© ООО «Издательский дом «СПЕКТР», 2015

ИНФОРМАЦИОННО-УПРАВЛЯЮЩИЕ КОМПЛЕКСЫ

ПОДВИЖНЫХ ОБЪЕКТОВ

Джабаров М. А., Зубов Н. Е., Микрин Е. А., Рябченко В. Н. Синтез корректиру-

ющего закона управления углом входа в атмосферу Земли ……………………………………. 3

Дерябин В. В. Нейронная сеть как алгоритм прогноза скорости дрейфа судна ……………… 11

КОМПЬЮТЕРНОЕ ЗРЕНИЕ. ВИРТУАЛЬНАЯ РЕАЛЬНОСТЬ

Ефремов А. В., Тяглик М. С., Кошеленко А. В., Тищенко А. Н., Тяглик А. С.,

Сапрыкин О. А., Гребенщиков А. В., Соболевский В. Г., Максимов А. С.

Комплекс виртуальной реальности для моделирования и демонстрации процессов

спуска и посадки пилотируемого космического аппарата на лунную поверхность ………….. 18

ИНФОРМАЦИОННАЯ ПОДДЕРЖКА ЖИЗНЕННОГО ЦИКЛА

ТЕХНИЧЕСКИХ СИСТЕМ

Жабоев Т. К., Долганов А. Е., Клементьев А. Б. Управление процессами

жизненного цикла расчетного кода на основе технологий коллективной разработки

программного обеспечения ……………………………………………………………………….. 26

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

В БЕЗОПАСНОСТИ ЖИЗНЕДЕЯТЕЛЬНОСТИ

Костин В. Н., Пономарев А. К. Информационно-вероятностный метод формирования

категорий потенциально опасных объектов ……………………………………………………... 34

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Казарин О. В. Новая схема подписи с верификацией по запросу на основе схемы

электронной подписи из отечественного стандарта ГОСТ Р 34.10–2012 ……………………... 43

ПРОГРАММНОЕ И АППАРАТНОЕ ОБЕСПЕЧЕНИЕ ПРОЦЕССОВ И СИСТЕМ

Гришин М. Л. Технология аффинно-разностного кодирования для сжатия выборок

цифровых сигналов ………………………………………………………………………………... 50

Председатель редакционного совета Г. Г. Себряков, чл.-корр. РАН

Главный редактор И. А. Каляев, чл.-корр. РАН

Заместители председателя редакционного совета: С. Ю. Желтов, чл.-корр. РАН М. Н. Красильщиков, д.т.н.

Редакционный совет: В. И. Аверченков, д.т.н. (зам. гл. редактора) А. И. Башмаков, к.т.н. С. Н. Васильев, акад. РАН Ю. В. Визильтер, д.ф.-м.н. А. И. Кибзун, д.ф.-м.н. П. Е. Клейзер (зам. гл. редактора) Ю. Н. Кофанов, д.т.н. В. В. Лебедев, чл.-корр. РАН Е. А. Микрин, акад. РАН В. В. Попов, д.т.н. А. В. Рыбаков, к.т.н. Р. Л. Смелянский, чл.-корр. РАН

Региональные редсоветы:

Белгород И. С. Константинов, д.т.н.

Волгоград В. А. Камаев, д.т.н.

Иркутск И. В. Бычков, акад. РАН

Курск О. И. Атакищев, д.т.н.

Минск (Республика Беларусь) С. В. Абламейко, акад. НАНБ

Нижний Новгород Р. Я. Вакуленко, д.э.н. С. И. Ротков, д.т.н.

Орел В. Т. Еременко, д.т.н. А. В. Коськин, д.т.н.

Переславль-Залесский С. М. Абрамов, чл.-корр. РАН

Ростов-на-Дону В. И. Минкин, акад. РАН А. В. Солдатов, д.ф.-м.н.

Санкт-Петербург Ю. А. Гатчин, д.т.н.

Ставрополь П. А. Аверичкин, д.т.н.

Стамбул (Турецкая Республика) Р. А. Зиатдинов, к.ф.-м.н.

Таганрог В. В. Курейчик, д.т.н.

Редакция: Е. В. Арефьева Н. В. Пантина

2015

6 (132)

Журнал зарегистрирован в Министерстве Российской Федера-ции по делам печати, телерадио-вещания и средств массовых коммуникаций. Свидетельство о регистрации ПИ № ФС77-46365 от 26.08.2011 г.

