ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Информационная технология КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ Функции выработки производного ключа

Издание официальное

Москва

Стандартинформ

2018

Предисловие

1    РАЗРАБОТАНЫ Центром защиты информации и специальной связи ФСБ России с участием ОАО «Информационные технологии и коммуникационные системы» (ОАО «ИнфоТеКС»)

2    ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 026 «Криптографическая защита информации»

3    УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 14 декабря 2018 г. № 1103-ст

4    ВВЕДЕНЫ ВПЕРВЫЕ

Правила применения настоящих рекомендаций установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ. оформление. 2018

Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

УДК 681.3 06:006.354    ОКС    35.040

Ключевые слова: информационная технология, криптографическая защита информации, ключ, производный ключ, функции выработки

Редактор ЛИ Нахимова Технический редактор В Н Прусакова Корректор ИА Королева Компьютерная верстка Е О Асташина

Сдано в набор 17 12 2018 Подписано в печать 09 01 2019 Формат 60*84V₈ Гарнитура Ариал

Уел. печ л. 1.40 Уч.-изд л. 1.20 Подготовлено на основе электронной версии, предоставленной разработчиком стандарта

Создано в единичном исполнении ФГУП «СТАНДАРТИНФОРМ» для комплектования Федерального информационного фонда стандартов, 117418 Москва. Нахимовский пр-т. д. 31. к. 2.

WMmv.Qostinfo.nl info@goslinfo ru

Содержание

1    Область применения....................................................................................................................................1

2    Нормативные ссылки....................................................................................................................................1

3    Термины, определения и обозначения.......................................................................................................2

3.1    Термины и определения........................................................................................................................2

3.2    Обозначения...........................................................................................................................................2

4    Общие положения........................................................................................................................................3

5    Описание функций........................................................................................................................................3

5.1    Вспомогательные преобразования.......................................................................................................3

5.2    Выработка промежуточного ключа........................................................................................................3

5.3    Выработка производного ключевого материала..................................................................................4

6    Форматирование данных.............................................................................................................................4

Приложение А (справочное) Пример процедуры форматирования данных..............................................5

Библиография..................................................................................................................................................в

Введение

Задача выработки производных ключей для различных криптографических механизмов на основании некоторой исходной ключевой информации, полученной, например, в результате выполнения протоколов выработки общего ключа, часто возникает в средствах криптографической защиты информации. В настоящее время в национальной системе стандартов и рекомендаций по стандартизации есть отдельные преобразования (см. (1)). реализующие функции выработки производных ключей.

Необходимость разработки настоящих рекомендаций вызвана потребностью в создании общей конструкции выработки производных ключей на основании национальных стандартов, использующей различные криптографические преобразования и обладающей большой гибкостью в эксплуатации.

Настоящие рекомендации определяют функции выработки производных криптографических ключей и используют в качестве базового преобразования криптографические алгоритмы хэширования, определенные в ГОСТ Р 34.11-2012. и алгоритмы шифрования, определенные ГОСТ Р 34.12-2015, в режиме выработки имитовставки согласно ГОСТ Р 34.13-2015.

РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ

Информационная технология

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Функции выработки производного ключа

Information technology Cryptographic data security Key denvation functions

Дата введения — 2019—05—01

1    Область применения

При реализации средствами криптографической защиты информации (СКЗИ) нескольких криптографических функций возникает необходимость использования для механизмов, реализующих кахщую из функций, различных ключей, выработанных из исходной ключевой информации. Исходной ключевой информацией может являться, например, заранее распределенный ключ или ключ, полученный в результате выполнения протоколов выработки общего ключа.

Функции выработки производных ключей осуществляют криптографическое преобразование исходной ключевой информации с использованием дополнительных открытых данных с целью получения ключей для дальнейшего использования в различных функциях. Функции, описываемые настоящим документом, дополняют существующую систему национальных стандартов и методических рекомендаций в области криптографической защиты информации в части реализации криптографических функций по выработке производных ключей.

2    Нормативные ссылки

В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 34.11-2012 Информационная технология. Криптографическая защита информации. Функция хэширования

ГОСТ Р 34.12-2015 Информационная технология. Криптографическая защита информации. Блочные шифры

ГОСТ Р 34.13-2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров

Примечание — При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку

Издание официальное

3 Термины, определения и обозначения

3.1    Термины и определения

В настоящих рекомендациях применены следующие термины с соответствующими определениями:

3.1.1    производный ключ: Криптографический ключ, получаемый из производной ключевой информации путем отбрасывания части символов.

3.1.2    производная ключевая информация: Последовательность символов, вырабатываемая из исходной ключевой информации и общеизвестных данных в результате работы функций выработки производных ключей.

3.1.3    исходная ключевая информация: Совокупность данных, предназначенных для выработки по определенным правилам криптографических ключей.

3.1.4    криптографический ключ: Изменяемый параметр в виде последовательности символов, определяющий криптографическое преобразование.

3.1.5    промежуточный ключ: Криптографический ключ, вырабатываемый из исходной ключевой информации и используемый для дальнейшей выработки производных ключей.

