View
737
Download
2
Category
Preview:
Citation preview
© 2000-2015 КРИПТО-ПРО
Вопросы применимости российскихкриптоалгоритмов
Смышляев Станислав Витальевич, к.ф.-м.н.,начальник отдела защиты информации
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 1 / 77
© 2000-2015 КРИПТО-ПРО
Расхожее мнение о российской криптографииМорально устаревшие решения.Проблемы с быстродействием.Проблемы со стойкостью.Ориентированность на ”бумажную“ безопасность исоответствие требованиям, а не на реальнуюзащищенность.
Следствие 1: Нередка позиция ”когда требуется показатьсертификат ФСБ, используем ГОСТ, а в иных случаяхпереключаемся на RSA/AES“.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 2 / 77
© 2000-2015 КРИПТО-ПРО
Расхожее мнение о российской криптографииМорально устаревшие решения.Проблемы с быстродействием.Проблемы со стойкостью.Ориентированность на ”бумажную“ безопасность исоответствие требованиям, а не на реальнуюзащищенность.
Следствие 1: Нередка позиция ”когда требуется показатьсертификат ФСБ, используем ГОСТ, а в иных случаяхпереключаемся на RSA/AES“.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 2 / 77
© 2000-2015 КРИПТО-ПРО
Следствие 2: Критика российских решений зачастую неконструктивна, а шаблонна, полна клише.
Многие ”и так знают“, что все плохо — всякая критика охотноподхватывается аудиторией без апробации и верификации.
У специалистов по практической безопасности — меньшевыбор доступных криптографических механизмов,продуктов для встраивания.У российских криптографов — априорно пыльноватаярепутация.У разработчиков и интеграторов российскихкриптосредств — меньше конструктивной критики,информации о реальных уязвимостях.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 3 / 77
© 2000-2015 КРИПТО-ПРО
Следствие 2: Критика российских решений зачастую неконструктивна, а шаблонна, полна клише.
Многие ”и так знают“, что все плохо — всякая критика охотноподхватывается аудиторией без апробации и верификации.
У специалистов по практической безопасности — меньшевыбор доступных криптографических механизмов,продуктов для встраивания.У российских криптографов — априорно пыльноватаярепутация.У разработчиков и интеграторов российскихкриптосредств — меньше конструктивной критики,информации о реальных уязвимостях.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 3 / 77
© 2000-2015 КРИПТО-ПРО
Следствие 2: Критика российских решений зачастую неконструктивна, а шаблонна, полна клише.
Многие ”и так знают“, что все плохо — всякая критика охотноподхватывается аудиторией без апробации и верификации.
У специалистов по практической безопасности — меньшевыбор доступных криптографических механизмов,продуктов для встраивания.У российских криптографов — априорно пыльноватаярепутация.У разработчиков и интеграторов российскихкриптосредств — меньше конструктивной критики,информации о реальных уязвимостях.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 3 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы
1 Российские криптоалгоритмы: стандарты, мифы,перспективыСтойкость алгоритмов ГОСТПроизводительность алгоритмов ГОСТ
2 Криптография на ГОСТ и реальная защищенностьБезопасность ”бумажная“ и реальнаяУязвимости при небезопасном выборе IV в CBC, CFBУязвимости при небезопасном использовании паддингаУязвимости при перекрытии гаммыУязвимости при превышении нагрузки на ключВыбор алгоритма хэшированияРекомендации по стандартизации ТК 26
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 4 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Стойкость алгоритмов ГОСТ
1 Российские криптоалгоритмы: стандарты, мифы,перспективыСтойкость алгоритмов ГОСТПроизводительность алгоритмов ГОСТ
2 Криптография на ГОСТ и реальная защищенностьБезопасность ”бумажная“ и реальнаяУязвимости при небезопасном выборе IV в CBC, CFBУязвимости при небезопасном использовании паддингаУязвимости при перекрытии гаммыУязвимости при превышении нагрузки на ключВыбор алгоритма хэшированияРекомендации по стандартизации ТК 26
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 5 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Стойкость алгоритмов ГОСТ
Стойкость ГОСТ 28147-89 (блоковый шифр)
ГОСТ 28147-89, атаки КуртуаОктябрь 2010: начат процесс рассмотрения включенияГОСТ 28147-89 в стандарт ISO/IEC 18033-3.Май 2011: статья Николя Куртуа на ePrint (ипоследующие 5 работ), использование алгебраическихметодов и дифференциальных.Алгебраические: нет детального описания/анализатрудоемкости главного этапа метода; лишь эксперим.данные на аналогах меньшей размерности.Дифференциальные: анализ для узлов замены, отличныхот действующих и от предложенных в ISO.Рудской, Дмух (ePrint): если даже принять ”факты“Куртуа, провести анализ ГОСТ 28147-89 с актуальнымиузлами замены, то атака не лучше полного перебора.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 6 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Стойкость алгоритмов ГОСТ
Стойкость ГОСТ 28147-89 (блоковый шифр)
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 7 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Стойкость алгоритмов ГОСТ
Стойкость ГОСТ 28147-89 (блоковый шифр)
ГОСТ 28147-89, атаки Исобе и Динура–Данкельмана–ШамираКорректные, математически строгие описания атак.Показано, что некоторые свойства алгоритма ГОСТ28147-89 позволяют находить пути анализа, не учтенныесоздателями алгоритма.Трудоемкость атаки Исобе составляет 2224 операцийзашифрования, атаки ДДШ — 2192.Для метода Исобе требуется 232 пар открытых ишифрованных текстов, для метода ДДШ — 264.При материале 232 уже с вероятностью ≈ 0.5 появляютсяповторяющиеся блоки шифртекста, при 264 ключ вовсеболее не нужен (есть полная таблица зашифрования).Не произошло снижения даже теоретической стойкости.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 8 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Стойкость алгоритмов ГОСТ
Стойкость ГОСТ Р 34.11-94 (хэш)
ГОСТ Р 34.11-94, атаки Менделя-Прамшталлера-РехбергераНахождение коллизии:2105 вместо априорных 2128.Нахождение (второго) прообраза:2192 вместо априорных 2256.Корректные, математически строгие описания атак.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 9 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Стойкость алгоритмов ГОСТ
Переход на ГОСТ Р 34.11-2012 и ГОСТ Р34.10-2012
2012 год: стандарт функции хэширования ГОСТ Р 34.11-2012(”Стрибог“).
