Сравнение стандартов электронной подписи РФ и США

Криптографическая стойкость данной схемы цифровой подписи основывается на сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой, а также на стойкости используемой хэш–функции. Алгоритмы вычисления хэш–функции установлены в       ГОСТ Р 34.11-2012.

 

2.2. Алгоритм ЭП

2.2.1. Параметры схемы цифровой подписи

Параметрами схемы цифровой подписи являются:

• простое число p - модуль эллиптической кривой такой, что ;
• эллиптическая кривая E, задаваемая своим инвариантом J(Е) или коэффициентами Î, где — конечное поле из p элементов. J(E) связан с коэффициентами a и b следующим образом:

 

 

• целое число m – порядок группы точек эллиптической кривой  E. m должно быть отлично от p;
• простое число q - порядок некоторой циклической подгруппы группы точек эллиптической кривой  E, для которого выполнены следующие условия:

Î

• точка эллиптической кривой Е, являющаяся генератором подгруппы порядка  q, то есть и для всех , где - нейтральный элемент группы точек эллиптической кривой E.

- хеш-функция, которая отображает сообщения  M, представленные в виде двоичных векторов произвольной конечной длины, в двоичные вектора длины бит. Хеш-функция определена ГОСТ Р 34.11-2012. Если , то . Если , .

 

Каждый пользователь схемы цифровой подписи должен обладать личными ключами:

 

• ключом подписи (шифрования) – целым числом d, удовлетворяющим неравенству ;
• ключом проверки подписи (расшифрования) – точкой эллиптической кривой с координатами, удовлетворяющей равенству .

 

К приведенным выше параметрам схемы цифровой подписи предъявляют следующие требования:

• должно быть выполнено условие , для всех целых , где , если , и , если        ;
• должно быть выполнено неравенство ;
• инвариант кривой должен удовлетворять условию .

 

 

2.2.2. Двоичные векторы

Для определения процессов формирования и проверки цифровой подписи необходимо установить соответствие между целыми числами и двоичными векторами длины бит.

Рассмотрим следующий двоичный вектор длиной бит, в котором младшие биты расположены справа, а старшие - слева:

 

где , равно 1, либо 0.

 

Число соответствует двоичному вектору , если выполнено равенство

 

 

Для двух двоичных векторов

 

 

соответствующих целым числам и , операция конкатенации (объединения) определяется следующим образом:

 

Объединение  представляет  собой  двоичный  вектор  длиной бит, составленный из коэффициентов векторов и  .

Последние две формулы определяют способ разбиения двоичного вектора длиной бит на два двоичных вектора длиной бит, конкатенацией которых он является.

 

 

2.2.3. Формирование цифровой подписи

Для  получения  цифровой  подписи  под  сообщением необходимо выполнить следующие действия (шаги):

1. Вычислить хэш-функцию от сообщения ;
2. Вычислить целое число , двоичным представлением которого является вектор , и определить Если , то определить  ;
3. Сгенерировать  случайное  (псевдослучайное)  целое  число , удовлетворяющее неравенству ;
4. Вычислить точку эллиптической кривой и определить           где - координата точки . Если , то вернуться к шагу 3;
5. Вычислить значение Если , то вернуться к шагу 3;
6. Вычислить двоичные векторы и , соответствующие и и определить цифровую подпись как конкатенацию двух двоичных векторов.

Исходными данными этого процесса являются ключ подписи и подписываемое сообщение ,а выходным результатом - цифровая подпись .

Рис.2. Схема процесса формирования цифровой подписи.

 

 

 

 

 

2.2.4. Проверка цифровой подписи

Для проверки цифровой подписи под полученным сообщением необходимо выполнить следующие действия (шаги):

1. По полученной подписи вычислить целые числа и . Если выполнены неравенства , то перейти к следующему шагу. В противном случае подпись не верна;
2. Вычислить хэш-функции полученного сообщения ;
3. Вычислить целое число , двоичным представлением которого является вектор и определить Если , то определить  ;
4. Вычислить значение ;
5. Вычислить значения , ;
6. Вычислить точку эллиптической кривой и определить , где - координата точки ;
7. Если выполнено равенство , то подпись принимается, в противном случае - подпись неверна.

