1 Методи та механізми 2014. 1. 1 Основні послуги при застосуванні, уніфікація та стандартизація криптографічних перетворень

Название	1. 1 Основні послуги при застосуванні, уніфікація та стандартизація криптографічних перетворень
Дата	10.01.2022
Размер	1.75 Mb.
Формат файла
Имя файла	1 Методи та механізми 2014.docx
Тип	Протокол #327532
страница	23 из 24

1 ... 16 17 18 19 20 21 22 23 24

В алгоритмі НШ NTRU всі операції здійснюються в фактор - кільці. Криптографічна стійкість алгоритму заснована на складності розв’язання задачі знаходження короткого вектора у заданій решітці. Показано, що крипто стійкість NTRU-167 (параметр N = 167) приблизно відповідає RSA-512, а стійкість NTRU-263 та NTRU-503 приблизно відповідає RSA-1024 та RSA-2048 відповідно. Основними складовими алгоритму крипто перетворення в фактор - кільці є вибір загально - системних параметрів, генерування асиметричних пар ключів

Загальними параметрами алгоритму NTRU є:

N – степінь фактор - кільця (усіченого кільця поліномів), причому елементи кільця подаються у вигляді поліномів степеня N – 1;
модулі фактор - кільця - q та p, причому більший модуль – ціле число q, що використовується при обчисленні кільця поліномів. Модуль q не повинен мати спільних дільників з меншим модулем p. У якості загально - системних параметрів стандарту Х.9.98 q використовується степінь числа 2(2¹¹= 2048), а в якості другого модуля p=3.

Генерування асиметричної пари здійсню отримувач, наприклад абонент B. Він вибирає (генерує), згідно з вимогами табл. 1.11 два випадкових поліноми f і g, що визначені в кільці R. Причому поліноми f і g повинні мати мультиплікативно зворотні поліноми в кільці за модулем загальних параметрів р і q.
1.11.24 Одним з основних методів вирішення задачі повного розкриття криптоперетворення в фактор - кільці є пошук найближчого вектору (найкоротшого) на основі зведення решітки метод LLL (Lenstra, Lenstra and Lovasz). Алгоритм дозволяє знайти достатньо невеликий вектор за поліноміальний час, але у загальному випадку алгоритм не дозволяє знайти найкоротший вектор. Існує багато удосконалень методу. Але складність цих методів для вирішення задачі пошуку найменшого вектора в загальних решітках є експоненційною.

Складною також задачею є пошук найкоротшого вектора в решітці великого розміру. Нині найкращим із методів криптоаналізу фактор - кільця вважається метод LLL зведення в решітках. Для того щоб перевірити на практиці захищеність системи NTRUEncrypt за допомогою метода LLL було розв’язано багато задач знаходження найкоротшого вектора для решіток різних розмірностей.

На практиці доведено, що застосування криптографії на ідентифікаторах дозволяє:

1) спростити ІВК за рахунок відмови від використання сертифікатів, так як немає необхідності в обслуговуванні, управлінні, створенні, видаленні та розподіленні сертифікатів

2) зменшити число складних компонентів (директорій) ІВК.

3) автоматично скасувати (анулювати) компрометовані ключі.

1.11.25 Основним завданням асиметричної криптографії, що базується на ідентифікаторах, є виключення необхідності виготовлення й обслуговування сертифікатів відкритих ключів. Важливою перевагою такого підходу є можливість застосування замість відкритого ключа (сертифіката) особистої ідентифікаційної інформації.

Асиметричні перетворення на ідентифікаторах мають такі переваги:

- забезпечується направлене зашифрування на отримувача;

- при застосуванні симетричного крипто перетворення забезпечується середня або висока швидкодія шифрування;

- немає необхідності використовувати систему ІВК.

Проблемними питаннями застосування крипто перетворень на ідентифікаторах є:

необхідність довіри УГ;
необхідність конфіденційного каналу зв’язку абонентів з УГ.

