allgosts.ru35. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ35.040. Наборы знаков и кодирование информации

ГОСТ 34.10-2018 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи

Обозначение:
ГОСТ 34.10-2018
Наименование:
Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи
Статус:
Действует
Дата введения:
06.01.2019
Дата отмены:
-
Заменен на:
-
Код ОКС:
35.040

Текст ГОСТ 34.10-2018 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи

МЕЖГОСУДАРСТВЕННЫЙ СОВЕТ ПО СТАНДАРТИЗАЦИИ, МЕТРОЛОГИИ И СЕРТИФИКАЦИИ (МГС)

INTERSTATE COUNCIL FOR STANDARDIZATION. METROLOGY AND CERTIFICATION (ISC)

ГОСТ

34,10—

2018


МЕЖГОСУДАРСТВЕННЫЙ

СТАНДАРТ

Информационная технология КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Процессы формирования и проверки электронной цифровой подписи

Издание официальное

Москва

Стамдартимформ

2018


Предисловие

Цели, основные принципы и основной порядок проведения работ по межгосударственной стан* дартизации установлены в ГОСТ 1.0—2015 «Межгосударственная система стандартизации. Основные положения» и ГОСТ 1.2—2015 «Межгосударственная система стандартизации. Стандарты межгосударственные. правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия. обновления и отмены»

Сведения о стандарте

1 РАЗРАБОТАН Центром защиты информации и специальной связи ФСБ России с участием Открытого акционерного общества «Информационные технологии и коммуникационные системы» (ОАО «ИнфоТеКС»)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации»

3 ПРИНЯТ Межгосударственным советом по метрологии, стандартизации и сертификации (протокол от 29 ноября 2018 г. № 54)

За принятие проголосовали:

Краткое наименование страны по МК {ИСО 31вв) 004-97

Ков страны по МК <ИСО31вв) 004-97

Соирашвнное наимекоммле национального органа по стандартизации

Армения

AM

Минэкономики Республики Армения

Киргизия

KG

Кыргыэсгандарт

Россия

RU

Россгандарт

Таджжистан

TJ

Таджиксгандарт

4 Приказом Федерального агентства по техническому регулированию и метрологии от 4 декабря 2018 г. N? 1059-ст межгосударственный стандарт ГОСТ 34.10—2018 введен в действие в качестве национального стандарта Российской Федерации с 1 июня 2019 г.

5 Настоящий стандарт подготовлен на основе применения ГОСТ Р 34.10—2012

6 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодном информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ. оформление. 2018


В Российской Федерации настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Содержание

1 Область применения..................................................................1

2 Нормативные ссылки..................................................................1

3 Термины, определения и обозначения...................................................1

3.1 Термины и определения...........................................................1

3.2 Обозначения.....................................................................3

4 Общие положения....................................................................3

5 Математические объекты..............................................................4

5.1 Общие положения математических объектов..........................................4

5.2 Математические определения.......................................................4

5.3 Параметры цифровой подписи......................................................5

5.4 Двоичные векторы................................................................6

6 Основные процессы..................................................................6

6.1 Общие положения................................................................6

6.2 Формирование цифровой подписи...................................................6

6.3 Проверка цифровой подписи........................................................8

Приложение А (справочное) Контрольные примеры.........................................10

Библиография........................................................................15

Введение

Настоящий стандарт содержит описание процессов формирования и проверки электронной цифровой подписи (ЭЦП), реализуемой с использованием операций в группе точек эллиптической кривой, определенной над конечным простым полем.

Необходимость разработки настоящего стандарта вызвана потребностью в реализации электронной цифровой подписи разной степени стойкости в связи с повышением уровня развития вычислительной техники. Стойкость электронной цифровой подписи основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции по ГОСТ 34.11.

Настоящий стандарт разработан с учетом терминологии и концепций международного стандарта ИСО 2382 [1]. а также международных стандартов серий ИСО/МЭК 9796 [2]. (3]. ИСО/МЭК14888 [4]—(6) и ИСО/МЭК 10118 (71—{Ю].

МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ

Информационная технология

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ

Процессы формирования и проверки электронной цифровой подписи

Information technology. Cryptographic data security.

Signature and verification processes of electronic digital signature

Дата введения — 2019—06—01

1 Область применения

Настоящий стандарт определяет схему электронной цифровой подписи (ЭЦП) (далее — цифровая подпись), процессы формирования и проверки цифровой подписи под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения.

Внедрение цифровой подписи на основе настоящего стандарта повышает по сравнению с ранее действовавшей схемой цифровой подписи уровень защищенности передаваемых сообщений от подделок и искажений.

Настоящий стандарт рекомендуется применять при создании, эксплуатации и модернизации систем обработки информации различного назначения.

2 Нормативные ссылки

8 настоящем стандарте использована нормативная ссылка на следующий межгосударственный стандарт:

ГОСТ 34.11—2016 Информационная технология. Криптографическая защита информации. Функция хэширования

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочного стандарта в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется 8 части, не затрагивающей згу ссылку.

3 Термины, определения и обозначения

3.1 Термины и определения

8 настоящем стандарте применены следующие термины с соответствующими определениями:

3.1.1 дополнение (appendix): Строка бит. формируемая из цифровой подписи и произвольного текстового поля.

Примечание — Адаптировано из ИСО/МЭК 14888-1 [4].

Издание официальное

3.1.2 ключ подписи (signature key): Элемент секретных данных, специфичный для субъекта и используемый только данным субъектом е процессе формирования цифровой подписи.

Примечание — Адаптировано из ИСО/МЭК 14888-1 (4).

3.1.3 ключ проверки подписи (verification key): Элемент данных, математически связанный с ключом подписи и используемый проверяющей стороной в процессе проверки цифровой подписи.

