> Свободу слова пока еще не отменили ;) Чего нельзя сказать про конкуренцию алгоритмов (методов) ЭЦП :)
> > Александр показывает потенциальный механизм мошенничества > (который был впоследствии опровергнут) и патетически > вопрошает "Что мы должны думать о ФАПСИ, сознательно > оставившем такую дыру?!".
Александр показал несколько уязвимостей, одна из которых пока не опровергнута, см. ниже.
> (который был впоследствии опровергнут) и патетически > вопрошает "Что мы должны думать о ФАПСИ, сознательно > оставившем такую дыру?!".
Простите а откуда Вы взяли подобную фразу? Если уж цитируете, да ещё с кавычками кавычами, так обеспечьте соответствие тексту.
> > 2) Универсальная подпись: существует подпись, ...
> > Уникальная особенность ГОСТовского матаппарата :). > Аналогов в других методах подписи нет. > Т.е. Вы утверждаете, что ни DSA, ни изначальный алгоритм > Эль-Гамаля (за что ж Вы его выше Гамейном обозвали? ;)) не > имеют универсальной подписи, проходящей проверку? Я не > говорю о последующем доказательстве ее умышленности...
Нет не имеет. У них подобной подписью может являеться только (0,1).
Такая подпись не пройдёт входных проверок (s>0, r>0).
Так, что это "достоинство" ГОСТа, вызванное, как правильно пишет Комлин "законадательным" введением ограничений.
> А никак. Эта уязвимость возможна только при > желании законного владельца секретного ключа Х. > Не думаю, что кто-то захочет наскрести себе неприятностей, > особенно после этой дискуссии.
А также в случае когда секретный ключ украден и у вора нет времени разбираться с дополнительными методами защиты в первую очередь с формированием документа для хэширования. (см. ниже.)
> > Совсем недавно (в сентябре 2001) все условия для этого > > предоставил iBank (предсказуемый генератор k). Не > думаю, что он последний. Вот! В связи с этим классно звучит наезд на ФАПСИ.
Претензия к ФАПСИ не в том, что они заставляют всех сертифицироваться, а в том что
1) У пользователя/разработчика отсуствует возможность выбора между методами, как это сделано в DSS.
2) Непонятно зачем не доступен ряд документов,позволяющих повысить стойкость методов.
> по договору риски связанные с компрометацией (в определеии > компрометации не говорится, умышленная она или нет), несет > владелец ключа.
Речь идёт о конкретном договоре не так ли? К тому же ущемляющим права клиента? Далеко не всякий крупный клиент подпишет договор ущемляющий его права. Да и мелкий может поискать другой банк.
> > Второй способ, основан на разрешении ГОСТа иметь общие > > граничные условия, и том факте, что во многих > программах они общие > > для всех их пользователей. Анонимно открываем проект > Замечательно. Наталья, ну откуда у Вас такая тяга все > усложнять? Мой пример не слишком удачен, особенно в свете нижесказанного, но он приводился просто для иллюстрации многообразия методов компроментации. Вы ведь тоже привели ещё один?
;) Если по известным Y подбирались X, то зачем с
> подобранным ("случайно" ;)) Х посылать доказательство > умышленности (Х,1), когда можно послать нормальную подпись > с k!=0 (S,r')?
"Просто сформировать" подпись не так-то просто (я уже писала это Александру как замечания к способу компроментации подписи, теперь Вам :). Использование универсальной подписи позволяет элементарно обойти одну из самых распрастранённых допзащит: секретная дописка( см. ниже) к документу (Та самая комплексная защита). Поэтому для злоумышленника логичнее всего использовать именно её.
Те, кто знает, что такое секретная дописка могут это пропустить
----------------
Даже захватив (сымитировав захват) секретный ключ ( особенно предлагаемым Владом, путём грабежа оффиса ) атакующему стоит разобраться с особенностями формирования документа для хэширования. По крайней мере туда включаются идентификаторы пользователя, причём они могут и не включаться в отсылаемый документ, а подключаться на этапе хэширования.
