ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Информационная технология КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Схемы выработки общего ключа с аутентификацией на основе открытого ключа

Издание официальное

Москва

Стандартинформ

2017

Предисловие

1    РАЗРАБОТАНЫ Центром защиты информации и специальной связи ФСБ России с участием ОАО «Информационные технологии и коммуникационные системы»

2    ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации»

3    УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2017 г. № 1505-ст

4    ВВЕДЕНЫ ВПЕРВЫЕ

Правила применения настоящих рекомендаций установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ, 2017

Настоящие рекомендации не могут быть воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

P 1323565.1.004—2017

Библиография

[1] Методические рекомендации по заданию параметров скрученных эллиптических кривых Эдвардса в соответствии с ГОСТ Р 34.10-2012. Технический комитет по стандартизации «Криптографическая защита информации»

7

УДК 681.3.06:006.354    ОКС 35.040

Ключевые слова: информационная технология, криптографическая защита информации, аутентификации, ключ, открытый ключ

БЗ 12—2017/51

Редактор В.Н. Шмельков Технический редактор В.Н. Прусакова Корректор И.А. Королева Компьютерная верстка Л.А. Круговой

Сдано в набор 27.10.2017. Подписано в печать 07.11.2017. Формат 60 »84¹/₈. Гарнитура Ариал. Уел. печ. л. 1,40. Уч.-изд. л. 1,29. Тираж 21 экз. Зак. 2199.

Подготовлено на основе электронной версии, предоставленной разработчиком стандарта

P 1323565.1.004—2017

Содержание

1    Область применения..................................................................1

2    Нормативные ссылки..................................................................1

3    Термины, определения и обозначения...................................................2

4    Общие положения....................................................................2

5    Схема выработки общего ключа с аутентификацией «Эхинацея-3»............................3

6    Схема выработки общего ключа с аутентификацией «Эхинацея-2»............................4

7    Схема выработки общего ключа с аутентификацией «Лимонник-3»............................5

Библиография.........................................................................7

P 1323565.1.004—2017

Введение

Средства защиты информации, в ряде случаев, реализуют протоколы аутентификации и выработки общего ключа для выполнения своих целевых функций. Реализация таких протоколов может базироваться на безопасных схемах выработки общего ключа с аутентификацией на основе открытого ключа.

Настоящие рекомендации определяют схемы выработки общего ключа с аутентификацией на основе открытого ключа с использованием криптографических алгоритмов, определенных национальными стандартами в области криптографической защиты информации.

Необходимость разработки настоящих рекомендаций вызвана потребностью в формировании единого подхода к реализации используемых в разрабатываемых и модернизируемых средствах защиты информации схем выработки общего ключа с аутентификацией на основе открытого ключа с использованием криптографических алгоритмов, определенных национальными стандартами.

IV

Информационная технология

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Схемы выработки общего ключа с аутентификацией на основе открытого ключа

Information technology. Information cryptographic protection. Public key based on the authenticated key agreement

schemes

Дата введения — 2018—04—01

1    Область применения

Настоящие рекомендации определяют схемы выработки общего ключа с аутентификацией на основе открытого ключа с использованием криптографических алгоритмов, определенных национальными стандартами, и могут быть использованы при разработке, производстве, эксплуатации и модернизации средств криптографической защиты информации в системах обработки информации различного назначения.

2    Нормативные ссылки

В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты и рекомендации по стандартизации:

ГОСТ Р 34.10-2012 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи

ГОСТ Р 34.11 Информационная технология. Криптографическая защита информации. Функция хэширования

ГОСТ Р 34.12 Информационная технология. Криптографическая защита информации. Блочные шифры

ГОСТ Р 34.13 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров

Р 50.1.113 Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хэширования

Примечание — При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных стандартов (рекомендаций) в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт (рекомендации), на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта (рекомендаций) с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт (рекомендации), на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта (рекомендаций) с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный стандарт (рекомендации), на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт (рекомендации) отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

Издание официальное

3 Термины, определения и обозначения

3.1    Термины и определения

В настоящих рекомендациях применены следующие термины в соответствии со следующими определениями:

3.1.1    ключ: Изменяемый параметр в виде последовательности символов, определяющий криптографическое преобразование.

