumple , para algunos . También se encuentra dentro . $q$ $m=nq$ $n\en \mathbb{N}$ $q$ $2^{{254}}<q<2^{{256}}$
punto de la curva elíptica , que es el generador del subgrupo de orden , es decir , para todo k = 1, 2, ..., q -1, donde es el elemento neutro del grupo de puntos de la curva elíptica E . $P=(x_{P},\;y_{P})$ $mi$ $q$ $q\cdot P={\mathbf{0}}$ $k\cdot P\neq {\mathbf {0}}$ $\mathbf {0}$
$h(M)$ es una función hash ( GOST R 34.11-2012 ), que asigna mensajes M en vectores binarios de 256 bits de longitud.

Cada usuario de firma digital tiene claves privadas:

la clave de cifrado es un número entero dentro de . $d$ $0<d<q$
clave de descifrado , calculada como . $Q=(x_{Q},\;y_{Q})$ $Q=d\cdot P$

Requerimientos adicionales:

$p^{t}\neq 1{\pmod {q}}$ , , donde $\para todos t=1..B$ $B\geq 31$
$J(E)\neq 0$ y $J(E)\neq 1728$

Vectores binarios

Existe una correspondencia biunívoca entre vectores binarios de longitud 256 y números enteros de acuerdo con la siguiente regla . Aquí es igual a 0 o igual a 1. En otras palabras, esta es la representación del número z en el sistema numérico binario. ${\bar {h}}=(\alpha{255}},...,\alpha _{0})$ $z\leq 2^{{256}}$ $z=\sum_{{i=0}}^{{255}}\alpha_{i}2^{i}$ $\alpha_i$ ${\ barra {h}}$

El resultado de la operación de concatenación de dos vectores se denomina vector de longitud 512 . La operación inversa es la operación de dividir un vector de longitud 512 en dos vectores de longitud 256. ${\bar {h_{1}}}=(\alpha _{{255}},...,\alpha _{0})$ ${\bar {h_{2}}}=(\beta_{{255}},...,\beta_{0})$ $({\bar {h_{1}}}|{\bar {h_{2}}})=(\alpha _{{255}},...,\alpha _{0},\beta _{{ 255}},...,\beta _{0})$

Formación de una firma digital

Diagramas de flujo :

Generación de una firma digital
Verificación de firma digital

Cálculo de la función hash a partir del mensaje M: ${\bar{h}}=h(M)$
Cálculo , y si , poner . Donde es un entero correspondiente a $e=z\,{\bmod\,}q$ $e=0$ $mi = 1$ $z$ ${\bar{h}}.$
Generando un número aleatorio tal que $k$ $0<k<q.$
Calculando el punto de la curva elíptica , y utilizándolo para encontrar dónde está la coordenada del punto Si , volvemos al paso anterior. $C=kP$ $r=x_{c}\,{\bmod \,}q,$ $x_{c}$ $X$ $C.$ $r=0$
Encontrando _ Si , regrese al paso 3. $s=(rd+ke)\,{\bmod\,}q$ $s=0$
Formación de una firma digital , donde y son los vectores correspondientes a y . $\xi =({\bar {r}}|{\bar {s}})$ ${\bar {r}}$ ${\barras))$ $r$ $s$

Verificación de firma digital

Cálculo a partir de la firma digital de números y , dado que , donde y son los números correspondientes a los vectores y . Si al menos una de las desigualdades es falsa, la firma no es válida. $\xi$ $r$ $s$ $\xi =({\bar {r}}|{\bar {s}})$ $r$ $s$ ${\bar {r}}$ ${\barras))$ $r<q$ $s<q$
Cálculo de la función hash a partir del mensaje M: ${\bar {h}}=h(M).$
Cálculo , y si , poner . Donde es un entero correspondiente a $e=z\,{\bmod\,}q$ $e=0$ $mi = 1$ $z$ ${\bar{h}}.$
cálculo $\nu =e^{{-1}}\,{\bmod \,}q.$
Cálculo y $z_{1}=s\nu\,{\bmod\,}q$ $z_{2}=-r\nu\,{\bmod\,}q.$
Cálculo de un punto en una curva elíptica . Y la definición de , donde es la coordenada del punto $C=z_{1}P+z_{2}Q$ $R=x_{c}\,{\bmod\,}q$ $x_{c}$ $X$ $C.$
En caso de igualdad, la firma es correcta, en caso contrario es incorrecta. $R = r$

Seguridad

La fuerza criptográfica de una firma digital se basa en dos componentes: la fuerza de la función hash y la fuerza del propio algoritmo de cifrado. [2]

