Здравствуйте,
> Сегодня 20,04 я переработал текст статьи, упорядочил > систему обозначений, но никаких изменений в матаппарат не > вносил.
А зря. Кое-где, полезно кардинально упростить выкладки, используя, хотя бы, свойства арифметики по модулю. Хороший стиль см. http://csrc.nist.gov/publications/fips/fips186-2/fips186-2.pdf
> ... > 2Cybervlad - извини, конечно, что текст меняется, но для > того я и выкладывал его на форум, чтобы получать замечания > и править статью...
Увы и ах. Статья содержит несколько не связанных друг с другом вопросов и обсуждение их в виде форума конечно затруднено.
> Впрочем, подчёркиваю, меняется только описание, уточняются > формулировки, сама суть ошибок и схема их применения > остаётся неизменной.
Хм. Описание слабости k исчезло, а зря.
Теперь замечания по статье, не особо вникая в детали:
Заглавие.
Используется понятие УК "мошенничество". Вряд ли, в ближайшее время криптографические системы смогут удовлетворять требованиям уголовного права.
----------------------------------------------
п. 1. Введение
Абзац: "В мире негласным стандартом стали алгоритмы...", не корректен. Т.к.:
- В настоящий момент в мире наибольшее количество средств ЭЦП реализуют алгоритмы RSA. Если хочется сохранить пафос фразы и не противоречить фактам, то лучше говорить про стандарт США DSS (FIPS 186-2 от 2000 года), который регламентирует использование одного из трех алгоритмов DSA, RSA или ECDSA;
- Стандарты ГОСТ Р 34.10-94 и DSA были приняты в одном году 1994;
- Одно из рассматриваемых в статье свойств ГОСТ Р 34.10-94 не является главным результатом нововведения.
Абзац: "Суть ошибки состоит в том...", не корректен. Т.к. из текста статьи не следует не возможность доказательства того, что (x0,1) не может быть выдана корректной программой в рамках ГОСТа. Из текста статьи следует, что сложность поиска (вероятность возникновения) такого (x0,1) не меньше, чем сложность подбора (вероятность возникновения) закрытого ключа. Соответственно, противоречие в п. 1. ГОСТ Р 34.10-94 не обосновано.
----------------------------------------------
п. 3. Первая универсальная подпись, утверждённая ГОСТом
Мне кажется, что для прозрачности изложения следует:
- выкладки упростить, используя ряд общеизвестных фактов см. http://csrc.nist.gov/publications/fips/fips186-2/fips186-2.pdf;
- случай x=1 просто не рассматривать, как запутывающий изложение;
- абзац про "k = 0 (или k кратным q)", либо исключить, либо поместить в конец пункта.
----------------------------------------------
п. 4. Вторая универсальная подпись...
Разбить на два пункта, конечно, если хочется ещё раз упомянуть "универсальную подпись", а именно:
- успешность алгоритма проверки ЭЦП с частотой 1/2 подписи (M,r,s) на открытом ключе автора y и на "псевдооткрытом ключе" p-y для алгоритмов Эль-Гамаля, ГОСТ Р 34.10*, *DSA;
- использование этого совпадения в случае "универсальной подписи".
Легко видеть, что x0 просто не существует.
1. Элементы a^x mod p образуют мультипликативную подгруппу порядка q по построению алгоритма ЭЦП (выбор параметров p, q, a);
2. q- простое число, 2^254 < q < 2^256, следовательно, q - нечётно;
3. Следовательно, если в подгруппу входит элемент y, то элемент -y в подгруппу не входит;
4. Следовательно, уравнение p - y = a^x0 mod p, корней не имеет.
----------------------------------------------
п. 6. Примерная схема мошенничества
С моей точки зрения, во первых, правовые вопросы применения ЭЦП ортогональны рассматривающимся выше математическим вопросам, во вторых, их рассмотрение в данной статье крайне не полно, и в третьих, они значительно менее интересны. Для получения, каких либо выводов надо полностью изложить все минимально необходимые организационно-правовые ограничения для любого алгоритма ЭЦП, а это не мало, и рассмотреть влияние математических результатов статьи на них. Следовательно, это эмоционально-иллюстративная часть статьи, поэтому ограничусь парой комментариев.
6.1 - Т.е. заявляем, что любому сообщению, удовлетворяющему алгоритму проверки ЭЦП на открытом ключе y1, следует верить, как нашему.
6.4 - Сам по себе ГОСТ Р 34.10-94 не заявляет не возможность чего бы то ни было без относительно к реализации конкретного средства ЭЦП. А конкретное средство ЭЦП накладывает определённые требования на пользователя этого средства. При рассмотрении этого пункта сильно не хватает рассмотрения использования предсказуемых k в средстве ЭЦП в математической части статьи. К слову, интересный казус ГК, пользователь должен доказывать тот факт, что он использовал средство ЭЦП согласно правилам эксплуатации, а не наоборот :)
----------------------------------------------
п. 7, Как такое могло случиться?
Фраза "...сертификат от ФАПСИ вы получите. Ибо нет ни одной бумаги на то, как, из чего и каким образом должна генерироваться ключевая информация" не верна, т.к. имеется ряд нормативных документов предъявляющих требования к ключевой информации, на пример, цитата из ГОСТ Р 34.10-94, п. 4, стр.3:
Целое число k, которое генерируется в процедуре подписи сообщения ДОЛЖНО БЫТЬ СЕКРЕТНЫМ и должно быть уничтожено сразу после выработки подписи. Число k снимается физического датчика случайных чисел или вырабатывается псевдослучайным методом с использованием СЕКРЕТНЫХ параметров.
Чётко и ясно высказано требование стандарта о том, что бы потенциальный нарушитель (группа нарушителей) любыми доступными ему (им) способами (измерениями времени, веса ЭВМ, гаданиями на кофейной гуще и др.пр.) не мог восстановить число k, так же как и параметры ПДСЧ, если такой используется.
----------------------------------------------
п. 7, Как такое могло случиться?
Я не понял упоминания подписи Эль-Гамаля вида (0,1).
Производительность может быть аргументом. На пример, говорят, что основным мотивом разработки алгоритма ЭЦП Лан-Крипто была более высокая скорость реализации Эль-Гамаля на другом поле.
----------------------------------------------
п. 7, ЧАВО п. 2
Использование: r= a^k (mod p); r' = r (mod q) принципиально для алгоритма Эль-Гамаля.
Успехов.
--
LSE, Сергей Леонтьев, Крипто-Про, http://www.CryptoPro.ru
|