3.1.2    ключ подписи: Элемент секретных данных, специфичный для субъекта и используемый только данным субъектом в процессе формирования цифровой подписи.

3.1.3    ключ проверки подписи: Элемент данных, математически связанный с ключом подписи и используемый проверяющей стороной в процессе проверки цифровой подписи.

3.1.4    сертификат ключа проверки: Элемент данных, подтверждающий принадлежность ключа проверки владельцу сертификата ключа проверки.

3.1.5    код аутентификации сообщения: Строка бит фиксированной длины, добавляемая к сообщению для обеспечения его целостности и аутентификации источника данных.

3.2 Обозначения

В настоящих рекомендациях использованы следующие обозначения:

—    множество всех двоичных строк конечной длины, включая пустую строку;

—    конкатенация строкА, В V*, т.е. строка из V|_A| ₊ |_В|, в которой подстрока с большими номерами компонент из V|_A| совпадает со строкой А, а подстрока с меньшими номерами компонент из V|_B| совпадает со строкой В;

—    для битовой строки Т = (t₀, ..., t_n) подстрока Т' = (t|, ..., tp, 0 < i < j < n;

—    значение функции хэширования с длиной хэш-кода 512 бит, определенной ГОСТ Р 34.11, для сообщения Т;

—    цифровая подпись, сформированная в соответствии с ГОСТ Р 34.10, для сообщения Т с использованием ключа подписи d;

—    результат проверки цифровой подписи S согласно ГОСТ Р 34.10 для сообщения Т с использованием ключа проверки подписи D;

—    результат вычисления кода аутентификации для сообщения Т с использованием ключа к;

V512 — функция вычисления производного ключа длины 512 на основе входного значения Т;

—    функция, отображающая точку эллиптической кривой в битовую строку;

—    опциональный параметр схемы (может являться строкой нулевой длины);

h₂, h₃    —    фиксированные различные строки ненулевой длины, определяемые для каж

дой реализации протокола; s_A, S_A    —    соответственно долговременные ключ подписи и ключ проверки подписи сто

роны А;

к_А, К_А    —    соответственно сеансовые (эфемерные) ключ подписи и ключ проверки

подписи стороны А; ld_A    — идентификатор стороны А;

Cert_A    —    сертификат долговременного ключа проверки подписи стороны А;

О    — нулевая точка эллиптической кривой.

4 Общие положения

Настоящие рекомендации определяют три схемы выработки общего ключа с аутентификацией на основе открытого ключа:

1) эхинацея-3 (Э-3) —схема выработки общего ключа с двусторонней аутентификацией при помощи ключа подписи;

2

P 1323565.1.004—2017

2)    эхинацея-2 (Э-2) — схемы выработки общего ключа с односторонней аутентификацией при помощи ключа подписи;

3)    лимонник-3 (Л-3) — схема выработки общего ключа с возможностью использования двух различных эллиптических кривых и с двусторонней аутентификацией при помощи ключа схемы Диффи-Хеллмана.

4.1    Эллиптические кривые

Предполагается использование операций в группе точек эллиптической кривой Е над конечным простым полем характеристики р, заданной в форме Вейерштрасса — E_{Wa b}(GF(p)) = {х, у):х² = х² + + ах + b(mod р)} или в форме Эдвардса E_{Edwe d}(GF(p)) = {u, v):eu² + v² = 1 + du²v²(mod p)}. Для обозначения параметров эллиптической кривой Е в форме Вейерштрасса будет использоваться обозначение (р, а, Ь, т, q, х_р, у_р) согласно ГОСТ Р 34.10-2012, а для эллиптической кривой в форме Эдвардса — обозначение (р, a, b, m, q, х_р, у_р, е, d, u_p, v_p) согласно [1].

Используемые эллиптические кривые должны удовлетворять требованиям ГОСТ Р 34.10 при 2⁵⁰⁸ < q < 2⁵¹². Допускается использование эллиптических кривых и в других представлениях, при этом эквивалентное представление кривой в форме Вейерштрасса должно удовлетворять требованиям ГОСТ Р 34.10 при 2⁵⁰⁸ < q < 2⁵¹².

