Стандарт СТ РК 1073-2025 Часть 12. Дополнительные технические требования (окончание) 10. Требования о защите ключей от искажений: "5.4.8 СКЗИ должны реализовывать процедуры вычисления и проверки контрольной информации о ключах в целях предотвращения использования случайно искаженных на этапе распределения и загрузки ключей с вероятностью не менее 0,999999" для 2 уровня безопасности; "5.5.8 / 5.6.8 СКЗИ должны реализовывать процедуры формирования и проверки имитовставок или ЭЦП для ключей в целях предотвращения использования случайно или умышленно искаженных на этапе распределения и загрузки ключей с вероятностью не менее 0,999999999 / 0,999999999999" для 3 и 4 уровней безопасности соответственно. Эти требования дополняют общее требование пункта 5.1.3 стандарта о криптографической защите конфиденциальности, подлинности и целостности ключей, распределяемых по незащищенным каналам связи. При этом, дополнительное требование о защите ключей от искажений для 2 уровня безопасности допускает применение некриптографической защиты от случайных искажений ключей, например, с использованием контрольных сумм CRC-24 или CRC-32. Однако для более высоких уровней безопасности, а также в случае распределения ключей по незащищенным каналам связи, указанные общее и дополнительные требования обязывают применение криптографической защиты ключей от случайных и умышленных искажений. Безопасные пороги вероятности выявления искаженных ключей соответствуют принципу пригодности для исполнения, так как режим выработки имитовставки ГОСТ 28147-89 имеет длину имитовставки до 32 бит, режим выработки имитовставки ГОСТ 34.13-2018 и режим CMAC NIST 800-38B имеют длину имитовставки до 64 или до 128 бит. Так, при использовании имитовставки ГОСТ 28147-89 длиной от 20 до 29 бит указанная вероятность составит не менее 1-2^(-20) = 1-1024^(-2) > 1-1000^(-2) = 1-10^(-6) = 0,999999 и соответствует требованию 2 уровню безопасности; при длине от 30 до 32 бит вероятность составит не менее 1-2^(
Популярная криптография
@gamma_kz
„Криптография бывает двух типов: криптография, которая помешает читать ваши файлы вашей младшей сестре, и криптография, которая помешает читать ваши файлы дядям из правительства.“ (Б. Шнайер). Этот канал посвящен второму типу.
Похожие каналы
Все →Последние посты
Воскресный кинозал-68 Художественный фильм “Декодер, Игра гения”, Китай, 2024 - кинолента режиссёра Чэнь Сыченя по мотивам романа Май Цзя “Декодер” о гениальном математике и криптографе Жун Цзиньчжэне и его работе в 701 центре дешифрования КНР в 1940-х и 1950-х годах. В эпизодах фильма перехват и дешифрование радиограмм, зашифрованных дисковым шифратором и кодом. Ссылка на фильм:https://3.kinogo.tm/filmy/105981-dekoder-igra-genija.html
Стандарт СТ РК 1073-2025 Часть 12. Дополнительные технические требования Подразделы 5.3, 5.4, 5.5 и 5.6 раздела 5 "Требования к информационной безопасности СКЗИ" стандарта СТ РК 1073-2025 в числе требований к СКЗИ первого, второго, третьего и четвертого уровней безопасности содержат дополнительные технические требования. Эти требования непосредственно не влияют на криптографическую стойкость СКЗИ и несоответствие им делает СКЗИ уязвимыми к криптографическим атакам потенциальных нарушителей только при преодолении нарушителем других организационных или технических рубежей защиты. То есть дополнительные технические требования только дополняют другие требования стандарта и регламентируют дополнительные рубежи защиты, не являющиеся необходимыми во всех случаях. Дополнительные технические требования проекта стандарта в ограниченной степени учитывают принципы необходимости и минимальной достаточности. Так, даже к СКЗИ первого и второго уровней безопасности предъявляются по 2 и 4 требования соответственно, а к другим уровням безопасности предъявляются по 6 требований, которые ужесточаются по мере повышения уровня безопасности. В проекте стандарта определены следующие дополнительные технические требования (с частичным сохранением нумерации пунктов в подразделах) [6]: 8. Требования об информировании оператора: "5.3.8 СКЗИ должны информировать оператора о текущем режиме работы и нештатных ситуациях" для 1 уровня безопасности; "5.4.10 / 5.5.10 / 5.6.10 СКЗИ должны информировать оператора о текущем режиме работы и нештатных ситуациях, журналировать эти события в автоматическом режиме. Журнал событий должен быть защищен от несанкционированного изменения" для 2, 3 и 4 уровней безопасности соответственно. Очевидно, что информирование оператора является дополнительным рубежом защиты, так как становится актуальным только в результате ошибок оператора или нештатных ситуаций, которые могли и не произойти. Наличие этого требования на 1 уровне безопасности, в о