Документ ФСБ России № 149/7/1/3-58 от 31.01.2014.ТЗ после 31 декабря 2012 года — должна быть реализацияГОСТ Р 34.10-2012 (и ГОСТ Р 34.11-2012).Использование ГОСТ Р 34.11-94 для использования приформировании подписи после 31 декабря 2018 года недопускается.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 10 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Стойкость алгоритмов ГОСТ
Стойкость ГОСТ Р 34.11-2012
AlTawy R., Youssef A. M. – Preimage Attacks on reduced-roundStribog.AlTawy R., Kircanski A., Youssef A. M. – Rebound attacks onStribog.Kazymyrov O., Kazymyrova V. – Algebraic aspects of the russianhash standard GOST R 34.11-2012.Ma B., Li B., Hao R., Li X. – Improved cryptanalysis ofreduced-round GOST and Whirlpool hash function.Zou J., Wu W., Wu S. – Cryptanalysis of the round-reducedGOST hash function.AlTawy R., Youssef A. M. – Integral distinguishers forreduced-round Stribog.AlTawy R., Youssef, A. M. – Watch your Constants: MaliciousStreebog.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 11 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Стойкость алгоритмов ГОСТ
Стойкость ГОСТ Р 34.10-2001 и ГОСТ Р34.10-2012 (электронная подпись)
С точки зрения структуры (и стойкости) ГОСТ Р 34.10-2001 иГОСТ Р 34.10-2012 предельно близки к ECDSA: стойкостьопределяется:
выбором эллиптических кривых;гарантией случайности одноразовых случайных величин впроцессе подписи (вспомним уязвимость 2010 года в SonyPlayStation 3 из-за проблем в реализации ECDSA).
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 12 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Производительность алгоритмов ГОСТ
1 Российские криптоалгоритмы: стандарты, мифы,перспективыСтойкость алгоритмов ГОСТПроизводительность алгоритмов ГОСТ
2 Криптография на ГОСТ и реальная защищенностьБезопасность ”бумажная“ и реальнаяУязвимости при небезопасном выборе IV в CBC, CFBУязвимости при небезопасном использовании паддингаУязвимости при перекрытии гаммыУязвимости при превышении нагрузки на ключВыбор алгоритма хэшированияРекомендации по стандартизации ТК 26
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 13 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Производительность алгоритмов ГОСТ
Производительность ГОСТ 28147-89
Шифрование: ГОСТ 28147-89, режим гаммированиябез SSE/AVX: 28 тактов/байт (120 МБ/с/ядро 3.3 GHz);с AVX: 8.7 тактов/байт (390 МБ/с/ядро 3.3 GHz).
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 14 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Производительность алгоритмов ГОСТ
Производительность ГОСТ 28147-89
Шифрование: ГОСТ 28147-89, режим гаммированиябез SSE/AVX: 28 тактов/байт (120 МБ/с/ядро 3.3 GHz);с AVX: 8.7 тактов/байт (390 МБ/с/ядро 3.3 GHz).
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 15 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Производительность алгоритмов ГОСТ
Производительность ГОСТ 28147-89
Шифрование: ГОСТ 28147-89, режим гаммированияРеализация на GPU (OpenCL): 1300 МБ/с (AMD RadeonHD 6970).
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 16 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Производительность алгоритмов ГОСТ
Производительность ГОСТ Р 34.11
Хэширование: ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012ГОСТ Р 34.11-94: 40 тактов/байт (85 МБ/с/ядро 3.3 GHz);ГОСТ Р 34.11-2012: 30 тактов/байт (110 МБ/с/ядро 3.3GHz).
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 17 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Производительность алгоритмов ГОСТ
Производительность ГОСТ Р 34.10
С точки зрения совокупности математических операций (и,следовательно, производительности) ГОСТ Р 34.10-2001 иГОСТ Р 34.10-2012 предельно близки к ECDSA:производительность определяется выбором используемыхполей, эллиптических кривых (параметров алгоритмаподписи), а также проработкой реализаций операций вконечных полях и эллиптических кривых в реализациях.