4.2    Код аутентификации сообщения

Для вычисления кода аутентификации сообщения могут использоваться:

1    Алгоритм блочного шифрования с длиной блока 128 бит («Кузнечик») согласно ГОСТ Р 34.12 в режиме выработки имитовставки согласно ГОСТ Р 34.13.

2    Функция HMAC_GOSTR3411_2012_512, определенная в Р 50.1.113.

4.3    Вычисление производного ключа

В качестве функции вычисления производного ключа KDF₅₁₂(T): V* —> V₅₁₂ могут использоваться:

1)    функция хэширования, определенная согласно ГОСТ Р 34.10-2012 с длиной хэш-кода 512 бит;

2)    псевдослучайная функция PRF_TLS_GOST3411_2012_512 с длиной выхода 512 бит, определенная в Р 50.1.113.

4.4    Способ вычисления функции я(0)

В случае использования кривой в форме Вейерштрасса для Q = (x_Q, y_Q) выполняется л(Q) = x_Q.

В случае использования кривой в форме Эдвардса для Q = (u_Q, v_Q) выполняется n(Q) = u_Q.

5 Схема выработки общего ключа с аутентификацией «Эхинацея-3»

Долговременными ключами сторон А и В являются ключи цифровой подписи s_A, S_A и s_B, S_B соответственно, определенные согласно 5.2 ГОСТ Р 34.10-2012, и удостоверенные сертификатами ключа проверки Cert_A и Cert_B.

Сторона А имеет (ld_A,(K)), сторона В имеет (ld_B,(K)), где К е V* — заранее распределенное общее секретное значение.

Параметры эллиптической кривой считаются известными обеим сторонам и согласованными до начала протокола.

Предполагается, что выработка общего ключа и аутентификация осуществляются в рамках сеанса связи, с которым может быть ассоциирована доступная обеим сторонам открытая общая информация OI.

Схема выработки общего ключа с аутентификацией «Эхинацея-3» состоит из следующей последовательности действий.

1)    Сторона А случайным образом выбирает к_А, где к_А е {1, ..., q - 1}, и вычисляет точку эллиптической кривой К_д = к_дР.

2)    Сторона А посылает стороне В — (ld_A, Cert_A, К_А).

3)    Сторона В проверяет валидность сертификата ключа проверки Cert_A. Если это условие не выполнено, то сторона В завершает протокол, возвращая ошибку стороне А, информирующую о невалид-ности сертификата ключа проверки Cert_A.

4)    Сторона В проверяет, что К_А е Е и ~К_А ^О. Если это условие не выполнено, то сторона В

9

завершает протокол, возвращая ошибку стороне А, информирующую о неверном выборе параметров.

5)    Сторона В случайным образом выбирает к_в, где к_в е {1, ..., q - 1}, и вычисляет точку эллиптической кривой К_в = к_вР.

6)    Сторона В вычисляет точку Q_AB = (m/q) ■ k_BK_A.

7)    Сторона В вычисляет значение Т_АВ = KDF(7i(Q_AB) || ld_A || ld_B (|| Ol)(||K)).

8)    Сторона В вычисляет общие сеансовые ключи К_АВ = [Т_АВ]_{0 255} и М_АВ = [Т_АВ]_{256 511}.

9)    Сторона В вычисляет метку аутентификации aut_B = SGN_Sb(7t(K_B)11(7t(K_A)11Id_A) и метку подтверждения ключа tag_B = МАС_мAB(h₂11(тт(К_в)11(tt(K_a)11 Id_B111d_A).    ^B

10)    Сторона В посылает стороне A— (ld_B, Cert_B, K_B, aut_B, tag_B).

11)    Сторона А проверяет валидность сертификата ключа проверки Cert_B. Если это условие не выполнено, то сторона А завершает протокол, возвращая ошибку стороне В, информирующую о невалид-ности сертификата ключа проверки Cert_B.

