Предисловие

1    РАЗРАБОТАНЫ подкомитетом Ne 1 Технического комитета по стандартизации ТК 26 «Криптографическая защита информации»

2    ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации»

3    УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 ноября 2016 г. № 1830-ст

4    ВВЕДЕНЫ ВПЕРВЫЕ

Правипа применения настоящих рекомендаций установлены в статье 26 Федерального закона от 29 июня 2015 г. N9162-03 «О стандартизации в Российской Федерации». Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ. 2016

Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

9b 81 2f fa bf e8 92 3c dO 12 fe dc 00 c4 96 69 16 52 44 4d 38 9a f2 b2 6f 57 b5 3e 2d Of 81 2e db 2c f3 d6 a7 18 42 52 32 da 47 18 75 1e ec ef 8f 2b c5 03 17 fb 49 6f 02 05 d7 99 be 3c 34 87 12 f5 1b d3 ef aa 7f f5 ba c2 52 07 80 46 34 77

A.2.2 Точка Q₂

X = Oxl Cd96e72fdf1 ce6b544dec12d0d7bcb9l6ba65bba3d9f7af732bcb133c 1 b6437 У = 0x34ab5b63c286a2b885ca443ac875a8f9ec0c2f148f1622bc64c83b80e6e3d31f SEED

62 93 40 15 63 Oc 9a 09 ce 76 32 6c fd 1c 04 36 ее 08 be 92 Ь9 cO 3a d9 63 c6 db 00 18 12 12 fa eO la 46 38 8bb6 81 dfae 4f64 3e cc Oc 93 8c e4 10 36 2f d9 6d 5c fd 99 f3 9c 13 fd 30 52 al 3e 8b 35 8b ed 1c 31 bO 39 9c 03 dc 5a 94 2b 41 f8 ff 9d 62 41 bd eb 9d bf cf 54 b6 c8 cc dl 06

A.2.3 Точка Q₃

X = 0x18dda7154e5abef001dc9943554439cb44b9e26256def176849da5f09b5f690d У = 0x3ef584be59673d1751 b2fd6e3fdc619e3d756c0d355595b3a62196de048ece44 SEED

33 17 39 cl 38 82 98 88 14 68 83 c6 97 14 86 8c dO d2 la 28 41 51 99 a9 33 40 15 Ob 30 88 35 01 4a 41 42 f8 d8 9a a6 bd el a6 81 23 94 19 e8 aO ef 3d 36 02 ef ff 38 e6 10 4b 11 2f 7b Ь5 50 42 5a 7b 39 a6 00 53 la 92 fc cc 2b Od 95 dd ea 95 42 d4 27 6f a8 Of ae 45 b2 d6 f4 38 cl 52 17 5d

A.3 Кривая id-GostR3410-2001-CryptoPro-C-ParamSet A.3.1 Точка Q,

X = 0x339f791 f62938871f24 Id C89643619aa8b2c7d7706ce69be01 fddff3f840003 У = 0x31d6d9264cc6f8fe09bf7aa48910b4ad5ddfd74a2ef4699b76de09ffed295f11 SEED

Oe 29 35 9d 45 dd аЗ b4 57 9Ы7 e8 87 d9 9e 63 b9 d6 04 еЗ ас 74 83 11 91 2a 5b d4 86 7b 5d 9c 5d 07 70 64 cd fl 2d 93 f7 ГО 2e fO Oa el 7b 8b cl 87 50 ЬЗ 8f 39 bb 95 68 21 5c 42 e2 4e 8c fe 59 e9 Of a6 05 Ob 76 68 a2 94 da 5f 2c 9a 27 28 If 3a 7e 4e 14 54 10 21 01 6f 2c a2 97 77 94 12

A.3.2 Точка Q₂

X = 0x80f4d03b00M b9b53f6bb4ffa52be65a6d316de846e27f44ccd795bc62d89e23 У = 0x38dd71251Sddecl9b46afccccba97338d89d1292427dc12985d4e848066cd1ab SEED

f5 61 4e 92 8f e5 5c 77 26 37 ab ас 1 ble 3c dd 2a 37 77 be 25 23 cc 58 9a 79 5a 60 28 db 9e 64 f8 62 73 01 98 3e dd 23 Ob eb 07 3e 81 9b cb d9 94 be bf 7f 9e 5f el 8f a5 8a ce 9e f2 99 Oe 9d fb ее 1c 64 38 22 33 c3 1b e7 05 9e c2 e9 bb 46 b9 dc 15 19 9d eO 9fcb 65 d5 6d 46 2f01 21 65

P 50.1.115—2016

A.3.3 Точка 0₃

X = 0x0c8b64c3f0ec7ece81b6232db2e8054666d051ee28254d4b9a4bcb1460ca546b У = 0x88c98b48b22b90d0d3a018da55ca0d05cedd82b6c838bd62aba2b823ce82b28f SEED

8a 1b 29 62 38 f5 c2 e2 9b 4a cO 5b 6d 57 99 88 86 69 a4 1b b9 f6 60 f3 a3 15 26 e5 f4 33 1e ae 80 9a 38 52 f5 44 86 91 71 76 1c ab 77 0a Ь6 2e c3 6f d6 4d 3c 31 a3 67 2a 82 25 bf d6 ae c9 95 66 95 Ь8 87 39 6a 3e bf ef 28 65 16 b9 51 29 Id 65 df 12 7a eb 4c ec fl 6f 08 f5 98 36 Oa b9 aO