9. Требования об уничтожении ключей: "5.3.9 / 5.4.11 / 5.5.12 / 5.6.12 СКЗИ должны удалять (уничтожать) ключи после окончания их распределения, управления и использования для преобразования информации, или эксплуатационная документация СКЗИ должна содержать организационные и технические меры по удалению (уничтожению) ключей" для 1, 2, 3 и 4 уровней безопасности; "5.5.13 / 5.6.13 СКЗИ должны иметь функцию аварийного (экстренного) удаления (уничтожения) ключей и криптографически опасной информации" для 3 и 4 уровней безопасности. Эти требования являются дополнительным рубежом защиты ключей от несанкционированного доступа к ним и дополняют требование к эксплуатационной документации в пункте 5.2.3 стандарта в части порядка смены ключей, а также в некоторой степени дополняют определение ключа в пункте 3.19 стандарта в части его секретности. Кроме того, эти требования является детализацией классического требования о необходимости уничтожения ключей после окончания их срока действия в части требований собственно к СКЗИ. Таким образом, требования к СКЗИ об уничтожении ключей носят ярко выраженный дополнительный характер и не вполне соответствуют принципам необходимости и минимальной достаточности, так как идентичные требования 5.3.9, 5.4.11, 5.5.12 и 5.6.12 предъявляются для всех уровней безопасности. Если согласиться с позицией разработчиков стандарта СТ РК 1073-2025 о необходимости этого требования, то логично было бы вынести это требование в подразделы 5.1 или 5.2, а не дублировать его для каждого уровня безопасности. К сожалению, в стандарте не разъяснено чем аварийное удаление ключей отличаются от удаления ключей, а также нет определения криптографически опасной информации. Таким образом, попытка учета разработчиками стандарта СТ РК 1073-2025 указанной ими предпосылки переработки стандарта СТ РК 1073-2007 как устанавливающего требования к СКЗИ, соответствие на которые "трудно" проверить, не реализована и в части уничтожения ключей. Напротив, это требо
Воскресный кинозал-67 Двухсерийный художественный фильм ”Фронт за линией фронта”, СССР, 1977 - вторая кинолента военно-исторической трилогии режиссёра Игоря Гостина по мотивам романа Семёна Цвигуна “Мы вернёмся” о действиях отряда особого назначения полковника Млынского в тылу немецко-фашистских войск в 1944 году. В эпизодах фильма агентурная передача и расшифрование советским разведчиком шифрованного сообщения командира отряда (1 серия), шифрованная радиограмма из Центра (2 серия). Ссылка на фильм:https://www.mosfilm.ru/cinema/films/front-za-liniey-fronta
Стандарт СТ РК 1073-2025 Часть 11. Требования к генерации и формированию ключей Подразделы 5.3, 5.4, 5.5 и 5.6 раздела 5 "Требования к информационной безопасности СКЗИ" стандарта СТ РК 1073-2025 в числе требований к СКЗИ первого, второго, третьего и четвертого уровней безопасности содержат следующие требования к генерации и формированию ключей (с сохранением нумерации пунктов в подразделах) [6]: 7. Требования к генерации и формированию ключей: "5.3.7 / 5.4.7 Генерируемые и формируемые СКЗИ ключи должны быть случайной или недетерминированной псевдослучайной последовательностью битов с вероятностью принятия каждым битом единичного значения в интервале (0,500 ± 0,03) / (0,500 ± 0,01)" для 1 и 2 уровней безопасности соответственно; "5.5.7 / 5.6.7 Генерируемые и формируемые СКЗИ ключи должны быть случайной последовательностью битов с вероятностью принятия каждым битом единичного значения в интервале (0,500 ± 0,003) / (0,500 ± 0,001), при этом ключи должны формироваться с помощью физических генераторов шума" для 3 и 4 уровней безопасности соответственно. Эти требования являются необходимым условием для секретности