Не секрет, что сегодня для любой системы, имеющей доступ в интернет риск поймать троянца достаточно велик (вспомните например последнюю серию дыр в продуктах MS и то с какой попытки MS удалось сформировать корректный патч). О прослушивании каналов связи и говорить нечего. Поэтому практически все зарубежные (VIP DS например) и некоторые наши тоже (называть не буду, а то кто-то в рекламе обвинит ;) ) разработчики в внедряют разнообразные дополнительные методы защиты . Как правило речь идёт о том, что перед получением хэша документа к нему дописывается некоторый код известный только программе/пользователю (в VIP DS паре банк-пользователь, причём вводится непосредственно пользователем в момент подписи) и разумеется, в отсылаемый документ он не дописывается. Это кстати служит и прекрасной защитой от прослушивания /подбора (k,r) .
Полный анализ чужой программы без исходников дело очень долгое и зачастую непосильное, гораздо проще рассмотреть структуру пересыламого документа и использовать универсальную подпись.
Поэтому для использования универсальной подписи у атакующего причины есть.
-------------------------------------
> > Не думаю, что деньги вернут, но и посадить мошенника > скорее > > всего не удастся. Как указывалось в статье, бухгалтера > > госструктуры сбросившего деньги на знакомую > "однодневку" и > > такая ситуация прекрасно устроит. > > > Поэтому, мне кажется, что ГОСТ выглядит хуже своих > > американских и европейских одноклассников. > Не согласен. Если владелец хочет скомпрометировать свой > ключ, он это сделает независимо от алгоритма. > Наталья, безопасность - штука комплексная. Не все проблемы > можно решить математически/криптографически, поэтому по > использованию ЭЦП и составляют договора. Зачем делать при > проверке подписи контроль S==X и r'==1? Ну, проверится > такая подпись корректно, ну будет она универсальной. Зачем > проверяющему лишние телодвижения, если он все равно не > пострадает? О комплексности защиты конечно сказано правильно, но из статьи как раз и следует то, что ГОСТ в эту комплексность лишние дырки добавляет. Их нетрудно перекрыть (проверкой r==2) или другими орг методами( договорами и т.д.), но это не оправдывает стандарт. Ещё раз повторюсь такого прикола как универсальная подпись нет нигде.
Кстати вспомните одно из назначений ЭЦП - она защищает от данные от искажения.
С учётом универсальной подписи, существует по крайней мере одно такое искажение, что документ будет принят. Разумеется подобная ситуация возможна только только теоритически, но в других алгоритмах даже такого нет.
Поэтому я считаю себя в праве говорить,что ГОСТ хуже одноклассников.
> > Учитывая на редкость спокойное и конструктивное > отношение > > Komlina к любой критике > > благодарности высказывались именно за последнюю. > Обратите > > внимание Влад, там и Вас упоминают (явно не за > > поддакивание). > Да? Не заметил ;) HTM -вариант статьи (ссылка в конце сообщения об усовершенствованном способе подписи).
> > > Полагаю, что до разъяснений Александра утвержать, что > > кто-то поддакивал преждевременно. > В статье, естественно, цитат не было. Но вокруг самой идеи > Александра была куча споров/высказываний. Этот форум - не > единственное место. Почитайте cnews.ru -думаю, многим уже > стыдно за сказанное. Вы о форуме cnews? Читала (пока он был доступен) , единственное что написал Волчков - о несбалансированности защиты ГОСТа (абсолютно верно кстати).
> А еще стоит помнить, что никто не безгрешен: ФАПСИ находило > ошибки и в продуктах ЛК. Ссылочку?
Насколько я помню речь шла не об ошибках а о несоответствии ГОСТу.
> Вообще, государство для того и существует, чтобы > регулировать общественные отношения. Лицензирование > сертификация в области криптографии отданы ФАПСИ. Аналогия
Сертификация- пожалуйста. Только зачем же навязывать свой алгоритм да ещё единственный, да ещё уступающий однокласниккам (см. выше). Вспомните DSS -дан выбор методов, причём их можно использовать одновременно (с разными ключами). В этом случае, даже если вскроют один это мало чем грозит. В условиях роста производительности компъхютерного парка это (комбинированное применение методов без потерь в обслуживании) легко достижимо уже сейчас или в ближайшем будущем.
|