ГОСТ 34.10-2018

Цифровая подпись позволяет:

1. Аутентифицировать лицо, подписавшее сообщение;
2. Контролировать целостность сообщения;
3. Защищать сообщение от подделок;

Первые версии алгоритма разрабатывались Главным управлением безопасности связи ФАПСИ при участии Всероссийского научно-исследовательского института стандартизации (ВНИИстандарт), позже разработка перешла в руки Центра защиты информации и специальной связи ФСБ России и АО «ИнфоТеКС».

Криптографическая стойкость первых стандартов цифровой подписи ГОСТ Р 34.10-94 и ГОСТ 34.310-95 была основана на задаче дискретного логарифмирования в мультипликативной группе простого конечного поля большого порядка. Начиная с ГОСТ Р 34.10-2001 стойкость алгоритма основана на более сложной задаче вычисления дискретного логарифма в группе точек эллиптической кривой. Также стойкость алгоритма формирования цифровой подписи основана на стойкости соответствующей хеш-функции:

Стандарты используют одинаковую схему формирования электронной цифровой подписи. Новые стандарты с 2012 года отличаются наличием дополнительного варианта параметров схем, соответствующего длине секретного ключа порядка 512 бит.

После подписывания сообщения М к нему дописывается цифровая подпись размером 512 или 1024 бит, и текстовое поле. В текстовом поле могут содержаться, например, дата и время отправки или различные данные об отправителе:

Данный алгоритм не описывает механизм генерации параметров, необходимых для формирования подписи, а только определяет, каким образом на основании таких параметров получить цифровую подпись. Механизм генерации параметров определяется на месте в зависимости от разрабатываемой системы.

Приводится описание варианта схемы ЭЦП с длиной секретного ключа 256 бит. Для секретных ключей длиной 512 бит (второй вариант формирования ЭЦП, описанный в стандарте) все преобразования аналогичны.

Параметры схемы цифровой подписиПравить

• простое число ${\displaystyle p}$  — модуль эллиптической кривой такой, что ${\displaystyle p>2^{255}}$ 
• эллиптическая кривая ${\displaystyle E}$  задаётся своим инвариантом ${\displaystyle J(E)}$  или коэффициентами ${\displaystyle a,b\in <!--\; \in \; -->F_p}$ , где ${\displaystyle F_p}$  — конечное поле из p элементов. ${\displaystyle J(E)}$  связан с коэффициентами ${\displaystyle a}$  и ${\displaystyle b}$  следующим образом

${\displaystyle J(E)=1728\frac{4a^3}{4a^3+27b^2}(\mathrm{mod}p)}$ , причём ${\displaystyle 4a^3+27b^2\not\equiv 0(\mathrm{mod}p)}$ .

• целое число ${\displaystyle m}$  — порядок группы точек эллиптической кривой, ${\displaystyle m}$  должно быть отлично от ${\displaystyle p}$ 
• простое число ${\displaystyle q}$ , порядок некоторой циклической подгруппы группы точек эллиптической кривой, то есть выполняется ${\displaystyle m=nq}$ , для некоторого ${\displaystyle n\in <!--\; \in \; -->\mathbb{N}}$ . Также ${\displaystyle q}$  лежит в пределах  .
• точка ${\displaystyle P=(x_P,y_P)}$  эллиптической кривой ${\displaystyle E}$ , являющаяся генератором подгруппы порядка ${\displaystyle q}$ , то есть ${\displaystyle q\cdot <!--\; \cdot \; -->P=\mathbf{0}}$  и ${\displaystyle k\cdot <!--\; \cdot \; -->P\ne <!--\; \ne \; -->\mathbf{0}}$  для всех k = 1, 2, …, q-1, где ${\displaystyle \mathbf{0}}$  — нейтральный элемент группы точек эллиптической кривой E.
• ${\displaystyle h(M)}$  — хеш-функция (ГОСТ Р 34.11-2012), которая отображает сообщения M в двоичные векторы длины 256 бит.

Каждый пользователь цифровой подписи имеет личные ключи:

• ключ шифрования ${\displaystyle d}$  — целое число, лежащее в пределах  .
• ключ расшифрования ${\displaystyle Q=(x_Q,y_Q)}$ , вычисляемый как ${\displaystyle Q=d\cdot <!--\; \cdot \; -->P}$ .

Дополнительные требования:

• ${\displaystyle p^t\ne <!--\; \ne \; -->1(\mathrm{mod}q)}$ , ${\displaystyle \mathrm{\forall <!--\; \forall \; -->}t=\mathrm{1..}B}$ , где ${\displaystyle B\ge <!--\; \ge \; -->31}$ 
• ${\displaystyle J(E)\ne <!--\; \ne \; -->0}$  и ${\displaystyle J(E)\ne <!--\; \ne \; -->1728}$ 

Двоичные векторыПравить

Между двоичными векторами длины 256 ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{h}=({\mathrm{\alpha <!--\; \alpha \; -->}}_{255},...,{\mathrm{\alpha <!--\; \alpha \; -->}}_0)}$  и целыми числами ${\displaystyle z\le <!--\; \le \; -->2^{256}}$  ставится взаимно-однозначное соответствие по следующему правилу ${\displaystyle z=\underset{i=0}{\overset{255}{\sum <!--\; \sum \; -->}}{\mathrm{\alpha <!--\; \alpha \; -->}}_i{2}^i}$ . Здесь ${\displaystyle {\mathrm{\alpha <!--\; \alpha \; -->}}_i}$  либо равно 0, либо равно 1. Другими словами, ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{h}}$  — это представление числа z в двоичной системе счисления.

Результатом операции конкатенации двух векторов ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{h_1}=({\mathrm{\alpha <!--\; \alpha \; -->}}_{255},...,{\mathrm{\alpha <!--\; \alpha \; -->}}_0)}$  и ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{h_2}=({\mathrm{\beta <!--\; \beta \; -->}}_{255},...,{\mathrm{\beta <!--\; \beta \; -->}}_0)}$  называется вектор длины 512 ${\displaystyle (\stackrel{¯<!--\; ¯\; -->}{h_1}|\stackrel{¯<!--\; ¯\; -->}{h_2})=({\mathrm{\alpha <!--\; \alpha \; -->}}_{255},...,{\mathrm{\alpha <!--\; \alpha \; -->}}_0,{\mathrm{\beta <!--\; \beta \; -->}}_{255},...,{\mathrm{\beta <!--\; \beta \; -->}}_0)}$ . Обратная операция — операция разбиения одного вектора длины 512 на два вектора длины 256.

Формирование цифровой подписиПравить

Блок-схемы:

•  

  Формирование цифровой подписи

•  

  Проверка цифровой подписи

1. Вычисление хеш-функции от сообщения М: ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{h}=h(M)}$ 
2. Вычисление ${\displaystyle e=zmodq}$ , и если ${\displaystyle e=0}$ , положить ${\displaystyle e=1}$ . Где ${\displaystyle z}$  — целое число, соответствующее ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{h}.}$ 
3. Генерация случайного числа ${\displaystyle k}$  такого, что  
4. Вычисление точки эллиптической кривой ${\displaystyle C=kP}$ , и по ней нахождение ${\displaystyle r=x_{c}modq,}$  где ${\displaystyle x_c}$  — это координата ${\displaystyle x}$  точки ${\displaystyle C.}$  Если ${\displaystyle r=0}$ , возвращаемся к предыдущему шагу.
5. Нахождение ${\displaystyle s=(rd+ke)modq}$ . Если ${\displaystyle s=0}$ , возвращаемся к шагу 3.
6. Формирование цифровой подписи ${\displaystyle \mathrm{\xi <!--\; \xi \; -->}=(\stackrel{¯<!--\; ¯\; -->}{r}|\stackrel{¯<!--\; ¯\; -->}{s})}$ , где ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{r}}$  и ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{s}}$  — векторы, соответствующие ${\displaystyle r}$  и ${\displaystyle s}$ .

Проверка цифровой подписиПравить

1. Вычисление по цифровой подписи ${\displaystyle \mathrm{\xi <!--\; \xi \; -->}}$  чисел ${\displaystyle r}$  и ${\displaystyle s}$ , учитывая, что ${\displaystyle \mathrm{\xi <!--\; \xi \; -->}=(\stackrel{¯<!--\; ¯\; -->}{r}|\stackrel{¯<!--\; ¯\; -->}{s})}$ , где ${\displaystyle r}$  и ${\displaystyle s}$  — числа, соответствующие векторам ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{r}}$  и ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{s}}$ . Если хотя бы одно из неравенств   и   неверно, то подпись неправильная.
2. Вычисление хеш-функции от сообщения М: ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{h}=h(M).}$ 
3. Вычисление ${\displaystyle e=zmodq}$ , и если ${\displaystyle e=0}$ , положить ${\displaystyle e=1}$ . Где ${\displaystyle z}$  — целое число соответствующее ${\displaystyle \stackrel{¯<!--\; ¯\; -->}{h}.}$ 
4. Вычисление ${\displaystyle \mathrm{\nu <!--\; \nu \; -->}=e^{-<!--\; -\; -->1}modq.}$ 
5. Вычисление ${\displaystyle z_1=s\mathrm{\nu <!--\; \nu \; -->}modq}$  и ${\displaystyle z_2=-<!--\; -\; -->r\mathrm{\nu <!--\; \nu \; -->}modq.}$ 
6. Вычисление точки эллиптической кривой ${\displaystyle C=z_{1}P+z_{2}Q}$ . И определение ${\displaystyle R=x_{c}modq}$ , где ${\displaystyle x_c}$  — координата ${\displaystyle x}$  точки ${\displaystyle C.}$ 
7. В случае равенства ${\displaystyle R=r}$  подпись правильная, иначе — неправильная.