Більш детальний аналіз крипто перетворень на ідентифікаторах наведено в 6 розділі. Викладений вище матеріал носить допоміжний характер і призначений для початкового ознайомлення.
1.11.26 Досвід застосування електронного підпису дозволив зробити позитивні оцінки, а також виявити проблемні питання, необхідність її удосконалення та розвитку. Також зроблено висновок про необхідність розширення ЕП, зробити її в межах ЄС транскордонною. У 2014 році прийнято Регламент Європейського Парламенту та Ради з питань електронної ідентифікації і довірчих послуг (сервісів) для електронних операцій на внутрішньому ринку (Регламент 2014). У даному документі розширюється сфера застосування ЕП. Технологія ЕП використовується для надання електронних послуг мітки часу та електронної печатки. Крім того ЕП може стати основним елементом підтвердження інших електронних послуг - електронної ідентифікації, автентифікації, печатки, електронного документа, а також для надійної електронної доставки. Але основною проблемо, що нині відзначається в ЄС, є проблема нормалізації ЕП. На вирішення цієї проблеми направлений великий проект ЄС Мандат - 460.
1.11.27 В 1992 році в США були розпочаті роботи з модифікації алгоритму DSA засобом застосування при формуванні асиметричної пари ключів (

). Такий перехід, згідно з поглядами того часу (та й нинішніх), дав можливість забезпечити експоненційну складність здійснення загрози повного розкриття, а по суті – перекрити уразливість дискретного логарифма. У подальшому він був прийнятий як один із алгоритмів ЦП міжнародного стандарту ISO/IEC 15946-2 і набув широкого поширення у світі. У 2006 році ISO/IEC 15946-2 був відкликаний як міжнародний стандарт, а потім прийнятий як міжнародний ISO/IEC 14888-3:2006 «Інформаційні технології – Методи захисту – Цифрові підписи з додатком – Частина 3. Механізми, що базуються на дискретному логарифмі» . На цей час він є чинним і широко використовується в багатьох державах. Він також включений до нового федерального стандарту США FIPS 186-3. Крім того, спочатку в ISO/IEC 15946-2, а потім і в ISO/IEC 14888-3:2006 були також включені алгоритми ЦП EC GDSA та EC KCDSA. Указані два алгоритми ЦП мають ряд переваг, що буде розглянуто окремо.
1.11.28 Електронні підписи з додатком мають задовольняти таким вимогам:

1) Алгоритми вироблення та перевірки ЕП мають бути відкритими, тобто нетаємними.

2) Алгоритми вироблення та перевірки ЕП повинні мати допустиму для застосувань складність, наприклад, не вище ніж за поліноміальну.

3)Алгоритми знаходження таємного ключа та (або) підробки ЕП повинні мати не нижче ніж експонентну (субекспоненційну), тобто практично не реалізовну складність атаки загрози «повне розкриття».

4) ЕП повинен мати чутливість до будь-яких змін підписаних даних, тобто мати максимальну стійкість до виявлення будь-яких змін, підробок і порушень.

5) Вірогідність появи двох однакових підписів для різних повідомлень не повинна перевищувати допустимого значення.

6) Обчислювальні складності вироблення та перевірки ЕП мають бути мінімізовані та мати близькі за величиною значення.

7) ЕП мають забезпечувати захист від підробки, підміни й імітації з потрібною ймовірністю як з боку можливого порушника, так і з боку підписувача й одержувача.

8) ЕП, що були вироблені для однієї й тієї самої інформації в різний час і на різних засобах (приладах), мають відрізнятись.

9) Імовірність виникнення колізії, тобто появи для двох різних повідомлень одного й того самого значення ЕП, має бути менше заданої допустимої величини, інакше мають відрізнятись одне від одного з великою ймовірністю.

10) Ключі для вироблення ЕП мають бути конфіденційними, а ключі для перевірки ЕП – відкритими.

11) Можливість застосування ЕП з різними рівнями стійкості та складності вироблення й перевірки ЕП.

12) Можливість програмної, програмно-апаратної й апаратної реалізації ЕП з приблизно однаковою складністю.

13) Можливість використання ЕП як з однаковими загальносистемними параметрами в мережі, так і з індивідуальними для окремих частин об’єктів (суб’єктів) чи доменів.

14) Можливість багаторазового вироблення й перевірки ЕП для однієї й тієї самої інформації з використанням різних ключів, різними суб’єктами (об’єктами), а за необхідності з використанням різних загальносистемних параметрів.

15) ЕП має дозволяти надавати послугу неспростовності (неспростовність відправника, неспростовність джерела, неспростовність транспортування).

16) ЕП має дозволяти проведення слідчих експериментів з метою забезпечення судового розгляду й арбітражу в разі виникнення суперечок та взаємних непорозумінь.

17) Має існувати можливість зберігання ЕП як разом із підписаною інформацією, так і окремо від неї.

18) Має існувати можливість сліпого підпису, тобто підписування інформації без можливості її перегляду. Наприклад, при видачі електронних карток видається ключ, за допомогою якого користувач має можливість користуватися цією карткою, але при підписуванні цієї інформації людина, яка відповідає за доставку цього ключа, не повинна мати доступ до самого ключа.

19) Має існувати можливість «підпису за дорученням», тобто підписування довірчим суб’єктом від імені суб’єкта, що довіряє, без надання довірчому суб’єкту таємних ключів суб’єкта, який довіряє.

20) За необхідності має існувати можливість вироблення «незаперечних підписів», тобто підпису, який може бути перевірений тільки за дозволом суб’єкта (об’єкта), що підписує.

21) ЕП має бути компактним і займати невеликий обсяг пам’яті.
1.11.29Електронні підписи з з відновленням повідомлення практично висуваються такі ж вимоги, шо висунуті вище до ЕП з додатком. Додатково до ЕП з відновленням повідомлення висуваються ще такі вимоги:

1) Можливість використання для виявлення порушення цілісності інформації збитковості різного походження, в тому числі такої, що застосовуються в ЕП з додатком, тобто геш - значень.

2) Можливість відновлення збиткової інформації, що містить в зашифрованому вигляді в ключі сеансу ЕП та виявлення порушень її цілісності.

3) Можливість забезпечення конфіденційності невеликого обсягу інформації засобом її з’єднання з відкритою складовою ЕП та, по суті зашифрування її з використанням сеансового ключа ЕП.

4) Вироблення ЕП меншої ніж в ЕП з додатком довжини, в тому числі з різним рівнем захисту.

4) Можливість виконання ЕП при застосуванні різних математичних методів, в тому числі тих, що застосовуються в ЕП з додатком.
1.11.30 Кваліфіковані сертифікати електронного підпису повинні містити:

а) вказівку, принаймні у формі, придатній для автоматизованої обробки, що сертифікат був виданий в якості кваліфікованого сертифіката електронного підпису;

б) набір даних, які однозначно визначають провайдера кваліфікованих довірчих послуг, що видав кваліфіковані сертифікати, і містить, принаймні, найменування держави-члена, в якій провайдер розташований, а також такі дані :

- для юридичної особи: найменування та реєстраційний номер, які наводяться в офіційних документах,

- для фізичної особи: ім'я особи;

в) набір даних, що однозначно представляють підписувача, якому видано сертифікат, включаючи, принаймні, ім'я підписувача або псевдонім, що має бути визначений як такий;

г) дані для перевірки електронного підпису, які відповідають даним для створення електронного підпису;

д) відомості про початок і кінець періоду дії сертифікату;

е) ідентифікуючий код сертифікату, що має бути унікальним для даного провайдера кваліфікованих довірчих послуг;

є) вдосконалений електронний підпис або вдосконалену електронну печатку провайдера кваліфікованих довірчих послуг, що видав сертифікат;

ж) місце, де сертифікат вдосконаленого електронного підпису або вдосконаленої електронної печатки, зазначених у пункті є), є доступним безкоштовно;

з) місце розташування послуги перевірки статусу дійсності сертифіката, яка може бути використана для отримання інформації про статус дійсності кваліфікаційного сертифіката;

і) де в пристроях створення кваліфікованого електронного підпису знаходяться дані створення електронного підпису, пов'язані з даними перевірки електронного підпису, що належним чином вказано, принаймні у формі, придатній для автоматизованої обробки.
1.11.31 Історично з’явилися й застосовуються криптографічні перетворення ЕП, що ґрунтуються на використанні такого математичного апарату:

- кілець цілих чисел N_Z;

- скінченних полів (Галуа) F(q);

- груп точок еліптичних кривих E(F(q));

- бінарного відображення (спарювання) точок еліптичних кривих;

- груп точок гіпереліптичних кривих;

- фактор - кілець( кілець зрізаних поліномів).

На практиці залежно від математичного апарату, що застосовується в ЦП, історично знайшли застосування три класи цифрових підписів: RSA ЦП, що базується на перетворенні в кільці; Ель-Гамаля, DSA перетворення, що базується на перетворенні в полі Галуа; Ель-Гамаля EC перетворення, що ґрунтується на перетвореннях у групі точок еліптичних кривих. У перспективі можуть бути прийняті як стандарти ЦП, що можуть ґрунтуватися на спарюванні точок еліптичних кривих та використанні як відкритих ключів ідентифікаторів, тобто системи на ідентифікаторах.
1.11.32 Стандарт України ДСТУ 4145-2002 визначає механізм електронного цифрового підпису, що ґрунтується на властивостях груп точок еліптичних кривих над полями GF(2^m). Цифровий підпис забезпечує автентичність повідомлення та неспростовність застосування особистого ключа, тобто автентифікацію власника цифрового підпису. При його застосуванні з необхідною ймовірністю гарантується цілісність підписаного повідомлення, автентичність його автора та неспростовність підписаного документа. У стандарті для генерування псевдовипадкових послідовностей використовуються міждержавний стандарт ГОСТ 28147-89, та ГОСТ 34.311-94 – для обчислення геш-функції повідомлення, що підписується.