La probabilidad de descifrar una función hash según GOST 34.11-94 es cuando se selecciona una colisión para un mensaje fijo y cuando se selecciona cualquier colisión. [2] La fuerza del algoritmo de cifrado se basa en el problema del logaritmo discreto en un grupo de puntos en una curva elíptica. Por el momento, no existe un método para resolver este problema incluso con una complejidad subexponencial. [3] $1{,}73\veces {10}^{-77}$ $2{,}94\times {10}^{-39}$

Uno de los algoritmos más rápidos en este momento, con la elección correcta de parámetros, es el método y el método de Pollard. [cuatro] $\rho$ $\mathrm{yo}$

Para el método Pollard optimizado, la complejidad computacional se estima como . Por lo tanto, para garantizar la solidez criptográfica de las operaciones, debe utilizar un archivo . [2] $\rho$ $O({\sqrt {q)))$ ${10}^{{30}}$ $q$

Diferencias con GOST R 34.10-94 (estándar 1994-2001)

Los GOST de firma digital nuevos y antiguos son muy similares entre sí. La principal diferencia es que en el estándar antiguo, algunas operaciones se realizan sobre el campo , y en el nuevo, sobre un grupo de puntos de una curva elíptica, por lo que los requisitos impuestos a un número primo en el estándar antiguo ( o ) son más estricto que en el nuevo. $\mathbb {Z} _{p}$ $pags$ $2^{{509}}<p<2^{{512}}$ $2^{{1020}}<p<2^{{1024}}$

El algoritmo de generación de firmas difiere únicamente en el párrafo 4 . En la antigua norma, en este párrafo , y y se calculan, si , volvemos al párrafo 3. Donde y . ${\tilde {r}}=a^{k}\,{\bmod \,}p$ $r={\tilde {r))\,{\bmod {\,}}q$ $r=0$ $1<a<p-1$ $a^{q}{\bmod {\,}}p=1$

El algoritmo de verificación de firma difiere solo en el párrafo 6 . En el estándar anterior, este párrafo calcula dónde está la clave pública para verificar la firma . Si , la firma es correcta, de lo contrario es incorrecta. Aquí hay un número primo, y es un divisor de . $R=(a^{{z_{1}}}y^{{z_{2}}}\,{\bmod \,}p)\,{\bmod \,}q$ $y$ $y=a^{d}\,{\bmod \,}p$ $R = r$ $q$ $2^{{254}}<q<2^{{256}}$ $q$ $p-1$

El uso del aparato matemático del grupo de puntos de una curva elíptica permite reducir significativamente el orden del módulo sin perder fuerza criptográfica. [2] $pags$

Además, el antiguo estándar describe los mecanismos para obtener los números , y . $pags$ $q$ $a$

Posibles aplicaciones

Uso de un par de claves (pública, privada) para establecer una clave de sesión. [5]
Uso de claves públicas en certificados . [6]
Uso en S/MIME ( PKCS #7 , sintaxis de mensajes criptográficos ). [7]
Úselo para proteger las conexiones en TLS ( SSL , HTTPS , WEB ). [ocho]
Úselo para proteger los mensajes en la firma XML ( cifrado XML ). [9]
Protección de la integridad de las direcciones y nombres de Internet ( DNSSEC ). [diez]

Notas

↑ Sobre la adopción e implementación de la norma estatal. Decreto de la Norma Estatal de la Federación Rusa del 12 de septiembre de 2001 N 380-st (enlace inaccesible) . bestpravo.ru. Consultado el 1 de septiembre de 2019. Archivado desde el original el 1 de septiembre de 2019. (Ruso)
↑ 1 2 3 4 Igonichkina E. V. Análisis de algoritmos de firma digital electrónica . Consultado el 16 de noviembre de 2008. Archivado desde el original el 15 de enero de 2012. (indefinido)
↑ Semionov G. Firma digital. Curvas elípticas . " Sistemas Abiertos " No. 7-8/2002 (8 de agosto de 2002). Consultado el 16 de noviembre de 2008. Archivado desde el original el 31 de diciembre de 2012. (indefinido)
↑ Bondarenko M. F., Gorbenko I. D., Kachko E. G., Svinarev A. V., Grigorenko T. A. La esencia y los resultados de la investigación sobre las propiedades de los prometedores estándares de firma digital X9.62-1998 y la distribución de claves X9.63 -199X en curvas elípticas . Fecha de acceso: 16 de noviembre de 2008. Archivado desde el original el 22 de febrero de 2012. (indefinido)
↑ RFC 4357 , capítulo 5.2, "VKO GOST R 34.10-2001" - Algoritmos criptográficos adicionales para usar con algoritmos GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001 y GOST R 34.11-94
↑ RFC 4491 : uso de los algoritmos GOST R 34.10-94, GOST R 34.10-2001 y GOST R 34.11-94 con la infraestructura de clave pública de Internet X.509
↑ RFC 4490 : uso de los algoritmos GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94 y GOST R 34.10-2001 con sintaxis de mensajes criptográficos (CMS)
↑ Leontiev, S., Ed. y G. Chudov, Ed. GOST 28147-89 Cipher Suites for Transport Layer Security (TLS) ( diciembre de 2008). — Internet-Drafts, trabajo en progreso. Consultado el 12 de junio de 2009. Archivado desde el original el 24 de agosto de 2011.
↑ S. Leontiev, P. Smirnov, A. Chelpanov. Usando GOST 28147-89, GOST R 34.10-2001 y GOST R 34.11-94 Algorithms for XML Security ( diciembre de 2008). — Internet-Drafts, trabajo en progreso. Consultado el 12 de junio de 2009. Archivado desde el original el 24 de agosto de 2011.
↑ V. Dolmatov, ed. Uso de algoritmos de firma GOST en registros de recursos DNSKEY y RRSIG para DNSSEC ( abril de 2009). — Internet-Drafts, trabajo en progreso. Consultado el 12 de junio de 2009. Archivado desde el original el 22 de febrero de 2012.

