Станислав Смышляев: вопросы применимости российских криптоалгоритмов

© 2000-2015 КРИПТО-ПРО
Вопросы применимости российских
криптоалгоритмов
Смышляев Станислав Витальевич, к.ф.-м.н.,
начальник отдела защиты информации
Смышляев С.В. (КРИПТО-ПРО) 24.07.15 1 / 77

Расхожее мнение о российской криптографии
Морально устаревшие решения.
Проблемы с быстродействием.
Проблемы со стойкостью.
Ориентированность на
”
бумажную“ безопасность и
соответствие требованиям, а не на реальную
защищенность.
Следствие 1: Нередка позиция
”
когда требуется показать
сертификат ФСБ, используем ГОСТ, а в иных случаях
переключаемся на RSA/AES“.

Следствие 2: Критика российских решений зачастую не
конструктивна, а шаблонна, полна клише.
Многие
”
и так знают“, что все плохо — всякая критика охотно
подхватывается аудиторией без апробации и верификации.
У специалистов по практической безопасности — меньше
выбор доступных криптографических механизмов,
продуктов для встраивания.
У российских криптографов — априорно пыльноватая
репутация.
У разработчиков и интеграторов российских
криптосредств — меньше конструктивной критики,
информации о реальных уязвимостях.

Российские криптографические алгоритмы
1 Российские криптоалгоритмы: стандарты, мифы,
перспективы
Стойкость алгоритмов ГОСТ
Производительность алгоритмов ГОСТ
2 Криптография на ГОСТ и реальная защищенность
Безопасность
”
бумажная“ и реальная
Уязвимости при небезопасном выборе IV в CBC, CFB
Уязвимости при небезопасном использовании паддинга
Уязвимости при перекрытии гаммы
Уязвимости при превышении нагрузки на ключ
Выбор алгоритма хэширования
Рекомендации по стандартизации ТК 26

Российские криптографические алгоритмы Стойкость алгоритмов ГОСТ
”

Стойкость ГОСТ 28147-89 (блоковый шифр)
ГОСТ 28147-89, атаки Куртуа
Октябрь 2010: начат процесс рассмотрения включения
ГОСТ 28147-89 в стандарт ISO/IEC 18033-3.
Май 2011: статья Николя Куртуа на ePrint (и
последующие 5 работ), использование алгебраических
методов и дифференциальных.
Алгебраические: нет детального описания/анализа
трудоемкости главного этапа метода; лишь эксперим.
данные на аналогах меньшей размерности.
Дифференциальные: анализ для узлов замены, отличных
от действующих и от предложенных в ISO.
Рудской, Дмух (ePrint): если даже принять
”
факты“
Куртуа, провести анализ ГОСТ 28147-89 с актуальными
узлами замены, то атака не лучше полного перебора.

ГОСТ 28147-89, атаки Исобе и Динура–Данкельмана–Шамира
Корректные, математически строгие описания атак.
Показано, что некоторые свойства алгоритма ГОСТ
28147-89 позволяют находить пути анализа, не учтенные
создателями алгоритма.
Трудоемкость атаки Исобе составляет 2224
операций
зашифрования, атаки ДДШ — 2192
.
Для метода Исобе требуется 232
пар открытых и
шифрованных текстов, для метода ДДШ — 264
.
При материале 232
уже с вероятностью ≈ 0.5 появляются
повторяющиеся блоки шифртекста, при 264
ключ вовсе
более не нужен (есть полная таблица зашифрования).
Не произошло снижения даже теоретической стойкости.

Стойкость ГОСТ Р 34.11-94 (хэш)
ГОСТ Р 34.11-94, атаки Менделя-Прамшталлера-Рехбергера
Нахождение коллизии:
2105
вместо априорных 2128
.
Нахождение (второго) прообраза:
2192
вместо априорных 2256
.
Корректные, математически строгие описания атак.

Переход на ГОСТ Р 34.11-2012 и ГОСТ Р
34.10-2012
2012 год: стандарт функции хэширования ГОСТ Р 34.11-2012
(
”
Стрибог“).
Документ ФСБ России № 149/7/1/3-58 от 31.01.2014.
ТЗ после 31 декабря 2012 года — должна быть реализация
ГОСТ Р 34.10-2012 (и ГОСТ Р 34.11-2012).
Использование ГОСТ Р 34.11-94 для использования при
формировании подписи после 31 декабря 2018 года не
допускается.