Сравнение с RSAСравнимая стойкость ГОСТ Р 34.10-2001/2012-256 (поNIST SP 800-57): RSA-3072.Сравнимая стойкость ГОСТ Р 34.10-2012-512 (по NIST SP800-57): между RSA-7680 и RSA-15360.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 18 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Производительность алгоритмов ГОСТ
Производительность ГОСТ Р 34.10 (проверка)
Проверка ЭП: ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012ГОСТ Р 34.10-2001/2012-256: 9700 проверок в секунду;ГОСТ Р 34.10-2012-512: 1850 проверок в секунду.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 19 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Производительность алгоритмов ГОСТ
Производительность ГОСТ Р 34.10 (создание)
Формирование ЭП: ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012ГОСТ Р 34.10-2001/2012-256: 15800 формирований всекунду;ГОСТ Р 34.10-2012-512: 3400 формирований в секунду.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 20 / 77
© 2000-2015 КРИПТО-ПРО
Российские криптографические алгоритмы Производительность алгоритмов ГОСТ
Производительность ГОСТ Р 34.10
Криптосистема с открытым ключомВ России нет стандарта для криптосистем с открытымключом. Решение задачи ”зашифровать данные сиспользованием открытого ключа PubKA“ (зафиксировано вРекомендациях по стандартизации ТК 26):
породить эфемерный ключ β (с открытым ключомPubKβ), случайную величину UKM;вычислить SK = H(UKM · β · PubKA);зашифровать вход (как правило, ключ шифрованияосновных данных) на SK, передать шифртекст вместе сPubKβ и UKM.
Время шифрования/расшифрования ≈ время проверкиподписи.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 21 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность
1 Российские криптоалгоритмы: стандарты, мифы,перспективыСтойкость алгоритмов ГОСТПроизводительность алгоритмов ГОСТ
2 Криптография на ГОСТ и реальная защищенностьБезопасность ”бумажная“ и реальнаяУязвимости при небезопасном выборе IV в CBC, CFBУязвимости при небезопасном использовании паддингаУязвимости при перекрытии гаммыУязвимости при превышении нагрузки на ключВыбор алгоритма хэшированияРекомендации по стандартизации ТК 26
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 22 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
1 Российские криптоалгоритмы: стандарты, мифы,перспективыСтойкость алгоритмов ГОСТПроизводительность алгоритмов ГОСТ
2 Криптография на ГОСТ и реальная защищенностьБезопасность ”бумажная“ и реальнаяУязвимости при небезопасном выборе IV в CBC, CFBУязвимости при небезопасном использовании паддингаУязвимости при перекрытии гаммыУязвимости при превышении нагрузки на ключВыбор алгоритма хэшированияРекомендации по стандартизации ТК 26
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 23 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Требования ФСБ России к шифровальным(криптографическим) средствам.Требования к средствам электронной подписи.Приказ ФСБ России N 378 ”Об утверждении . . . мер пообеспечению безопасности персональных данных при ихобработке в информационных системах персональныхданных с использованием СКЗИ . . .“Требования к средствам удостоверяющего центра.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 24 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
КритикаФормальные модели нарушителя, не имеющие отношенияк реальности.Проверяется безопасность к ”бумажным“ моделям, а не креальным нарушителям.При возникновении проблем безопасности разработчикидают ответы ”в такой-то формальной модели все хорошо“.Из-за закрытости требований возникает (справедливо)ощущение непрозрачности при анализе защищенности.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 25 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Приказ ФСБ России N 378КС1: ”проведение атаки, находясь вне контролируемойзоны“
КС2: ”проведение атаки при нахождении в пределахконтролируемой зоны“
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 26 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Приказ ФСБ России N 378КС1: ”проведение атаки, находясь вне контролируемойзоны“— атаки на криптографические протоколы через сетьКС2: ”проведение атаки при нахождении в пределахконтролируемой зоны“ — нарушитель в непосредственнойблизости, анализ секторов диска после удаления данных
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 27 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Приказ ФСБ России N 378КС3: ”возможность располагать аппаратнымикомпонентами СКЗИ и СФ, ограниченная мерами,реализованными в информационной системе, в которойиспользуется СКЗИ, и направленными на предотвращениеи пресечение несанкционированных действий“
KB: ”создание способов, подготовка и проведение атак спривлечением специалистов в области анализа сигналов,сопровождающих функционирование СКЗИ и СФ, и вобласти использования для реализации атакнедокументированных (недекларированных)возможностей прикладного ПО“
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 28 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Приказ ФСБ России N 378КС3: ”возможность располагать аппаратнымикомпонентами СКЗИ и СФ, ограниченная мерами,реализованными в информационной системе, в которойиспользуется СКЗИ, и направленными на предотвращениеи пресечение несанкционированных действий“ —возможность атак при доступе из-под другого аккаунтаKB: ”создание способов, подготовка и проведение атак спривлечением специалистов в области анализа сигналов,сопровождающих функционирование СКЗИ и СФ, и вобласти использования для реализации атакнедокументированных (недекларированных)возможностей прикладного ПО“— возможность атак по побочным каналам
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 29 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Пример: ключевой носительПассивный носитель.Активный автономный вычислитель.Функциональный ключевой носитель.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 30 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Пассивный носительИспользование ключа основным криптосредством:вычисления в оперативной памяти машины.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 31 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Активный автономный вычислительВсе вычисления на самом устройстве, ключ в память непопадает.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 32 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальнаяДоступ нарушителя к пользовательскому процессу всистеме в любом случае (даже в случае HSM) означаеткомпрометацию доступа к ключу.