Примечание — Адаптировано из ИСО/МЭК 14888-1 (4).

3.1.4 параметр схемы ЭЦП (domain parameter): Элемент данных, общий для всех субъектов схе-мы цифровой подписи, известный или доступный всем этим субъектам.

Примечание — Адаптировано из ИСО/МЭК 14888-1 (4].

3.1.5 подписанное сообщение (signed message): Набор элементов данных, состоящий из сообщения и дополнения, являющегося частью сообщения.

Примечание — Адаптировано из ИСО/МЭК 14888-1 (4).

3.1.6 последовательность псевдослучайных чисел (pseudo-random number sequence): Последовательность чисел, полученная в результате выполнения некоторого арифметического (вычислительного) процесса, используемая в конкретном случае вместо последовательности случайных чисел.

Примечание — Адаптировано из ИСО 2382 [1].

3.1.7 последовательность случайных чисел (random number sequence): Последовательность чисел, каждое из которых не может быть предсказано (вычислено) только на основе знания предшествующих ему чисел данной последовательности.

Примечание — Адаптировано из ИСО 2382 [1].

3.1.8 процесс проверки подписи (verification process): Процесс, в качестве исходных данных которого используются подписанное сообщение, ключ проверки подписи и параметры схемы ЭЦП. результатом которого является заключение о правильности или ошибочности цифровой подписи.

Примечание — Адаптировано из ИСО/МЭК 14888-1 (4J.

3.1.9 процесс формирования подписи (signature process): Процесс, в качестве исходных данных которого используются сообщение, ключ подписи и параметры схемы ЭЦП. а в результате формируется цифровая подпись.

Примечание — Адаптировано из ИСО/МЭК 14888-1 (4].

3.1.10 свидетельство (witness): Элемент данных, представляющий соответствующее доказательство достоверности (недостоверности) подписи проверяющей стороне.

3.1.11 случайное число (random number): Число, выбранное из определенного набора чисел таким образом, что каждое число из данного набора может быть выбрано с одинаковой вероятностью.

Примечание — Адаптировано из ИСО 2382 [1].

3.1.12 сообщение (message): Строка бит произвольной конечной длины.

Примечание — Адаптировано из ИСО/МЭК 14888-1 (4J.

3.1.13 хэш-код (hash-code): Строка бит. являющаяся выходным результатом хэш-функции.

Примечание — Адаптировано из ИСО/МЭК 10118-1 [7].

3.1.14 хэш-функция (collision-resistant hash-function): Функция, отображающая строки бит в строки бит фиксированной длины и удовлетворяющая следующим свойствам:

1) по данному значению функции сложно вычислить исходные данные, отображаемые в это значение;

2) для заданных исходных данных сложно вычислить другие исходные данные, отображаемые в то же значение функции;

3) сложно вычислить какую-либо пару исходных данных, отображаемых в одно и то же значение.

Примечания

1 Адаптировано из ИСО/МЭК 10118-1 [7].

2 Применительно к области электронной цифровой подписи свойство по перечислению 1) подразумевает. что по известной электронной цифровой подписи невозможно восстановить исходное сообщение: свойство по перечислению 2) подразумевает, что для заданного подписанного сообщения трудно подобрать другое (фальсифицированное) сообщение, имеющее ту же электронную цифровую подпись: свойство по перечислению 3) подразумевает, что трудно подобрать какую-либо пару сообщений, имеющих одну и ту же подпись.

3 В настоящем стандарте в целях сохранения терминологической преемственности с нормативными документами. действующими на территории государства, принявшего настоящий стандарт, и опубликованными ранее на русском языке научно-техническими изданиями установлено, что термины «хэш-функция», «криптографическая хэш-функция», «функция хэширования* и «криптографическая функция хэширования» являются синонимами.

3.1.15 [электронная цифровая] подпись (signature); ЭЦП: Строка бит. полученная е результате процесса формирования подписи.

Примечания

1 Адаптировано из ИСО/МЭК 14888-1 [4].

2 Строка бит. являющаяся подписью, может иметь внутреннюю структуру, зависящую от конкретного механизма формирования подписи.

3 В настоящем стандарте в целях сохранения терминологической преемственности с нормативными документами. действующими на территории государства, принявшего настоящий стандарт, и опубликованными ранее на русском языке научно-техническими изданиями установлено, что термины «электронная подпись*, «цифровая подпись» и «электронная цифровая подпись» являются синонимами.

3.2 Обозначения

8 настоящем стандарте применены следующие обозначения:

V, — множество всех двоичных векторов длиной / бит;

V* — множество всех двоичных векторов произвольной конечной длины:

Z — множество всех целых чисел; р — простое число, р > 3;

Fp — конечное простое поле, представляемое как множество из р целых чисел {0.1.....р- 1);

Pfirtod р) — минимальное неотрицательное число, сравнимое с b по модулю р;

М — сообщение пользователя. М ь V;

(ftj’ ||Л^) — конкатенация (объединение) двух двоичных векторов: а. b — коэффициенты эллиптической кривой: т — порядок группы точек эллиптической кривой; q — порядок подгруппы группы точек эллиптической кривой;

О — нулевая точка эллиптической кривой;

Р — точка эллиптической кривой порядка q; d — целое число — ключ подписи:

Q — точка эллиптической кривой — ключ проверки подписи;

£ — цифровая подпись под сообщением М.

4 Общие положения

Общепризнанная схема (модель) цифровой подписи [4] охватывает следующие процессы:

- генерация ключей (подписи и проверки подписи);

- формирование подписи;

• проверка подписи.

