ГОСТ Р 34.10-2001. Государственный стандарт РФ: "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи" (принят постановлением Госстандарта РФ от 12.09.2001 N 380-ст) (отменен)

Государственный стандарт РФ ГОСТ Р 34.10-2001
"Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи"
(принят постановлением Госстандарта РФ от 12 сентября 2001 г. N 380-ст)

Information technology. Cryptographic data security. Formation and verification processes of [electronic] digital signature

Дата введения 1 июля 2002 г.

Взамен ГОСТ Р 34.10-94

ГАРАНТ:

Приказом Ростехрегулирования от 7 августа 2012 г. N 215-ст настоящий ГОСТ отменен с 1 января 2013 г. и взамен введен ГОСТ Р 34.10-2012

Введение

Настоящий стандарт содержит описание процессов формирования и проверки электронной цифровой подписи (ЭЦП), реализуемой с использованием операций группы точек эллиптической кривой, определенной над конечным простым полем.

Стандарт разработан взамен ГОСТ Р 34.10-94. Необходимость разработки настоящего стандарта вызвана потребностью в повышении стойкости ЭЦП к несанкционированным изменениям. Стойкость ЭЦП основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции по ГОСТ Р 34.11.

Настоящий стандарт терминологически и концептуально увязан с международными стандартами ИСО 2382-2 [1], ИСО/МЭК 9796 [2], серии ИСО/МЭК 14888 [3]-[5] и серии ИСО/МЭК 10118 [6]-[9].

Примечание - Основная часть стандарта дополнена тремя приложениями:

- А - дополнительные термины в области ЭЦП;

- Б - описание контрольного примера;

- В - перечень публикаций (библиография) в области ЭЦП.

1 Область применения

Настоящий стандарт определяет схему электронной цифровой подписи (ЭЦП) (далее по тексту - цифровая подпись), процессы формирования и проверки цифровой подписи под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения.

Внедрение цифровой подписи на базе настоящего стандарта повышает, по сравнению с действующей схемой цифровой подписи, уровень защищенности передаваемых сообщений от подделок и искажений.

Стандарт рекомендуется использовать в новых системах обработки информации различного назначения, а также при модернизации действующих систем.

2 Нормативные ссылки

В настоящем стандарте использована ссылка на следующий стандарт:

ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функции хэширования

3 Определения и обозначения

3.1 Определения

В настоящем стандарте использованы следующие термины:

3.1.1 дополнение (appendix): Строка бит, формируемая из цифровой подписи и произвольного текстового поля (ИСО/МЭК 148881-1 [3]).

3.1.2 ключ подписи (signature key): Элемент секретных данных, специфичный для субъекта и используемый только данным субъектом в процессе формирования цифровой подписи (ИСО/МЭК 14888-1 [3]).

3.1.3 ключ проверки (verification key): Элемент данных, математически связанный с ключом подписи и используемый проверяющей стороной в процессе проверки цифровой подписи (ИСО/МЭК 14888-1 [3]).

3.1.4 параметр схемы ЭЦП (domain parameter): Элемент данных, общий для всех субъектов схемы цифровой подписи, известный или доступный всем этим субъектам (ИСО/МЭК 14888-1 [3]).

3.1.5 подписанное сообщение (signed message): Набор элементов данных, состоящий из сообщения и дополнения, являющегося частью сообщения.

3.1.6 последовательность псевдослучайных чисел (pseudo-random number sequence): Последовательность чисел, полученная в результате выполнения некоторого арифметического (вычислительного) процесса, используемая в конкретном случае вместо последовательности случайных чисел (ИСО 2382-2 [1]).

3.1.7 последовательность случайных чисел (random number sequence): Последовательность чисел, каждое из которых не может быть предсказано (вычислено) только на основе знания предшествующих ему чисел данной последовательности (ИСО 2382-2 [1]).

3.1.8 процесс проверки подписи (verification process): Процесс, в качестве исходных данных которого используются подписанное сообщение, ключ проверки и параметры схемы ЭЦП и результатом которого является заключение о правильности или ошибочности цифровой подписи (ИСО/МЭК 14888-1 [3]).

3.1.9 процесс формирования подписи (signature process): Процесс, в качестве исходных данных которого используются сообщение, ключ подписи и параметры схемы ЭЦП, а в результате формируется цифровая подпись (ИСО/МЭК 14888-1 [3]).

3.1.10 свидетельство (witness): Элемент данных, представляющий соответствующее доказательство достоверности (недостоверности) подписи проверяющей стороне (ИСО/МЭК 14888-1 [3]).

3.1.11 случайное число (random number): Число, выбранное из определенного набора чисел таким образом, что каждое число из данного набора может быть выбрано с одинаковой вероятностью (ИСО 2382-2 [1]).

3.1.12 сообщение (message): Строка бит ограниченной длины (ИСО/МЭК 9796 [2]).

3.1.13 хэш-код (hash-code): Строка бит, являющаяся выходным результатом хэш-функции (ИСО/МЭК 148881-1 [3]).

3.1.14 хэш-функция (hash-function): Функция, отображающая строки бит в строки бит фиксированной длины и удовлетворяющая следующим свойствам:

1) по данному значению функции сложно вычислить исходные данные, отображенные в это значение;

2) для заданных исходных данных трудно найти другие исходные данные, отображаемые с тем же результатом;

3) трудно найти какую-либо пару исходных данных с одинаковым значением хэш-функции.

Примечание - Применительно к области ЭЦП свойство 1 подразумевает, что по известной ЭЦП невозможно восстановить исходное сообщение; свойство 2 подразумевает, что дня заданного подписанного сообщения трудно подобрать другое (фальсифицированное) сообщение, имеющее ту же ЭЦП, свойство 3 подразумевает, что трудно подобрать какую-либо пару сообщений, имеющих одну и ту же подпись.

