Open-source aspects of GOST Cryptography
 help / color / mirror / Atom feed
* [oss-gost-crypto] EC-RDSA and a key substitution attack
@ 2018-12-04  6:54 Vitaly Chikunov
                     ` (2 more replies)
  0 siblings, 3 replies; 7+ messages in thread
From: Vitaly Chikunov @ 2018-12-04  6:54 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography

Hi,

В превью к ISO/IEC 14888-3:2018 сказано 

  https://www.iso.org/obp/ui/#!iso:std:76382:en

  "NOTE 5 The mechanisms of EC-DSA, EC-GDSA. EC-RDSA and EC-FSDSA may be
  vulnerable to a key substitution attack[10]. The attack is realized if
  an adversary can find two distinct public keys and one signature such
  that the signature is valid for both public keys. There are several
  approaches of avoiding this attack and its possible impact on the
  security of a cryptographic system. For example, the public key
  corresponding to the private signing key can be added into the message
  to be signed."

Где EC-RDSA это ГОСТ Р 34.10-2001 (а значит и 34.10-2012).

На сколько эта атака актуальна для ГОСТа или это очередной наговор на
российскую криптографию в стиле Н. Куртуа?

Добавить signing key к message не сложно, но я исхожу из того, что этого
делать не надо, так как в ГОСТе такого нет. Но если бы был
рекомендованный метод формирования подписи с учетом этой атаки, то
другое дело.




^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [oss-gost-crypto] EC-RDSA and a key substitution attack
  @ 2018-12-04  7:24   ` Vitaly Chikunov
  0 siblings, 0 replies; 7+ messages in thread
From: Vitaly Chikunov @ 2018-12-04  7:24 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography

On Tue, Dec 04, 2018 at 10:02:14AM +0300, Dmitry Belyavsky wrote:
>    А просто EC-DSA в данном контексте что?

Это американский ECDSA (FIPS 186-2, ANSI X9.62, ISO/IEC 15946-2).


> 
>    On Tue, Dec 4, 2018 at 9:54 AM Vitaly Chikunov <[1]vt@altlinux.org>
>    wrote:
> 
>      Hi,
>      В превью к ISO/IEC 14888-3:2018 сказано
>        [2]https://www.iso.org/obp/ui/#!iso:std:76382:en
>        "NOTE 5 The mechanisms of EC-DSA, EC-GDSA. EC-RDSA and EC-FSDSA
>      may be
>        vulnerable to a key substitution attack[10]. The attack is
>      realized if
>        an adversary can find two distinct public keys and one signature
>      such
>        that the signature is valid for both public keys. There are
>      several
>        approaches of avoiding this attack and its possible impact on the
>        security of a cryptographic system. For example, the public key
>        corresponding to the private signing key can be added into the
>      message
>        to be signed."
>      Где EC-RDSA это ГОСТ Р 34.10-2001 (а значит и 34.10-2012).
>      На сколько эта атака актуальна для ГОСТа или это очередной наговор
>      на
>      российскую криптографию в стиле Н. Куртуа?
>      Добавить signing key к message не сложно, но я исхожу из того, что
>      этого
>      делать не надо, так как в ГОСТе такого нет. Но если бы был
>      рекомендованный метод формирования подписи с учетом этой атаки, то
>      другое дело.
>      _______________________________________________
>      oss-gost-crypto mailing list
>      [3]oss-gost-crypto@lists.altlinux.org
>      [4]https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
> 
>    --
> 
>    SY, Dmitry Belyavsky
> 
> References
> 
>    1. mailto:vt@altlinux.org
>    2. https://www.iso.org/obp/ui/#!iso:std:76382:en
>    3. mailto:oss-gost-crypto@lists.altlinux.org
>    4. https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto

> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto



^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [oss-gost-crypto] EC-RDSA and a key substitution attack
  2018-12-04  6:54 [oss-gost-crypto] EC-RDSA and a key substitution attack Vitaly Chikunov
  @ 2018-12-04 11:58 ` Paul Wolneykien
  2018-12-05  7:35 ` Дмитрий Державин
  2 siblings, 0 replies; 7+ messages in thread
From: Paul Wolneykien @ 2018-12-04 11:58 UTC (permalink / raw)
  To: oss-gost-crypto

