Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Тогда просто "найдём" секретный ключ :) 04.05.02 10:54 Число просмотров: 3789
Автор: Komlin Статус: Незарегистрированный пользователь Отредактировано 04.05.02 11:01 Количество правок: 1
|
Ниже описан способ как найти секретный и открытый ключи для подписи h (h,h) в случае, когда подписывающий самы выбирает граничные условия (это не противоречит ГОСТУ) или имеет место сговор для имитации убытков. Заодно даны комментарии к предыдущим ответам.
> Не согласен. Если в стандарте сказано, что должен владеть, > то это означает, что система ЭЦП (СКЗИ) должна обеспечить > выполнение этого условия таким образом, что ЛЮБЫЕ > ДОПУСТИМЫЕ действия нарушителя не смогут нарушить его > выполнения.
А как насчёт НЕДОПУСТИМЫХ, но НЕДОКАЗУЕМЫХ?
Вообще-то я не согласен. Подпись по хэшу неплохая проверка,а
разработчик программы не должен отслеживать ещё и ошибки ГОСТа :), но что бы не спорить давайте просто найдём секретный ключ, чтобы строго выполнить требования X.509.
> который, грубо говоря, содержит подпись на секретном > ключе абонента от значения хэш-функции вычисленной по > конкатенации открытого ключа абонента и реквизитов > абонента.
Собственно, в описанной ситуации взаимной заинтересованности, или случае когда подписывающий сам выбирает граничные условия "найти" секретный ключ совсем несложно.
Выберем любым приемлемым методом q P==0 (далее P0). В ГОСТе эта процедура никак не регламентируется и не описывается поэтому наверное стоит использовать приёмы ECDSA ( может ФАПСИ выпускала какие-нибудь рекомендации?). Легко видеть, что на самом деле в качестве P может выступать любая точка кратная P0.
Подберём как описанно в статье хэш h такой, что точка H(x=h) кратна P0 (qH==0).
Укажем в качестве граничного значения P=nH (по определению P кратная H кратна и P0), где n -любое.
Тогда открытый и секретный ключи равны соответственно Q=P-H, d=n' - 1
где n' обратное n. n'n== 1(mod q) или n'=n^(q-2) (mod q)
После этого формируем ключ, сертификат X.509, отсылаем пару нормальных сообщений и, наконец, запланированное сообщение с подписью h (h,h).
> > > ... > > Re: Юрию aka "Неслучайный посетитель": ...
> > следовательно, этот трюк там не проходит ==> > Что-то я в FIPS 186-2 (см. > http://csrc.nist.gov/publications/fips/fips186-2/fips186-2. > pdf), который полностью описывает DSA, не заметил этих > требований. Вероятно, я плохо смотрел.
Я тоже - это утверждение высказал Юрий, ему я и отвечал.
Юрий отзовитесь!!!
Впрочем, в свете сказанного выше, это уже неважно.
> > -- > LSE, Сергей Леонтьев, Крипто-Про, http://www.CryptoPro.ru
|
|
|