A.4 Кривая id-tc26-gost-3410-2012-512-paramSetA A.4.1 Точка Q₁

X = 0x301 aac 1 аЗЬЗе9с8а65Ьс095Ь541 се 1 d23728b93818e8b61 f963e5d5b 13eec0fe e6b06f8cd481 a07bb647b649232e5179b019eef7296a3d9cfa2b66ee8bf0cbf2 У = 0x191177dd4lce19cc849c3938abf3adaab366e5eb2d22a972b2dcc69283523e89 C9907f1d89ab9d96f473f96815da6e0a47297fcdd8b3adac37d4886f7ad055e0 SEED

64 1c 90 19 c5 d7 68 91 de dl 9a 31 28 4e 7c d3 c6 8b 74 e5 e6 a7 20 b5 2c fb 45 17 9f 91 b3 f6 3a Oc b2 5e 3f 91 e3 eb 80 3d 80 4f 79 98 a3 57 f2 e5 dc 5d 84 ab d6 7d 33 a3 2b 89 66 db c6 94 96 8f 96 2d 37 9e 33 cO fd 14 32 dd 02 70 fb 61 la 88 4c 6d ae 1b 58 20 24 6e 80 80 5d cd a8 66

A.4.2 Точка Q₂

X = 0x7edc38f17f88e3105bafb67c419d58fe6a9094dd4dc1 a83bcaccc61 f020ac447 92eba888457c658ee2d82557b7c6ab6efd61 Ьа0с3327741 d09a561 a8b860a085 У = 0x3af1400a7a469058d9ba75e65ea5d3f4d0bdb357fa57eb73fa4900e2dca4da78 b8e5ff 35ca 70e522610bbl fc76b 102c81 cc4 729f94b12822584f6b6229a57ea 1 SEED

3d ad al b4fb87 3e 13 1e 51 62 60 If ее fl 54 bO 77 eO 71 1b cf da 74 a2 20 7e a3 20 01 c3 f5 79 00 5f 10 9f cl 83 83 4e 29 46 b3 29 8a 4c 10 Oc 69 f4 c6 40 92 3f ed af Ь2 68 08 Ob 6b 1c 07 48 al 18 29 6e 64 9b 16 Id eb 26 27 b4 77 9e e8 eOffcl db 48 5d 8b cl 108c 58 Ы af07 5f7b

A.4.3 Точка Q₃

X=0x387acfba7bbc5815407474a7c1132a1bded12497243d73ef8133d9810eb21716 95dde2ff15597e159464a 1 db207b4d 1 ff98fbb989f80c2d b 13bc8ff5fea 16d59 У = 0x4c816d1ca3e145ac448478fb79a77e1ad2dfc69576685e2f6867ec93fbad8aa4 4111 acd 104036317095bce467e98f295436199c8ead57f243860d 1 bde8d88b68 SEED

7c 8d a6 91 96 Od 9d 06 65 92 23 08 df cf 51 71 bd 7c 4b f8 50 1 b 3f fd Зс Ы 58 3a 30 el a7 17 4e 09 e2 5f Id 19 35 6e bO 51 66 1c dO 2a cl 9e 48 22 38 49 76 Od 43 4e 20 ea dl 80 73 84 1c e8 36 a6 8e f3 24 bb 2d 57 45 32 a5 d4 e6 08 73 fa d3 8c 32 e8 af al c5 25 8c ff 3d 52 ca ac 98 dl

8

A.5 Кривая kj-tc26-gost-3410-2012-512-paramSetB A.5.1 Точка Q,

X = 0x488cf12b403e539fde9ee32fc36b6ed52aad9ec34ff478c259159a85e99d3dda dfd5d73606ecee351 e0f780a 14c3e9f 14e985d9d7ddec93b064fc89b0c843650 У = 0x7bc73c032edc5f2c74dd7d9dal2e1856a061ce344a77253f620592752b1f3a3d Cbbc87eb27ec4ed5e236dfeb03f3972404747e277671e53a9e412e82aaf6c3f7 SEED

40 57 8b la cO bd 53 8d 75 97 2d 49 9b 1c c6 73 94 c8 f7 d4 76 cd fe 15 59 02 fa Of 28 b8 06 el 81 4c fb dO 4d 62 86 0c 4a ce cl Oe 88 13 da 2a d4 fd 7a 13 4d ba 75 Od 2c 80 f2 68 ba cl Ь4 34 98 ea fe 10 51 86 60 b7 70 30f8 64 6f21 d9 40 aa da 62 3e ad 44 3f 93 73 a5 6b c3 15 55 3c bd

A.5.2 Точка Q₂

X - 0x175166b97248bda12ec035df2e3l2a2771d0b16977c9cbc79461ff05e01f719c 92ae8b53f3b7e3edcacffcc5063b5e9c8de 18d0cb87da358350992132173df69 У = 0x10e2943dc 1 a 18a841 ab76ac756fa974948d5a 18d071 d458a4769c2494fe2a6c5 966e3c8931e624d87259156aea9317157502698e4a4a489c327b89277cf59b4c SEED

26 01 07 1b 3d 3e 6d e7 Oe dO 22 ae be 81 be 47 51 77 49 b6 5d 29 dl 07 5c df cb f4 56 a8 77 54 2b e9 91 50 34 06 b3 aa 71 c5 ce 16 b6 5f e9 93 e7 48 99 58 Ы 26 81 10 9f 9b e4 30 38 73 77 13 ГО 6a 4f 30 05 Ь2 66 76 9f b8 1b 5f 39 55 52 97 ab 46 6b 5d 2e 19 2d I2f3 2a b3 18 72 71 52 62