Журнал входит в перечень изданий, утвержденных ВАК РФ, для публикации трудов соискателей ученых степеней

Перепечатка, все виды копирования и воспроизведения материалов, публикуемых в журнале «Вестник компьютерных и информационных технологий», допускаются со ссылкой

на источник информации и только с разрешения редакции

Журнал распространяется по подписке, которую можно оформить в любом почтовом отделении, или непосредственно в издательстве.

Индексы по каталогам: «Роспечать» – 84197, «Пресса России» – 39244, «Почта России» – 60263

С О Д Е Р Ж А Н И Е

Тел. редакции: (495) 589 56 41, 514 76 50

Адрес редакции: 119048, г. Москва,ул. Усачева, д. 35, стр. 1

E-mail: vkit@idspektr.ru; vkitpost@rambler.ru Http://www.vkit.ru

43

УДК 004.056.53; 003.26

DOI: 10.14489/vkit.2015.06.pp.043-049

О. В. Казарин, д-р техн. наук (Московский государственный университет им. М. В. Ломоносова, Москва);

e-mail: okazarin@iisi.msu.ru

ННООВВААЯЯ ССХХЕЕММАА ППООДДППИИССИИ СС ВВЕЕРРИИФФИИККААЦЦИИЕЕЙЙ ППОО ЗЗААППРРООССУУ ННАА ООССННООВВЕЕ ССХХЕЕММЫЫ ЭЭЛЛЕЕККТТРРООННННООЙЙ ППООДДППИИССИИ

ИИЗЗ ООТТЕЕЧЧЕЕССТТВВЕЕННННООГГОО ССТТААННДДААРРТТАА ГГООССТТ РР 3344..1100––22001122

Рассмотрена схема подписи с верификацией по запросу, в которой проверка корректности подписи может быть осуществлена

только в присутствии сгенерировавшего ее субъекта. Доказана безопасность предложенной схемы подписи с верификацией по запросу.

Представлены ее варианты – конвертируемая и селективно конвертируемая схемы, в которых открытие некоторого конфиденциального

параметра схемы дает возможность верифицировать все имеющиеся подписи или только одну выбранную.

Ключевые слова: электронная подпись; интерактивная система доказательств с нулевым разглашением; защита про-

граммного обеспечения.

О. V. Kazarin (Lomonоsov Moscow State University)

NNEEWW UUNNDDEENNIIAABBLLEE SSIIGGNNAATTUURREE SSCCHHEEMMEE BBAASSEEDD EELLEECCTTRROONNIICC SSIIGGNNAATTUURREE FFRROOMM DDOOMMEESSTTIICC

SSTTAANNDDAARRDD GGOOSSTT RR 3344..1100––22001122

In this paper we consider the undeniable signature scheme, in which its verification can be carried out only in the presence of the subject

that generated the signature. The basic layout of the digital signature is taken from the national standard GOST R 34.10–2012 and shows: firstly,

that the proposed undeniable scheme is unconditionally secure, and secondly, that there are different variants of it – convertible and selectively

convertible undeniable signature scheme, in which the opening a confidential parameter allows respectively to either verify all the signatures,

or the only one selected signature.

One of the main incentives for the development of this signature scheme lies in the fact that in publication by Varnovsky N. “Provable security

of digital signature in the tamper-proof model”, http://eprint.iacr.org/2008/252.pdf, published in 2008, it has been demonstrated for the first time

for domestic electronic signature schemes, that with certain assumptions the electronic signature scheme described in domestic GOST R 34.10–2001

is secure (it is relatively easy to prove that this proof of security naturally extends to electronic signature scheme described in GOST R 34.10–2012).

Thus, this became another argument in the proof of security of the proposed undeniable signature scheme.

The development of these schemes is conducted as a part of research of methods and tools for software protection against various malicious

acts, in this case, against violations of integrity and authenticity of the programs.

Currently many platforms of Microsoft, Apple, Google etc. use so-called Code Signing Certificates, with which software is signed to confirm

authorship of the programs, and to ensure that the code has not been modified after application of electronic signature of corresponding certificate

authority. Anyone with access to public key of signature certificate can verify it.

