информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаПортрет посетителяСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / theory
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Виновен ли ГОСТ Р 34.10-94? 26.04.02 13:33  Число просмотров: 3471
Автор: (Не)Случайный посетитель Статус: Незарегистрированный пользователь
Отредактировано 26.04.02 13:36  Количество правок: 1
<"чистая" ссылка>
Уважаемые коллеги.
С большим интересом прочитал Вашу полемику.
Мне кажется сейчас самое время определиться с окончательным решением по статье.
По моему, для этого достаточно ответить на три вопроса.

Есть ли в старом (действующем) ГОСТе описанные ошибки ( с теоретической точки зрения)? Новы ли они?

Серьёзны ли (имеют ли они практическую значимость или это больше теоретические недостатки)?

Уступает ли стандарт по качеству аналогичным документам.
DSS ( DSA, RSA), алгоритму Шнорра, ОСТ "Газпром" и т.д.
(Имеется в виду существуют ли там аналогичные ошибки или равные по значимости)

Вот моё мнение

1) Из описанных на 26.04.02 ошибок новой и не опровергнутой является только универсальная подпись.

Да, она является ( теоретически) ошибкой т.к. она противоречит ч.1 ГОСТ Р 34.10-94("Область применения")


Внедрение системы ЭЦП на базе настоящего стандарта обеспечивает защиту передаваемых сообщений то
подделки, искажения и однозначно позволяет доказательно подтвердить подпись лица, подписавшего
сообщение.

Видно, что (теоретически) появляется дополнительный ( к повтору хэша) вариант искажения документа и подписи не обнаруживаемый процедурой проверки ГОСТа.

2) С практической точки зрения

Его вероятность не превышает 1/q.
При искажении это может быть несколько ниже чем вероятность случайного повтора значений хэша L/256*(2^-256), (L-длина документа) но всё равно достаточно велико.

Как обсуждалось в форуме метод может упростить обход одного из способов защиты ключа (секретное дополнение к документу). Или послужить косвенным доказательством взлома со стороны.

Пожалуй это всё. Самостоятельно он применяться не может.

3) О существовании универсальных подписей в других методах пока(мне) не известно.
Попытка применить k (k')=0 к DSA ( или к El-Gamal ) приводит к s==0,
что противоречит выходным условиям проверки подписи q>s>0.

Т.е ошибка в российском стандарте на одну теоретическую ошибку больше чем в DSA.
По сравнению с RSA он явно выигрывает (т.к. там ошибок гораздо больше)).

Вывод: ошибка действительно есть, но ни к каким серьёзным
последствиям сама по себе она (пока) привести не может.

Для устранении при сертификации требовать для r диапазона 2..q.

Предлагаемая резолюция собрания:
Объявить A. V. Komlin'у благодарность за освещение одного из недостатков ГОСТа и указания мер его преодоления.
За это же простить торопливую и некорректную оценку роли ФАПСИ с условием, что внесёт соотв. изменения в окончательную редакцию статьи.

Дополнительно: Объявить Комлину и С. Леонтьеву благодарность за
предотвращение возможной схемы мошенничества с открытым ключём p-y0 (подпись x0,1).

Основание: Как также отмечалось в форуме до появления статьи "Новая редакция..." получив подобную подпись банк (страховая) мог и не догадаться что она соответствует обратному ключу и доказать умышленное мошенничество. Появление описания механизма подделки значительно облегчило нахождение её уязвимого места.









<theory> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach