Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Уязвимость методов цифровой подписи на базе алгоритма Эль-Гамаля: ГОСТ Р 34.10-94 и DSA (DSS). Часть 1. 05.04.02 11:06
Автор: Komlin Статус: Незарегистрированный пользователь
|
Уязвимость методов цифровой подписи на базе алгоритма Эль-Гамаля: ГОСТ Р 34.10-94 и DSA (DSS). Часть 1.
<P>
Вступление.
В настоящее время банковские операции практически немыслимы без привлечения методов цифровых подписей.
В мире негласным стандартом стали алгоритмы, основанные на методе Эль-Гамаля (El Gamal), в частности - американском стандарте DSA. В Российской Федерации, разумеется не сочли возможным слепо следовать зарубежным разработкам и применили свой метод, незначительно отличающийся формулой вычисления цифровой подписи.
ГОСТ:
r= r^k (mod p) (mod q).
s= (xr' + kH)(mod q). (1)
где x - закрытый ключ, k - случайное число, H- хэш сообщения.
DSA:
( k' * k ) mod q=1; (А1)
0 < k' < q, - фактически , k' не может принять значение =1 согласно (А1)
s= (k'(xr+H)) mod q. (А2)
Подписью сообщения является пара значений (s,r).
Уязвимость.
Рассмотрение уязвимости будем проводить на примере российской версии метода.
Представим себе ситуацию когда генерируется значение k=1 (r= a ). Нетрудно заметить, что
s = (H+rx) mod q
отсюда, для любого H2=H+N можно легко вычислить подпись s2=(S2+N) (mod q)
И, самое главное , уравнение (h+ax) mod q =s, при известных h,q,s решается за несколько секунд.
3. Последствия.
На первый взгляд ничего страшного - вероятность наступления подобного события чрезвычайно мала. Порядка 10^-78, хотя, например, при тотальной проверке неким недобросовестным сотрудником банка (или хакером) всех входящих подписей на предмет r=a (согласно ГОСТУ банк может иметь общее a для всех своих пользователей, что и делает, например, ЦБ РФ), от коллапса не гарантирован никто! Впрочем, куда вероятнее теперь другая ситуация, когда будет умышленно формироваться нестойкая подпись, с целью опротестования последующих платёжек.
Вот конкретный пример:
Бухгалтеру некоего крупного (государственного) учреждения, очень хочется сбросить деньги со счёта в банке своему знакомому ООО, которое тут же испарится.
Подпись, как правило, хранится на личной ключевой дискете скопировать которую сложностей не представляет.
Бухгалтер (вернее его знакомый математик), оформляет вполне законную платёжку за подписью с k=1 и отсылает её в банк.
После этого, можно отсылать с "левого" телефона любые платёжки и на справедливое негодование начальства и прокуратуры заявлять с убитым видом "Я этого не делал(!!!), а ключевую дискету никому не отдавал...". Через пару недель, солидный адвокат, привлеча не менее солидного математика-эксперта сделает вывод, что произошла неудачная, легко декодируемая, генерация подписи. (Для доказательства он может представить собственноручно вычисленный секретный ключ).
Учитывая требование п. 4.7. ГОСТа ("Целое число k, которое генерируется в процедуре подписи сообщения , должно быть секретным и должно быть уничтожено сразу после выработки подписи.") доказать обратное просто невозможно. Достаточно заявить, что кто-то из сотрудников банка сканировал входящие(выходящие) подписи на предмет r=a и напомнить, что "сомнения толкуются в пользу обвиняемого"...
Крайним в этой ситуации разумеется остаётся ГОСТ, но с него взыскать пропавшую сумму врядли удастся... :)
В принципе, для исправления ситуации достаточно убрать из. п. 4. 7 возможность коллективного использования p,q,a, и увеличить нижнюю границу допустимых значений k, тогда сканирование станет практически бессмысленным...
С Уважением
<A HREF="mailto:tcsvarka@marine.su">А. В. Кобец (Komlin), avkvladru@mail.ru </A>
Полный вариант статьи
|
|
Эта ошибка менее спорная и стотль же серьёзной как и вторая 10.04.02 04:13
Автор: М. Марков Статус: Незарегистрированный пользователь
|
|
Достаточно послать подобное сообщение и подпись можно считать засвеченной...
|
|
Неплохо! Если это только ч.1, что же будет в части 2??? 05.04.02 14:10
Автор: Экспертик Статус: Незарегистрированный пользователь
|
|
Может банкам сразу закрыться?
|
|
А теперь, умные дядьки, 05.04.02 13:39
Автор: PS <PS> Статус: Elderman
|
объясните дураку о чем речь. Что-то из всего этого текста я ничего не понял.
Хотя бы для примера возьмем строчку
> Представим себе ситуацию когда генерируется значение k=1
> (r= a ).
Что такое "а" ?
|
| |
Там наверное очепятка вкралась r=a^k % q 05.04.02 14:07
Автор: Экспертик Статус: Незарегистрированный пользователь
|
> объясните дураку о чем речь. Что-то из всего этого текста я
> ничего не понял.
Там наверное просто вкралась опечатка
В соответствии с ГОСТом
первую формулу следует читать как
r=a^k mod q, а не r=r^k mod q
А вообще-то возьми ГОСТ и почитай... Всё сразу поймёшь!
|
|
То, что людьми сделано, завсегда сломать можно.. 05.04.02 11:23
Автор: !mm <Ivan Ch.> Статус: Elderman
|
|
А еще, думается мне, что это хитрый ход конем какой - либо из спецслужб, решивших оставить для себя "черный" ход в цифровых подписях.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