6 настоящем стандарте процесс генерации ключей (подписи и проверки подписи) не рассмотрен. Характеристики и способы реализации данного процесса определяются вовлеченными в него субъектами. которые устанавливают соответствующие параметры по взаимному согласованию.

Механизм цифровой подписи определяется посредством реализации двух основных процессов (см. раздел 6):

• формирование подписи (см. 6.2);

- проверка подписи (см. 6.3).

Цифровая подпись предназначена для аутентификации лица, подписавшего электронное сообщение. Кроме того, использование ЭЦП предоставляет возможность обеспечить следующие свойства при передаче е системе подписанного сообщения:

• осуществление контроля целостности передаваемого подписанного сообщения:

- доказательное подтверждение авторства лица, подписавшего сообщение;

- защита сообщения от возможной подделки.

Схематическое представление подписанного сообщения показано на рисунке 1.

Дополнение

Coo&inhw W


ЦИфрОММ ПОДЛИВ» £


Тмвг i


Рисунок 1 — Схема подписанного сообщения

Поле «Текст», показанное на данном рисунке и дополняющее поле «Цифровая подпись», может, например, содержать идентификаторы субъекта, подписавшего сообщение, и/или метку времени.

Установленная в настоящем стандарте схема цифровой подписи должна быть реализована с использованием операций группы точек эллиптической кривой, определенной над конечным простым полем. а также хэш-функции.

Криптографическая стойкость данной схемы цифровой подписи основывается на сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции. Алгоритмы вычисления хэш-функции установлены в ГОСТ 34.11.

Параметры схемы цифровой подписи, необходимые для ее формирования и проверки, определены в 5.3. 8 настоящем стандарте предусмотрена возможность выбора одного из двух вариантов требований к параметрам.

Настоящий стандарт не определяет процесс генерации параметров схемы цифровой подписи. Конкретный алгоритм (способ) реализации данного процесса определяется субъектами схемы цифровой подписи, исходя из требований к аппаратно-программным средствам, реализующим электронный документооборот.

Цифровая подпись, представленная е виде двоичного вектора длиной 512 или 1024 бита, должна вычисляться с помощью определенного набора правил, изложенных в 6.2.

Набор правил, позволяющих принять либо отвергнуть цифровую подпись под полученным сообщением. установлен в 6.3.

5 Математические объекты

5.1 Общие положения математических объектов

Для определения схемы цифровой подписи необходимо описать базовые математические объекты, используемые в процессах ее формирования и проверки. 8 настоящем разделе установлены основные математические определения и требования, предъявляемые к параметрам схемы цифровой подписи.

5.2 Математические определения

Эллиптической кривой Е. определенной над конечным простым полем Fp (где р > 3 — простое число), называется множество пар чисел (х. у), х, у ь Fp, удовлетворяющих тождеству

у2 в х3 ♦ ах + b (mod р). (1)

где а. b 6 Fp и 4а3 + 27 Ь2 не сравнимо с нулем по модулю р.

Инвариантом эллиптической кривой называется величина J(E), удовлетворяющая тождеству

J<£)г1728^w(mo<I'>,■ ®

Коэффициенты а. b эллиптической кривой Е по известному инварианту J(£) определяются следующим образом: f ,

as3A(modp). lbe2A(modp).

, J £) где А =-——-

(modp). J(£)*0 WW1728.


1728-J(£

Пары (х, у), удовлетворяющие тождеству (1). называются «точками эллиптической кривой Е»; х и у — соответственно х- и /-«координатами точки».

Точка эллиптической кривой обозначается О(х. у) или просто Q. Две точки эллиптической кривой равны, если равны их соответствующие х- и у-координаты.

На множестве всех точек эллиптической кривой Е введем операцию сложения, которую будем обозначать знаком «+». Для двух произвольных точек ОДх,, у,) и 022. у2) эллиптической кривой Е рассмотрим несколько случаев.

Для точек Q, и Q2, координаты которых удовлетворяют условию х1 # их суммой называется ючка Q3{x3. у3), координаты которой определяются сравнениями


где Ksi L(modp).


х32 -х, -x2(modp), y^Xf^-x^-y^modp).


(4)


Если выполнены равенства х1 в х2 и у, в у2 * 0. то координаты точки О3 определяются следующим образом:

x^sX2 -2х, (modp),

(5)

у3аХ(х,-x3)-y1(modp).

, 3xf+a

гц« Ха 1 (modp).

2У|

Если выполнены условия х1 = х2 и у, а ~у2 (modp), то сумма точек О, и О2 называется нулевой точкой О без определения ее х- и /-координат. 8 этом случае точка О2 называется отрицанием точки Ог Для нулевой точки О выполнены равенства

Q+O=O + Q=Q.

(6)


где Q — произвольная точка эллиптической кривой Е.

Относительно введенной операции сложения множество всех точек эллиптической кривой Е вме

сте с нулевой точкой образуют конечную абелеву (коммутативную) группу порядка т, для которого вы* полнено неравенство

р+1-2^/pimi р + 1 + 2^р. (7)

Точка О называется «точкой кратности X» или просто «кратной точкой эллиптической кривой Е». если для некоторой точки Р выполнено равенство

QaP + ... + PaXP. (8)

к

5.3 Параметры цифровой подписи Параметрами схемы цифровой подписи являются:

* простое число р — модуль эллиптической кривой;

* эллиптическая кривая Е, задаваемая своим инвариантом J{E) или коэффициентами а. Ьь Fp;

* целое число т — порядок группы точек эллиптической кривой Е;

* простив число д — порядок циклической подгруппы группы точек эллиптической кривой Е, для которого выполнены следующие условия:

гл » пр. л е Z. л а I

22м<р<2»в или 25°8<р<2«12; (9)

- точка Р # О эллиптической кривой Е с координатами (хр, ур), удовлетворяющая равенству рР - О: ■ хэш-функция /):У*-»Ур отображающая сообщения, представленные в виде двоичных векторов

произвольной конечной длины, в двоичные векторы длины / бит. Хэш-функция определена в ГОСТ 34.11. Если 2254<р<225в, то/=256. Если 250а<р<2512. то/=512.