12)    Сторона А проверяет цифровую подпись VERIFY_S (n(K_B)||(rc(K_A)||ld_A, aut_B) = «верно». Если это условие не выполнено, сторона А завершает протокол, возвращая ошибку стороне В, информирующую о невозможности аутентификации.

13)    Сторона А проверяет, что К_в е Е и ~К_В ф О. Если это условие не выполнено, то сторона А

9

завершает протокол, возвращая ошибку стороне В, информирующую о неверном выборе параметров.

14)    Сторона А вычисляет точку Q_BA = (m/q) ■ k_AK_B.

15)    Сторона А вычисляет значение Т_ВА = KDF(tt(Q_ba) || ld_A || ld_B (|| Ol)(||K)).

16)    Сторона А вычисляет общие сеансовые ключи К_ВА = [Т_ВА]_{0 255} и М_ВА = [Т_ВА]_{256 511}.

17)    Сторона А вычисляет метку подтверждения ключа tag'_B = МАС_Мва(h₂11(7т(К_в)11(7т(К_д)11Id_в111d_А) и проверяет tag_B = tag'_B Если это условие не выполнено, сторона А завершает протокол, возвращая ошибку стороне В, информирующую о невозможности аутентификации.

18)    Сторона А вычисляет метку аутентификации aut_A = SGN_s (7i(K_A)||(7i(K_B)||ld_B) и метку подтверждения ключа tag_A = МАС_мав(h₃11(7т(К_А)11(7т(К_в)11 ld_A111d_в).    ^А

19)    Сторона А посылает стороне В — (aut_A, tag_A).

20)    Сторона В проверяет цифровую подпись VERIFY_S (7i(K_a)||(7i(K_B)||ld_B, aut_A) = «верно». Если это условие не выполнено, сторона В завершает протокол, возвращая ошибку стороне А, информирующую о невозможности аутентификации.

21)    Сторона В вычисляет метку подтверждения ключа tag'_A = MAC_MAB(h₃||(7i(K_A)||(7i(K_B)||ld_A||ld_B) и проверяет tag_A = tag_A Если это условие не выполнено, сторона В завершает протокол, возвращая ошибку стороне А, информирующую о невозможности аутентификации.

22)    Стороны А и В уничтожают ключи М_ВА и М_АВ соответственно.

Стороны А и В находятся в состоянии проведенной аутентификации с выработанным общим ключом К = К_ВА = К_АВ.

6 Схема выработки общего ключа с аутентификацией «Эхинацея-2»

Сторона В обладает долговременными ключами цифровой подписи s_B, S_B, определенными согласно ГОСТ Р 34.10-2012 (пункт 5.2), и удостоверенными сертификатом ключа проверки Cert_B.

Сторона А имеет (ld_A,(K)), сторона В имеет (ld_B,(K)), где К е V* — заранее распределенное общее секретное значение.

Параметры эллиптической кривой считаются известными обеим сторонам и согласованными до начала протокола.

Предполагается, что выработка общего ключа и аутентификация осуществляются в рамках сеанса связи, с которым может быть ассоциирована доступная обеим сторонам открытая общая информация OI.

Схема выработки общего ключа с односторонней аутентификацией «Эхинацея-2» состоит из следующей последовательности действий.

P 1323565.1.004—2017

1)    Сторона А случайным образом выбирает к_А, где к_А е {1, q - 1}, и вычисляет точку эллиптической кривой К_д = к_дР.

2)    Сторона А посылает стороне В — (ld_A, К_А).

3)    Сторона В проверяет, что К_А е Е и -K_A ^О.. Если это условие не выполнено, то сторона В

q

завершает протокол, возвращая ошибку стороне А, информирующую о неверном выборе параметров.

4)    Сторона В случайным образом выбирает к_в, где к_в е {1, ..., q - 1}, и вычисляет точку эллиптической кривой К_в = к_вР.

5)    Сторона В вычисляет точку Q_AB = (m/q) ■ k_BK_A.

6)    Сторона В вычисляет значение Т_АВ = KDF(7i(Q_AB) || ld_A || ld_B (|| 01}(||К}).