Стойкость ГОСТ Р 34.11-2012
AlTawy R., Youssef A. M. – Preimage Attacks on reduced-round
Stribog.
AlTawy R., Kircanski A., Youssef A. M. – Rebound attacks on
Stribog.
Kazymyrov O., Kazymyrova V. – Algebraic aspects of the russian
hash standard GOST R 34.11-2012.
Ma B., Li B., Hao R., Li X. – Improved cryptanalysis of
reduced-round GOST and Whirlpool hash function.
Zou J., Wu W., Wu S. – Cryptanalysis of the round-reduced
GOST hash function.
AlTawy R., Youssef A. M. – Integral distinguishers for
reduced-round Stribog.
AlTawy R., Youssef, A. M. – Watch your Constants: Malicious
Streebog.

Стойкость ГОСТ Р 34.10-2001 и ГОСТ Р
34.10-2012 (электронная подпись)
С точки зрения структуры (и стойкости) ГОСТ Р 34.10-2001 и
ГОСТ Р 34.10-2012 предельно близки к ECDSA: стойкость
определяется:
выбором эллиптических кривых;
гарантией случайности одноразовых случайных величин в
процессе подписи (вспомним уязвимость 2010 года в Sony
PlayStation 3 из-за проблем в реализации ECDSA).

Российские криптографические алгоритмы Производительность алгоритмов ГОСТ
”

Производительность ГОСТ 28147-89
Шифрование: ГОСТ 28147-89, режим гаммирования
без SSE/AVX: 28 тактов/байт (120 МБ/с/ядро 3.3 GHz);
с AVX: 8.7 тактов/байт (390 МБ/с/ядро 3.3 GHz).

без SSE/AVX: 28 тактов/байт (120 МБ/с/ядро 3.3 GHz);
с AVX: 8.7 тактов/байт (390 МБ/с/ядро 3.3 GHz).

Реализация на GPU (OpenCL): 1300 МБ/с (AMD Radeon
HD 6970).

Производительность ГОСТ Р 34.11
Хэширование: ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012
ГОСТ Р 34.11-94: 40 тактов/байт (85 МБ/с/ядро 3.3 GHz);
ГОСТ Р 34.11-2012: 30 тактов/байт (110 МБ/с/ядро 3.3
GHz).

С точки зрения совокупности математических операций (и,
следовательно, производительности) ГОСТ Р 34.10-2001 и
ГОСТ Р 34.10-2012 предельно близки к ECDSA:
производительность определяется выбором используемых
полей, эллиптических кривых (параметров алгоритма
подписи), а также проработкой реализаций операций в
конечных полях и эллиптических кривых в реализациях.
Сравнение с RSA
Сравнимая стойкость ГОСТ Р 34.10-2001/2012-256 (по
NIST SP 800-57): RSA-3072.
Сравнимая стойкость ГОСТ Р 34.10-2012-512 (по NIST SP
800-57): между RSA-7680 и RSA-15360.

Производительность ГОСТ Р 34.10 (проверка)
Проверка ЭП: ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012
ГОСТ Р 34.10-2001/2012-256: 9700 проверок в секунду;
ГОСТ Р 34.10-2012-512: 1850 проверок в секунду.

Производительность ГОСТ Р 34.10 (создание)
Формирование ЭП: ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012
ГОСТ Р 34.10-2001/2012-256: 15800 формирований в
секунду;
ГОСТ Р 34.10-2012-512: 3400 формирований в секунду.

Криптосистема с открытым ключом
В России нет стандарта для криптосистем с открытым
ключом. Решение задачи
”
зашифровать данные с
использованием открытого ключа PubKA“ (зафиксировано в
Рекомендациях по стандартизации ТК 26):
породить эфемерный ключ β (с открытым ключом
PubKβ), случайную величину UKM;
вычислить SK = H(UKM · β · PubKA);
зашифровать вход (как правило, ключ шифрования
основных данных) на SK, передать шифртекст вместе с
PubKβ и UKM.
Время шифрования/расшифрования ≈ время проверки
подписи.

Криптография на ГОСТ и реальная защищенность
”

Криптография на ГОСТ и реальная защищенность Безопасность
”
”

”
”
Требования ФСБ России к шифровальным
(криптографическим) средствам.
Требования к средствам электронной подписи.
Приказ ФСБ России N 378
”
Об утверждении . . . мер по
обеспечению безопасности персональных данных при их
обработке в информационных системах персональных
данных с использованием СКЗИ . . .“
Требования к средствам удостоверяющего центра.