Каждый пользователь схемы цифровой подписи должен обладать личными ключами:

- ключом подписи — целым числом tf. удовлетворяющим неравенству 0< d< р:

« ключом проверки подписи — точкой эллиптической кривой Q с координатами (xg. yQ). удовлетворяющей равенству dP - Q.

К приведенным выше параметрам схемы цифровой подписи предъявляют следующие требования: « должно быть выполнено условие р1 * 1 (mod р), для всех целых f = 1. 2. ... в. где В - 31. если

2254 < р < 2256. и В = 131, если 2508 < р < 2512;

* должно быть выполнено неравенство т*р;

« инвариант кривой должен удовлетворять условию J(E) * 0 и J(£) # 1728.

5.4 Двоичные векторы

Для определения процессов формирования и проверки цифровой подписи необходимо устано-вить соответствие между целыми числами и двоичными векторами длины I бит.

Рассмотрим следующий двоичный вектор длиной / бит, в котором младшие биты расположены справа, а старшие — слева: _ _

Л»(ом.....Лф), heUp (10)

где в;, / = 0.....У - 1 равно либо 1. либо 0.

Число aeZ соответствует двоичному вектору Л, если выполнено равенство

a«Sa,2-. (11)

Для двух двоичных векторов

.....“»’• (12)

*2= (Р-1.....Ре)-

соответствующих целым числам аир. операция конкатенации (объединения) определяется следующим образом:

.....“o-P/--t.....Ро)- (18)

Объединение представляет собой двоичный вектор длиной 21 бит. составленный из коэффициентов векторов и Л2. _ _

Формулы (12) и (13) определяют способ разбиения двоичного вектора А, || Ь? агмнем 2! бит на два двоичных вектора длиной 1 бит. конкатенацией которых он является.

6 Основные процессы

6.1 Общие положения

В настоящем разделе определены процессы формирования и проверки цифровой подписи под сообщением пользователя.

Для реализации данных процессов необходимо, чтобы всем пользователям были известны параметры схемы цифровой подписи, соответствующие требованиям 5.3.

Кроме того, каждый пользователь должен иметь ключ подписи d и ключ проверки подписи

Q(xq, yg). которые также должны соответствовать требованиям 5.3.

6.2 Формирование цифровой подписи

Для получения цифровой подписи под сообщением м ь V* необходимо выполнить следующие действия (шаги) по алгоритму I:

Шаг 1 — вычислить хэш-код сообщения М: h я й(М). (14)

Шаг 2 — вычислить целое число а. двоичным представлением которого является вектор h. и

определить

e = a(mod<j). (15)

Если е = 0. то определить в - 1.

Шаг 3 — сгенерировать случайное (псевдослучайное) целое число К удовлетворяющее неравенству Q<k<q. (16)

Шаг 4 — вычислить точку эллиптической кривой С = кР и определить

г = хс (mod q). (17)

где хс — х-координата точки С.

Если г - 0. то необходимо вернуться к шагу 3.

Шаг 5 — вычислить значение

s = (rc/+Ae)(modg). (16)

Если s = 0. то необходимо вернуться к шагу 3.

Шаг в — вычислить двоичные векторы Г и ?, соответствующие / и в. и определить цифровую подпись £ *(Г Ц s) как конкатенацию двух двоичных векторов.

Исходными данными этого процесса являются ключ подписи d и подписываемое сообщение М. а выходным результатом — цифровая подпись

Схема процесса формирования цифровой подписи приведена на рисунке 2.

Процесс формирования подписи


Шаг 1 - вычислить яигчад сообщаем М

I —

Шаг 2 - вычисление « и огредоени» е

I --

Шаг 3 - owaatqxaan» опуайЫое тшадоегомайм»)

в) малое чиале к


Uta г 4 - вычисление кия, алл ятгичаосй Ф«о0 С «АР,


Шаг 5 - вычисление в


Ши* в - определение цифровой подписи 5

Рисунок 2 — Схема процесса формирования цифровой подписи


6.3 Проверка цифровой подписи

Для проверки цифровой подписи £ под полученным сообщением М необходимо выполнить следующие действия (шаги) по алгоритму II:

Шаг 1 — по полученной подписи £ вычислить целые числа г и s. Если выполнены неравенства 0 < г < Q. 0 < s < о. то перейти к следующему шагу. В противном случае подпись неверна.

Шаг 2 — вычислить хэш-код полученного сообщения М

(19)

Шаг 3 — вычислить целое число а. двоичным представлением которого является вектор h, и определить

eea(modQ). (20)

Если е = 0. то определить е - 1.

Шаг 4 — вычислить значение иве ’(modp). (21)

Шаг 5 — вычислить значения

z, в sn(mod о).^ в -/v(mod q). (22)

Шаг 6 — вычислить точку эллилтичесхой кривой С « z,P + z2Q и определить

RBXc(mod<j), (23)

где хс — Х'координата точки С.

Шаг 7 — если выполнено равенство R - /, 1О(юдписы1ринимае1си. и промином случае— подпись неверна.

Исходными данными этого процесса являются подписанное сообщение М. цифровая подпись Q и ключ проверки подписи О. а выходным результатом — свидетельство о достоверности или ошибочности данной подписи.

Схема процесса проверки цифровой подписи приведена на рисунке 3.