A.5.3 Точка Q₃

X = 0x01f4583db894cdebd7c591 af848783ee011 a20567751 ca 1561 f398a6118ace08 _a4efe1501bda67f39d060270ba660526dc53063c6b40fa5548c9a9e7688f2239 У = 0x7bc640641d70c8296bd9257c9eebb5b1bd3196a169bac04f7579bf27b5847d4e 7b4f63748ad81b5469070ed35ad93e5a5258652306f84094eae04a91954536ee SEED

bb 9a 63 a5 67 7d 40 7c f3 4d 06 df 96 7d d9 e9 ca 4d 42 eb d6 7d a5 69 a4 9b d8 Ы 04 64 2e 20 fb a9 9d 84 2f cb 54 76 61 dc 7a a4 de 72 6f 67 4a 09 85 46 20 04 7c cl 75 2c ab 67 99 8b 5c 8e 6a 88 6d Oa 06 e6 a3 fa e8 19 34 21 la ec 81 8d 89 03 9e 45 dc al 85 03 7e c3 49 37 33 ее 3c 2e

A.6 Кривая id-tc26-gost-3410-2012-256-paramSetA A.6.1 Точка Q,

X = 0x5161b08a973d521bdde0cbd45b68aa0470e1058dd936e5bd618fd3373770eed9 У = 0xc1633db551677c62b9c2b69d47e503c0f8ca83b6b3109dece0a5f985d77a83a7 U = 0x9c5ad63ddc3314ac009d879780d6219720bf4573f4fe6b4bf7a0a88860677f9d V = 0x8ee071 a767f3d6f0435eb61 OOd 1 a936f984e43d9af0bc91 c864a9e65cee025fb SEED

c4 7e 5e 42 31 4e dd 8e e9 ac 39 fb c8 da ea c8 e6 5b fd 26 58 27 4e If 99 e9 33 el 1e 5d f2 62 4a e3 97 fl 7e db f9 83 60 f3 ec 2e 8f6f2eff d4 aa 80 5c 71 d6 ed 5b al 5b c9 dO ad d6 38 23 84 cl 55 20 a5 Ь8 bb bd 7b 23 If c8 fb 8c 77 71 57 b9 77 25 91 55 3f 17 46 8c 4b b3 64 6f 9f 53

P 50.1.115—2016

A.6.2 Точка Q₂

X = 0xd47abd59dccad35849dec9dc721 ffa 1 e44419ca8686406a9f441 e61294b21 Oed У = 0xa78b64220bf3375d08de0ea5e2920cfd8f204da6757bf1878ac870fb7e5ca0e8 U = 0xf0195efb6b249eb8018c19376907c787511bf30516a5c27d045fc7ba2af58ed0

V    = 0xacae88466127df000b663863bc7bd394eafa6996fcedadl1d7834f502a6a2686 SEED

30 5f dO bb ce c7 16 49 ac e4 1b 4d ca 07 6c a6 96 a8 8c об fd 06 91 a8 79 13 5d el 90 96 e3 c8 03 c5 b4 ad 41 68 36 9b e7 b9 ed 81 d6 e2 bd Oc a2 8e bO e9 6f 74 2d 50 e2 df Ь6 al 86 ae 15 60 96 a3 5a 97 a2 20 fa 6d Of cf 88 db 6d 86 cd db 19 7c 3a 21 5f 10 cc ea 42 95 ef aa b2 63 95 d5

A.6.3 Точка Q₃

X = 0xe0d610ff42ce21eb308980964ca368963fbe5cb08c277187d22d0c94f4bf0762 У = 0x82619b88da25b666e07b617ff487be8afd5af8b092568b493ecef44ee0c04b5f U = 0x723df0719311d095b814ee05ca086e18c410c375a48789dc03c3fe844ed3b7c9

V    = 0x160e1 b5338337ee0620745206dbe5556a 7ff5d 19735418a3cc03bf7f2735ce25 SEED

22 16 91 c7 21 8d 93 d4 a8 ad 15 e4 72 33 84 90 ca 5c 5e 3b 84 84 57 4e be df 83 26 68 84 Se f4 09 53 71 79 7a f8 e2 a6 e3 99 93 de 2a 7c 65 Ю 37 26 2e cc fa 95 58 9a c6 e8 M 2d e6 09 af be f9 2f 12 dO a3 08 56 9a ЬЗ cO fa d8 ec 5d 7b 9c f4 27 If aa 54 be bb da 31 61 b7 cd f5 40 d6 b8

A.7 Кривая id-tc26-gost-3410-2012-512-paramSctC A.7.1 Точка Q,

X = 0x5b065ead2e94de0ee2e462de204c93c6b2bf3498ad920393cb60259e1a8ffc7c 7e7d4defa20ff4282abf70207e4611d532f40db6800e29d2b53f6ac07l3e5b38 У = 0xa39a28c59ff7f796b85223b8834384907c626086415487288ed 1182ca4487dc1 ae5f37af90fd267b7c0dc8542ea52cd984af54731bc84271d6186d973c91359b U = 0x3c80e89805380f52cfe86ff990501801d70e5b4636e8478674d2d5706a56a666 6 ЗеЬОЗа bdc332584f7ea8c3255b 1 ЬеЗса75е4685а060е0еа88е569612d9e7227 V = 0xd8f2cf17c484f4bb6a0208b3796a2609971 c55d56bffadfl 55c0bfb76f7afe99 7d6b6e8fde9e2cefd0ab3e31 a 1862953425a70334e4e2404c9cd9079856c7259 SEED