Исходными  данными  этого  процесса  являются  подписанное  сообщение , цифровая подпись и ключ проверки подписи , а выходным результатом - свидетельство о достоверности или ошибочности данной подписи.

 

Рис.3. Схема процесса проверки цифровой подписи.

 

 

 

 

 

 

 

 

3. Электронная подпись в США

В США также как и в России электронная подпись снабжается сертификатом. Данный сертификат представляет собой электронный документ, содержащий открытый ключ, данные о владельце и об организации, выдавшей сертификат. Он подписывается электронной подписью выдавшей организации. Таким образом, создаётся возможность установления своего рода цепочки верификации: в электронном сообщении отправляются несколько документов, как то непосредственно относящийся к цели документооборота и подписанный ЭП контрагента документ и сертификат с отрытым ключом, подписанный ЭП выдавшей организации. Получатель вначале проверяет с помощью публичного, общедоступного ключа сертификат, а затем с помощью открытого ключа из сертификата проверяет основной документ. На мой взгляд, представление сертификата в виде электронного документа ускоряет документооборот, повышает его эффективность.

Другая особенность электронного документооборота в США – предложенный в 1991 г. Национальным институтом стандартизации и технологий (NIST) США стандарт электронной подписи (digital signature standard), который предполагал создание отдельных сетей с использованием в них ЭП с симметричным шифрованием. Этот стандарт был ориентирован на использование ЭП преимущественно в документообороте государственных органов, отсюда расчёт на создание отдельной сети каждого органа, доступной ограниченному кругу лиц. Симметричное шифрование, популярное на тот момент в США представляло собой единый ключ, которым обладали оба субъекта документооборота и, соответственно, оба могли подписывать и «снимать» подпись с документов. Уже тогда многим видны были перспективы ЭП, поэтому стандарт предусматривает привлечение частных компаний в сферу сетей ограниченного пользования и призывает к созданию подобных сетей компаниями, желающими участвовать в электронном документообороте с использованием ЭП. Вполне логично, что данное предложение не встретило одобрения и не прижилось в силу сопряжённых с ним значительных издержек и неудобств эксплуатации подобных сетей. Схожая норма есть и в российском 63-ФЗ, предусматривающем создание корпоративных информационных систем, которые, так же как и в США, являются относительно редкими.

 

3.1. Digital Signature Standard. Алгоритм DSA

Digital Signature Standard (DSS) — американский стандарт, описывающий алгоритм Digital Signature Algorithm (DSA), который может быть использован для генерации цифровой подписи. Цифровая подпись служит для установления изменений данных и для установления подлинности подписавшейся стороны. Получатель подписанных данных может использовать цифровую подпись для доказательства третьей стороне факта, что подпись действительно сделана отправляющей стороной.

Когда сообщение получено, получатель может пожелать проверить не изменили ли сообщение во время передачи. Получатель также может захотеть проверить подлинность подписавшейся стороны. DSA дает возможность сделать это.

3.1.1. Использование DSA

DSA используется одной стороной для генерации подписи данных, а другой для проверки подлинности подписчика. Подпись генерируется при помощи закрытого ключа. Любая сторона может проверить подлинность цифровой подписи при помощи открытого ключа. Открытый ключ посылается вместе с подписанными данными. Открытый и закрытый ключи не совпадают.

Хэш-функция используется при генерации подписи для получения сжатой версии данных. Полученные данные обрабатываются при помощи DSA для получения цифровой подписи. Для проверки подписи используется та же хэш-функция. Хэш-функция описана в SHS (Secure Hash Standard).