Процесс проверим

ПОЦГМПИ


Шаг 1 -вьаввпвннеги «по полученной подписи £


Шаг 2 - вычислить x»uM«fl полученного сообщай ин jW

Шаг а • вычисление а н адрааюаниа а швг 4 - яычивлвнм v

Шаг 6-вычислены» а,

I......

Шаг в - вьмапан ив точи алл иптнчкасй фмв С"Х)Я* а& иоцмиалммЯ

Рисунок 3 — Схема процесса проверки цифровой подписи


Приложение А (справочное)

Контрольные примеры

А.1 Общие положения

Настоящее приложение носит справочный характер и не является частью нормативных положений настоящего стандарта.

Приводимые ниже значения параметров р. а. Ь. т, д. Р. а также значения ключей подписи и проверки подписи <3 и Q рекомендуется использовать только для проверки корректной работы конкретной реализации алгоритмов, описанных в настоящем стандарте.

Все числовые значения приведены 8 десятичной и шестнадцатеричной записи. Нижний индекс в записи числа обозначает основание системы счисления. Символ «ft» обозначает перенос числа на новую строку. Например, запись

12345ft

б7890.

499602D21b

представляет целое число 1234567890 в десятичной и шестнадцатеричной системах счисления соответственно.

А.2 Пример 1

А.2.1 Параметры схемы цифровой подписи

А.2.1.1 Условие

Для формирования и проверки цифровой подписи должны быть использованы параметры, приведенные 8 5.3.

А.2.1.2 Модуль эллиптической кривой

В настоящем примере параметру р присвоено следующее значение:

р - 57896044618658097711785492504343953926ft 634992332820282019728792003956564821041^.

р = 8000000000000000000000000000000000000000000000000000000000000431.

А.2.1.3 Коэффициенты эллиптической кривой

В настоящем примере параметры а и £> принимают следующие значения:

й = 7щ. e = 7ie-

Ь - 43308876546767276905765904595650931995ft 942111794451039583252968842033849580414, у.

Ь - 5FBFF498AA938CE739B8E022FBAFEF4Q563F6E6A3472FC2A514C0CE9DAE23B7E1e.

А.2.1.4 Порядок группы точек эллиптической кривой В настоящем примере параметр т принимает следующее значение:

m = 5789604461865809771178549250434395392ft 7082934583725450622380973592137631069619)0. m = 8000000000000000000000000000000150FE8A1892976154C59CFC193ACCF5B3,e.

А.2.1.5 Порядок циклической подгруппы группы точек эллиптической кривой В настоящем примере параметр д принимает следующее значение:

д= 5789604461865809771178549250434395392ft 708293458372545062238097359213763106961910. q - 8000000000000000000000000000000150FE8A1892976154C59CFC193ACCF5B316.

А.2.1.6 Коэффициенты точки эллиптической кривой

В настоящем примере координаты точки Р принимают следующие значения:

= 210.

Хр = 2 ft.

у - 40189740565390375033354494229370597ft 7563573938990554508069097936521343156628010. у = 8E2A8A0E65147O4BD6316030E16O19ft C85C97F0A9CA267122B96ABBCEA7E8FC8u.

А.2.1.7 Ключ подписи

В настоящем примере считается, что пользователь обладает следующим ключом подписи d d= 554411960853632461263556241303241831ft

96576709222340016572108097750006097525544 d = 7A929ADE789BB9BE10ED359OD39A72CW 11B60961F49397EEE1D19CE9891EC3B28ie.

А.2.1.8 Ключ проверки подписи

В настоящем примере считается, что пользователь обладает ключом проверки подписи Q. координаты которого имеют следующие значения:

х= 57520216126176B08443631405023338071W 176630104906313632182896741342206604859403,и. х„ - 7F2B49E270DB6O90D8595BEC458B5U 0C58585BA1D4E9B788F6689DBD8E56FD80B,e. у - 17614944419213781543809391949654080W 031942662045363639260709847859438286763994, и. у - 26F1B489O6701DD185C8413A977B3W CBBAF64D1C593D26627DFFB101A87FF77DA,6.

А.2.2 Процесс формирования цифровой подписи (алгоритм 1)

Пусть после выполнения шагов 1—3 по алгоритму I (см. 6.2} были получены следующие числовые значения:

е = 2079889367447645201713406156150827013W 063714251537965328995261725266146887242110, в - 2DFBC1B372D89A1188C09C52E0EEU C61FCE52032AB1022E8E67ECE6672B043EE5,e. к - 538541376773484637314038411479966192V 41504003434302020712960638S28893196233395, о. к - 77105C9B20BCD3122823C8CF6FCCW 7B956OE33814E95B7FE64FED924594DCEAB3,6.

При этом кратная точка С = кР имеет координаты:

= 297009809158179528743712049839382569W

9042275210799431965163268798205921093339510, хс = 41AA28D2F1AB148280CD9ED56FEDW A41974053554A42767B83A0043FD39DC0493,e. ус = 328425352786846634770946653225170845W 06804721032454543268132854556539274060910,0. ус - 489С375А9941A3049E33B34361DDW 204172AD98C3£5916OE27695D22A61FAE46E1$.

Параметр г s хе (mod о) принимает значение:

г-297009809158179528743712049839382569W

90422752107994319651632687982059210933395, г= 41AA28D2F1AB148280CD9ED56FEDW

A41974053554A42767B83A0043FD39DC0493,e.

Параметр ss (rtf+ Jce|(modq) принимает значение:

S= 57497340027008465417892531001914703W 8455227042649098563933718999175515839552,

5 = 1456C64BA4642A1653C235A98A60249BCD6O3F746B631DF928014F6C5BF9C40ie.