”
”
Критика
Формальные модели нарушителя, не имеющие отношения
к реальности.
Проверяется безопасность к
”
бумажным“ моделям, а не к
реальным нарушителям.
При возникновении проблем безопасности разработчики
дают ответы
”
в такой-то формальной модели все хорошо“.
Из-за закрытости требований возникает (справедливо)
ощущение непрозрачности при анализе защищенности.

”
”
КС1:
”
проведение атаки, находясь вне контролируемой
зоны“
КС2:
”
проведение атаки при нахождении в пределах
контролируемой зоны“

”
”
КС1:
”
проведение атаки, находясь вне контролируемой
зоны“
— атаки на криптографические протоколы через сеть
КС2:
”
проведение атаки при нахождении в пределах
контролируемой зоны“ — нарушитель в непосредственной
близости, анализ секторов диска после удаления данных

”
”
КС3:
”
возможность располагать аппаратными
компонентами СКЗИ и СФ, ограниченная мерами,
реализованными в информационной системе, в которой
используется СКЗИ, и направленными на предотвращение
и пресечение несанкционированных действий“
KB:
”
создание способов, подготовка и проведение атак с
привлечением специалистов в области анализа сигналов,
сопровождающих функционирование СКЗИ и СФ, и в
области использования для реализации атак
недокументированных (недекларированных)
возможностей прикладного ПО“

”
”
КС3:
”
возможность располагать аппаратными
компонентами СКЗИ и СФ, ограниченная мерами,
реализованными в информационной системе, в которой
используется СКЗИ, и направленными на предотвращение
и пресечение несанкционированных действий“ —
возможность атак при доступе из-под другого аккаунта
KB:
”
создание способов, подготовка и проведение атак с
привлечением специалистов в области анализа сигналов,
сопровождающих функционирование СКЗИ и СФ, и в
области использования для реализации атак
недокументированных (недекларированных)
возможностей прикладного ПО“
— возможность атак по побочным каналам

”
”
Пример: ключевой носитель
Пассивный носитель.
Активный автономный вычислитель.
Функциональный ключевой носитель.

”
”
Пассивный носитель
Использование ключа основным криптосредством:
вычисления в оперативной памяти машины.

”
”
Активный автономный вычислитель
Все вычисления на самом устройстве, ключ в память не
попадает.

”
”
Доступ нарушителя к пользовательскому процессу в
системе в любом случае (даже в случае HSM) означает
компрометацию доступа к ключу.
Доступ нарушителя к каналу от системы к носителю
означает неминуемую компрометацию доступа к ключу.
В случае пассивного носителя нарушитель потенциально
извлекает из памяти ключ.
В случае автономного вычислителя нарушитель
потенциально перехватывает пароль и возможность
подписи произвольных данных.
В случае автономного вычислителя несоизмеримо опаснее
атаки по побочным каналам (потребление, время).

”
”
Доступ нарушителя к пользовательскому процессу в
системе в любом случае (даже в случае HSM) означает
компрометацию доступа к ключу.
Доступ нарушителя к каналу от системы к носителю
означает неминуемую компрометацию доступа к ключу.
В случае пассивного носителя нарушитель потенциально
извлекает из памяти ключ.
В случае автономного вычислителя нарушитель
потенциально перехватывает пароль и возможность
подписи произвольных данных.
В случае автономного вычислителя несоизмеримо опаснее
атаки по побочным каналам (потребление, время).
Уровень защищенности (без дополнительных орг. мер) — КС1.

”
Функциональный ключевой носитель

”
”
Функциональный ключевой носитель
На аутентифицированном на пароле ключе согласования
устанавливается защищенный канал связи между
системой и носителем.
Все дальнейшие пересылки между носителем
производятся посредством защищенного канала.
За счет распределения вычислений возможно уменьшение
опасности атак по побочным каналам.
Сам пароль также защищен от оффлайного перебора
пароля с опробованием по полученным в канале данным
(после действий нарушителя в канале).
Оценочный уровень защищенности — КС3.

”
”
Анализируемые проблемы
Уязвимости в базовых криптографических алгоритмах.
Уязвимости в сопутствующих криптографических
алгоритмах.
Уязвимости в криптографических протоколах.
Уязвимости при встраивании криптографических
протоколов.
Ошибки в реализации.
Отсутствие в реализации достаточных мер
противодействия предполагаемому нарушителю.

