Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Серьёзная ошибка в новом ГОСТе 28.04.02 03:45 Число просмотров: 3219
Автор: Serge3 Статус: Незарегистрированный пользователь
|
Здравствуйте,
> …
> документу подпись без знания секретного ключа (далее
> назовем эту подпись "независимой") . Эта ошибка
> присутствует во всех методах основанных на идее Эль-Гамаля,
Есть у меня смутные воспоминания о том, что где-то в 90-х годах в рекомендации X.509 (или около них) была добавлена рекомендация (требование) о необходимости подтверждения со стороны клиента PKI факта владения закрытым ключом. Может быть, оно появилось в результате обнаружения фактов того же типа, о DSS, а быть может другого, о RSA или чего ни будь ещё. Как ни будь, надо будет найти хвосты.
> но из-за неудачно сформированных требований к граничным
> условиям именно в новой редакции ГОСТа она имеет
> наибольшую вероятность практические перспективы.
Мне кажется, что в ECDSA ("новой" редакции DSA) вероятность выше.
> ...
> Вероятность того, что требуемое Q
> окажется корректным ключём q/2p (учитывая квадратичную
> связь между x,y). Проверить допустимость полученного ключа
> Q можно по формуле qQ=0.
Похоже на правду. Малые значения p, в основном, связаны с математическими и техническими ограничениями на поле EC(F(p)). И, поэтому, общеприняты.
> Таким образом, если разработчики
> программы ограничатся минимально рекомендуемым диапазоном
> p, вполне возможно, незначительно варьируя текстом
> документа подобрать такое значение ключа проверки, что
> подпись для данного документа может быть рассчитана без
> знания секретного ключа. На этом же основании вполне можно
> и отказаться от неё.
Подогнать значение хэш-функции от документа под необходимые значения открытого ключа (ей) считается не возможным.
Так что реальным "опасным воздействием" может быть только получение открытого ключа, при котором подпись будет "независимой" для данного документа.
Но, по-моему, в общепринятой модели угроз для ЭЦП это бессмысленно. Да и в произвольном случае, не ясно к каким "опасным последствиям" это может привести, ведь за пользователем регистрируется открытый ключ по любому.
Опять всё сводится к тому, что бы зарегистрировать открытый ключ, подписать уже один единственный документ и отмазываться, типа "я – не я и подпись не моя". Так что, надо рыть дальше.
--
LSE, Сергей Леонтьев, Крипто-Про, http://www.CryptoPro.ru
|
|
|
подробно о проекте
Анализ криптографических сетевых...