03 8a 01 Ь5 ea a2 28 3b bb 29 7b 81 ad 94 92 01 e4 32 11 df 76 a3 70 ec cO 09 ec 49 If 9f 8d 33 f2 ее 24 08 c7 88 27 cd Oc 51 17 a7 e3 8d 58 5b 3d 15 50 30 a3 29 1b ad 6a 21 ab 48 38 Id 66 be 1b d6 b9 ba 6e d8 6a 21 65 c5 99 84 dc 5d 51 81 f3 fl 97 fe 4a 86 81 c2 e5 Oa 22 aO 61 2c 55 7e

A.7.2 Точка Q₂

X = 0xb3e6c475f173af4494dd02ad7c9df3bd6a5ca82c3d65ad86fbb330dfb1c40e34 C4cd04d93f609cff2daea5907d0e08192a29be3ff27522223b868e8bcc6a7b74 У = 0x53ffcf818281 bcf383d9b6542b3b1 fcee5bd20cd 1 c805ed 1 dacb83ba 161167a5 eb96df52c1d290496043ea514c465ecb37970fcd7ffbb6ca35a767cd0227fe8c U = 0x8dd3f6f455ffaea85c3935750792b65fa1ba990c7ac8bc449a77bb86aeb87eb6 ecb6bf387924885b0ea1e30fc4d742919504cd7baf4926b777ed40b898be41f8

10

V    = 0x2d7edc1ca6078878d2d8ecafabc2abc83fcb269c049baa 11951 ff2523b69M dl

4ee6c0fa7cbd5a566cb32246d14568eb9fa04e3b53ee6175bb32887796870ba9

SEED

63 ce db 44 3d f8 df 68 8d 5d fd dO ea 54 41 62 f5 6d 78 92 73 Oc 86 88 53 e2 24 4d dd 87 1e 4a Oe 3f b7 32 40 c8 7a be e8 fd b3 16 dd Oe 9b 23 ec If c7 40 86 29 8c fc f2 al d9 18 31 afa3 cf 1e 98 b8 Od 42 Oc 16 73 8d 57 44 77 8e la d3 e4 42 d7 26 39 6c 91 b7 f5 e8 84 09 8d be 02 aa 80

A.7.3 Точка Q₃

X = 0xbe963ad90f84ff9ff6ff7ddd39d91 cea649e849bf20b8cc1 e72040cf689a974f 40f24e10c737bfa558b514c605b7c156e24251 b859202b12ef311 b0f363171eb

V    = 0x007cfa56f5ae239694e74f7996e1f44fcd4f62205a555fdb627e4212576b4591

7f88667bcd924a3271 f40dc4bbd2f2e216b4fcf59c25fdd8154241 d40f42e2ad U = 0xff6697883ce5c6cc165fa78ff158c03b31add23dc01b24902b18c5487f1835ff eaf4af5ede44f8b254748704e504810597d0e4418daf50e0253f33915de97b7b

V    = 0x54e1ba656234479c5845c06af70bbefa741a863d5186ca720ee2f43bdd4d5b74

71594871 d532ce263928aa30ae3c25efc6a2f82d4163c45869339426888be3bc SEED

06 ce 08 fa 5d 11 50 45 e2 d2 a8 03 01 d2 9e 2a 39 c3 ea e7 fl 61 37 f9 3e 51 dl 46 f3 21 M 89 fb 5c 17 70 26 5b 30 8b 6d f2 87 7c d9 d3 6f 8a 3c b4 e7 Id Ю 99 a4 73 69 Id d5 46 8d 43 50 f9 87 df e5 e5 de ff 3c 7b b8 f4 62 ed 19 9b f3 33 7a 6f f9 Oe c5 ГО be bb la 59 1e cd c2 9b 52 64

P 50.1.115—2016

Приложение Б (справочное)

Контрольные примеры

Для одной из трех точек каждой кривой, указанных в приложении А настоящих рекомендаций, приведены контрольные примеры работы протокола

Б.1 Кривая id-GostR3410-2001-CryptoPro-A-ParamSet

В данном примере входные параметры протокола принимают следующие значения /V = 3 ind = 1

id_a 00 00 00 00 ID_B 00 00 00 00 PW

31 32 33 34 35 36 ('123456') salt

29 23 be 84 el 6c d6 ae 52 90 49 fl fl bb e9 eb

0_M

X = 0xa33ce065b0c23e1d3d026a206f8a1f8747ed1cd92a665bf85198cdb10ac90a5c Y = 0xb00d0dc0733883f05de9f55fd711f55998f5508cc40bead80c913b4d5b533667

Функция F{PW. salt, 2000) при этом принимает следующее значение F{PW, salt, 2000): bd 04 67 3f 71 49 Ы 8e 98 15 5b dl e2 72 4e 71 dO 09 9a a2 51 74 f7 92 d3 32 6c 6f 18 12 70 67

Координаты точки Отравны

X = 0x9d339b3396ae4a816388a 14c79ab3a8dd495fa4c53f0d4076579022ef2aaeb68 Y = 0xdad91482e208590fd316bf959480f5ec2c17463ec8fc8f63030649b452cddda8

При формировании сообщения и, на стороне А параметр «, точка «Р и сформированное сообщение и_у принимают следующие значения

« = 0xfccbd45d1f2538097d5a031fa68bbb43c84d12b3de47b7061c0d5e24993e0c87 иР.

X = 0х24538е096781 b9d53316c342ae5bbd49ccfb2db627c3659175bc4fa9d95b46l8 У = 0xf6e39a7490ae0ac449f5abe7e2135697c582daf3a038c40a05e6e8be3e466a2b ^и\

X = 0xcf73b30dd577369fb98e2a93d6d98d7450f9ceef2bada1e3dcb8bb1016dff1e1 У = 0x1 cf05014caedbdb1635120b30e0a445060b8f1 cca52965cf83c4838d554ca4e2

При обработке сообщения u_v выработке ключа К_в и сообщения и₂ на стороне В параметры (1. src.