In our case, if we use the proposed undeniable signature scheme instead of the usual schemes of electronic signature, it will be possible to veri-

fy the signature only upon the fact of some activity (event instance) and only in the presence of representatives of software developer. And here lies

a good scope of work for organizations to achieve any of their business objectives (and with that to implement appropriate security policies adopted

by the organization). For example, it is possible to validate previously distributed executable program code only after the conclusion of a contract

for their purchase (update) by the potential consumer of the software product.

Keywords: Electronic signature; Zero-knowledge interactive proofs system; Software protection.

Введение

Для реализации схемы подписи с верификацией по запросу (ПВЗ ) в работах [1 – 3] предложен вариант, в основу которого положена схема электронной под-

писи из отечественного стандарта [4]. Основы разра-

ботки данных схем предложены в [5]. В отличие от

обычной электронной подписи, которая может быть

проверена в любой момент времени каждым же-

лающим (так как открытый ключ подписывающего

общедоступен), ПВЗ не может быть проверена без

участия сгенерировавшего ее лица.

В статье предложена версия новых схем ПВЗ,

за основу построения которых взят отечественный

стандарт на электронную подпись [6].

«Вестник компьютерных и информационных технологий» № 6, 2015

44

Cделано это по нескольким причинам:

• при построении схемы ПВЗ на основе

ГОСТ Р 34.10–94, чтобы удовлетворить теоретико-

числовым условиям ее построения, пришлось

«снять» второй модуль в алгоритмах генерации

и верификации подписи (предположительно,

стойкость полученной схемы – более низкая, чем

в исходном варианте) [2, 3];

• в 2008 г. впервые для отечественных схем

электронной подписи в [7] показано, что при

некоторых предположениях схема электронной

подписи из [8] – стойкая. Cравнительно легко

показать, что доказательство стойкости естествен-

ным образом распространяется на схему электрон-

ной подписи из ГОСТ Р 34.10–2012; �

• при обеспечении одной и той же криптогра-

фической стойкости, которая связана с таким

параметром безопасности схемы электронной под-

писи, как длина ее секретного ключа, вычисления в

аддитивной группе точек эллиптической кривой

выполняются примерно на 20 % быстрее, чем в

мультипликативной группе вычетов конечного

поля, используемой в ГОСТ Р 34.10–94 [9];

• ГОСТ Р 34.10–2012 уделяет большое

внимание конкретным параметрам безопасности

и эффективному использованию схемы совместно

с функцией хэширования из [10].

Предложена идея конвертируемой и селективно

конвертируемой схем ПВЗ [11]. Открытие секрет-

ного параметра в конвертируемой схеме дает воз-

можность верифицировать все имеющиеся и сгене-

рированные в дальнейшем подписи, при этом в се-

лективно конвертируемых схемах можно верифи-

цировать лишь какую-либо одну подпись.

В статье предложены конвертируемая и селек-

тивно конвертируемая схемы на основе электрон-

ной подписи из ГОСТ Р 34.10–2012.

Основные понятия и определения

В дальнейшем абонента, подписывающего со-

общения, будем называть S (или подписывающим),

а абонента, верифицирующего подпись, − V (или

проверяющим).

Обозначение a ∈ RM означает, что элемент a

случайно с равномерным распределением вероят-

ностей выбран из всех элементов множества M.

Односторонние функции. Впервые показано

в [12], что вычисление степеней в мультипликатив-

ной абелевой группе вычетов конечного поля −

простая задача с точки зрения состава необходимых

вычислений, в то время как извлечение дискретных

логарифмов в этой группе – предположительно

сложная. Формальное определение односторонней

функции в терминах теории сложности вычислений

можно найти в [13].

Эллиптические кривые и групповой закон на эл-

липтической кривой. Известно, что на эллиптиче-

ской кривой существует групповой закон, опреде-

ляющий аддитивную абелеву группу. Образующий

элемент группы в данном случае есть «точка в бес-

конечности» O= (∞, ∞). Групповая операция – сло-

жение двух точек P1 = (x1, y1) и P2 = (x2, y2), приво-

дящее к получению результирующей точки

P3 = (x3, y3). Точка P суммируется n раз, суммирова-

ние обозначают P + P + ... + P = nP. Криптографи-

ческое значение данного закона состоит в опреде-

лении группы, в которой сравнительно легко вы-

числить P = nG, однако вычислительно трудно за

полиномиальное время извлечь индекс n = indGP по

двум заданным точкам P и G. Более подробно

криптографические свойства эллиптических кри-

вых рассмотрены в [9].

