Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Виновен ли ГОСТ Р 34.10-94? 26.04.02 13:33 Число просмотров: 3471
Автор: (Не)Случайный посетитель Статус: Незарегистрированный пользователь Отредактировано 26.04.02 13:36 Количество правок: 1
|
Уважаемые коллеги.
С большим интересом прочитал Вашу полемику.
Мне кажется сейчас самое время определиться с окончательным решением по статье.
По моему, для этого достаточно ответить на три вопроса.
Есть ли в старом (действующем) ГОСТе описанные ошибки ( с теоретической точки зрения)? Новы ли они?
Серьёзны ли (имеют ли они практическую значимость или это больше теоретические недостатки)?
Уступает ли стандарт по качеству аналогичным документам.
DSS ( DSA, RSA), алгоритму Шнорра, ОСТ "Газпром" и т.д.
(Имеется в виду существуют ли там аналогичные ошибки или равные по значимости)
Вот моё мнение
1) Из описанных на 26.04.02 ошибок новой и не опровергнутой является только универсальная подпись.
Да, она является ( теоретически) ошибкой т.к. она противоречит ч.1 ГОСТ Р 34.10-94("Область применения")
Внедрение системы ЭЦП на базе настоящего стандарта обеспечивает защиту передаваемых сообщений то
подделки, искажения и однозначно позволяет доказательно подтвердить подпись лица, подписавшего
сообщение.
Видно, что (теоретически) появляется дополнительный ( к повтору хэша) вариант искажения документа и подписи не обнаруживаемый процедурой проверки ГОСТа.
2) С практической точки зрения
Его вероятность не превышает 1/q.
При искажении это может быть несколько ниже чем вероятность случайного повтора значений хэша L/256*(2^-256), (L-длина документа) но всё равно достаточно велико.
Как обсуждалось в форуме метод может упростить обход одного из способов защиты ключа (секретное дополнение к документу). Или послужить косвенным доказательством взлома со стороны.
Пожалуй это всё. Самостоятельно он применяться не может.
3) О существовании универсальных подписей в других методах пока(мне) не известно.
Попытка применить k (k')=0 к DSA ( или к El-Gamal ) приводит к s==0,
что противоречит выходным условиям проверки подписи q>s>0.
Т.е ошибка в российском стандарте на одну теоретическую ошибку больше чем в DSA.
По сравнению с RSA он явно выигрывает (т.к. там ошибок гораздо больше)).
Вывод: ошибка действительно есть, но ни к каким серьёзным
последствиям сама по себе она (пока) привести не может.
Для устранении при сертификации требовать для r диапазона 2..q.
Предлагаемая резолюция собрания:
Объявить A. V. Komlin'у благодарность за освещение одного из недостатков ГОСТа и указания мер его преодоления.
За это же простить торопливую и некорректную оценку роли ФАПСИ с условием, что внесёт соотв. изменения в окончательную редакцию статьи.
Дополнительно: Объявить Комлину и С. Леонтьеву благодарность за
предотвращение возможной схемы мошенничества с открытым ключём p-y0 (подпись x0,1).
Основание: Как также отмечалось в форуме до появления статьи "Новая редакция..." получив подобную подпись банк (страховая) мог и не догадаться что она соответствует обратному ключу и доказать умышленное мошенничество. Появление описания механизма подделки значительно облегчило нахождение её уязвимого места.
|
|
|