К_в = /^256 (*с). ^и и2 принимают следующие значения

р = 0xf2144faddc497d9ef6324912fd367840ee509a2032aedb1c0a890d133b45f596

src

39 с0 е8 83 59 91 cd 6d 56 88 fc ad 55 29 If 79 e5 Of 87 9d 94 b5 0a b2 db d6 bd f7 e8 39 Ь7 la 10 b5 a7 8d cO 36 b8 73 f7 e4 bl 6b 12 48 6f eb 69 d7 39 d4 01 4d ae e2 cc 5c 2f c7 4a 2c c8 06 Kg

e0 4e eO 14 7f 9f 19 8d e2 5a af33 a2 84 99 eO

Содержание

1    Область применения........................

2    Нормативные ссылки........................

3    Термины, определения и обозначения..........

3.1    Термины и определения..................

3.2    Обозначения...........................

4    Описание протокола.........................

4.1    Параметры протокола....................

4.2    Начальные значения счетчиков протокола . ..

4.3    Алгоритм протокола.....................

5    Построение точек...........................

Приложение А (рекомендуемое) Примеры точек . .. Приложение Б (справочное) Контрольные примеры

Введение

Настоящие рекомендации содержат описание протокола выработки общего ключа с аутентификацией на основе пароля. Преобразования данных, выполняемые при реализации протокола, используют операции 8 группе точек эллиптической кривой, определенной над конечным простым полем. Стойкость протокола основана на сложности вычислительной задачи Диффи-Хеллмана в группе точек эллиптической кривой и свойствах хэш-функций, а также свойствах кодов аутентификации сообщений, использующих хэш-функции.

Необходимость разработки настоящих рекомендаций вызвана потребностью во внедрении процедур взаимодействия сторон, обеспечивающих безопасную выработку общей ключевой информации и взаимную аутентификацию при наличии общих исходных конфиденциальных данных малого объема.

Примечание — Основная часть настоящих рекомендаций дополнена приложениями А и Б

IV

P 50.1.115—2016

РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ

Информационная технология КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ Протокол выработки общего ключа с аутентификацией на основе пароля

Information technology Gryptographic data security Password authenticated key echange protokol

Дата введения — 2017—06—01

1    Область применения

Настоящие рекомендации предназначены для применения в информационных системах, использующих механизмы шифрования и защиты аутентичности данных, с реализацией алгоритмов электронной (цифровой) подписи по ГОСТ Р 34.10 и функции хэширования по ГОСТ Р 34.11 в общедоступных и корпоративных сетях для защиты информации, не содержащей сведений, составляющих государственную тайну.

Описанный в данных рекомендациях протокол предназначен для выработки общей ключевой информации с использованием разделяемого сторонами пароля и последующей аутентификации при взаимодействии по каналу, в котором допускается присутствие активного противника. Протокол может применяться для обеспечения защиты каналов связи при обработке информации, не содержащей сведений. составляющих государственную тайну. Выработанная сторонами ключевая информация может быть использована для установления защищенного соединения между ними.

2    Нормативные ссылки

В настоящих рекомендациях использованы нормативные ссылки на следующие документы:

ГОСТ Р 34.10-2012 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи

ГОСТ Р 34.11-2012 Информационная технология. Криптографическая защита информации. Функция хэширования

Р 50.1.113—2016 Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хэширования

Р 50.1.114—2016 Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов

Р 50.1.111—2016 Информационная технология. Криптографическая защита информации. Парольная защита ключевой информации

Примечание — При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных стандартов (рекомендаций) в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год Если заменен ссылочный стандарт (рекомендации), на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта (рекомендаций) с учетом всех внесенных в данную версию измене-

Издание официальное

ний Если заменен ссылочный стандарт (рекомендации), на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта (рекомендаций) с указанным выше годом утверждения (принятия) Если после утверждения настоящих рекомендаций в ссылочный стандарт (рекомендации), на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения Если ссылочный стандарт (рекомендации) отменен без замены, то положение. в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку

3 Термины, определения и обозначения

3.1    Термины и определения

В настоящих рекомендациях применены следующие термины с соответствующими определениями:

3.1.1 байтовое представление числа: Вектор w = (w,.....w,) Е В, является байтовым представ

лением числа w. если w =256'*¹ w, ♦ ... + 256° иг,.

3.1.2    байтовое представление точки эллиптической кривой: Для точки {X. Y} на эллиптической кривой ее байтовым представлением является конкатенация байтовых представлений координат этой точки XIY. При этом длина байтовых представлений координат X и У равна минимально возможной длине байтового представления характеристики поля р.