Enlaces

El texto de la norma GOST R 34.10-94 “Tecnología de la información. Protección criptográfica de la información. Procedimientos para el desarrollo y verificación de una firma digital electrónica basada en un algoritmo criptográfico asimétrico”
El texto de la norma GOST R 34.10-2001 “Tecnología de la información. Protección criptográfica de la información. Procesos de formación y verificación de firma digital electrónica”
El texto de la norma GOST R 34.10-2012 “Tecnología de la información. Protección criptográfica de la información. Procesos de formación y verificación de firma digital electrónica”
El texto del estándar GOST 34.10-2018 “Tecnología de la información. Protección criptográfica de la información. Procesos de formación y verificación de firma digital electrónica»

implementaciones de software

Paquete criptográfico MagPro . es un proyecto criptográfico de Cryptocom LLC para agregar algoritmos criptográficos rusos a la biblioteca OpenSSL . (indefinido)
Implementación de referencia del proyecto de algoritmos de cifrado rusos en openssl en GitHub
CryptoPro CSP es un proyecto criptográfico de la empresa Crypto-Pro.
Señal-COM CSP . es un proyecto criptográfico de CJSC "Signal-COM". (indefinido)
LIRSSL-CSP . es una biblioteca criptográfica multiplataforma de LISSI LLC. (indefinido)
ViPNet CSP . — los sistemas informáticos, los medios de la defensa criptográfica de la información de la compañía JSC "InfoTeKS" . (indefinido)
Biblioteca Javascript GOST del proyecto WebCrypto en GitHub
libgcrypt_
Castillo inflable

implementaciones de hardware

Rutoken EDS 2.0
JaCarta-2 GOST
ESMART Token GOST (enlace inaccesible) . Archivado desde el original el 15 de julio de 2017. (indefinido)
MS_KEY K "Angara" (enlace no disponible) . Archivado desde el original el 27 de diciembre de 2017. (indefinido)

Criptosistemas de clave pública

Algoritmos

Factorización de números enteros	criptosistema Benalo Bluma - Goldwasser Cayley sobrecargo Damgorda - Eureka GMR Goldwasser-Micali Nakasha - popa paga Rabín RSA Okamoto-Uchiyama Schmidt-Samoa
logaritmo discreto	BLS Cramer - Shoup Protocolo de Diffie-Hellman DSA ECDH Curva25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Intercambio de claves cifradas Esquema de ElGamal esquema de firma MQV esquema de Schnorr HABLA PVP STS
Criptografía en celosías	NTRUEncriptar NTRUSign Intercambio de claves basado en el aprendizaje con errores Entrenamiento basado en firmas con errores en el ring FELICIDAD Nueva Esperanza
Otro	AE CEILIDH EPOC Ecuaciones de campo ocultas IES la firma de lamport McEliece Criptosistema de mochila Merkle-Hellman Criptosistema de mochila Naccache-Stern Protocolo de tres pasos XTR

Teoría

Logaritmo discreto en una curva elíptica
Criptografía elíptica
Criptografía basada en hash
Criptografía no conmutativa
problema RSA
Función unidireccional con entrada secreta

Estándares

CRYPTREC
IEEE P1363
NESSIE
Paquete B de la NSA
Criptografía post cuántica

Temas

Firma electronica
OAEP
Huella dactilar
PKI
red de confianza
Tamaño de clave
Criptografía basada en identidad
Criptografía poscuántica
Tarjeta OpenPGP