Утверждение 3 (об отсуствии p-y) слишком вольно толкует св-ва мультипликативных подгрупп.
Если отвлечься от рамок госта, легко увидеть, что утверждение 3 приводит к противоречию при p==q.
> Здравствуйте, > > > Сегодня 20,04 я переработал текст статьи, упорядочил > > систему обозначений, но никаких изменений в матаппарат > не > > вносил. > > А зря. Кое-где, полезно кардинально упростить выкладки, > используя, хотя бы, свойства арифметики по модулю. Хороший > стиль см. > http://csrc.nist.gov/publications/fips/fips186-2/fips186-2. > pdf > > > ... > > 2Cybervlad - извини, конечно, что текст меняется, но > для > > того я и выкладывал его на форум, чтобы получать > замечания > > и править статью... > > Увы и ах. Статья содержит несколько не связанных друг с > другом вопросов и обсуждение их в виде форума конечно > затруднено. > > > Впрочем, подчёркиваю, меняется только описание, > уточняются > > формулировки, сама суть ошибок и схема их применения > > остаётся неизменной. > > Хм. Описание слабости k исчезло, а зря. > > Теперь замечания по статье, не особо вникая в детали: > > Заглавие. > > Используется понятие УК "мошенничество". Вряд ли, в > ближайшее время криптографические системы смогут > удовлетворять требованиям уголовного права. > > ---------------------------------------------- > > п. 1. Введение > > Абзац: "В мире негласным стандартом стали алгоритмы...", не > корректен. Т.к.: > > - В настоящий момент в мире наибольшее количество средств > ЭЦП реализуют алгоритмы RSA. Если хочется сохранить пафос > фразы и не противоречить фактам, то лучше говорить про > стандарт США DSS (FIPS 186-2 от 2000 года), который > регламентирует использование одного из трех алгоритмов DSA, > RSA или ECDSA; > > - Стандарты ГОСТ Р 34.10-94 и DSA были приняты в одном > году 1994; > > - Одно из рассматриваемых в статье свойств ГОСТ Р > 34.10-94 не является главным результатом нововведения. > > Абзац: "Суть ошибки состоит в том...", не корректен. Т.к. > из текста статьи не следует не возможность доказательства > того, что (x0,1) не может быть выдана корректной программой > в рамках ГОСТа. Из текста статьи следует, что сложность > поиска (вероятность возникновения) такого (x0,1) не меньше, > чем сложность подбора (вероятность возникновения) закрытого > ключа. Соответственно, противоречие в п. 1. ГОСТ Р 34.10-94 > не обосновано. > > ---------------------------------------------- > > п. 3. Первая универсальная подпись, утверждённая ГОСТом > > Мне кажется, что для прозрачности изложения следует: > > - выкладки упростить, используя ряд общеизвестных фактов > см. > http://csrc.nist.gov/publications/fips/fips186-2/fips186-2. > pdf; > > - случай x=1 просто не рассматривать, как запутывающий > изложение; > > - абзац про "k = 0 (или k кратным q)", либо исключить, > либо поместить в конец пункта. > > ---------------------------------------------- > > п. 4. Вторая универсальная подпись... > > Разбить на два пункта, конечно, если хочется ещё раз > упомянуть "универсальную подпись", а именно: > > - успешность алгоритма проверки ЭЦП с частотой 1/2 > подписи (M,r,s) на открытом ключе автора y и на > "псевдооткрытом ключе" p-y для алгоритмов Эль-Гамаля, ГОСТ > Р 34.10*, *DSA; > > - использование этого совпадения в случае "универсальной > подписи". > > Легко видеть, что x0 просто не существует. > > 1. Элементы a^x mod p образуют мультипликативную > подгруппу порядка q по построению алгоритма ЭЦП (выбор > параметров p, q, a); > > 2. q- простое число, 2^254 < q < 2^256, > следовательно, q - нечётно; > > 3. Следовательно, если в подгруппу входит элемент y, то > элемент -y в подгруппу не входит; > > 4. Следовательно, уравнение p - y = a^x0 mod p, корней не > имеет. > > ---------------------------------------------- > > п. 6. Примерная схема мошенничества > > С моей точки зрения, во первых, правовые вопросы применения > ЭЦП ортогональны рассматривающимся выше математическим > вопросам, во вторых, их рассмотрение в данной статье крайне > не полно, и в третьих, они значительно менее интересны. Для > получения, каких либо выводов надо полностью изложить все > минимально необходимые организационно-правовые ограничения > для любого алгоритма ЭЦП, а это не мало, и рассмотреть > влияние математических результатов статьи на них. > Следовательно, это эмоционально-иллюстративная часть > статьи, поэтому ограничусь парой комментариев. > > 6.1 - Т.е. заявляем, что любому сообщению, удовлетворяющему > алгоритму проверки ЭЦП на открытом ключе y1, следует > верить, как нашему. > > 6.4 - Сам по себе ГОСТ Р 34.10-94 не заявляет не > возможность чего бы то ни было без относительно к > реализации конкретного средства ЭЦП. А конкретное средство > ЭЦП накладывает определённые требования на пользователя > этого средства. При рассмотрении этого пункта сильно не > хватает рассмотрения использования предсказуемых k в > средстве ЭЦП в математической части статьи. К слову, > интересный казус ГК, пользователь должен доказывать тот > факт, что он использовал средство ЭЦП согласно правилам > эксплуатации, а не наоборот :) > > ---------------------------------------------- > > п. 7, Как такое могло случиться? > > Фраза "...сертификат от ФАПСИ вы получите. Ибо нет ни одной > бумаги на то, как, из чего и каким образом должна > генерироваться ключевая информация" не верна, т.к. имеется > ряд нормативных документов предъявляющих требования к > ключевой информации, на пример, цитата из ГОСТ Р 34.10-94, > п. 4, стр.3: > > Целое число k, которое генерируется в процедуре подписи > сообщения ДОЛЖНО БЫТЬ СЕКРЕТНЫМ и должно быть уничтожено > сразу после выработки подписи. Число k снимается > физического датчика случайных чисел или вырабатывается > псевдослучайным методом с использованием СЕКРЕТНЫХ > параметров. > > Чётко и ясно высказано требование стандарта о том, что бы > потенциальный нарушитель (группа нарушителей) любыми > доступными ему (им) способами (измерениями времени, веса > ЭВМ, гаданиями на кофейной гуще и др.пр.) не мог > восстановить число k, так же как и параметры ПДСЧ, если > такой используется. > > ---------------------------------------------- > > п. 7, Как такое могло случиться? > > Я не понял упоминания подписи Эль-Гамаля вида (0,1). > > Производительность может быть аргументом. На пример, > говорят, что основным мотивом разработки алгоритма ЭЦП > Лан-Крипто была более высокая скорость реализации > Эль-Гамаля на другом поле. > > ---------------------------------------------- > > п. 7, ЧАВО п. 2 > > Использование: r= a^k (mod p); r' = r (mod q) принципиально > для алгоритма Эль-Гамаля. > > Успехов. > -- > LSE, Сергей Леонтьев, Крипто-Про, http://www.CryptoPro.ru
|