Предположение 1. Пусть G – образующий

циклической подгруппы EC абелевой группы точек

E(a, b) / q, где q – l-битовое число и существует точ-

ка P ∈ EC и n ∈ Z. Тогда функция fG(n) = nG − одно-

сторонняя, так как для каждого n можно легко оп-

ределить P = nG, однако почти для всех пар P и G

вычислительно трудно найти индекс n = indGP, при

l → ∞.

Основные определения из теории интерактив-

ных систем доказательств и интерактивных систем

доказательств с нулевым разглашением можно най-

ти в работах [3, 13, 14].

О стойкости схемы ГОСТ Р 34.10–2012

Строгое доказательство стойкости схемы

ГОСТ Р 34.10–2001 в предположениях:

• надежности защищенного от физического

вмешательства модуля, когда секретный ключ

подписи физически не доступен противнику;

• стойкости криптосистемы с секретным

ключом к угрозе различения криптограмм на

основе атаки с выбором открытого текста;

• вычислительной сложности задачи поиска

коллизии используемой хэш-функции;

• вычислительной сложности решения задачи

дискретных полулогарифмов приведено в [7].

Данное доказательство сравнительно легко пе-

реносится на любую группу с эффективной группо-

вой операцией, где можно сформулировать предпо-

ложение о трудности решения задачи нахождения

дискретных полулогарифмов. При этом очевидно,

что вычисление их не сложнее дискретного лога-

«Вестник компьютерных и информационных технологий» № 6, 2015

45

рифмирования (извлечения индексов для группы

точек эллиптической кривой) [7].

Так как для используемых на практике схем

электронной подписи на сегодняшний день сущест-

вуют доказательства стойкости только для идеали-

зированных моделей (со случайным оракулом или с

генерической группой), необходимо иметь доказа-

тельства для более реалистических моделей, таких

как с защищенным модулем (tamper-proof device), в

которой реализована, например, стойкая криптоси-

стема с секретным ключом.

В работе [7] показано, что при указанных выше

предположениях схема электронной подписи ГОСТ

Р 34.10–2001 − стойкая против экзистенциальной

подделки на основе атаки с выбором сообщений.

Угроза экзистенциональной подделки – осущест-

вление подделки подписи хотя бы для одного со-

общения (при этом противник не контролирует вы-

бор сообщения, которое может быть вообще слу-

чайным или бессмысленным). Атака с выбором

сообщений – получение противником подписи для

некоторого ограниченного числа выбранных им

сообщений (сообщения выбираются независимо от

открытого ключа до того, как он станет известен).

Результат можно распространить на любую абе-

леву группу, где будет верно предположение 1.

Стойкость схемы подписи в таких доказатель-

ствах зависит от растущего параметра безопасно-

сти, в данном случае, от длины секретного ключа

подписи, т.е. рассматривается, как это принято в

математической криптографии, бесконечное семей-

ство схем.

В настоящей работе разработана прикладная

схема ПВЗ с учетом конкретных показателей ее

безопасности и, тем не менее, рассмотренные во-

просы стойкости схемы подписи дают много «пищи

для размышлений» при создании такой криптогра-

фической конструкции.

Если выберем длину модуля эллиптической кри-

вой, равной 256 битам, то новый ГОСТ Р 34.10–2012

идентичен предыдущему ГОСТ Р 34.10–2001, сле-

довательно, указанные выше доказательства стой-

кости схемы электронной подписи аналогичны для

обоих стандартов. Кроме того, во-первых, для кри-

вых широко используют алгоритмы, уже описанные

в [15]. Во-вторых, для них на рынке существуют

инструментальные криптографические библиотеки

и средства разработчика. В-третьих, для целей

создания схемы ПВЗ подобной размерности модуля

(секретного ключа подписи) вполне достаточно.

На практике для хэширования данных жела-

тельно использовать криптографическую хэш-

функцию из ГОСТ Р 34.11–2012. Именно этот стан-

дарт рекомендован к использованию совместно

с ГОСТ Р 34.10–2012.