А.2.3 Процесс проверки цифровой подписи (алгоритм II)

Пусть после выполнения шагов 1—3 по алгоритму II (см. 6.3) были получены следующие числовые значения:

е = 2079889367447645201713406156150827013W 063714251537965328995261725266146887242110.

е = 2DFBC1B372D89A1188C09C52E0EEW C61FCE52032AB1022E8E67ECE6672B043EE51$.

При этом параметр ue е ' (mod д) принимает значение:

v =176866836059344686773017138249002685W

62746883080675496715288036572431145718978,0. v - 271A4EE429F84EBC423E388964555BBW 29O3BA53C7BF945E5FAC8F381706354C21$.

Параметры z, в su (mod q) и z2 в -rv(modp) принимают значения:

Z, = 376991675009019385568410572935126561U

08841345190491942619304532412743720999759,у.

z, - 5358F8FFB38F7C09ABC782A2DF2A11 3927DA4077D07205F763682F3A76C9019B4F,e.

Zj = 14171998427343472112515917969500765711

6924665583897286211449993265333367109221,0,

Zj - 3221B4FBBF6D101074EC14AFAC2D4F711 EFAC4CF9FEC1ED11BAE336D27D527665le.

Точка + имеет координаты;

xe - 297009809158179528743712049839382569911 0422752107994319651632687982059210933395,д.

xe = 41AA28D2F1AB148280CD9ED56FE011 A41974053554A42767B83AD043FD39OC0493ie, ye - 328425352786846634770946653225170845011 6804721032454543268132854556539274060910,q.

yc = 489C375A9941A3049E33B34361DD11 204172AD98C3E5916DE27695D22A61FAE46E,e.

Тогда параметр R » x( (mod <7) принимает значение:

R =2970098091581795287437120498393825699W 0422752107994319651632687982059210933395,0.

R - 41AA28D2F1 AB148280C D9ED56FED11 A41974053554A42767B83AD043FD39OC0493,e.

Поскольку выполнено равенство R = г. то цифровая подпись принимается.

А.З Пример 2

А.3.1 Параметры схемы цифровой подписи А.3.1.1 Условие

Для формирования и проверки цифровой подписи должны быть использованы параметры, приведен ныв в 5.3.

А.3.1.2 Модуль эллиптической кривой

В настоящем примере параметру р присвоено следующее значение:

р - 3623986102229003635907788753683874306021320925534678605011 865461504508561666240024825884820222714968540250908236030511

673516373426382237196498722&58290737240Э,д. р - 4531ACD1FE0023C7550D267B6B2FEE80922B14B2FFB90F04D4EB7C09B5D2D15D11 F1D852741AF4704A0458047E80E4546D35B8336FAC224DD81664BBF528BE6373,b.

А.3.1.3 Коэффициенты эллиптической кривой

В настоящем примере параметры а и Ь принимают следующие значения:

в = 7Ю-в = 7,в.

Ь - 151865506921082853450895003471404315492874752774020643611 1940188233528099824437937328297569147859746748660416053978в36775\\

9662632641399013695904743581182639610. b - 1CFF0806A31116DA29D8CFA54E57EB7488C5F377E49400FD07888649ECA1AC411 36183401362AO7322480A89CA58E0CF74BC9£540C2AOD6897FAO0A3084F302AOCie.

А.З.1.4 Порядок группы точек эллиптической кривой В настоящем примере параметр тп принимает следующее значение:

тп =3623986102229003635907788753683874306021320925534678605086546111 5045085616662396916489830503286306849996140407943793658545586519221211 970734808812618120619743,у.

m = 4531ACD1FE0023C7550D267B6B2FEE80922B14B2FFB90F04D4EB7C09B5D2D15D11 A82F2D7ECB1OBAC7199O5C5EECC423F1O86E2SEDBE23C595D644AAF187E6E6OFie.

А.3.1.5 Порядок циклической подгруппы группы точек эллиптической кривой В настоящем примере параметр q принимает следующее значение:

q - 3623986102229003635907788753683874306021320925534678605086546111 5045085616662396916489830503286306849996140407943793658545586519221211 970734808812618120619743,0.

q = 4531ACD1FE0023C7550D267B6B2FEE80922B14B2FFB90F04D4EB7C09B5D2D15D11 A82F2D7ECB1DBAC719905C5EECC423F1D86E25EOBE23C595D644AAF187E6E6DF,e.

А.3.1.6 Коэффициенты точки эллиптической кривой

В настоящем примере координаты точки Р принимают следующие значения:

хр = 19283569440670228493993094012431375989977866354595079743570754913077665W 9268583544106555768100318487481965800490321233288425233583025072952763238X1

349357327410,

х_ - 24D19CC64572EE30F396BF6EBBFD7A6C5213B3B3D7057CC825F91093A68CD762W FD60611262C0838DC6B60AA7E£E804E28BC849977FAC33B4B530F1B120248A9Aie. ур - 22887286933719728599700121555294784163535623273295061803ХХ 144974259311028603015728141419970722717088070665938506503341523818ХХ 57347798885864807605098724013854,у,

у0 - 2BB312A43BD2CE6E0D020613C857ACDDCFBF061E91E5F2C3F32447C259F39B2XX C83AB156D77F1496BF7EB3351E1EE4E43OC1A18B91B24640B6D8B92CB1AOD371E1e.

А.3.1.7 Ключ подписи

В настоящем примере считается, что пользователь обладает следующим ключом подписи Л tf= 610081804136373098219538153239847583006845519069531562982Э88135ХХ

3548906063017822553836083934233723790576655275951168273070250464588311

7440766121180466875860lo.

d = BA6Q48AADAE241BA40936D47756D7C93091AOE8514669700EE7508E508B102072XX E8123B2200A0563322DAO2827E2714A2636B7BFD18AAOFC62967821FA16OO4ie.