Доступ нарушителя к каналу от системы к носителюозначает неминуемую компрометацию доступа к ключу.
В случае пассивного носителя нарушитель потенциальноизвлекает из памяти ключ.В случае автономного вычислителя нарушительпотенциально перехватывает пароль и возможностьподписи произвольных данных.
В случае автономного вычислителя несоизмеримо опаснееатаки по побочным каналам (потребление, время).
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 33 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальнаяДоступ нарушителя к пользовательскому процессу всистеме в любом случае (даже в случае HSM) означаеткомпрометацию доступа к ключу.
Доступ нарушителя к каналу от системы к носителюозначает неминуемую компрометацию доступа к ключу.
В случае пассивного носителя нарушитель потенциальноизвлекает из памяти ключ.В случае автономного вычислителя нарушительпотенциально перехватывает пароль и возможностьподписи произвольных данных.
В случае автономного вычислителя несоизмеримо опаснееатаки по побочным каналам (потребление, время).
Уровень защищенности (без дополнительных орг. мер) — КС1.Смышляев С.В. (КРИПТО-ПРО) 24.07.15 34 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальнаяДоступ нарушителя к пользовательскому процессу всистеме в любом случае (даже в случае HSM) означаеткомпрометацию доступа к ключу.
Доступ нарушителя к каналу от системы к носителюозначает неминуемую компрометацию доступа к ключу.
В случае пассивного носителя нарушитель потенциальноизвлекает из памяти ключ.В случае автономного вычислителя нарушительпотенциально перехватывает пароль и возможностьподписи произвольных данных.
В случае автономного вычислителя несоизмеримо опаснееатаки по побочным каналам (потребление, время).
Уровень защищенности (без дополнительных орг. мер) — КС1.Смышляев С.В. (КРИПТО-ПРО) 24.07.15 34 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Функциональный ключевой носитель
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 35 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Функциональный ключевой носительНа аутентифицированном на пароле ключе согласованияустанавливается защищенный канал связи междусистемой и носителем.Все дальнейшие пересылки между носителемпроизводятся посредством защищенного канала.За счет распределения вычислений возможно уменьшениеопасности атак по побочным каналам.Сам пароль также защищен от оффлайного переборапароля с опробованием по полученным в канале данным(после действий нарушителя в канале).
Оценочный уровень защищенности — КС3.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 36 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Функциональный ключевой носительНа аутентифицированном на пароле ключе согласованияустанавливается защищенный канал связи междусистемой и носителем.Все дальнейшие пересылки между носителемпроизводятся посредством защищенного канала.За счет распределения вычислений возможно уменьшениеопасности атак по побочным каналам.Сам пароль также защищен от оффлайного переборапароля с опробованием по полученным в канале данным(после действий нарушителя в канале).
Оценочный уровень защищенности — КС3.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 36 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Анализируемые проблемыУязвимости в базовых криптографических алгоритмах.Уязвимости в сопутствующих криптографическихалгоритмах.Уязвимости в криптографических протоколах.Уязвимости при встраивании криптографическихпротоколов.Ошибки в реализации.Отсутствие в реализации достаточных мерпротиводействия предполагаемому нарушителю.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 37 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Анализируемые проблемыУязвимости в базовых криптографических алгоритмах.Уязвимости в сопутствующих криптографическихалгоритмах.Уязвимости в криптографических протоколах.
2010:«Ха-ха, теоретические проблемы стойкости протоколов не
влияют на реальную защищенность»
2015:TLS: BEAST, POODLE, Lucky13...
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 38 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Анализируемые проблемыУязвимости в базовых криптографических алгоритмах.Уязвимости в сопутствующих криптографическихалгоритмах.Уязвимости в криптографических протоколах.
2010:«Ха-ха, теоретические проблемы стойкости протоколов не
влияют на реальную защищенность»
2015:TLS: BEAST, POODLE, Lucky13...
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 38 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Анализируемые проблемыУязвимости в базовых криптографических алгоритмах.Уязвимости в сопутствующих криптографическихалгоритмах.Уязвимости в криптографических протоколах.
2010:«Ха-ха, теоретические проблемы стойкости протоколов не
влияют на реальную защищенность»
2015:TLS: BEAST, POODLE, Lucky13...
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 38 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Безопасность ”бумажная“ и реальная
Безопасность ”бумажная“ и реальная
Потенциальные ошибки при шифровании данныхПри зашифровании/расшифровании данных насессионных симметричных ключах возможны ошибки,связанные, в частности:
с использованием небезопасных режимов работы шифра(ECB, иногда CBC);возникновением побочных каналов при небезопасномиспользовании механизмов выравнивания (паддинга);перекрытиями гаммы;использованием синхропосылок без обеспечения условияих непредсказываемости;работой с превышением допустимой нагрузки на ключ(работа без преобразования ключа).