3.1.2. Параметры схемы цифровой подписи

Параметрами схемы цифровой подписи являются:

• криптографическая хэш-функция .
• простое число p, где битовая длина p такая, что , и кратно .
• - простой делитель , размерность которого в битах совпадает с размерностью в битах значений хэш-функции, причем      .
• - такое число, что его мультипликативный порядок по модулю равен . Для его вычисления можно воспользоваться формулой , где - любое целое число такое, что .

 

 В DSS, первоочередным параметром схемы цифровой подписи является используемая криптографическая хеш-функция, необходимая для преобразования текста сообщения в число, которое собственно и будет подписано. Важной характеристикой этой функции является битовая длина выходной последовательности, обозначаемая (160 для функции SHA-1). В первой версии стандарта DSS рекомендована функция SHA-1 и, соответственно, битовая длина подписываемого числа 160 бит. Сейчас SHA-1 уже не является достаточно безопасной. В стандарте указаны следующие возможные пары значений чисел и :

1. .
2. .
3. .
4. .

В соответствии с этим рекомендованы хеш-функции семейства SHA-2. Правительственные организации должны использовать один из этих вариантов, но все другие вольны выбирать. Проектирующий систему может выбрать любую хеш-функцию. Поэтому далее не будет заостряться внимание на использовании конкретной хеш-функции. Стойкость криптосистемы на основе DSA не превосходит стойкость используемой хеш-функции и стойкость пары , чья стойкость не больше стойкости каждого из чисел по отдельности. Ранее рекомендовалась длина бита. В данный момент для систем, которые должны быть стойкими до 2010 (2030) года, рекомендуется длина в 2048 (3072) бита.

 

 

 

 

 

3.1.3. Открытый и секретный ключи

• закрытый ключ представляет собой число , которое должно оставаться в тайне. - случайное или псевдослучайное целое число, где .
• Открытый ключ вычисляется по формуле .
• - секретный номер, который является уникальным для каждого сообщения. - случайное или псевдослучайное целое число, где .

 

Открытыми параметрами являются числа . Закрытый параметр только один — число . При этом числа могут быть общими для группы пользователей, а числа и являются соответственно закрытым и открытым ключами конкретного пользователя. При подписании сообщения используются секретные числа и , причем число должно выбираться случайным образом при подписывании каждого следующего сообщения.

 

3.1.4. Генерация подписи

Сигнатура сообщения состоит из пары чисел и , которые вычисляются в соответствии со следующими уравнениями:

 

 

где случайное число,  , а 160-битная строка.

Если и , то должно сгенерировано новое и вычислена новая подпись. Если подпись вычислялась правильно, вероятность того, что и очень мала.

Подписью является пара чисел общая длина подписи . Подпись вместе с сообщением пересылается получателю.

Рис.4. Генерация цифровой подписи.

 

3.1.5. Проверка подписи

Проверка подписи может быть выполнена любой стороной (т.е., подписавшийся, намеченный получатель или любая другая сторона), используя открытый ключ подписавшего. Подписывающая сторона может пожелать проверить, что вычисленная подпись правильна, прежде чем отправить подписанное сообщение намеченному получателю. Намеченный получатель (или любая другая сторона) проверяет подпись, чтобы определить ее подлинность.

До подтверждения подписи подписанного сообщения параметры сообщения, и открытый ключ требуемого подписавшегося и идентичность должны быть доступными для свидетельства заверенным способом. Открытый ключ может, например, быть получен в виде сертификата, подписанного доверенным лицом или на встрече с глазу на глаз с владельцем открытого ключа.

Пусть полученные версии соответственно, и пусть        открытый ключ. Тогда процесс проверки подписи состоит в следующем:

1. Проверяющий должен проверить, что и . Если любое условие нарушено, то подпись должна быть отклонена, как недействительная. Если условия неравенств выполнены, производятся следующие вычисления:
2. Вычисление 
3. Вычисление   .
4. Вычисление   .
5. Вычисление   .