А.3.1.8 Ключ проверки подписи

В настоящем примере считается, что пользователь обладает ключом проверки подписи Q. коордтаты которого имеют следующие значения:

х„ = 909546853002536596556690768669830310006929272546556281596311 729653703124985631823204368928700528428086082628324568582235801Х 713780290717986855863433431150561w.

хя - 115DC5BC96760C7B48598D8AB9E740D4C4A85A65BE33C1B1585C320C&54621DXX D5A515856D13314AF69BC5B924C8B4DDFF75C45415C1D9DD9DD33612CD530EFE11e. у = 29214572033744256206324497342484154556407008235594887051648958X1 37509539134297Э2739738028774142824608862660932913944189501686375811 984106326600572476822372076,0.

у = 37C7C90CD40BOF5621DC3AC1B751CFA0E2634FA0503B3D52639F5D7FB72AFD611 1EA199441D943FFE7F0C70A2759A3CDB84C114E1F9339FDF27F35ECA93677BEEC1tt.

А.3.2 Процесс формирования цифровой подписи (алгоритм I)

Пусть после выполнения шагов 1—3 по алгоритму I (см. 6.2) были получены следующие числовые значения:

в - 28979638816В286&575562827278553865049173745197871825199562947ХХ 4190413889509705366611095534999542487330887197488445389646412816544ХХ

63513296973827706272045964,у,

в = 3754F3CFACC9E0615C4F4A7C4D8DAB531B09B6F9C170C533A71D147035B0C591W 7184EE536593F4414339976C647C5D5A407ADEDB1D560C4FC6777D2972075B8C,e,

*=1755163560258504995406282799211252803334510317477377916502X1

081442431820570750344461029В67509625089092272358661268724735168078105417ХХ

4752971030987995863294510.

*= 359E7F4B1410FEACC570456C6801496946312120B3900190455986E364F31X 65886748ED7A44B3E794434006011842286212273A6D14CF70£A3AF71BB1AE679F11e.

При этом кратная точка С = кР имеет координаты:

хс = 24892044770313492650728646430321477536674513192821314440274986373ХХ

576110928102217951018714129288237168059598287083302842436534530853X1 22004442442534151761462, у.

хс = 2F86FA60A081091A23DO795E1E3C689EE512A3C82EE0DCC2643C78EEA8FCACXX 035492558486620F1C9EC197C90699850260C93BCBCD9C5C3317E19344E173A£36ie.

ус = 77017388992899183604784479878096044168206263187609613767394680150X1 24422293532765176528442837832456936422662546513702148162933079517X1

08430050152108641508310, у.

ус= EB488140F7E2F4E35CF220BDBC75AE44F26F9C7DF52E82436BDE80A91831OA27X1 C8100DAA876F9AOC0O28A82DD3826O4OC7F92E471DA23E55E0EBB3927C856O61e.

Параметр г = хе (mod g) принимает значение:

г-24892044770313492650728646430321477536674513192821314440274986373W

57611092810221795101871412928823716805959828708330284243653453085311 2200444244253415176146210,

rs 2F86FA60A081091A23OD795E1E3C689EE512A3C82EE0OCC2643C78EEA8FCAC11 D35492558486B20F1C9EC197C90699850260C93BCBCD9C5C3317E19344E173AE36lB.

Параметр ss(rd + fte)(modq)npMHHMaerзначение:

s= В64523221707669519038849297382936917075023735848431579919598711 99313385180564746877195039672460179421760770893278030956807690115W

822709903853682831835159370^.

s - 1081B394696FFE8E6585E7A9362D26B6325F56778AADBC081C0BFBE933D52FF5811 23CE288E8C4F362526080DF7F70CE406A6EEB1F56919CB92A9853BDE73E584Aie.

А.3.3 Процесс проверки цифровой подписи (алгоритм 11}

Пусть после выполнения шагов 1—3 по алгоритму Н (см. 6.3) были получены следующие числовые зна чвния:

в - 289796388168286857556282727855386504917374519787182519956294711 419041388950970536661109553499954248733088719748844538964641281654411

63513296973827706272045964,

е - 3754F3CFACC9E0615C4F4A7C4D8DAB531B09B6F9C170C533A71D147035B0C59111 7184EE536593F4414339976C647C5D5A407ADEDB1D560C4FC6777D297207588C1b.

При этом параметр v = s-1 (mod g) принимает знамение:

V-25569421539460522226607408431640861538776922344007831911469284911 35619434573234470892400192520569828068815353400414582124399060613611

707223818593481596025267110.

v - 30D212A9E25O1A80AOF238532CADF3E64D7EF4E782B6AD140AAF8BBD9BB472911 84595EEC87B2F3448A1999D5F0A6OE0E14A55AD875721EC8CFD5O4O0OB3A840FFu.

Параметры z, в sv(mod g) и z2 в -/vfmod g) принимают значения:

z, = 320647082733676862968690710187347525034330644808903031121448411 38587274320504518034520882655290100349673294104978035779354194205511

60008495619817370719790257510.

z, = 3038E7262069682AD240081EEA2F92E6348D619FA45007B175837CF13B02607911 051A48A1A379188F37BA46CE12F7207F2A8345459FF960E1EBD5B4F2A34A6EEF,e.

z2=13667709118340031081429778480218475973204553475356412734827W 32082047028342168006031261814273230879203690726448631222679743757511

6163726695805680585960300820310.

z2 = 1A18A31602E6EACOA9888C01941082AEFE296F840453D2603414C2A16EB6FC52911 O8D8372E50DC49D6C612CE1FF65BD58E1D2029F2269O438CC36A76DOA444ACBie.

