Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Серьёзная ошибка в новом ГОСТе 28.04.02 04:57 Число просмотров: 3102
Автор: Komlin Статус: Незарегистрированный пользователь
|
> Здравствуйте,
> Мне кажется, что в ECDSA ("новой" редакции DSA) вероятность
> выше.
Выше врядли, разве что такая же .Надо будет посмотреть
Но по-моему там хэш 128 а p 256. Соответственно ~ вероятность 2^-256
>
> > ...
> > Вероятность того, что требуемое Q
> > окажется корректным ключём q/2p (учитывая квадратичную
> > связь между x,y). Проверить допустимость полученного
> ключа
> > Q можно по формуле qQ=0.
>
> Похоже на правду. Малые значения p, в основном, связаны с
> математическими и техническими ограничениями на поле
> EC(F(p)). И, поэтому, общеприняты.
>
> > Таким образом, если разработчики
> > программы ограничатся минимально рекомендуемым
> диапазоном
> > p, вполне возможно, незначительно варьируя текстом
> > документа подобрать такое значение ключа проверки, что
> > подпись для данного документа может быть рассчитана
> без
> > знания секретного ключа. На этом же основании вполне
> можно
> > и отказаться от неё.
>
> Подогнать значение хэш-функции от документа под необходимые
> значения открытого ключа (ей) считается не возможным.
> Так что реальным "опасным воздействием" может быть только
> получение открытого ключа, при котором подпись будет
> "независимой" для данного документа.
Имеется в виду обратный процес. Выбираете документ и его хэш, e. Подгоняете под него открытый ключ,так, чтобы подпись для e была "независимой" (вероятность этого == q/2p~ 1/2- 1/16 ). То есть сформировав c десяток незначительно отличающихся редакций документа (например пробелами в поле примечания) можно выбрать из них такой что для него имеется "независимая подпись"
> Но, по-моему, в общепринятой модели угроз для ЭЦП это
> бессмысленно. Да и в произвольном случае, не ясно к каким
> "опасным последствиям" это может привести, ведь за
> пользователем регистрируется открытый ключ по любому.
В том, что он заявит, что этот документ подписал не он а подпись вычисленна в рез-те ошибки ГОСТа
Обратное доказать невозможна .
> Опять всё сводится к тому, что бы зарегистрировать открытый
> ключ, подписать уже один единственный документ и
> отмазываться, типа "я – не я и подпись не моя". Так что,
> надо рыть дальше.
Да. А чем плох этот приём при обоюдной заинтересованности сторон?
Ведь по законону контрольная подпись нигде не требуется - эта уже мера дополнительной комплексной защиты. Так что и одной подписи может хватить.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