3.1.15 [электронная] цифровая подпись (digital signature): Строка бит, полученная в результате процесса формирования подписи. Данная строка имеет внутреннюю структуру, зависящую от конкретного механизма формирования подписи.

Примечание - В настоящем стандарте в целях сохранения терминологической преемственности с действующими отечественными нормативными документами и опубликованными научно-техническими изданиями, установлено, что термины "цифровая подпись" и "электронная цифровая подпись (ЭЦП)" являются синонимами.

3.2 Обозначения

В настоящем стандарте использованы следующие обозначения:

- множество всех двоичных векторов длиной 256 бит;

- множество всех двоичных векторов произвольной конечной длины;

Z - множество всех целых чисел;

р - простое число, р>3;

- конечное простое поле, представляемое как множество из р целых чисел {0, 1,..., р - 1};

b (mod р) - минимальное не отрицательное число, сравнимое с b по модулю р;

М - сообщение пользователя, ;

- конкатенация (объединение) двух двоичных векторов;

а, b - коэффициенты эллиптической кривой;

m - порядок группы точек эллиптической кривой;

q - порядок подгруппы группы точек эллиптической кривой;

O - нулевая точка эллиптической кривой;

Р - точка эллиптической кривой порядка q;

d - целое число - ключ подписи;

Q - точка эллиптической кривой - ключ проверки;

- цифровая подпись под сообщением М.

4 Общие положения

Общепризнанная схема (модель) цифровой подписи (см. 6 ИСО/МЭК 14888-1 [3]) охватывает три процесса:

- генерация ключей (подписи и проверки);

- формирование подписи;

- проверка подписи.

В настоящем стандарте процесс генерации ключей (подписи и проверки) не рассмотрен. Характеристики и способы реализации данного процесса определяются вовлеченными в него субъектами, которые устанавливают соответствующие параметры по взаимному согласованию.

Механизм цифровой подписи определяется посредством реализации двух основных процессов (см. раздел 6):

- формирование подписи (см. 6.1);

- проверка подписи (см. 6.2).

Цифровая подпись предназначена для аутентификации лица, подписавшего электронное сообщение. Кроме того, использование ЭЦП предоставляет возможность обеспечить следующие свойства при передаче в системе подписанного сообщения:

- осуществить контроль целостности передаваемого подписанного сообщения,

- доказательно подтвердить авторство лица, подписавшего сообщение,

- защитить сообщение от возможной подделки.

Схематическое представление подписанного сообщения показано на рисунке 1.

                                    Дополнение

                         /--------------^------------\

                         |                           |

       /-------------\   /----------------- - - - - -\

       | Сообщение М |---|Цифровая подпись|  Текст

       |             |   |     дзета      |

       \-------------/   \----------------- - - - - -/

Рисунок 1 - Схема подписанного сообщения

Поле "текст", показанное на данном рисунке и дополняющее поле "цифровая подпись", может, например, содержать идентификаторы субъекта, подписавшего сообщение, и/или метку времени.

Установленная в настоящем стандарте схема цифровой подписи должна быть реализована с использованием операций группы точек эллиптической кривой, определенной над конечным простым полем, а также хэш-функции.

Криптографическая стойкость данной схемы цифровой подписи основывается на сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции. Алгоритм вычисления хэш-функции установлен в ГОСТ Р 34.11.

Параметры схемы цифровой подписи, необходимые для ее формирования и проверки, определены в 5.2.

Стандарт не определяет процесс генерации параметров схемы цифровой подписи. Конкретный алгоритм (способ) реализации данного процесса определяется субъектами схемы цифровой подписи исходя из требований к аппаратно-программным средствам, реализующим электронный документооборот.

Цифровая подпись, представленная в виде двоичного вектора длиной 512 бит, должна вычисляться с помощью определенного набора правил, изложенных в 6.1.

Набор правил, позволяющих либо принять, либо отвергнуть цифровую подпись под полученным сообщением, установлен в 6.2.

5 Математические соглашения

Для определения схемы цифровой подписи необходимо описать базовые математические объекты, используемые в процессах ее формирования и проверки. В данном разделе установлены основные математические определения и требования, накладываемые на параметры схемы цифровой подписи.

5.1 Математические определения

Пусть задано простое число р>3. Тогда эллиптической кривой Е, определенной над конечным простым полем , называется множество пар чисел (х, у), х, у , удовлетворяющих тождеству

, (1)

где а, b и не сравнимо с нулем по модулю р.

Инвариантом эллиптической кривой называется величина J(E), удовлетворяющая тождеству

. (2)

Коэффициенты a, b эллиптической кривой Е, по известному инварианту J(E), определяются следующим образом

. (3)

Пары (x, у), удовлетворяющие тождеству (1), называются точками эллиптической кривой Е; x и у - соответственно х- и y-координатами точки.

Точки эллиптической кривой будем обозначать Q(x, у) или просто Q. Две точки эллиптической кривой равны, если равны их соответствующие х- и у-координаты.

На множестве всех точек эллиптической кривой Е введем операцию сложения, которую будем обозначать знаком "+". Для двух произвольных точек и эллиптической кривой Е рассмотрим несколько вариантов.

Пусть координаты точек и удовлетворяют условию . В этом случае их суммой будем называть точку , координаты которой определяются сравнениями

. (4)

Если выполнены равенства и , то определим координаты точки следующим образом

. (5)

В случае, когда выполнено условие и сумму точек и будем называть нулевой точкой О, не определяя ее х- и у-координаты. В этом случае точка называется отрицанием точки . Для нулевой точки О выполнены равенства

, (6)

где Q - произвольная точка эллиптической кривой E.

Относ