3.2 Обозначения

В настоящих рекомендациях использованы следующие обозначения:

Е — эллиптическая кривая, определенная над конечным полем F_p, где р простое, р > 3: р — модуль эллиптической кривой Е; а. b — коэффициенты уравнения эллиптической кривой Е в канонической форме: т — порядок группы точек эллиптической кривой Е; q — порядок циклической подгруппы группы точек эллиптической кривой;

Р — порождающий элемент подгруппы порядка q кривой Е;

Х.У — координаты точки эллиптической кривой в канонической форме;

О — нулевая точка эллиптической кривой;

^W256 ^— хэш-функция Н с длиной выхода, равной 256 битам, определенная в ГОСТ Р

34.11— 2012 (раздел 8);

хэш-функция Н с длиной выхода, равной 512 битам, определенная в ГОСТ Р

34.11— 2012 (раздел 8);

НМАС (К.Т) — значение кода аутентификации сообщения, вычисленное для сообщения Тна ключе К по алгоритму НМАС. определенному в Р 50.1.113—2016. Длина значения равна 256 битам;

F (PW. salt.n) — значение функции PBKDF2 (PW. salt, п, 1еп), определенной в Р 50.1.111—2016, где параметр 1еп считается равным 256, если порядок подгруппы q удовлетворяет неравенству 2^2S4< q< г²⁵⁶, и равным 512. если 2⁵⁰⁸< q< 2⁵¹². Согласно Р 50.1.111—2016, в функции PBKDF2 в качестве PRF всегда используется функция НМАС с длиной выхода. равной 512 битам;

—    множество байтовых строк длины п. п Z 0. Строка b = (Ь,. ... Ь_п) принадлежит множеству В_п. если b_v ... Ь_пЕ {0.....255}.    При    п    -    0    множество    В_п    состоит из единствен

ной пустой строки длины 0;

— число иг = 256'"¹ и/, + ... + 256° w,, соответствующее вектору w = (w,.....wj) Е Б,;

— число И/ = 256'"¹ иг, + ... + 256° иг,, соответствующее вектору w = (w,.....w,) Е Б,;

—    конкатенация двух байтовых строк; для двух байтовых строк и = («,.....и_п1) е Б_л1.

|) = (р,.....|)_п2)^€ Р_Я2 ^ИХ конкатенацией и||Г> называется байтовая строка у = (а,.....а_п1,

Pi- —• Рп2)^ееш ♦/72-

Примечание — В настоящих рекомендациях используют обозначения параметров эллиптических кривых в соответствии с ГОСТ Р 34 10—2012 (раздел 5).

2

P 50.1.115—2016

4 Описание протокола

В протоколе участвуют стороны А и В, между которыми осуществляется выработка общего ключа и взаимная аутентификация на основе пароля.

4.1    Параметры протокола

В протоколе могут использоваться несколько эллиптических кривых, для каждой из которых должны быть определены:

-    идентификатор кривой ID_ALG. являющийся байтовой строкой произвольной длины;

-    точка Р. являющаяся порождающим элементом подгруппы порядка q данной кривой;

-    набор различных точек {О,. 0₂.....порядка q на данной эллиптической кривой, где количество точек N является параметром протокола. Метод генерации наборов точек {О,. 0₂.....Q_N) описан

в разделе 5.

Параметрами протокола, используемыми стороной А, являются:

1)    Хранящийся в тайне пароль PW. являющийся байтовой строкой, случайно (псевдослучайно) и равновероятно выбранной из множества мощности не менее Ю¹⁰ из множества В_к, где к > 6 — длина пароля.

2)    Список идентификаторов кривых, поддерживаемых стороной А.

3)    Наборы точек {Q,. 0₂.....Q_N). соответствующие поддерживаемым стороной А кривым.

4)    Счетчик С^. контролирующий количество неуспешных попыток аутентификации, предпринятых подряд, и значение CLim_v равное максимально допустимому числу таких событий.

5)    Счетчик С₂^а. отвечающий за количество неуспешных попыток аутентификации, предпринятых за время использования данного значения PW, и значение CUm₂, равное максимально допустимому числу таких событий.

6)    Счетчик С₃Л отвечающий за количество попыток аутентификации (успешных и неуспешных), предпринятых для данного значения PW, и значение CL/m₃, равное максимально допустимому числу таких событий.

7)    Уникальный идентификатор Ю_А стороны А (опционально), являющийся байтовой строкой произвольной длины.

Параметрами протокола, используемыми стороной 8. являются:

1)    Числа indе {1...../V}.    salts    {1.....2¹²⁸    -    1}.

2)    Точка Оруу, удовлетворяющая равенству

Qpw = int (F(PW.; salt. 2000)) • Q_in&    (1)

Примечание — Опционально точка Qpyv может не храниться, а вычисляться из PW перед началом работы протокола 8 этом случае стороне В необходимо хранить PWи точки Q,. Q₂, ... Q_N

3)    Идентификатор используемой в протоколе эллиптической кривой ID_ALG.

4)    Счетчик С,в. отвечающий за количество неуспешных попыток аутентификации, предпринятых подряд, и значение CLim_v равное максимально допустимому числу таких событий.

5)    Счетчик С₂⁸, отвечающий за количество неуспешных попыток аутентификации, предпринятых за время использования данного значения PW. и значение CLim₂. равное максимально допустимому числу таких событий.

6)    Счетчик С₃⁸. отвечающий за количество попыток аутентификации (успешных и неуспешных), предпринятых для данного значения PW. и значение CL/m₃. равное максимально допустимому числу таких событий.

7)    Уникальный идентификатор /0₈ стороны В (опционально), являющийся байтовой строкой произвольной длины.

4.2    Начальные значения счетчиков протокола

После установки пароля Р1Узначения счетчиков аутентификации должны соответствовать следующим ограничениям:

-    С,^Л = С,⁸ = CLim,. где CL/m, е {3.....5};

3

-    C₂^a = C₂^B = CUm₂, где CLim₂ 6 (7.....20};

- C₃^A = C₃^B = CUm₃. где CLim₃G{10³..... 10⁵}.

4.3 Алгоритм протокола

Описываемый в данных рекомендациях протокол состоит из следующих шагов:

1)    Если хотя бы один из счетчиков С,Л С₂^А. С₃^А равен 0. А завершает протокол, возвращая ошибку. информирующую об исчерпании числа попыток, контролируемых обнулившимся счетчиком.

2)    А уменьшает каждый из счетчиков С,^Л. С₂^А, С₃^А на 1, запрашивает открытую информацию аутентификации у в и посылает идентификатор Ю_А.

3)    Если хотя бы один из счетчиков С,⁸. С₂^В, С₃^В равен 0. 8 завершает протокол, возвращая ошибку, информирующую об исчерпании числа попыток, контролируемых обнулившимся счетчиком.

4)    8 уменьшает каждый из счетчиков С,®. С₂^В, С₃^В на 1.

5)    В передает А значения ind. salt и идентификатор ID_ALG. Также В передает А идентификатор Ю_в (данная пересылка опциональна). Все дальнейшие вычисления В проводит в группе точек эллиптической кривой, которая задается идентификатором ID_ALG.

6)    А устанавливает в качестве используемой эллиптической кривой ту. которая задается идентификатором ID_alg. Все дальнейшие вычисления А проводит в группе точек этой кривой.

7)    А вычисляет точку Qpyf - in*    salt.    2000))    Q_md.

8)    А случайным образом выбирает величину «6{1.....q- 1} и осуществляет присваивание z_A = 0.

9)    А посылает 8 значение и, = « ■ P-Qpvf

10)    8, получив и,. проверяет, что и, 6 Е. Если это не так. то 8 завершает взаимодействие, считая аутентификацию невыполненной.

11) 8 вычисляет значение О_е = и, + Ор^. осуществляет присваивание z_B = 0 и случайным образом

выбирает величину р е {1.....q - 1}.

т

12)    Если — О_е = 0. 8 осуществляет присваивания Q_fi = р>Р и z_B = 1.

13)    В вычисляет К_в = Н_25е ((— • р (mod q)) ■ Q_e). где хэш-функция считается от байтового представления вычисленной точки.

14)    8 посылает А значение и₂ = р • Р + Q_pvv.

15)    А. получив и₂. проверяет, что и₂е Е. Если это не так. то А завершает взаимодействие, считая аутентификацию невыполненной.

16)    А вычисляет Q_A = и₂ - QpwA

т

17)    Если — Од = 0. то А осуществляет присваивания Q_A = пР и z_A = 1.

18)    А вычисляет К_А = Н₂₅₆ ((— • и (mod q)) • 0_Л). где хэш-функция считается от байтового представления вычисленной точки.

19)    А вычисляет МАС_а = НМАС(К_а,0x01 I Ю_А I ind I salt I и, I и₂ I DATA_a), где DATA_a — опционально присутствующая строка, которая аутентифицируется с помощью МАС_а (если она не используется, то DATA_a считается равной строке длины 0).

20)    А посылает 8 значение DATA_a I МАС_а.

21)    8 осуществляет проверку на равенство значений МАС_а и НМАС(К_В. 0x01 I Ю_А I ind И salt I и, II и₂ I DATA_a). Если они не равны, то завершает протокол, считая аутентификацию невыполненной.

22)    8 завершает протокол, считая аутентификацию невыполненной, если z_B~ 1.

23)    8 устанавливает значение счетчика С,⁸ равным CUm, и увеличивает С₂^В на 1.

24)    8 вычисляет МАС_В = НМ АС (К_в, 0x02 I Ю_в I ind I salt I u, I u₂ I DATA_a I DATAq). где DATA_B — опционально присутствующая строка, которая аутентифицируется с помощью МАС_В (если она не используется. то DATA_B считается равной строке длины 0).

25)    8 посылает А значение DATA_B I МАС_В.

26)    А осуществляет проверку на равенство значений МАС_В и НМАС(К_а. 0x02 I Ю_в I ind I salt I щ I и₂ I DATA_a I DATAq). Если они не равны, то завершает протокол, считая аутентификацию невыполненной.

27)    А завершает протокол, считая аутентификацию невыполненной, если z_A - 1.

4

P 50.1.115—2016

28) А устанавливает значение счетчика С,^Л равным CL/m, и увеличивает С₂^А на 1.

После успешного завершения протокола стороны А и В взаимно аутентифицированы и каждая сторона имеет общий выработанный ключ К = К_А = к_в.

Примечания

1    Процесс формирования ключей К_А, К_в в пунктах 13 и 18 происходит в соответствии с алгоритмом VKO_ GOS77?3410_2012_256, определенным в Р 50 1 113—2016

2    Использование уникальных идентификаторов Ю_А и Ю_в является обязательным в том случае, когда начать процесс взаимодействия может любая из сторон При этом получатель должен проверить, что полученный им при взаимодействии идентификатор не совпадает с его собственным В случае совпадения он завершает протокол В случае, если опциональный параметр Ю_А (также Ю_в) не используется в протоколе, следует считать его равным любой фиксированной байтовой строке, в том числе строке длины 0.

3    Параметры ind. Ю_А. Ю_в и salt могут быть согласованы до начала выполнения действий, описанных в данном разделе В том случае, когда параметр согласован заранее, его можно не передавать на соответствующем этапе Ни один из согласованных заранее параметров не может быть исключен из данных, обрабатываемых функцией НМАС на этапах 19, 21, 24 и 26

4    Параметр ID^q может быть зафиксирован или согласован заранее

5    Возобновление взаимодействия по протоколу в случае обнуления одного из счетчиков    возможно

без смены пароля В этом случае указанные счетчики могут использоваться для защиты от атак типа «отказ в обслуживании» Например, взаимодействие может возобновляться только после определенной задержки

6    Возобновление взаимодействия по протоколу в случае обнуления одного из счетчиков С₂^Л, С₃^А, С₂^в, С₃^в возможно только после смены разделяемого сторонами пароля

5 Построение точек

Для данной эллиптической кривой Е с порождающим элементом Р алгоритм построения каждой

точки 0₍, принадлежащей соответствующему этой кривой набору {О,.....Q_w}. основывается на выборе

координаты точки с известным прообразом относительно хэш-функции Н_25б. если порядок подгруппы q удовлетворяет неравенству с 2²⁵⁴ < q < 2²⁵⁶. и относительно хэш-функции Н₅₁₂. если q удовлетворяет неравенству 2⁵⁰⁸ < q < 2⁵¹². и состоит из следующих шагов:

1)    Задать произвольную байтовую строку SEED длины 32 байта или более.