”
”
Анализируемые проблемы
Уязвимости в базовых криптографических алгоритмах.
Уязвимости в сопутствующих криптографических
алгоритмах.
Уязвимости в криптографических протоколах.
2010:
«Ха-ха, теоретические проблемы стойкости протоколов не
влияют на реальную защищенность»
2015:
TLS: BEAST, POODLE, Lucky13...

”
”
Потенциальные ошибки при шифровании данных
При зашифровании/расшифровании данных на
сессионных симметричных ключах возможны ошибки,
связанные, в частности:
с использованием небезопасных режимов работы шифра
(ECB, иногда CBC);
возникновением побочных каналов при небезопасном
использовании механизмов выравнивания (паддинга);
перекрытиями гаммы;
использованием синхропосылок без обеспечения условия
их непредсказываемости;
работой с превышением допустимой нагрузки на ключ
(работа без преобразования ключа).

Криптография на ГОСТ и реальная защищенность Выбор IV в CBC, CFB
”

Режимы CBC, CFB: уязвимости при
небезопасном выборе синхропосылок
Особенность протокола TLS 1.0, в котором при использовании
блоковых шифров в режиме CBC в качестве синхропосылки
очередного пакета выбирается последний блок шифртекста
предыдущего пакета.
Для эксплуатации данной уязвимости Дуонгом и Риззо в 2011
году был создан модуль BEAST, позволявший
дешифровывать передаваемые cookie-файлы пользователя.
Описание теоретической уязвимости было предложено еще за
7 лет до этого в работе Грегори Барда.

Режимы CBC, CFB: уязвимости при
небезопасном выборе синхропосылок
В TLS с российскими алгоритмами, утвержденном ТК 26,
данная уязвимость отсутствует, так как в данной версии
используется режим гаммирования, а состояние регистров
шифратора после обработки очередного пакета (являющееся
некоторым аналогом синхропосылки в CBC), остается
неизвестным нарушителю.

Криптография на ГОСТ и реальная защищенность Использование паддинга
”

Уязвимости при небезопасном использовании
паддинга
Пример
Паддинг PKCS #5: сообщение дополняется ненулевым числом
байтовых констант PADLEN до конца блока, где PADLEN —
число требуемых байт паддинга.
Например, при длине блока 8 байт сообщение
(0x0A, 0x0B, 0x0C) будет дополнено до
(0x0A, 0x0B, 0x0C, 0x05, 0x05, 0x05, 0x05, 0x05).
При непродуманном выборе процедуры проверки паддинга
возможно появление уязвимостей к атакам с выбором ШТ.

Уязвимости при небезопасном использовании
паддинга
POODLE attack: Padding Oracle On Downgraded Legacy
Encryption.
Смена ключа после каждой ошибки на приеме не полностью
устраняет проблему — соответствующая уязвимость в
протоколе TLS версии 1.0 для использующих CBC наборов
шифрования описана в 2001 году в работе Сержа Воденея.
Заметим, что данная уязвимость в TLS с российскими
алгоритмами, утвержденном ТК 26, отсутствует, так как в
данной версии используется режим гаммирования, паддинг
вовсе не используется.

Криптография на ГОСТ и реальная защищенность Уязвимости при перекрытии гаммы
”

Для IND-CPA стойкой криптосистемы в режиме
гаммирования наличие шифртекста вовсе не уменьшает
неопределенности открытого текста.
В случае переиспользования гаммы любой криптосистемы
в режиме гаммирования неопределенность падает до
значений, позволяющих провести практическую атаку.
Элементарный пример
Пусть биты a, b независимы Pr(a = 1) = Pr(b = 1) = 0.6.
Тогда энтропия при наличии битов шифртекста ca = a ⊕ ka
и cb = b ⊕ kb составляет 1.942 бита.
Если же ka = kb, энтропия падает в среднем до 0.945 бит
— такой же она была бы, если бы каждый бит принимал
бы некоторое значение с вероятностью ≈ 90%.

Известный пример: режимы ECB и гаммирования

Пример: режим гаммирования при перекрытии гаммы

Криптография на ГОСТ и реальная защищенность Уязвимости при превышении нагрузки на ключ
”

Уязвимости при превышении нагрузки на
ключ
При существенном превышении допустимых значений всякий
алгоритм шифрования теряет положительные
криптографические качества.
При шифровании ГОСТ 28147-89 более 32 ГБ
информации вероятность совпадения выходных блоков
алгоритма шифрования достигает 50%.
При шифровании без смены ключа текста длиннее
допустимых значений могут становиться практически
осуществимыми атаки по побочным каналам
(напряжение, акустика, радиоволны и пр.).
Оценочное значение допустимой нагрузки на ключ:
IPsec ESP с ГОСТ 28147-89 — ограничение в 4 МБ.