04.12.2018 09:54, Vitaly Chikunov пишет:
> Hi,
> 
> В превью к ISO/IEC 14888-3:2018 сказано 
> 
>   https://www.iso.org/obp/ui/#!iso:std:76382:en
> 
>   "NOTE 5 The mechanisms of EC-DSA, EC-GDSA. EC-RDSA and EC-FSDSA may be
>   vulnerable to a key substitution attack[10]. The attack is realized if
>   an adversary can find two distinct public keys and one signature such
>   that the signature is valid for both public keys. There are several
>   approaches of avoiding this attack and its possible impact on the
>   security of a cryptographic system. For example, the public key
>   corresponding to the private signing key can be added into the message
>   to be signed."
> 
> Где EC-RDSA это ГОСТ Р 34.10-2001 (а значит и 34.10-2012).
> 
> На сколько эта атака актуальна для ГОСТа или это очередной наговор на
> российскую криптографию в стиле Н. Куртуа?

  Очень похоже. Не сказано, какова вероятность нахождения второго
подходящего ключа и какие условия поиска имеются в виду.

> Добавить signing key к message не сложно, но я исхожу из того, что этого
> делать не надо, так как в ГОСТе такого нет. Но если бы был
> рекомендованный метод формирования подписи с учетом этой атаки, то
> другое дело.
> 
> 
> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
> 



^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [oss-gost-crypto] EC-RDSA and a key substitution attack
  2018-12-04  6:54 [oss-gost-crypto] EC-RDSA and a key substitution attack Vitaly Chikunov
    2018-12-04 11:58 ` Paul Wolneykien
@ 2018-12-05  7:35 ` Дмитрий Державин
  2018-12-05  7:42   ` Vitaly Chikunov
  2018-12-05  9:55   ` Дмитрий Державин
  2 siblings, 2 replies; 7+ messages in thread
From: Дмитрий Державин @ 2018-12-05  7:35 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography

Вт, 04 дек 2018, 09:54, Vitaly Chikunov:

>   NOTE 5 The mechanisms of EC-DSA, EC-GDSA. EC-RDSA and EC-FSDSA may be
>   vulnerable to a key substitution attack[10]. […]
>
> Где EC-RDSA это ГОСТ Р 34.10-2001 (а значит и 34.10-2012).
>
> На сколько эта атака актуальна для ГОСТа или это очередной наговор на
> российскую криптографию в стиле Н. Куртуа?

Вопрос неоднократно обсуждался. Например, по-моему, тут:
https://events.yandex.ru/lib/talks/2970/

> Добавить signing key к message не сложно, но я исхожу из того, что
> этого делать не надо, так как в ГОСТе такого нет. Но если бы был
> рекомендованный метод формирования подписи с учетом этой атаки, то
> другое дело.

В общем, это, видимо, и есть рекомендованный метод. Спросил у Смышляева,
вот что он ответил:

«Да, это известное свойство схем на основе конструкции Эль-Гамаля, в
т.ч. нашего ГОСТ Р 34.10.

В российской литературе иногда встречается как "атака Грунтовича".
http://itsec.ru/articles2/crypto/sertifitsirovannye-skzi-chto-nuzhno-znat--chtoby-pravilno-ih-vybrat

Фактически при использовании на практике ландшафт для проведения атаки
создать не удастся по следующим причинам:

1) Сертифицированные СКЗИ не дают возможности через API фиксировать
значение закрытого ключа, он создается только с помощью встроенных
ДСЧ. Хотя, конечно, под отладчиком нарушитель вполне может это обойти.

2) Электронная подпись имеет смысл в документообороте только как ЭП,
формируемая на ключах, на открытые компоненты которых выданы
сертификаты в УЦ (аккредитованном в случае квалифицированной ЭП или УЦ
с внутренним регламентом в случае, например, внутренней подписи в
банке). А УЦ как правило работают по схеме, предполагающей генерацию
ключа на АРМе на территории самого УЦ.

3) На практике в документообороте ЭП применяется не абы как, а в
форматах CAdES, PAdES и пр. - расширенных форматах, предоставляющих
информацию о сертификатах.

4) Массово распространяемая сейчас облачная подпись (см. КриптоПро DSS
или SafeTech myDSS) - средство, которое гарантировано устраняет эту
проблему, так как ключи генерятся в HSM и не извлекаются из него.