Если ГОСТ Р 34.11–2012 будет продвигаться

по линии Международной организации по стандар-

тизации, то на сегодня не найдено методов поиска

коллизий в хэш-функции данного стандарта лучше,

чем метод грубой силы (тотальный метод, метод

«brute force»). Таким образом, вероятность нахож-

дения коллизий в хэш-функции ГОСТ Р 34.11–2012

будет ≤ 2–256

, что «играет нам на руку» при разра-

ботке эффективной схемы ПВЗ с использованием

данной хэш-функции для получения хэш-кода под-

писываемых данных.

Схема подписи с верификацией по запросу

С практической точки зрения схемы ПВЗ жела-

тельно строить на основе того же математического

аппарата, что и схемы обычной электронной подпи-

си. Ниже рассмотрена схема подписи, построенная

на основе отечественного стандарта на электрон-

ную подпись ГОСТ Р 34.10–2012, и доказано, что

протоколы верификации и отвергающий − интерак-

тивные системы доказательств с абсолютно нуле-

вым разглашением. Для обеспечения стойкости

схемы ПВЗ требуется, чтобы эти протоколы пред-

ставляли собой такие системы доказательств. Необ-

ходимо, чтобы в процессе выполнения протоколов

с V или с любым злоумышленником, инициировав-

шим протокол от имени V, абонент S не разглашал

никакой информации о своих секретных ключах.

Схема состоит из трех этапов:

– генерации подписи (ГП);

– верификации подписи (ВП) с обязательным

участием подписывающего;

– оспаривания, если подпись и/или целостность

подписанных данных подверглась сомнению.

Данным этапам соответствуют протоколы: ГП,

ВП и отвергающий протокол (ОП).

Пусть каждый подписывающий имеет один от-

крытый ключ Р и два секретных ключа S1 и S2.

Ключ S1 всегда остается в секрете: он необходим

для генерации подписи. Ключ S2 может быть от-

крыт для конвертирования схемы ПВЗ в обычную

схему электронной подписи. Пусть { }∗∈ 1,0M –

сообщение, которое необходимо подписать. С по-

мощью криптографически стойкой хэш-функции

( )⋅H , например, хэш-функции из ГОСТ Р 34.11–

2012, вычисляют хэш-код этого сообщения, в виде

целого числа по модулю q: m ≡ [h(M)] (mod q). Оно

должно быть ненулевым (если получается сравни-

«Вестник компьютерных и информационных технологий» № 6, 2015

46

мым с 0 по модулю q, вероятность чего очень мала,

то e = 1)

w = m–1(mod q).

Затем генерируют секретный ключ x, 0 < x < q

и открытый ключ подписи, как точка Y, такой, что

Y = xG, где G – образующий группы (подгруппы)

точек эллиптической кривой над полем Fp.

Введем обозначения S1 = х и S2 = u, где u ∈ RZq,

а Р = (G, Y, U), где U = uG.

Открытый ключ Р публикуется в открытом

сертифицированном справочнике.

Протокол генерации подписи

Абонент S:

Шаг 1. Генерирует случайное целое число k,

0 < k < q, вычисляет точку эллиптической кривой

R = kG, берет ее абсциссу: ( )qxrR

mod][≡ .

Шаг 2. Вычисляет s ≡ [xr + mku] (mod q).

Проверяет выполнение условия r ≠ 0, s ≠ 0, в

обратном случае выбирает другое k. Электронная

подпись σ сообщения M – пара чисел вида sr=σ ,

интерпретируемых как двоичные строки.

Шаг 3. Отсылает абоненту V параметры (σ, M).

Абонент V:

Шаг 1. Из подписи σ вычленяет двоичные

строки, представляющие r и s, они интерпретиру-

ются как целые числа, и для них проверяется вы-

полнение условий: 0 < r < q, 0 < s < q, если они не

выполнены, то подпись отклоняется. В обратном

случае для сообщения M с помощью криптографи-

чески стойкой хэш-функции ( )⋅H вычисляется хэш-

код сообщения h = H(M), который интерпретирует-

ся в виде целого числа по модулю q: m ≡ [h(M)] (mod

q). Оно должно быть ненулевым (если оно получа-

ется сравнимым с 0 по модулю m, то m принимается

равным 1).

Шаг 2. Последовательно вычисляет ≡1z

( )qsw mod][≡ , ( )qrwz mod][2

−≡ и точку эллипти-

ческой кривой YzGzC21

+= , берет ее абсциссу Cx ,

вычисляет ( )qxR C mod][≡ и проверяет: rR

?