3.2 Обозначения

В настоящих рекомендациях использованы следующие обозначения:

V_n — множество всех л-мерных двоичных (битовых) строк, т. е. строк с компонентами из поля GF(2). где л — целое неотрицательное число. Нумерация подстрок и компонент строк осуществляется справа налево, начиная с нуля. При этом V₀ — множество, единственным элементом которого является пустая строка;

V* — множество всех двоичных строк конечной длины, включая пустую строку;

\А\ — число компонент (длина) строки А е V^я:

АРВ — конкатенация строк А, В е V^я. те. строка из V _А\+\_В\. в которой левая подстрока из V_А совпадает со строкой А, а правая подстрока из V_B] совпадает со строкой 8;

А^п — конкатенация п экземпляров строки А;

© — операция покомпонентного сложения по модулю 2 двух двоичных строк одинаковой длины;

LB„ — операция взятия левой подстроки длины п: LB„ : V' 'UmM • ^для м    •

М = АРВ. где \А\ = п. |8| = |М| - п. полагают LB_п(М) = А:

RB„ — операция взятия правой подстроки длины л: RB„ : V* \ (J^V, ^vn. для MeV’ \ IJkM •

М = АРВ. где \А\ = \М\ - п. |6| = л. полагают RB_п(М) = В:

Hash^(,7> — функция хэширования с хэш-кодом длиной л бит (л е {256.512}), определяемая ГОСТ Р 34.11-2012 . Hash<ⁿ>: \Л    V_n;

МАС^(П) — ключевая функция хэширования, вырабатывающая имитовставку длины л с использованием ключа Ке V_k. MAC⁽ⁿ⁾: V_k*V* -» V_n: также будем использовать обозначение МАС^^П)( ) = МАС^(П>(К.-);

СМАС^(П) — ключевая функция хэширования, вычисляющая имитовставку длины л. определяемая по ГОСТ Р 34.13-2015, подраздел 5.6;

format — функция форматирования входных данных format: (V*)⁶ -* V.

S 6 V^й — исходная ключевая информация;

С е V — представление числа, используемого в итеративных конструкциях в качестве счетчика. Способ представления счетчика должен быть согласован меэду участниками информационного обмена;

Ре V^я — метка использования — двоичная строка, содержащая информацию об использовании вырабатываемых производных ключей. Может содержать, например, информацию о конкретном механизме, для которого предназначается производный ключ (ключ шифрования ключей, ключ шифрования данных, ключ имитозащиты и т. п.) или. в случае одновременной выработки ключей для нескольких примитивов. информацию о разделении производного ключевого материала на различные производные ключи; допустимые значения и способ представления должны быть согласованы между участниками информационного обмена;

U е V* — информация об участниках информационного обмена, которыми предполагается использование вырабатываемой ключевой информации; может включать в себя идентификаторы пользователей и прочую информацию, известную всем участникам, вырабатывающим производную ключевую информацию;

A e 1Л — некоторая дополнительная информация, используемая при выработке производной ключевой информации, например, метка времени;

Lei/* — длина (в двоичной записи) вырабатываемого производного ключевого материала в битах;

Те V — соль — случайная строка фиксированной длины, обычно вырабатываемая в момент выполнения алгоритма.

4    Общие положения

Описываемые настоящим документом функции выработки производных ключей принимают на вход шесть аргументов: исходную ключевую информацию S. длину производной ключевой информации L. соль Т, метку использования Р, информацию о субъектах U. дополнительную информацию А. Функции состоят из двух этапов. На первом этапе из исходной ключевой информации и соли вырабатывается промежуточный ключ длины 256 бит. Полученный промежуточный ключ вместе с остальными входными параметрами используется на втором этапе функций, выходом которых является производный ключевой материал К₀ длины L.

5    Описание функций

Общая схема функций выработки производных ключей Mf(S.L.T.P.U.A) определяется следующей последовательностью действий:

-    вычисляют KW = kdl^T.S);

-    вычисляют К<²⁾ = kdl^<2>(/d¹⁾,L,P,L/,A);

-    полагают, что К₀ = k6i(S,T,L.P.U,A) - К<²⁾.

Здесь kdf^, / е {1,2} — преобразования, выполняемые на первом и втором этапах, К*¹) е ^256 промежуточный ключ.

5.1    Вспомогательные преобразования

В предлагаемых функциях выработки производных ключей используют ключевые функции хэширования НМАС и NMAC (2). в качестве бесключевых функций хэширования в которых используют функции. определяемые ГОСТ Р 34.11-2012. Конструкцию НМАС определяют, следуя [1] и [2]. при этом можно использовать функции хэширования с хэш-кодами длины 256 и 512 бит:

НМАС^^>)(Х) = Hash⁽ⁿ* ^(К Ф Cquj ) PHash*ⁿ*((K © Сщ )PX)J.    (1)

Конструкцию NMAC определяют, следуя (2). причем в качестве внутренней функции используют Hash(⁵¹²\ а в качестве внешней функции — Hashl²⁵®);

NMAC^⁵⁶⁾(X) = Hash^(256>[(K©C₀t»r) PHash⁽⁵¹²⁾((K®C_/wpX)l.    (2)

Здесь аргументы X. К е У. a C_/w и С_оит— константы, одинаковые для обеих конструкций, определяемые в (2] как:

C_IN= (00110110)⁶⁴.