Точка C = z,P + z2O имеет координаты:

xe - 248920447703134926507286464303214775366745131928213144402749863711 357611092810221795101871412928823716805959828708330284243653453085311

22004442442534151761462l0.

xc = 2F86FA60A081091A23DD795E1E3C689EE512A3C82EE0DCC2643C78EEA8FCAC11 D3549255B486B20F1C9EC197C90699850260C93BCBCO9C5C3317E19344E173AE3616,

yc=7701738899289918360478447987809604416820626318760961376739468015\\

024422293532765176528442837832456936422662546513702146162933079517011

843005015210864150831010.

yc - EB488140F7E2F4E35CF220BDBC75AE44F26F9C7DF52E82436BOE80A91831DA2711 C8100OAA876F9ADC0D28A82DD3826D4DC7F92E471DA23E55E0EBB3927C85BD6ie.

Тогда параметр R s хс(тсх1д)принимэег значение:

R = 2489204477031349265072864643032147753667451319282131444027498611

3735761109281022179510187141292882371680595982870833028424365345308511 322004442442534151761462,0.

R = 2F86FA60A081091A23OD795E1E3C689EE512A3C82EE0OCC2643C78EEA8FCAC11 D35492558486B20F1C9EC197C90699850260C93BCBCO9C5C3317E19344E173AE36,&.

Поскольку выполнено равенство R = г, то цифровая подпись принимается.

Библиография


Примечание — Оригиналы международных стандартов ИСО и ИСО/МЭК находятся в национальных {государственных} органах по стандартизации* государств, принявших настоящий стандарт.


(1] ИСО 2382:2015 (ISO 2382:2015}

(2] ИСО/МЭК 9796-2:2010 (ISO/1EC 9796-2:2010)


(3] ИСО/МЭК 9796-3:2006 (ISO/1EC 9796-3:2006)


(4] ИСО/МЭК 14888-1:2008 (ISO/IEC 14886-1:2008}

(5] ИСО/МЭК 14888-2:2008 (ISO/IEC 14688-2:2008}


(6] ИСО/МЭК 14888-3:2016 (ISO/1EC 14888-3:2016}


(7] ИСО/МЭК 10118-1:2016 (ISO/1EC 10118-1:2016)

{8] ИСО/МЭК 10118-2:2010 (ISO/1EC 10118-2:2010)


(9] ИСО/МЭК 10118-3:2004 (ISO/IEC 10118-3:2004)

(10] ИСО/МЭК 10118-4:1998 (ISO/1EC 10118-4:1998)


Информационная технология. Словарь (Information technology — Vocabulary)

Информационные технологии. Методы обеспечения безопасности. Схемы цифровой подписи, обеспечивающие восстановление сообщений. Часть 2. Механизмы на основе целочисленной факторизации {Information technology — Security techniques — Digital signature schemes giving message recovery — Part 2: Integer factorization based mechanisms)

Информационные технологии. Методы обеспечения безопасности. Схемы цифровой подписи, обеспечивающие восстановление сообщений. Часть 3. Механизмы на основе дискретного логарифма (information technology — Security techniques — Digital signature schemes giving message recovery — Pari 3: Discrete logarithm based mechanisms)

Информационные технологии. Методы защиты. Цифровые подписи с приложением. Часть 1. Общие положения {Information technology — Security techniques — Digital signatures with appendix — Pari 1: General)

Информационная технология. Методы обеспечения защиты. Цифровые подписи с приложением. Часть 2. Механизмы, основанные на разложении на множители (Information technology — Security techniques — Digital signatures with appendix — Part 2: Integer factorization based mechanisms)

Информационная технология. Методы и средства обеспечения безопасности. Цифровые подписи с приложением. Часть 3. Механизмы на основе дискретного логарифма (Information technology — Security techniques — Digital signatures with appendix — Part 3: Discrete logarithm based mechanisms)

Информационная технология. Методы защиты информации. Хэш-функции. Часть 1. Общие положения {Information technology — Security techniques — Hash-functions — Part 1: General)

Информационные технологии. Методы защиты информации. Хэш-функции. Часть 2. Хэш-функции с использованием алгоритма шифрования п-битными блоками (Information technology — Security techniques — Hash-functions — Part 2: Hash-functions using an n-brt block cipher)

Информационные технологии. Методы защиты информации. Хэш-функции. Часть 3. Выделенные хэш-функции (Information technology — Security techniques — Hash-functions — Pari 3: Dedicated hash-functions)

Информационные технологии. Методы защиты информации. Хэш-функции. Часть 4. Хэш-функции с применением арифметических операций над абсолютными значениями чисел (Information technology — Security techniques — Hash-functions — Pari 4: Hash-functions using modular arithmetic)


* В Российской Федерации оригиналы международных стандартов ИСО и ИСО/МЭК находятся в Федеральном информационном фонде стандартов.


УДК 681.3.06:006.354 МКС 35.040

Ключевые слова: обработка данных, передача данных, обмен информацией, сообщения, цифровые подписи, защита информации, формирование цифровой подписи, проверка цифровой подписи

БЗ 1—2019/66

Редактор П.В. Коретникоеа Технический редактор И.Е. Черепкова Корректор Е.Р. Ароян Компьютерная верстка Ю.В. Поповой

Сдано в набор 05.12.2019. Подписано а печать М.01.2019. Формат 60 » Гарнитура Ариал.

Усл. пом. л. 2.33. Уч -им. л. 2,10.

Подготовлено на основе электронном версии, предоставленной разработчиком стандарта

ИД «Юриспруденция», 115419, Москва, ул. Орджоникидзе. 11. www.juriatzdal.ru y-book@mailnj

Создано а единичном исполнении . 117418 Москва. Нахимовский пр-т, д. 31. к. 2.