7)    Сторона В вычисляет общие сеансовые ключи К_АВ = [Т_АВ]_{0 255} и М_АВ = [T_AB]_{256 511}.

8)    Сторона В вычисляет метку аутентификации aut_B = SGN_Sb (7i(K_B)||(7i(K_A)||ld_A) и метку подтверждения ключа tag_B = МАС_мдв(б₂11(тг(К_в)11(л;(К_А)11Id_в111d_А).    ^В

9)    Сторона В посылает стороне А— (ld_B, Cert_B, К_в, aut_B, tag_B).

10)    Сторона А проверяет валидность сертификата ключа проверки Cert_B. Если это условие не выполнено, то сторона А завершает протокол, возвращая ошибку стороне В, информирующую о невалид-ности сертификата ключа проверки Cert_B.

11)    Сторона А проверяет цифровую подпись VERIFY_sв(л(К_в)11(7г(К_д)111d_А, aut_B) = «верно». Если это условие не выполнено, сторона А завершает протокол, возвращая ошибку стороне В, информирующую о невозможности аутентификации.

12)    Сторона А проверяет, что К_в е Е и ~К_В ф О. Если это условие не выполнено, то сторона А

9

завершает протокол, возвращая ошибку стороне В, информирующую о неверном выборе параметров.

13)    Сторона А вычисляет точку Q_BA = (m/q) ■ k_AK_B.

14)    Сторона А вычисляет значение Т_ВА = KDF(tt(Q_ba) || ld_A || ld_B (|| OI)(||K)).

15)    Сторона А вычисляет общие сеансовые ключи К_ВА = [Т_ВА]_{0 255} и М_ВА = [Т_ВА]_{256 511}.

16)    Сторона А вычисляет метку подтверждения ключа tag'_B= МАС_мBA(h₂11(7т(К_в)11(7т(К_А)11Id_в111d_А) и проверяет tag_B = tag'_B Если это условие не выполнено, сторона А завершает протокол, возвращая ошибку стороне В, информирующую о невозможности аутентификации.

17)    Сторона А вычисляет метку подтверждения ключа tag_A = МАС_м (h₃||(7i(K_A)||(7i(K_B)||ld_A||ld_B).

18)    Сторона А посылает стороне В — (tag_A).    ^ВА

19)    Сторона В вычисляет метку подтверждения ключа tag_A= МАС_мAB(h₃11(7т(К_А)11(7т(К_в)11ld_A111d_в) и проверяет tag_A = tag_A Если это условие не выполнено, сторона В завершает протокол, возвращая ошибку стороне А, информирующую о невозможности аутентификации.

20)    Стороны А и В уничтожают ключи М_ВА и М_АВ соответственно.

Стороны А и В находятся в. состоянии проведенной односторонней аутентификации (В перед А) с выработанным общим ключом К = К_ВА = К_АВ.

7 Схема выработки общего ключа с аутентификацией «Лимонник-3»

В данной схеме допускается использование двух (возможно, различных) эллиптических кривых Ед ^и Е_в-

Долговременными ключами сторон А и В являются ключи цифровой подписи s_A, S_A и s_B, S_B соответственно, которые определяются соотношениями S_A = s_AP_A, S_B = s_BP_B, где 0 < s_A < q_A, 0 < s_B < q_B, и удостоверенные сертификатами ключей проверки Cert_A и Cert_B.

Сторона А имеет (ld_A,(K)), сторона В имеет (ld_B,(K)), где К е V* — заранее распределенное общее секретное значение.

Параметры эллиптических кривых Е_д и Е_в считаются известными обеим сторонам и согласованными до начала протокола.

Предполагается, что выработка общего ключа и аутентификация осуществляются в рамках сеанса связи, с которым может быть ассоциирована доступная обеим сторонам открытая общая информация OI.

Схема выработки общего ключа с аутентификацией «Лимонник-3» состоит из следующей последовательности действий.

5

1

Издано и отпечатано во ФГУП «СТАНДАРТИНФОРМ», 123001 Москва, Гранатный пер., 4. www.gostinfo.ru info@gostinfo.ru

2