Конечно, при всем при этом сама реализация примитива остается как бы
без мер защиты против такого рода атак. Но и применяют ее не в чистом
виде, а в системах. Собственно, защита против подобных атак на систему
и является одним из вопросов, рассматриваемых в процессе сертификации
СКЗИ (с прикладными компонентами) и контроля встраивания в ФСБ России.

Защищаться от этого на нижнем уровне, вводя некий самописный формат
(при том, что и так есть упомянутые выше CAdES и прочие, защищающие от
такой атаки и подобных ей) полагаю малоосмысленным.»

От себя добавлю, что вариант «2» с генерацией ключа в УЦ выглядит,
по-моему, просто ужасно. В отличие от «3». Кстати, CADES мы умеем
генерировать. Ну почти умеем. ;)

-- 
Дмитрий Державин,
BaseALT/Базальт СПО

^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [oss-gost-crypto] EC-RDSA and a key substitution attack
  2018-12-05  7:35 ` Дмитрий Державин
@ 2018-12-05  7:42   ` Vitaly Chikunov
  2018-12-05  9:55   ` Дмитрий Державин
  1 sibling, 0 replies; 7+ messages in thread
From: Vitaly Chikunov @ 2018-12-05  7:42 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography

Дмитрий,

Большое спасибо за подробную информацию!

Виталий,

On Wed, Dec 05, 2018 at 10:35:05AM +0300, Дмитрий Державин wrote:
> Вт, 04 дек 2018, 09:54, Vitaly Chikunov:
> 
> >   NOTE 5 The mechanisms of EC-DSA, EC-GDSA. EC-RDSA and EC-FSDSA may be
> >   vulnerable to a key substitution attack[10]. […]
> >
> > Где EC-RDSA это ГОСТ Р 34.10-2001 (а значит и 34.10-2012).
> >
> > На сколько эта атака актуальна для ГОСТа или это очередной наговор на
> > российскую криптографию в стиле Н. Куртуа?
> 
> Вопрос неоднократно обсуждался. Например, по-моему, тут:
> https://events.yandex.ru/lib/talks/2970/
> 
> > Добавить signing key к message не сложно, но я исхожу из того, что
> > этого делать не надо, так как в ГОСТе такого нет. Но если бы был
> > рекомендованный метод формирования подписи с учетом этой атаки, то
> > другое дело.
> 
> В общем, это, видимо, и есть рекомендованный метод. Спросил у Смышляева,
> вот что он ответил:
> 
> «Да, это известное свойство схем на основе конструкции Эль-Гамаля, в
> т.ч. нашего ГОСТ Р 34.10.
> 
> В российской литературе иногда встречается как "атака Грунтовича".
> http://itsec.ru/articles2/crypto/sertifitsirovannye-skzi-chto-nuzhno-znat--chtoby-pravilno-ih-vybrat
> 
> Фактически при использовании на практике ландшафт для проведения атаки
> создать не удастся по следующим причинам:
> 
> 1) Сертифицированные СКЗИ не дают возможности через API фиксировать
> значение закрытого ключа, он создается только с помощью встроенных
> ДСЧ. Хотя, конечно, под отладчиком нарушитель вполне может это обойти.
> 
> 2) Электронная подпись имеет смысл в документообороте только как ЭП,
> формируемая на ключах, на открытые компоненты которых выданы
> сертификаты в УЦ (аккредитованном в случае квалифицированной ЭП или УЦ
> с внутренним регламентом в случае, например, внутренней подписи в
> банке). А УЦ как правило работают по схеме, предполагающей генерацию
> ключа на АРМе на территории самого УЦ.
> 
> 3) На практике в документообороте ЭП применяется не абы как, а в
> форматах CAdES, PAdES и пр. - расширенных форматах, предоставляющих
> информацию о сертификатах.
> 
> 4) Массово распространяемая сейчас облачная подпись (см. КриптоПро DSS
> или SafeTech myDSS) - средство, которое гарантировано устраняет эту
> проблему, так как ключи генерятся в HSM и не извлекаются из него.
> 
> Конечно, при всем при этом сама реализация примитива остается как бы
> без мер защиты против такого рода атак. Но и применяют ее не в чистом
> виде, а в системах. Собственно, защита против подобных атак на систему
> и является одним из вопросов, рассматриваемых в процессе сертификации
> СКЗИ (с прикладными компонентами) и контроля встраивания в ФСБ России.
> 
> Защищаться от этого на нижнем уровне, вводя некий самописный формат
> (при том, что и так есть упомянутые выше CAdES и прочие, защищающие от
> такой атаки и подобных ей) полагаю малоосмысленным.»
> 
> От себя добавлю, что вариант «2» с генерацией ключа в УЦ выглядит,
> по-моему, просто ужасно. В отличие от «3». Кстати, CADES мы умеем
> генерировать. Ну почти умеем. ;)
> 
> -- 
> Дмитрий Державин,
> BaseALT/Базальт СПО
> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto


^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [oss-gost-crypto] EC-RDSA and a key substitution attack
  2018-12-05  7:35 ` Дмитрий Державин
  2018-12-05  7:42   ` Vitaly Chikunov
@ 2018-12-05  9:55   ` Дмитрий Державин
  2018-12-05 11:37     ` Vitaly Chikunov
  1 sibling, 1 reply; 7+ messages in thread
From: Дмитрий Державин @ 2018-12-05  9:55 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography

Ср, 05 дек 2018, 10:35, Дмитрий Державин:

>>   NOTE 5 The mechanisms of EC-DSA, EC-GDSA. EC-RDSA and EC-FSDSA may be
>>   vulnerable to a key substitution attack[10]. […]

[…]

> Вопрос неоднократно обсуждался. […]

Вдогонку — статья Николаева, в которой тема раскрыта очень подробно:
http://www.mathnet.ru/links/b6caaa0250ad0cebf13bad371799b3b2/mvk177.pdf

Комментарий автора:

«В списке литературы, в частности, есть ссылки на базовые работы
Менезеса и Роса, которые стоит рассмотреть, если появится
желание/необходимость более полно погрузиться в тему.»

-- 
Дмитрий Державин,
BaseALT/Базальт СПО

^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [oss-gost-crypto] EC-RDSA and a key substitution attack
  2018-12-05  9:55   ` Дмитрий Державин
@ 2018-12-05 11:37     ` Vitaly Chikunov
  0 siblings, 0 replies; 7+ messages in thread
From: Vitaly Chikunov @ 2018-12-05 11:37 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography

Дмитрий,

On Wed, Dec 05, 2018 at 12:55:25PM +0300, Дмитрий Державин wrote:
> Ср, 05 дек 2018, 10:35, Дмитрий Державин:
> 
> >>   NOTE 5 The mechanisms of EC-DSA, EC-GDSA. EC-RDSA and EC-FSDSA may be
> >>   vulnerable to a key substitution attack[10]. […]
> 
> […]
> 
> > Вопрос неоднократно обсуждался. […]
> 
> Вдогонку — статья Николаева, в которой тема раскрыта очень подробно:
> http://www.mathnet.ru/links/b6caaa0250ad0cebf13bad371799b3b2/mvk177.pdf
> 
> Комментарий автора:
> 
> «В списке литературы, в частности, есть ссылки на базовые работы
> Менезеса и Роса, которые стоит рассмотреть, если появится
> желание/необходимость более полно погрузиться в тему.»

Спасибо!

> 
> -- 
> Дмитрий Державин,
> BaseALT/Базальт СПО
> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto


^ permalink raw reply	[flat|nested] 7+ messages in thread

end of thread, other threads:[~2018-12-05 11:37 UTC | newest]

Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2018-12-04  6:54 [oss-gost-crypto] EC-RDSA and a key substitution attack Vitaly Chikunov
2018-12-04  7:24   ` Vitaly Chikunov
2018-12-04 11:58 ` Paul Wolneykien
2018-12-05  7:35 ` Дмитрий Державин
2018-12-05  7:42   ` Vitaly Chikunov
2018-12-05  9:55   ` Дмитрий Державин
2018-12-05 11:37     ` Vitaly Chikunov

Open-source aspects of GOST Cryptography

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/oss-gost-crypto/0 oss-gost-crypto/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 oss-gost-crypto oss-gost-crypto/ http://lore.altlinux.org/oss-gost-crypto \
		oss-gost-crypto@lists.altlinux.org oss-gost-crypto@lists.altlinux.ru oss-gost-crypto@lists.altlinux.com
	public-inbox-index oss-gost-crypto

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.oss-gost-crypto


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git