информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Сетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / theory
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Предлагается к обсуждению новая редакцич статьи. 23.04.02 04:23  Число просмотров: 3249
Автор: Serge3 Статус: Незарегистрированный пользователь
Отредактировано 23.04.02 05:55  Количество правок: 4
<"чистая" ссылка>
Здравствуйте,

> Сегодня 20,04 я переработал текст статьи, упорядочил
> систему обозначений, но никаких изменений в матаппарат не
> вносил.

А зря. Кое-где, полезно кардинально упростить выкладки, используя, хотя бы, свойства арифметики по модулю. Хороший стиль см. http://csrc.nist.gov/publications/fips/fips186-2/fips186-2.pdf

> ...
> 2Cybervlad - извини, конечно, что текст меняется, но для
> того я и выкладывал его на форум, чтобы получать замечания
> и править статью...

Увы и ах. Статья содержит несколько не связанных друг с другом вопросов и обсуждение их в виде форума конечно затруднено.

> Впрочем, подчёркиваю, меняется только описание, уточняются
> формулировки, сама суть ошибок и схема их применения
> остаётся неизменной.

Хм. Описание слабости k исчезло, а зря.

Теперь замечания по статье, не особо вникая в детали:

Заглавие.

Используется понятие УК "мошенничество". Вряд ли, в ближайшее время криптографические системы смогут удовлетворять требованиям уголовного права.

----------------------------------------------

п. 1. Введение

Абзац: "В мире негласным стандартом стали алгоритмы...", не корректен. Т.к.:

- В настоящий момент в мире наибольшее количество средств ЭЦП реализуют алгоритмы RSA. Если хочется сохранить пафос фразы и не противоречить фактам, то лучше говорить про стандарт США DSS (FIPS 186-2 от 2000 года), который регламентирует использование одного из трех алгоритмов DSA, RSA или ECDSA;

- Стандарты ГОСТ Р 34.10-94 и DSA были приняты в одном году 1994;

- Одно из рассматриваемых в статье свойств ГОСТ Р 34.10-94 не является главным результатом нововведения.

Абзац: "Суть ошибки состоит в том...", не корректен. Т.к. из текста статьи не следует не возможность доказательства того, что (x0,1) не может быть выдана корректной программой в рамках ГОСТа. Из текста статьи следует, что сложность поиска (вероятность возникновения) такого (x0,1) не меньше, чем сложность подбора (вероятность возникновения) закрытого ключа. Соответственно, противоречие в п. 1. ГОСТ Р 34.10-94 не обосновано.

----------------------------------------------

п. 3. Первая универсальная подпись, утверждённая ГОСТом

Мне кажется, что для прозрачности изложения следует:

- выкладки упростить, используя ряд общеизвестных фактов см. http://csrc.nist.gov/publications/fips/fips186-2/fips186-2.pdf;

- случай x=1 просто не рассматривать, как запутывающий изложение;

- абзац про "k = 0 (или k кратным q)", либо исключить, либо поместить в конец пункта.

----------------------------------------------

п. 4. Вторая универсальная подпись...

Разбить на два пункта, конечно, если хочется ещё раз упомянуть "универсальную подпись", а именно:

- успешность алгоритма проверки ЭЦП с частотой 1/2 подписи (M,r,s) на открытом ключе автора y и на "псевдооткрытом ключе" p-y для алгоритмов Эль-Гамаля, ГОСТ Р 34.10*, *DSA;

- использование этого совпадения в случае "универсальной подписи".

Легко видеть, что x0 просто не существует.

1. Элементы a^x mod p образуют мультипликативную подгруппу порядка q по построению алгоритма ЭЦП (выбор параметров p, q, a);

2. q- простое число, 2^254 < q < 2^256, следовательно, q - нечётно;

3. Следовательно, если в подгруппу входит элемент y, то элемент -y в подгруппу не входит;

4. Следовательно, уравнение p - y = a^x0 mod p, корней не имеет.

----------------------------------------------

п. 6. Примерная схема мошенничества

С моей точки зрения, во первых, правовые вопросы применения ЭЦП ортогональны рассматривающимся выше математическим вопросам, во вторых, их рассмотрение в данной статье крайне не полно, и в третьих, они значительно менее интересны. Для получения, каких либо выводов надо полностью изложить все минимально необходимые организационно-правовые ограничения для любого алгоритма ЭЦП, а это не мало, и рассмотреть влияние математических результатов статьи на них. Следовательно, это эмоционально-иллюстративная часть статьи, поэтому ограничусь парой комментариев.

6.1 - Т.е. заявляем, что любому сообщению, удовлетворяющему алгоритму проверки ЭЦП на открытом ключе y1, следует верить, как нашему.

6.4 - Сам по себе ГОСТ Р 34.10-94 не заявляет не возможность чего бы то ни было без относительно к реализации конкретного средства ЭЦП. А конкретное средство ЭЦП накладывает определённые требования на пользователя этого средства. При рассмотрении этого пункта сильно не хватает рассмотрения использования предсказуемых k в средстве ЭЦП в математической части статьи. К слову, интересный казус ГК, пользователь должен доказывать тот факт, что он использовал средство ЭЦП согласно правилам эксплуатации, а не наоборот :)

----------------------------------------------

п. 7, Как такое могло случиться?

Фраза "...сертификат от ФАПСИ вы получите. Ибо нет ни одной бумаги на то, как, из чего и каким образом должна генерироваться ключевая информация" не верна, т.к. имеется ряд нормативных документов предъявляющих требования к ключевой информации, на пример, цитата из ГОСТ Р 34.10-94, п. 4, стр.3:

Целое число k, которое генерируется в процедуре подписи сообщения ДОЛЖНО БЫТЬ СЕКРЕТНЫМ и должно быть уничтожено сразу после выработки подписи. Число k снимается физического датчика случайных чисел или вырабатывается псевдослучайным методом с использованием СЕКРЕТНЫХ параметров.

Чётко и ясно высказано требование стандарта о том, что бы потенциальный нарушитель (группа нарушителей) любыми доступными ему (им) способами (измерениями времени, веса ЭВМ, гаданиями на кофейной гуще и др.пр.) не мог восстановить число k, так же как и параметры ПДСЧ, если такой используется.

----------------------------------------------

п. 7, Как такое могло случиться?

Я не понял упоминания подписи Эль-Гамаля вида (0,1).

Производительность может быть аргументом. На пример, говорят, что основным мотивом разработки алгоритма ЭЦП Лан-Крипто была более высокая скорость реализации Эль-Гамаля на другом поле.

----------------------------------------------

п. 7, ЧАВО п. 2

Использование: r= a^k (mod p); r' = r (mod q) принципиально для алгоритма Эль-Гамаля.

Успехов.
--
LSE, Сергей Леонтьев, Крипто-Про, http://www.CryptoPro.ru
<theory> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach