Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Серьёзная ошибка в новом ГОСТе 28.04.02 04:57 Число просмотров: 3102
Автор: Komlin Статус: Незарегистрированный пользователь
|
> Здравствуйте,
> Мне кажется, что в ECDSA ("новой" редакции DSA) вероятность > выше. Выше врядли, разве что такая же .Надо будет посмотреть
Но по-моему там хэш 128 а p 256. Соответственно ~ вероятность 2^-256
> > > ... > > Вероятность того, что требуемое Q > > окажется корректным ключём q/2p (учитывая квадратичную > > связь между x,y). Проверить допустимость полученного > ключа > > Q можно по формуле qQ=0. > > Похоже на правду. Малые значения p, в основном, связаны с > математическими и техническими ограничениями на поле > EC(F(p)). И, поэтому, общеприняты.
> > > Таким образом, если разработчики > > программы ограничатся минимально рекомендуемым > диапазоном > > p, вполне возможно, незначительно варьируя текстом > > документа подобрать такое значение ключа проверки, что > > подпись для данного документа может быть рассчитана > без > > знания секретного ключа. На этом же основании вполне > можно > > и отказаться от неё. > > Подогнать значение хэш-функции от документа под необходимые > значения открытого ключа (ей) считается не возможным. > Так что реальным "опасным воздействием" может быть только > получение открытого ключа, при котором подпись будет > "независимой" для данного документа.
Имеется в виду обратный процес. Выбираете документ и его хэш, e. Подгоняете под него открытый ключ,так, чтобы подпись для e была "независимой" (вероятность этого == q/2p~ 1/2- 1/16 ). То есть сформировав c десяток незначительно отличающихся редакций документа (например пробелами в поле примечания) можно выбрать из них такой что для него имеется "независимая подпись"
> Но, по-моему, в общепринятой модели угроз для ЭЦП это > бессмысленно. Да и в произвольном случае, не ясно к каким > "опасным последствиям" это может привести, ведь за > пользователем регистрируется открытый ключ по любому.
В том, что он заявит, что этот документ подписал не он а подпись вычисленна в рез-те ошибки ГОСТа
Обратное доказать невозможна .
> Опять всё сводится к тому, что бы зарегистрировать открытый > ключ, подписать уже один единственный документ и > отмазываться, типа "я – не я и подпись не моя". Так что, > надо рыть дальше.
Да. А чем плох этот приём при обоюдной заинтересованности сторон?
Ведь по законону контрольная подпись нигде не требуется - эта уже мера дополнительной комплексной защиты. Так что и одной подписи может хватить.
|
|
|