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 39 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Выбор IV в CBC, CFB
1 Российские криптоалгоритмы: стандарты, мифы,перспективыСтойкость алгоритмов ГОСТПроизводительность алгоритмов ГОСТ
2 Криптография на ГОСТ и реальная защищенностьБезопасность ”бумажная“ и реальнаяУязвимости при небезопасном выборе IV в CBC, CFBУязвимости при небезопасном использовании паддингаУязвимости при перекрытии гаммыУязвимости при превышении нагрузки на ключВыбор алгоритма хэшированияРекомендации по стандартизации ТК 26
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 40 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Выбор IV в CBC, CFB
Режимы CBC, CFB: уязвимости принебезопасном выборе синхропосылок
Особенность протокола TLS 1.0, в котором при использованииблоковых шифров в режиме CBC в качестве синхропосылкиочередного пакета выбирается последний блок шифртекстапредыдущего пакета.
Для эксплуатации данной уязвимости Дуонгом и Риззо в 2011году был создан модуль BEAST, позволявшийдешифровывать передаваемые cookie-файлы пользователя.
Описание теоретической уязвимости было предложено еще за7 лет до этого в работе Грегори Барда.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 41 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Выбор IV в CBC, CFB
Режимы CBC, CFB: уязвимости принебезопасном выборе синхропосылок
В TLS с российскими алгоритмами, утвержденном ТК 26,данная уязвимость отсутствует, так как в данной версиииспользуется режим гаммирования, а состояние регистровшифратора после обработки очередного пакета (являющеесянекоторым аналогом синхропосылки в CBC), остаетсянеизвестным нарушителю.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 42 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Использование паддинга
1 Российские криптоалгоритмы: стандарты, мифы,перспективыСтойкость алгоритмов ГОСТПроизводительность алгоритмов ГОСТ
2 Криптография на ГОСТ и реальная защищенностьБезопасность ”бумажная“ и реальнаяУязвимости при небезопасном выборе IV в CBC, CFBУязвимости при небезопасном использовании паддингаУязвимости при перекрытии гаммыУязвимости при превышении нагрузки на ключВыбор алгоритма хэшированияРекомендации по стандартизации ТК 26
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 43 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Использование паддинга
Уязвимости при небезопасном использованиипаддинга
ПримерПаддинг PKCS #5: сообщение дополняется ненулевым числомбайтовых констант PADLEN до конца блока, где PADLEN —число требуемых байт паддинга.Например, при длине блока 8 байт сообщение(0x0A, 0x0B, 0x0C) будет дополнено до(0x0A, 0x0B, 0x0C, 0x05, 0x05, 0x05, 0x05, 0x05).
При непродуманном выборе процедуры проверки паддингавозможно появление уязвимостей к атакам с выбором ШТ.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 44 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Использование паддинга
Уязвимости при небезопасном использованиипаддинга
POODLE attack: Padding Oracle On Downgraded LegacyEncryption.
Смена ключа после каждой ошибки на приеме не полностьюустраняет проблему — соответствующая уязвимость впротоколе TLS версии 1.0 для использующих CBC наборовшифрования описана в 2001 году в работе Сержа Воденея.
Заметим, что данная уязвимость в TLS с российскимиалгоритмами, утвержденном ТК 26, отсутствует, так как вданной версии используется режим гаммирования, паддингвовсе не используется.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 45 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при перекрытии гаммы
1 Российские криптоалгоритмы: стандарты, мифы,перспективыСтойкость алгоритмов ГОСТПроизводительность алгоритмов ГОСТ
2 Криптография на ГОСТ и реальная защищенностьБезопасность ”бумажная“ и реальнаяУязвимости при небезопасном выборе IV в CBC, CFBУязвимости при небезопасном использовании паддингаУязвимости при перекрытии гаммыУязвимости при превышении нагрузки на ключВыбор алгоритма хэшированияРекомендации по стандартизации ТК 26
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 46 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при перекрытии гаммы
Уязвимости при перекрытии гаммы
Для IND-CPA стойкой криптосистемы в режимегаммирования наличие шифртекста вовсе не уменьшаетнеопределенности открытого текста.В случае переиспользования гаммы любой криптосистемыв режиме гаммирования неопределенность падает дозначений, позволяющих провести практическую атаку.