2)    Вычислить X = INT(H_len (SEED)) mod р.

3)    Проверить, что значение выражения X³ + аХ ♦ Ь является квадратичным вычетом в поле F_p. Если это не так, то вернуться к шагу 1.

4)    Выбрать значение У произвольным образом из множества {+ yjR, - ^R}_ где R = X³ + аХ + Ь. Здесь y/R — элемент поля F_p, для которого выполнено сравнение (Vfi)² = R mod р.

5)    Проверить, что для точки Q с координатами (Х.У) выполнено О#0идО = 0. Если это не так. то вернуться к шагу 1.

6)    С помощью описанного алгоритма для каждой эллиптической кривой Е строятся наборы точек

{О,.....О^}. Построенные точки в одном наборе должны иметь различные координаты X.

Примечание — Наличие известного прообраза относительно хэш-функции в данном случае гарантирует построение каждой из точек набора {О,,.... Од,} доказуемо псевдослучайным образом Таким образом, кратность любой из его точек относительно порождающего элемента Р и относительно любой другой точки набора является неизвестной, а задача ее вычисления неосуществима на практике

5

Приложение A (рекомендуемое)

Примеры точек

Для каждой кривой представлены три точки: Q,. О?. 0₃ Данные точки были построены с помощью метода, описанного в разделе 5 Этот же метод следует использовать для построения, при необходимости, дополнительных точек

Каждая из точек представлена парой координат X, У на кривой Бейерштрасса В соответствии с Р 50 1 114— 2016 для кривых, имеющих эквивалентное представление в форме скрученных кривых Эдвардса, также приведены координаты точек U, V на кривой в данном представлении Для каждой точки приведено значение SEED, с помощью которого она была порождена

А.1 Кривая id-GostR3410-2001-CryptoPro-A-ParamSet А.1.1 Точка Q,

X = 0xa33ce065b0c23e1d3d026a206f8a1f8747ed1cd92a665bf85198cdb10ac90a5c У = 0xb00d0dc0733883f05de9f55fd711f55998f5508cc40bead80c913b4d5b533667 SEED

f8 18 95 Ь4 13 69 d9 08 9е 3d Зс 56 е8 70 Ьа 5е 9d 55 5е 20 eb d9 с7 22 66 10 6d 79 с2 83 48 Ь8 се 63 70 52 9а 82 9f 18 а4 d3 еЗ fd 7Ь Г2 dd 73 Ы 1b be d4 10 9d 27 c9 a3 d4 bd 3a 42 cc 26 ae 43 5b 52 f5 89 a4 c3 b7 61 cO 1b a2 88 Ь7 eO 8d f9 4e 22 40 29 f3 aa 96 11 5c 43 f5 eb 87 99 70

A.1.2 Точка Q₂

X = 0x4ce9c2bcf17212b9efcab65c3c815c0ff96d7461c957634dbfd1fe7c9a324d27 У = 0xf7500d7adea2c2b4a16d838a8faa02b46639eb881f124d0f2506efca0e24289d SEED

fd 99 6d be c7 2e 49 a4 37 e7 49 a8 85 ad de 28 4b 58 64 bd 3b 7e 60 fc Ь5 2f c8 36 Oe 0a bf 98 fd 35 7a 3f 98 c5 f6 20 c8 68 3d b2 ca b9 27 b6 13 f2 91 al 52 45 cO 65 71 dc 62 bO 4f 2e e5 76 56 a9 fa 51 12 23 5d Ob 80 67 59 af e2 33 M 09 6a 94 84 91 45 f2 18 50 65 Ь7 9b 86 ab 68 8a 39

A.1.3 Точка Q₃

X=0x31fb8e5070b1e0f52f047f40477c38c6020fd8da9f685791f9237cc47bd89324 У = 0x8ba1184a4e296dc5c5873639747339ecc71b7fa44d31cc8e35b6615a4f797dd7 SEED

29 Oc 12 66 47 91 2e de 11 cc 43 78 Oc f8 87 d4 7d al 63 be fb 91 Id 92 86 2a ae 4f 53 a6 80 70 08 cl ec Oc 8f e7 2e Oa aO 81 df a3 32 7c 86 ad 5f 24 da 28 a7 Id 07 f5 fd b7 61 31 al fb 04 d5 b2 31 c7 7f ca 26 d3 a6 42 99 9e 3b 10 74 Ь5 a7 b3 54 2f 03 bO 39 63 2a 6b 44 56 36 fb 52 8d 58

A.2 Кривая id-GostR3410-2001-CryptoPro-B-ParamSct A.2.1 Точка О,

X = 0x0ad754474a915d9d706c6b8dc879858a1cb85cc8f6c148fc3120825393ecd394 У = 0x68c33b6d0343cf72cb19666ffd487fa94294dc677b28c8e27ec36068ff85ed83 SEED

78 Id 7d 85 ff 04 12 b9 92 a7 6e 65 37 dd 83 81

6