ключей и направлены на выполнение фундаментального принципа Керкгоффса, согласно которому стойкость криптографических алгоритмов должна достигаться за счет секретности ключей, а не секретности самого алгоритма. Требования запрещают использование для генерации секретных ключей детерминированных последовательностей битов, так как ключи на их основе являются предсказуемыми и создают условия для успешного проведения атак частичного перебора ключей. Кроме того, для 3 и 4 уровней безопасности требования также запрещают использование и недетерминированных псевдослучайных последовательностей битов, криптографическая стойкость которых ниже криптографической стойкости случайных последовательностей битов и опирается на сложность предсказания некоторых недетерминированных данных. Требования не вполне соответствуют принципу пригодности для исполнения,
При соблюдении указанных интервалов (0,500±0,03), (0,500±0,01), (0,500±0,003) и (0,500±0,001) для вероятности единичного значения бита ключа и в случае пороговых длин ключей 80, 120, 160 и 200 бит атака полного перебора ключей в порядке уменьшения вероятности ключей будет иметь среднюю вычислительную сложность не менее 2^78,5, 2^118,8, 2^158,9 и 2^198,9 операций для 1, 2, 3 и 4 уровней безопасности [15]. Это менее чем в 1,5 раза меньше средней вычислительной сложности классической атаки полного перебора ключей 2^79, 2^119, 2^159 и 2^199 операций и не нарушает безопасные пороги вычислительной сложности алгоритмов вскрытия криптографической защиты 2^64, 2^96, 2^128 и 2^160 для 1, 2, 3 и 4 уровней безопасности соответственно. По сравнению с аналогичными пунктами 5.3.6, 5.4.6, 5.5.6 и 5.6.6 стандарта СТ РК 1073-2007 требование о том, чтобы генерируемые ключи (кроме открытых ключей) представляли собой последовательности случайных чисел и/или последовательности псевдослучайных чисел продублировано из пункта 5.1.2 в пункты 5.3.7, 5.4.7, 5.5.7 и 5.6.7 стандарта СТ РК 1073-2025 с незначительными редакционными изменениями и с сохранением безопасных интервалов для вероятности принятия каждым битом ключа единичного значения.
Воскресный кинозал-66Дню пионерии (19.05.1922) посвящается Трёхсерийный художественный фильм ”Кортик”, СССР, 1973 - кинолента режиссёра Николая Калинина по мотивам одноимённой повести Анатолия Рыбакова, первой из трилогии о пионерах Мише Полякове, Генке Петрове и Славе Эльдарове и об их участии в раскрытии тайны кортика. В эпизодах фильма обнаружение шифрованного сообщения в кортике (1 серия) и в ножнах кортика (2 серия), дешифрование сообщения, зашифрованного шифром мудрой литореи, являющейся частным случаем шифра простой замены букв (3 серия). Ссылка на фильм:https://m.youtube.com/watch?v=19mm6PntnRk&ra
Стандарт СТ РК 1073-2025 Часть 10. Требования к параметрам криптографических алгоритмов (окончание) 4. Длина вычисляемого СКЗИ хэш-кода должна быть не менее 160, 240, 320 и 400 бит для 1, 2, 3 и 4 уровней безопасности соответственно. Для этих пороговых длин хэш-кодов универсальная атака поиска прообраза полным перебором прообразов может вскрыть криптографическую защиту за 2^160, 2^240, 2^320 и 2^400 операций хэширования с чрезвычайно большим запасом прочности. Однако атака Ювала поиска коллизий, опирающаяся на парадокс дней рождений и имеющая меньшую вычислительную сложность ≈ 2^(m/2), где m – длина хэш-кода, может вскрыть криптографическую защиту за 2^80, 2^120, 2^160 и 2^200 операций хэширования с запасом прочности в 20% от пороговой длины хэш-кода, так как 2^((160*80%)/2) = 2^64, 2^((240*80%)/2) = 2^96, 2^((320*80%)/2) = 2^128 и 2^((400*80%)/2) = 2^160 [7, 8, 14]. По сравнению со стандартом СТ РК 1073-2007 для 1, 2 и 3 уровней безопасности стандарта СТ РК 1073-2025 повышены безопасные пороги длин хэш-кодов со 120, 160 и 250 бит до 160, 240 и 320 бит соответственно. По сравнению с проектом стандарта СТ РК 1073 2020 года безопасные пороги длин хэш-кодов не претерпели изменений. 5. Требования к длине имитовставки: "5.3.5 / 5.4.5 /5.5.5 / 5.6.5 Длина вычисляемой СКЗИ имитовставки должна быть не менее 80 / 120 / 160 / 200 бит. Исключительно в целях защиты от непреднамеренного несанкционированного изменения СКЗИ, непреднамеренного несанкционированного искажения ключей и зашифрованных данных допускается использование имитовставок меньшей длины, но не менее 15 / 20 / 30 / 40 бит" для 1, 2, 3 и 4 уровней безопасности соответственно. Универсальная атака полного перебора всевозможных значений имитовставки имеет вычислительную сложность 2^m, где m – длина имитовставки, и для этих пороговых длин имитовставок может вскрыть криптографическую защиту за 2^80, 2^120, 2^160 и 2^200 операций вычисления имитовставки с запасом прочности в 20% от пороговой длины