Элементарный примерПусть биты a, b независимы Pr(a = 1) = Pr(b = 1) = 0.6.Тогда энтропия при наличии битов шифртекста ca = a⊕ kaи cb = b ⊕ kb составляет 1.942 бита.Если же ka = kb, энтропия падает в среднем до 0.945 бит— такой же она была бы, если бы каждый бит принималбы некоторое значение с вероятностью ≈ 90%.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 47 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при перекрытии гаммы
Уязвимости при перекрытии гаммы
Известный пример: режимы ECB и гаммирования
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 48 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при перекрытии гаммы
Уязвимости при перекрытии гаммы
Известный пример: режимы ECB и гаммирования
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 49 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при перекрытии гаммы
Уязвимости при перекрытии гаммы
Известный пример: режимы ECB и гаммирования
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 50 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при перекрытии гаммы
Уязвимости при перекрытии гаммы
Пример: режим гаммирования при перекрытии гаммы
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 51 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при перекрытии гаммы
Уязвимости при перекрытии гаммы
Пример: режим гаммирования при перекрытии гаммы
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 52 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при перекрытии гаммы
Уязвимости при перекрытии гаммы
Пример: режим гаммирования при перекрытии гаммы
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 53 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при перекрытии гаммы
Уязвимости при перекрытии гаммы
Пример: режим гаммирования при перекрытии гаммы
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 54 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при перекрытии гаммы
Уязвимости при перекрытии гаммы
Пример: режим гаммирования при перекрытии гаммы
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 55 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при перекрытии гаммы
Уязвимости при перекрытии гаммы
Пример: режим гаммирования при перекрытии гаммы
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 56 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при превышении нагрузки на ключ
1 Российские криптоалгоритмы: стандарты, мифы,перспективыСтойкость алгоритмов ГОСТПроизводительность алгоритмов ГОСТ
2 Криптография на ГОСТ и реальная защищенностьБезопасность ”бумажная“ и реальнаяУязвимости при небезопасном выборе IV в CBC, CFBУязвимости при небезопасном использовании паддингаУязвимости при перекрытии гаммыУязвимости при превышении нагрузки на ключВыбор алгоритма хэшированияРекомендации по стандартизации ТК 26
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 57 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при превышении нагрузки на ключ
Уязвимости при превышении нагрузки наключ
При существенном превышении допустимых значений всякийалгоритм шифрования теряет положительныекриптографические качества.
При шифровании ГОСТ 28147-89 более 32 ГБинформации вероятность совпадения выходных блоковалгоритма шифрования достигает 50%.При шифровании без смены ключа текста длиннеедопустимых значений могут становиться практическиосуществимыми атаки по побочным каналам(напряжение, акустика, радиоволны и пр.).Оценочное значение допустимой нагрузки на ключ:
IPsec ESP с ГОСТ 28147-89 — ограничение в 4 МБ.Смышляев С.В. (КРИПТО-ПРО) 24.07.15 58 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при превышении нагрузки на ключ
Организация работы с сессионными ключами
Необходимо проектировать процедуры работы с сессионнымиключами по принципу использования каждого ключа длявесьма небольшого числа сообщений. Нагрузка на ключ частоконтролируется на уровне самих криптосредств.
Неудачные (но встречающиеся) решенияМногократное дублирование ключа (лишь слегкауменьшаются проблемы с побочкой).Использование расшифрования в режиме гаммирования(бессмысленный обход технических ограничений).Пересогласование ключа через каждые 4 МБ (задержки).Прямая диверсификация сессионных ключей измастер-ключа (почти хорошо, но вероятно превышениенагрузки на сам мастер-ключ).
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 59 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при превышении нагрузки на ключ
Организация работы с сессионными ключами
Решение 1: преобразование ключейПри шифровании использовать режим преобразования ключа(реализуется в криптосредстве, прозрачно для приложений).
RFC 4357: 2.3.2: Key Meshing.
При этом сохраняется ограничение на количество шифруемыхсообщений на одном ключе (T · 1024 сообщений произвольнойдлины).
Без преобразования ключей: шифровать не более T МБна одном ключе.С преобразованием ключей: шифровать не более T · 1024независимых сообщений на одном ключе.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 60 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при превышении нагрузки на ключ
Организация работы с сессионными ключами
Решение 2: дерево ключей (на примере IPsec ESP)
”Техническая спецификация по использованию ГОСТ 28147-89при шифровании вложений в протоколе IPsec ESP“, раздел 5.6.Преобразование ESP_GOST-4M-IMIT.
RootKeyDivers( RootKey , i&Mask1)
Divers( Divers( RootKey , i&Mask1) , i&Mask2)Key[i] = Divers( Divers( Divers( RootKey , i&Mask1) , i&Mask2) , i&Mask3)
Mask1 = 0xffffffff00000000, Mask2 = 0xffffffffffff0000, Mask3 = 0xffffffffffffffc0.
Использование для шифрования файлов на дискеАналогичным образом (с замешиванием случайных данных)происходит диверсификация ключа шифрования блока в EFSс российскими криптографическими алгоритмами.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 61 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при превышении нагрузки на ключ
Организация работы с сессионными ключами
Решение 2: дерево ключей (на примере IPsec ESP)
”Техническая спецификация по использованию ГОСТ 28147-89при шифровании вложений в протоколе IPsec ESP“, раздел 5.6.Преобразование ESP_GOST-4M-IMIT.
RootKeyDivers( RootKey , i&Mask1)
Divers( Divers( RootKey , i&Mask1) , i&Mask2)Key[i] = Divers( Divers( Divers( RootKey , i&Mask1) , i&Mask2) , i&Mask3)
Mask1 = 0xffffffff00000000, Mask2 = 0xffffffffffff0000, Mask3 = 0xffffffffffffffc0.