Организация работы с сессионными ключами
Необходимо проектировать процедуры работы с сессионными
ключами по принципу использования каждого ключа для
весьма небольшого числа сообщений. Нагрузка на ключ часто
контролируется на уровне самих криптосредств.
Неудачные (но встречающиеся) решения
Многократное дублирование ключа (лишь слегка
уменьшаются проблемы с побочкой).
Использование расшифрования в режиме гаммирования
(бессмысленный обход технических ограничений).
Пересогласование ключа через каждые 4 МБ (задержки).
Прямая диверсификация сессионных ключей из
мастер-ключа (почти хорошо, но вероятно превышение
нагрузки на сам мастер-ключ).

Решение 1: преобразование ключей
При шифровании использовать режим преобразования ключа
(реализуется в криптосредстве, прозрачно для приложений).
RFC 4357: 2.3.2: Key Meshing.
При этом сохраняется ограничение на количество шифруемых
сообщений на одном ключе (T · 1024 сообщений произвольной
длины).
Без преобразования ключей: шифровать не более T МБ
на одном ключе.
С преобразованием ключей: шифровать не более T · 1024
независимых сообщений на одном ключе.

Решение 2: дерево ключей (на примере IPsec ESP)
”
Техническая спецификация по использованию ГОСТ 28147-89
при шифровании вложений в протоколе IPsec ESP“, раздел 5.6.
Преобразование ESP_GOST-4M-IMIT.
RootKey
Divers( RootKey , i&Mask1)
Divers( Divers( RootKey , i&Mask1) , i&Mask2)
Key[i] = Divers( Divers( Divers( RootKey , i&Mask1) , i&Mask2) , i&Mask3)
Mask1 = 0xffffffff00000000, Mask2 = 0xffffffffffff0000, Mask3 = 0xffffffffffffffc0.
Использование для шифрования файлов на диске
Аналогичным образом (с замешиванием случайных данных)
происходит диверсификация ключа шифрования блока в EFS
с российскими криптографическими алгоритмами.

Алгоритмы диверсификации
CALG_PRO_DIVERS: RFC 4357, раздел 7.
Алгоритм Secret Key Diversiﬁcation;
CALG_PRO12_DIVERS: ТК 26,
”
Рекомендации по
стандартизации. Использование криптографических
алгоритмов...“. Алгоритм
KDF_TREE_GOSTR3411_2012_256.

Криптография на ГОСТ и реальная защищенность Выбор алгоритма хэширования
”

Уязвимости при использовании стойкого алг.
подписи со слабым алг. хэширования
Не запрещено использовать MD5 + RSA или даже MD5 +
ГОСТ Р 34.10-2001 как усиленную неквалифицированную
подпись.
Миф: даже поломанные с точки зрения теории хэш-функции
можно использовать с ЭП
Частично правда: если подписать MD5-хэш документа,
подделать подписанный документ на практике
невозможно (стойкость MD5 к нахождению (второго)
прообраза снижена с 2128
только на 5 порядков).
При ошибке проектирования систем документооборота с
использованием такой подписи уязвимость становится
эксплуатируемой на практике.

Рассмотрим систему, в которой документы подписываются
следующим образом
Signature(Key, Src) = SignRSA−2048 (Key, hSHA3 (hMD5(Src)|Attrs))
Аналогичная процедура формирования подписи (с
вариабельностью алгоритмов) используется в Microsoft
Authenticode.

Подписывающая сторона
Интересы честной подписывающей стороны удовлетворены:
модифицировать документ, снабдив его поддельной подписью,
текущее состояние криптоанализа не позволяет (слабое звено
— второй прообраз для хэш-значения MD5 — 2123
, около
десяти миллиардов лет работы миллиардов
3ГГц–процессорных ядер).

Проверяющая сторона
Ввод в заблуждение: RSA-2048 в паре со стойкой SHA3.
Но: вычисление основного хэша документа производит
быстрая, но обладающая практическими уязвимостями
MD5 (коллизии строятся за 224
— одна-две секунды).
Для ряда форматов — практические атаки с созданием
пары документов (pdf, djvu, исполняемых файлов) с
различным (выбранным нарушителем) содержанием, но
одним значением MD5 ⇒ значением Signature(K, Src).
Развитие атак на MD5 ⇒ поддельные сертификаты
(возможно, использовано в Stuxnet/Flame).

