Пригоди національного ЕЦП

Цікавою особливливістю національних засобів ЕЦП для широкого загалу є застосування радянських шифрів (ГОСТ 28147, ДСТУ 28147-2009). Яскравий тому приклад - сайт CZO.gov.ua, де кожен може накласти ЕЦП. Його веб-бібліотека містить радянський шифр. Якщо він вірно налаштований, то серйозних атак на нього не відомо. Але, у разі навмисної, чи ненавмисної "помилки" в параметрах шифру, можливі певні слабкості. Український стандарт ЕЦП 4145:2002 використовує ГОСТ 28147 1989 року випуску для генерації випадкових чисел, що впливає на стійкість ЕЦП. Сила і слабкість ГОСТ 28147 - в так званих блоках заміни (ще кажуть блоки підстановок, вузли заміни, S блоки). Оригінальна методика їх генерації була в КДБ в Москві і трималась в секреті. Для кожного криптографічного засобу "Центр" видавав свій набір параметрів. Доречі, сучасний російській шифр "Кузнечик" має дивний зв"язок з білоруським ВеІТ державним шифром в цих С-блоках (ось що значить зв"язок на рівні держав та служб КДБ). Наша держава в обличіі ДССЗЗІ після 2014р. не хотіла з цим миритися, і зробила певні кроки. В 2014р. був затверджений стандарт шифру Калина ДСТУ 7624:2014, що схожий на Американський національний стандарт шифрування AES (видно зміну політичного вектору). В 2017р. був прийнятий наказ ДССЗЗІ про використання генератору випадкових чисел на базі шифру Калина в ЕЦП (4145:2002). В своєму наказі по суті мінялись (доповнювались) позиції наказу "Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису". Ці вимоги до ЕЦП були відмінені в 2020р. Наразі формально діють положення наказу "Про затвердження вимог у сфері електронних довірчих послуг та Порядку перевірки дотримання вимог законодавства у сфері електронних довірчих послуг", де спокійно собі поживає 4145:2002 в першозданому вигляді. Саме ДССЗЗІ на своєму рівні вживає наступні заходи:

- не видає дозволів (не затверджує технічні завдання) на засоби із ГОСТ 28147

- розглядає застосування проміжного стандарту ЕЦП (на кривих Едвардса та затвердження пост-квантових алгоритмів (можливо на базі решіток).

Певні питання залишаються відкритими:

- власне які С-блоки використовують засоби з радянським ГОСТ 28147, той же сайт ЦЗО. Без публічних запитів на інформацію цього не дізнатись.

- конкретні дати виводу з обігу засобів з радянськими шифрами

- публікація широкому загалу нестандартних блоків для шифра Калина (ДССЗЗІ ще не видавало їх для публічних засобів ЕЦП, але все може бути)

- створення чіткої нормативної бази щодо використання радянських шифрів та прозорості параметрів (С-блоків) в національних шифрах

Для порівняння в світі:

- всі активно переходять на постквантові алгоритми

- існує яскравий приклад закладки в генераторі випадкових чисел від NSA в 2006 році, коли в стандарт була внесена навмисно слабкість

- діє принцип Керґофа - "Безпека криптосистеми має залежати лише від секретності її ключа, а не від прихованих деталей реалізації алгоритму"

Звісно надійність ЕЦП залежить не лише від генераторів випадкових чисел, але і від Геш функції, від способу генерації ключів, від помилок в реалізації (програмного коду), від надійності збереження ключа та інших факторів. Але чим більше в суспільстві будуть звертати увагу на державні стандарти криптографії, тим якісніше вони будуть. Далі будуть ще публікації.