Использование для шифрования файлов на дискеАналогичным образом (с замешиванием случайных данных)происходит диверсификация ключа шифрования блока в EFSс российскими криптографическими алгоритмами.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 61 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Уязвимости при превышении нагрузки на ключ
Организация работы с сессионными ключами
Алгоритмы диверсификацииCALG_PRO_DIVERS: RFC 4357, раздел 7.Алгоритм Secret Key Diversification;CALG_PRO12_DIVERS: ТК 26, ”Рекомендации постандартизации. Использование криптографическихалгоритмов...“. АлгоритмKDF_TREE_GOSTR3411_2012_256.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 62 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Выбор алгоритма хэширования
1 Российские криптоалгоритмы: стандарты, мифы,перспективыСтойкость алгоритмов ГОСТПроизводительность алгоритмов ГОСТ
2 Криптография на ГОСТ и реальная защищенностьБезопасность ”бумажная“ и реальнаяУязвимости при небезопасном выборе IV в CBC, CFBУязвимости при небезопасном использовании паддингаУязвимости при перекрытии гаммыУязвимости при превышении нагрузки на ключВыбор алгоритма хэшированияРекомендации по стандартизации ТК 26
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 63 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Выбор алгоритма хэширования
Уязвимости при использовании стойкого алг.подписи со слабым алг. хэширования
Не запрещено использовать MD5 + RSA или даже MD5 +ГОСТ Р 34.10-2001 как усиленную неквалифицированнуюподпись.
Миф: даже поломанные с точки зрения теории хэш-функцииможно использовать с ЭП
Частично правда: если подписать MD5-хэш документа,подделать подписанный документ на практикеневозможно (стойкость MD5 к нахождению (второго)прообраза снижена с 2128 только на 5 порядков).При ошибке проектирования систем документооборота сиспользованием такой подписи уязвимость становитсяэксплуатируемой на практике.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 64 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Выбор алгоритма хэширования
Уязвимости при использовании стойкого алг.подписи со слабым алг. хэширования
Рассмотрим систему, в которой документы подписываютсяследующим образом
Signature(Key, Src) = SignRSA−2048 (Key, hSHA3 (hMD5(Src)|Attrs))
Аналогичная процедура формирования подписи (свариабельностью алгоритмов) используется в MicrosoftAuthenticode.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 65 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Выбор алгоритма хэширования
Уязвимости при использовании стойкого алг.подписи со слабым алг. хэширования
Signature(Key, Src) = SignRSA−2048 (Key, hSHA3 (hMD5(Src)|Attrs))
Подписывающая сторонаИнтересы честной подписывающей стороны удовлетворены:модифицировать документ, снабдив его поддельной подписью,текущее состояние криптоанализа не позволяет (слабое звено— второй прообраз для хэш-значения MD5 — 2123, околодесяти миллиардов лет работы миллиардов3ГГц–процессорных ядер).
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 66 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Выбор алгоритма хэширования
Уязвимости при использовании стойкого алг.подписи со слабым алг. хэшированияSignature(Key, Src) = SignRSA−2048 (Key, hSHA3 (hMD5(Src)|Attrs))
Проверяющая сторонаВвод в заблуждение: RSA-2048 в паре со стойкой SHA3.Но: вычисление основного хэша документа производитбыстрая, но обладающая практическими уязвимостямиMD5 (коллизии строятся за 224 — одна-две секунды).Для ряда форматов — практические атаки с созданиемпары документов (pdf, djvu, исполняемых файлов) сразличным (выбранным нарушителем) содержанием, ноодним значением MD5 ⇒ значением Signature(K, Src).Развитие атак на MD5 ⇒ поддельные сертификаты(возможно, использовано в Stuxnet/Flame).
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 67 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Выбор алгоритма хэширования
Уязвимости при использовании стойкого алг.подписи со слабым алг. хэширования
Усиленная квалифицированная электронная подпись можетбыть сформирована только с помощью:
ГОСТ Р 34.11-94 + ГОСТ Р 34.10-2001.ГОСТ Р 34.11-2012 (256 бит) + ГОСТ Р 34.10-2012 (256бит).ГОСТ Р 34.11-2012 (512 бит) + ГОСТ Р 34.10-2012 (512бит).
В стандартах электронной подписи явным образом прописаналгоритм хэширования, с которым можно использоватьподпись.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 68 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Выбор алгоритма хэширования
Уязвимости при использовании стойкого алг.подписи со слабым алг. хэширования
Известные уязвимости существуют только у ГОСТ Р34.11-94, однако носят сугубо теоретический характер:построение коллизии за 2105 — миллион лет работымиллиарда 3-ГГц процессорных ядер (против секунды наодном ядре для MD5).Известных уязвимостей у ГОСТ Р 34.11-2012, ГОСТ Р34.10-2001, ГОСТ Р 34.10-2012 нет.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 69 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Рекомендации по стандартизации ТК 26
1 Российские криптоалгоритмы: стандарты, мифы,перспективыСтойкость алгоритмов ГОСТПроизводительность алгоритмов ГОСТ
2 Криптография на ГОСТ и реальная защищенностьБезопасность ”бумажная“ и реальнаяУязвимости при небезопасном выборе IV в CBC, CFBУязвимости при небезопасном использовании паддингаУязвимости при перекрытии гаммыУязвимости при превышении нагрузки на ключВыбор алгоритма хэшированияРекомендации по стандартизации ТК 26
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 70 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Рекомендации по стандартизации ТК 26
Технический комитет по стандартизации
”Криптографическая защита информации“Росстандарта (ТК 26)
Производительность и стойкость ГОСТ Р 34.10-2001 и ГОСТР 34.10-2012 определяется, в частности, выбором параметровэллиптических кривых.