Криптостойкость цифровой подписи опирается на две компоненты — на стойкость хеш-функции и на стойкость самого алгоритма шифрования.^[2]

Вероятность взлома хеш-функции по ГОСТ 34.11-94 составляет ${\displaystyle 1,73\times <!--\; \times \; -->{10}^{-<!--\; -\; -->77}}$  при подборе коллизии на фиксированное сообщение и ${\displaystyle 2,94\times <!--\; \times \; -->{10}^{-<!--\; -\; -->39}}$  при подборе любой коллизии.^[2] Стойкость алгоритма шифрования основывается на проблеме дискретного логарифмирования в группе точек эллиптической кривой. На данный момент нет метода решения данной проблемы хотя бы с субэкспоненциальной сложностью.^[3]

Один из самых быстрых алгоритмов, на данный момент, при правильном выборе параметров — ${\displaystyle \mathrm{\rho <!--\; \rho \; -->}}$ -метод и ${\displaystyle \mathrm{I}}$ -метод Полларда.^[4]

Для оптимизированного ${\displaystyle \mathrm{\rho <!--\; \rho \; -->}}$ -метода Полларда вычислительная сложность оценивается как ${\displaystyle O(\sqrt{q})}$ . Таким образом для обеспечения криптостойкости ${\displaystyle {10}^{30}}$  операций необходимо использовать 256-разрядное ${\displaystyle q}$ .^[2]

Новый и старый ГОСТы цифровой подписи очень похожи друг на друга. Основное отличие — в старом стандарте часть операций проводится над полем ${\displaystyle {\mathbb{Z}}_p}$ , а в новом — над группой точек эллиптической кривой, поэтому требования, налагаемые на простое число ${\displaystyle p}$  в старом стандарте (  или  ), более жёсткие, чем в новом.

Алгоритм формирования подписи отличается только в пункте 4. В старом стандарте в этом пункте вычисляются ${\displaystyle \stackrel{~<!--\; ~\; -->}{r}=a^{k}modp}$  и ${\displaystyle r=\stackrel{~<!--\; ~\; -->}{r}modq}$  и, если ${\displaystyle r=0}$ , возвращаемся к пункту 3. Где   и ${\displaystyle a^{q}modp=1}$ .

Алгоритм проверки подписи отличается только в пункте 6. В старом стандарте в этом пункте вычисляется ${\displaystyle R=(a^{z_1}{y}^{z_2}modp)modq}$ , где ${\displaystyle y}$  — открытый ключ для проверки подписи, ${\displaystyle y=a^{d}modp}$ . Если ${\displaystyle R=r}$ , подпись правильная, иначе неправильная. Здесь ${\displaystyle q}$  — простое число,   и ${\displaystyle q}$  является делителем ${\displaystyle p-<!--\; -\; -->1}$ .

Использование математического аппарата группы точек эллиптической кривой позволяет существенно сократить порядок модуля ${\displaystyle p}$  без потери криптостойкости.^[2]

Также старый стандарт описывает механизмы получения чисел ${\displaystyle p}$ , ${\displaystyle q}$  и ${\displaystyle a}$ .

• Использование пары ключей (открытый, закрытый) для установления ключа сессии.^[5]
• Использование в сертификатах открытых ключей.^[6]
• Использование в S/MIME (PKCS #7, Cryptographic Message Syntax).^[7]
• Использование для защиты соединений в TLS (SSL, HTTPS, WEB).^[8]
• Использование для защиты сообщений в XML Signature (XML Encryption).^[9]
• Защита целостности Интернет-адресов и имён (DNSSEC).^[10]

• Текст стандарта ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»
• Текст стандарта ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»
• Текст стандарта ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»
• Текст стандарта ГОСТ 34.10-2018 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»

Программные реализации

• МагПро КриптоПакет  (неопр.). — криптографический проект компании ООО «Криптоком» по добавлению российских криптографических алгоритмов в библиотеку OpenSSL.
• Проект Эталонная реализация российских алгоритмов шифрования в openssl на сайте GitHub
• КриптоПро CSP — криптографический проект компании «Крипто-Про».
• Signal-COM CSP  (неопр.). — криптографический проект компании ЗАО «Сигнал-КОМ».
• ЛИРССЛ-CSP  (неопр.). — кроссплатформенная криптографическая библиотека компании ООО «ЛИССИ».
• ViPNet CSP  (неопр.). — программные комплексы, средства криптографической защиты информации компании ОАО «ИнфоТеКС».
• Проект WebCrypto GOST Javascript библиотека на сайте GitHub
• Libgcrypt^[en]
• Bouncy Castle

Аппаратные реализации

• Рутокен ЭЦП 2.0
• JaCarta-2 ГОСТ
• ESMART Token ГОСТ  (неопр.). Архивировано из оригинала 15 июля 2017 года.
• MS_KEY K «Ангара»  (неопр.). Архивировано из оригинала 27 декабря 2017 года.