С учетом вышесказанного, разработчики стандарта СТ РК 1073-2025 частично учли предложения компаний-разработчиков и производителей СКЗИ относительно этого требования и предусмотрели исключения для несанкционированного изменения СКЗИ, выявления искаженных ключей и искаженных зашифрованных данных, но только в случае непреднамеренных изменений и искажений, что соответствует пунктам 5.1.5, 5.4.8 и 5.4.9 стандарта, но не вполне охватывает случаи, которые учтены в пунктах 5.1.3, 5.5.8, 5.5.9, 5.6.8 и 5.6.9 стандарта. Требования к длине имитовставки являются новыми требованиями и отсутствовали в предыдущих редакциях стандарта. В отличие от проекта стандарта СТ РК 1073 2020 года в стандарте СТ РК 1073-2025 слова "Исключительно в целях защиты от несанкционированного изменения СКЗИ, выявления искаженных ключей и искаженных зашифрованных данных" изменены на "Исключительно в целях защиты от непреднамеренного несанкционированного изменения СКЗИ, непреднамеренного несанкционированного искажения ключей и зашифрованных данных". 6. Длина формируемой СКЗИ ЭЦП должна быть не менее 160, 240, 320 и 400 бит для 1, 2, 3 и 4 уровней безопасности соответственно. Для этих пороговых длин ЭЦП универсальная атака полного перебора подписей может вскрыть криптографическую защиту за 2^160, 2^240, 2^320 и 2^400 операций проверки ЭЦП с чрезвычайно большим запасом прочности. Однако для алгоритмов формирования и проверки ЭЦП по схеме Эль-Гамаля, в которой подписью является пара (r, s) длины m бит с элементами r и s, как правило, одинаковой длины m/2 бит, проверка подписи сводится к сравнению значения выражения с элементом s. Поэтому, атака полного перебора элементов s имеет вычислительную сложность 2^(m/2) операций проверки подписи с открытым ключом и в случае использования пороговых длин ЭЦП может вскрыть криптографическую защиту за 2^80, 2^120, 2^160 и 2^200 операций с запасом прочности в 20% от пороговой длины ключа, так как 2^((160*80%)/2) = 2^64, 2^((240*80%)/2) = 2^96, 2^((320*80%)/2
Воскресный кинозал-65 Художественный фильм “Энола Холмс” (англ. Enola Holmes), США, Великобритания, 2020 - детективная кинолента режиссёра Гарри Брэдбира по рассказу Нэнси Спрингер “Расследования Энолы Холмс. Дело исчезнувшего маркиза” о приключениях Энолы Холмс, сестрёнки сыщика Шерлока Холмса, поисках их исчезнувшей матери и виконта Тьюксбери. В эпизодах фильма диск Альберти, обнаружение и дешифрование сообщения (анаграммы), зашифрованного шифром перестановки, зашифрование шифром перестановки и размещение сообщений в газетах, дешифрование анаграмм географических названий, обнаружение в газете и дешифрование сообщения, зашифрованного шифром простой замены букв. Ссылка на фильм:https://3.kinogo.tm/filmy/12849-jenola-holms.html
Стандарт СТ РК 1073-2025 Часть 10. Требования к параметрам криптографических алгоритмов Подразделы 5.3, 5.4, 5.5 и 5.6 раздела 5 "Требования к информационной безопасности СКЗИ" стандарта СТ РК 1073-2025 содержат требования к СКЗИ первого, второго, третьего и четвертого уровней безопасности, в том числе требования к параметрам криптографических алгоритмов, реализованных в СКЗИ. Эти требования к параметрам являются наиболее важной и наукоемкой частью проекта стандарта, его криптографическим ядром. В соответствии с принципами необходимости и минимальной достаточности в проект стандарта включены требования только к тем параметрам криптографических алгоритмов, которые напрямую влияют на криптостойкость этих алгоритмов из-за наличия криптографических атак, вычислительная сложность которых зависит от этих параметров. Безопасные пороги параметров криптографических алгоритмов выбраны с учетом безопасных порогов криптографической стойкости, которые