"Рекомендации по стандартизации. Задание параметровэллиптических кривых в соответствии с ГОСТ Р34.10-2012"."Рекомендации по стандартизации. Задание параметровскрученных эллиптических кривых Эдвардса всоответствии с ГОСТ Р 34.10-2012".
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 71 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Рекомендации по стандартизации ТК 26
ТК 26 Росстандарта
Доверие к выбору параметров: принцип ”проверяемойслучайности“.
В теории: выработка параметров с помощьюодносторонней функции.С помощью ”трудно“ обратимого преобразования: наоснове хэш-функции ГОСТ Р 34.11-2012.На вход данного преобразования — случайные строки.Разные алгебраические структуры — подбор входов недаст выбрать окончательные величины с известнымисекретными параметрами (логарифмами точек и пр.).Но: предполагает защиты от наличия неизвестныхслабостей кривых (возникающих не ”точечно“, не спренебрежимо малыми вероятностями).
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 72 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Рекомендации по стандартизации ТК 26
ТК 26 Росстандарта
Доверие к выбору параметров: принцип ”проверяемойслучайности“.
В теории: выработка параметров с помощьюодносторонней функции.С помощью ”трудно“ обратимого преобразования: наоснове хэш-функции ГОСТ Р 34.11-2012.На вход данного преобразования — случайные строки.Разные алгебраические структуры — подбор входов недаст выбрать окончательные величины с известнымисекретными параметрами (логарифмами точек и пр.).Но: предполагает защиты от наличия неизвестныхслабостей кривых (возникающих не ”точечно“, не спренебрежимо малыми вероятностями).
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 72 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Рекомендации по стандартизации ТК 26
ТК 26 Росстандарта
Стойкость ГОСТ 28147-89 определяется, в частности, выборомузлов замены.
"Рекомендации по стандартизации. Задание узлов заменыблока подстановки алгоритма шифрования ГОСТ 28147-89".
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 73 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Рекомендации по стандартизации ТК 26
ТК 26 Росстандарта
Для использования в протоколах описанных в стандартахалгоритмов необходимы происследованные безопасныеконструкции на их основе (аутентификация сообщений,диверсификация, ключевые деревья, экспорт ключей, PRF,обмен ключами на основе процедуры Диффи-Хеллмана).
"Рекомендации по стандартизации. Использованиекриптографических алгоритмов, сопутствующих применениюстандартов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012".
Для работы российских криптоалгоритмов в протоколахнеобходимы происследованные безопасные процедуры работы.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 74 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Рекомендации по стандартизации ТК 26
ТК 26 Росстандарта
Для использования в протоколах описанных в стандартахалгоритмов необходимы происследованные безопасныеконструкции на их основе (аутентификация сообщений,диверсификация, ключевые деревья, экспорт ключей, PRF,обмен ключами на основе процедуры Диффи-Хеллмана).
"Рекомендации по стандартизации. Использованиекриптографических алгоритмов, сопутствующих применениюстандартов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012".
Для работы российских криптоалгоритмов в протоколахнеобходимы происследованные безопасные процедуры работы.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 74 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Рекомендации по стандартизации ТК 26
ТК 26 Росстандарта
"Техническая спецификация использования алгоритмовГОСТ Р 34.10, ГОСТ Р 34.11 в профиле сертификата исписке отзыва сертификатов (CRL) инфраструктурыоткрытых ключей X.509"."Рекомендации по стандартизации. Использованиеалгоритмов ГОСТ 28147-89, ГОСТ Р 34.11 и ГОСТ Р34.10 в криптографических сообщениях формата CMS"."Рекомендации по стандартизации. Использованиюнаборов алгоритмов шифрования на основе ГОСТ28147-89 для протокола безопасности транспортногоуровня (TLS)".
Регистрация в IANA — в процессе.
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 75 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Рекомендации по стандартизации ТК 26
ТК 26 Росстандарта
"Техническая спецификация по использованию ГОСТ28147-89, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001 присогласовании ключей в протоколах IKE и ISAKMP"."Техническая спецификация по использованию ГОСТ28147-89 при шифровании вложений в протоколе IPsecESP"."Техническая спецификация по использованию ГОСТ Р34.11-94 при обеспечении целостности в протоколах IPsec".
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 76 / 77
© 2000-2015 КРИПТО-ПРО
Криптография на ГОСТ и реальная защищенность Рекомендации по стандартизации ТК 26
Спасибо за внимание!
Вопросы?
Материалы, вопросы, комментарии:svs@cryptopro.ru
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 77 / 77
Recommended