Усиленная квалифицированная электронная подпись может
быть сформирована только с помощью:
ГОСТ Р 34.11-94 + ГОСТ Р 34.10-2001.
ГОСТ Р 34.11-2012 (256 бит) + ГОСТ Р 34.10-2012 (256
бит).
ГОСТ Р 34.11-2012 (512 бит) + ГОСТ Р 34.10-2012 (512
бит).
В стандартах электронной подписи явным образом прописан
алгоритм хэширования, с которым можно использовать
подпись.

Известные уязвимости существуют только у ГОСТ Р
34.11-94, однако носят сугубо теоретический характер:
построение коллизии за 2105
— миллион лет работы
миллиарда 3-ГГц процессорных ядер (против секунды на
одном ядре для MD5).
Известных уязвимостей у ГОСТ Р 34.11-2012, ГОСТ Р
34.10-2001, ГОСТ Р 34.10-2012 нет.

Криптография на ГОСТ и реальная защищенность Рекомендации по стандартизации ТК 26
”

Технический комитет по стандартизации
”
Криптографическая защита информации“
Росстандарта (ТК 26)
Производительность и стойкость ГОСТ Р 34.10-2001 и ГОСТ
Р 34.10-2012 определяется, в частности, выбором параметров
эллиптических кривых.
"Рекомендации по стандартизации. Задание параметров
эллиптических кривых в соответствии с ГОСТ Р
34.10-2012".
"Рекомендации по стандартизации. Задание параметров
скрученных эллиптических кривых Эдвардса в
соответствии с ГОСТ Р 34.10-2012".

ТК 26 Росстандарта
Доверие к выбору параметров: принцип
”
проверяемой
случайности“.
В теории: выработка параметров с помощью
односторонней функции.
С помощью
”
трудно“ обратимого преобразования: на
основе хэш-функции ГОСТ Р 34.11-2012.
На вход данного преобразования — случайные строки.
Разные алгебраические структуры — подбор входов не
даст выбрать окончательные величины с известными
секретными параметрами (логарифмами точек и пр.).
Но: предполагает защиты от наличия неизвестных
слабостей кривых (возникающих не
”
точечно“, не с
пренебрежимо малыми вероятностями).

Стойкость ГОСТ 28147-89 определяется, в частности, выбором
узлов замены.
"Рекомендации по стандартизации. Задание узлов замены
блока подстановки алгоритма шифрования ГОСТ 28147-89".

Для использования в протоколах описанных в стандартах
алгоритмов необходимы происследованные безопасные
конструкции на их основе (аутентификация сообщений,
диверсификация, ключевые деревья, экспорт ключей, PRF,
обмен ключами на основе процедуры Диффи-Хеллмана).
"Рекомендации по стандартизации. Использование
криптографических алгоритмов, сопутствующих применению
стандартов ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012".
Для работы российских криптоалгоритмов в протоколах
необходимы происследованные безопасные процедуры работы.

"Техническая спецификация использования алгоритмов
ГОСТ Р 34.10, ГОСТ Р 34.11 в профиле сертификата и
списке отзыва сертификатов (CRL) инфраструктуры
открытых ключей X.509".
"Рекомендации по стандартизации. Использование
алгоритмов ГОСТ 28147-89, ГОСТ Р 34.11 и ГОСТ Р
34.10 в криптографических сообщениях формата CMS".
"Рекомендации по стандартизации. Использованию
наборов алгоритмов шифрования на основе ГОСТ
28147-89 для протокола безопасности транспортного
уровня (TLS)".
Регистрация в IANA — в процессе.

"Техническая спецификация по использованию ГОСТ
28147-89, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001 при
согласовании ключей в протоколах IKE и ISAKMP".
"Техническая спецификация по использованию ГОСТ
28147-89 при шифровании вложений в протоколе IPsec
ESP".
"Техническая спецификация по использованию ГОСТ Р
34.11-94 при обеспечении целостности в протоколах IPsec".

Спасибо за внимание!
Вопросы?
Материалы, вопросы, комментарии:
svs@cryptopro.ru

Станислав Смышляев: вопросы применимости российских криптоалгоритмов

More Related Content

Featured

Станислав Смышляев: вопросы применимости российских криптоалгоритмов