С_Оцг=(0Ю11100)⁶⁴.

5.2    Выработка промежуточного ключа

В качестве функции выработки промежуточного ключа kdf*¹* допускается использовать одну из трех конструкций.

Первая конструкция основана на функции NMAC (2):

K<¹) = NMAC^⁵⁶>(S). 171 £ 512.

Вторая конструкция основана на алгоритме выработки имитовставки НМАС (1) с использованием хэш-функции с хэш-кодом длиной 512 бит и завершающим усечением:

Kl¹⁾ = ^LB25₆(HM^AC^^12,(S)). 17} < 512.

Третья конструкция является упрощенной и может использоваться только в случае, когда исходная ключевая информация является ключом длины 256 бит. Se \/_25б:

К*¹) = S Ф Т, |71 = 256.

Примечание — При использовании данной конструкции предполагают, что исходная ключевая информация имеет требуемую длину (256 бит), а также удовлетворяет требованиям к криптографическим ключам, определяемым разработчиком СКЗИ

5.3 Выработка производного ключевого материала

Преобразование второго этапа предлагаемых функций kdf<²) заключаются в выработке выходной последовательности с использованием ключевой функции хэширования с хэш-кодом длиной п. В качестве ключа функции хэширования используют выработанный на первом этапе промежуточный ключ /С*¹). В качестве информационного входа (сообщения) используют все остальные аргументы kdf*²>, представленные некоторым образом в виде двоичной строки с использованием процедуры форматирования format.

В общем виде преобразование второго этапа описывают следующим образом:

С0 = 0: zq = iv:

«о = LBt (z,Pz2P

В качестве ключевой функции хэширования MAC можно использовать: ключевую функцию хэширования СМАС/р), ключевую функцию хэширования НМАС^, ключевую функцию хэширования

NMAC^²⁵⁶).

Все участники информационного обмена должны согласовать использование одинаковых алгоритмов в качестве MAC. Также участниками информационного обмена должно быть согласовано значение IV. При этом его можно вычислять при каждом запуске алгоритма, оно может быть долговременным параметром или быть постоянным.

6 Форматирование данных

Процедура форматирования данных format заключается в формировании строки \Л, подаваемой на вход алгоритма MAC. из набора входных аргументов функций. Как и в случае выбора алгоритма MAC, все участники информационного обмена должны согласовать процедуру форматирования данных.

К процедуре форматирования данных предьявляют следующие требования:

-    процедура форматирования данных может существенно не зависеть от части своих параметров, но должна существенно зависеть от всех бит z_м или от всех бит счетчика С,;

-    процедура форматирования должна быть инъективной (т. е. не допускать коллизий) при всевозможных значениях существенных параметров:

-    процедура форматирования данных должна задавать длины полей, соответствующих представлениям различных аргументов:

-    процедура форматирования должна быть эффективно реализуемой.

Приложение А (справочное)

Пример процедуры форматирования данных

В настоящем приложении дано описание семейства из 48 различных процедур форматирования данных, отличающихся друг от друга набором переменных, являющихся существенными Пусть f е f- (f₇,.... (q) — массив «флагов», сигнализирующих о существенной зависимости выхода процедуры форматирования от всех бит одного из входов Каждой переменной соответствует один флаг ^ (см таблицу А 1) Если процедура форматирования существенно зависит от всех бит некоторого входа, то значение флага равно 1, а в противном случае — равно 0 Флаги f₀, f_} не используют, хотя бы один из флагов f₇ и должен быть равен 1.

Таблица А 1 — Соответствие флагов и переменных

Флаг '7 'в '5 и h f2 и f0 Переменная С, L р и А 0 0

Процедура форматирования выглядит следующим образом

format(/_i_₁. С,. Р. С/. A L) = / Р C_t Р *_МР L Р Р Р U Р А .

* йв 512 ^{248 256 128 128}

где под каждой переменной указана длина поля в битах, используемого для записи значения этой переменной Длина записи каждой из входных переменных не должна превосходить длину поля, отведенного под эту переменную в выходной строке процедуры форматирования С учетом размера поля для L длина вырабатываемого ключевого материала при использовании описанной процедуры форматирования не может превышать 2²⁴⁸ — 1 бит В случае если какую-либо из переменных по существу не используют, то соответствующее поле заполняют нулями Длины полей для L. Р. U. А могут быть увеличены или уменьшены исходя из эксплуатационных условий и требований для каждого конкретного СКЗИ

Библиография

[1]    P 50 1.113—2016 Информационная технология Криптографическая защита информации Криптографиче

ские алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хэширования

[2]    Bellare. М New Proofs for NMAC and HMAC: Security without collision resistance/ M Bellare И Advances in Cryptology — CRYPTO 2006, 26th Annual International Cryptology Conference. Santa Barbara, California, USA, August 20—24, 2006, Proceedings / ed byC. Dwork V 4117 of Lecture Notes in Computer Science Springer, 2006. P 602—619