У стандарті для отримання випадкових даних, необхідних для побудови загальних параметрів цифрового підпису, обчислення цифрового підпису, а також для побудови відкритих і особистих ключів цифрового підпису використовується генератор псевдовипадкових послідовностей. По суті, він ґрунтується на стандарті ANSI США Х9.17 [312]. Допускається використання будь-якого іншого генератора, рекомендованого уповноваженим виконавчим органом державної влади.

Обов’язковою складовою ЦП національного стандарту є функція гешування H. Вона, як і в інших стандартах, застосовується в процесі обчислення й перевірки цифрового підпису.
1.11.33 В ISO/IEC 9796-3 визначено 6 різних ЕП з відновленням повідомлення [234]:

Ніберга-Рюпеля в скінченному полі (Nyrberg–Rueppel message recovery signature)
Ніберга-Рюпеля в групі точок еліптичних кривих (Elliptic Curve Nyrberg–Rueppel (ECNR) message recovery signature)
Міяджі з відновленням повідомлення в групі точок еліптичної кривої (Elliptic Curve Miyaji message recovery signature (ECMR))
Абі-Окамото з відновленням повідомлення в групі точок еліптичної кривої (Elliptic Curve Abe-Okamoto message recovery signature (ECAO))
Пінтсова-Ванстона в групі точок еліптичних кривих (Elliptic Curve Pintsov-Vanstone (ECPV) message recovery signature).
KC-DSA в групі точок еліптичної кривої (Elliptic Curve KC DSA/Nurberg-Rueppel (ECKNR) message recovery signature).

1.11.34 В сучасній криптографії необхідно виділити такі додатки геш - функції:

протоколи електронного підпису;
контроль цілісності даних з використанням спільного секрету (наприклад ФГ HMAC);
контроль цілісності даних без використання спільного секрету;
генерація псевдовипадкових послідовностей;
протоколи встановлення ключів;
протоколи автентифікації по паролю тощо.

1.11.35 Геш - функція повинна бути захищеною від таких атак:

1)Атаки «груба сила» , сутність атаки полягає в послідовному або випадковому перебиранні вхідних повідомлень та порівнянні результату виконання функції гешування із заданим. Успіх атаки при рівно ймовірних появленнях геш-значень буде дорівнювати 2^-n, де n – довжина геш-значення в бітах. Складність такої атаки оцінюється 2ⁿ – 1 операцій обчислення геш-значень.

2) Атаки методом парадоксу «про день народження», що заснована на парадоксі «дня народження» і полягає в тому, що у двох генерованих множинах геш-значень, що містять n₁ і n₂ елементів відповідно.

3) Атаки «зустріч посередині», що є модифікацією атаки методом парадоксу «дня народження» і використовується для геш-функцій із циклічною структурою, якщо циклова функція

є такою, що інвертується стосовно проміжного значення

або блоку повідомлення

. Ця атака за складністю порівнюється з атакою методом парадоксу «дня народження».

4) Атаки з корекцією блоку може здійснюватись у випадку, якщо порушник має повідомлення і хоче змінити в ньому один або більше блоків без зміни геш-значення. Наприклад, функція гешування MD5 є вразливою до цієї атаки.

5). Атаки з фіксованою точкою, що може застосовуватися за умови, що циклова функція

має одну чи декілька фіксованих точок.

6. Атака на базовий алгоритм шифрування може здійснюватись для атаки на функції гешування, що базуються на блокових симетричних шифрах

7) Диференційних атак, що можуть бути реалізовані засобом застосування диференційного криптоаналізу. , Така атака є потужним інструментом для аналізу не тільки блокових шифрів, але також і функцій гешування. При такій атаці досліджується вплив різниці вхідних даних функцій стиснення на відповідні вихідні різниці. Колізія виникає, якщо вихідна різниця дорівнює нулю.

1 ... 16 17 18 19 20 21 22 23 24