закреплены в пункте 4.4 стандарта (не менее 2^64, 2^96, 2^128 и 2^160 для 1, 2, 3 и 4 уровней безопасности). По многим параметрам был заложен запас прочности в 20%, учитывающий постепенное появление новых и более эффективных криптографических атак на криптографические алгоритмы, в том числе на общепризнанно стойкие алгоритмы. Также проводилось округление безопасных порогов до целых десятков, сотен или тысяч, что в ряде случаев незначительно отклонило запас прочности от указанных 20%. В итоге в стандарте были определены следующие требования к параметрам криптографических алгоритмов (безопасные пороги параметров) для 1, 2, 3 и 4 уровней безопасности [6]: 1. Длина ключа реализуемых СКЗИ симметричных алгоритмов криптографического преобразования должна быть не менее 80, 120, 160 и 250 бит для 1, 2, 3 и 4 уровней безопасности соответственно. Для этих пороговых длин ключей атака полного перебора ключей, являющаяся универсальной и применимой ко всем симметричным алгоритмам, может вскрыть криптографическую защиту за 2^8
Универсальные алгоритмы (атаки) дискретного логарифмирования в произвольной группе G (алгоритм Гельфонда-Шенкса или больших и малых шагов, λ-алгоритм Полларда, ρ-алгоритм Полларда) имеют вычислительную сложность O(√ord(G)) ≈ √ord(G) ≈ √(2^k) = 2^(k/2), где k – длина ключа. Для указанных пороговых длин ключей универсальные атаки могут вскрыть криптографическую защиту за 2^80, 2^120, 2^160 и 2^250 операций шифрования с запасом прочности в 20% и 36% от пороговой длины ключа, так как 2^((160*80%)/2) = 2^64, 2^((240*80%)/2) = 2^96, 2^((320*80%)/2) = 2^128 и 2^((500*64%)/2) = 2^160 [7, 8, 12, 13]. Для 4 уровня безопасности требование к длине ключа не менее 500 бит не вполне согласуется с безопасным порогом вычислительной сложности алгоритмов вскрытия криптографической защиты 2^160 из-за указанного завышенного запаса прочности в 36%, а также не согласуется с безопасными порогами длины ключа частных асимметричных алгоритмов криптографического преобразования, длины хэш-кода, длины ЭЦП и длины имитовстаки в пунктах 5.6.3, 5.6.4, 5.6.5 и 5.6.6 стандарта. Очевидно, что при таких условиях ужесточение требования к длине ключа асимметричных алгоритмов не повышает криптографической стойкости СКЗИ, так как асимметричные алгоритмы, как правило, используются совместно с другими криптографическими алгоритмами указанных видов, которые станут слабым звеном СКЗИ. Таким образом, завышенное требование 5.6.2 стандарта не соответствует принципу минимальной достаточности. По сравнению со стандартом СТ РК 1073-2007 для 1, 2, 3 и 4 уровней безопасности стандарта СТ РК 1073-2025 повышены безопасные пороги длин ключей асимметричных алгоритмов со 120, 160, 250 и 400 бит до 160, 240, 320 и 500 бит соответственно. По сравнению с проектом стандарта СТ РК 1073 2020 года для 4 уровня безопасности стандарта СТ РК 1073-2025 повышены безопасные пороги длины ключа асимметричных алгоритмов с 400 бит до 500 бит, для других уровней безопасности эти пороги не претерпели изменений. 3. Длина ключа ре
Во втором случае нарушаются безопасные пороги 2^96 и 2^128 для 2 и 3 уровней безопасности, что требует от разработчиков СКЗИ некоторого увеличения длин используемых ключей или исключения использования составных чисел n специального вида. По сравнению со стандартом СТ РК 1073-2007 для 1 и 2 уровней безопасности стандарта СТ РК 1073-2025 повышены безопасные пороги длин ключей указанных асимметричных алгоритмов с 500 и 1500 бит до 1000 и 2000 бит соответственно. По сравнению с проектом стандарта СТ РК 1073 2020 года безопасные пороги длин ключей этих асимметричных алгоритмов не претерпели изменений. Продолжение следует
Воскресный кинозал-64Победе Советского Народа в Великой Отечественной войне (22.06.1941-09.05.1945) посвящается Двухсерийный художественный фильм ”Фронт без флангов”, СССР, 1974 - первая кинолента военно-исторической трилогии режиссёра Игоря Гостина по мотивам романа Семёна Цвигуна “Мы вернёмся” о действиях отряда чекиста майора Млынского в тылу немецко-фашистских войск в 1941 году. В эпизодах фильма приём и передача шифрованных радиограмм на большую землю (2 серия). Ссылка на фильм:https://www.mosfilm.ru/cinema/films/front-bez-flangov