≡ . Если

это так, то подпись принимается, в противном слу-

чае она отклоняется.

Верификация подписи без участия подписы-

вающего требует решения задачи извлечения ин-

дексов, и, таким образом, согласно предположе-

нию 1, практически неосуществима.

Проверка подписи (с участием подписывающе-

го) осуществляется посредством следующего инте-

рактивного протокола.

Протокол верификации подписи

Проверяющий (V) вычисляет L = swG – rwY,

просит подписывающего (S) доказать, что пара (R, s)

его подпись под сообщением m. В этом случае под-

писью является не пара (r, s), а пара (R, s).

Данная задача эквивалентна доказательству то-

го, что indRL ≡ indGU.

Для этого:

Шаг 1. V выбирает a, b ∈ RZq, вычисляет

∑ = aR + bG и посылает ∑ абоненту S.

Шаг 2. S выбирает t ∈ RZq, вычисляет H1 = ∑ +

+ tG, H2 = uH1 и посылает H1 и H2 абоненту V.

Шаг 3. V высылает параметры а и b абоненту S.

Шаг 4. Если ∑ = aR + bG, то S посылает V па-

раметр t; в противном случае – останавливается.

Шаг 5. V проверяет выполнение равенств H1 =

= aR + (b + t)G, H2 = aL + (b + t)U.

Если проверка завершена успешно, то подпись

принимается как корректная.

Отвергающий протокол

В отвергающем протоколе S доказывает, что

indRL≡/ indGU. Следующие пять шагов выполняют

в цикле l раз.

Шаг 1. V выбирает d, е ∈ RZq, d ≠ 1, β ∈ R{0, 1}.

Вычисляет A = eG, B = eU, если β = 0 и A = eR,

B = eL, если β = 1. Посылает S значения A, B, d.

Шаг 2. S проверяет соотношение uA = B. Если

оно выполняется, то α = 0, в противном случае

α = 1. Выбирает h ∈ RZq

, вычисляет C = (αd + h)G

и посылает V значение C.

Шаг 3. V посылает S значение е.

Шаг 4. S проверяет, что выполняются соотно-

шения из следующих двух их пар: A = eG, B = eU

и A = eR, B = eL. Если да, то посылает V значение h.

Иначе останавливается.

Шаг 5. V проверяет, что (βd + h)G = C.

Если во всех l циклах проверка на шаге 5 вы-

полнена успешно, то V принимает доказательства S.

Стойкость данной схемы подписи с верифика-

цией по запросу основана на стойкости протоколов

верификации и отвергающего протокола, доказа-

тельство которой основывается на доказательстве

следующих двух основных теорем.

Теорема 1. Протокол верификации подписи −

интерактивный протокол доказательств с абсолют-

но нулевым разглашением.

Теорема 2. Отвергающий протокол – интерак-

тивный протокол доказательств с абсолютно нуле-

вым разглашением.

Доказательства теорем аналогичны доказатель-

ствам из работы [3] только для аддитивной абеле-

«Вестник компьютерных и информационных технологий» № 6, 2015

47

вой группы точек эллиптической кривой (вместо

мультипликативной абелевой группы вычетов ко-

нечного поля) и в настоящей работе не приводятся. Для всей схемы ПВЗ необходимо сделать не-

сколько технических замечаний. В протоколе ВП

вместо подписи sr=σ , которую используют

в оригинальном протоколе ГП, применяют подпись

sR=σ , так как это требует логика его построения,

что увеличивает длину подписи примерно на треть. В данном случае речь идет о дополнительных 256 битах подписи. Однако этого можно избежать, ус-тановив взаимно однозначное соотношение между точкой эллиптической кривой и одной из ее коор-динат. Для этого выбирается группа точек особого вида [16].

Пусть a = 0, b ≠ 0, q* – простое число,

q* ≡ 2(mod 3). Тогда эллиптическая кривая E:

y2 ≡ [x3

+ b](mod q*) определяет абелеву группу вида

E(0, b) / q*. В этой группе для любого *

qFy∈ точка

( 3 2 by − , y) находится на кривой. Так как

q* ≡ 2(mod 3), то 3 2 by − допускает единственное

решение в поле *

qF и значит, существует только

одна точка для каждого y. Таким образом, по абс-циссе r = xR точки R, можно вычислить ее ординату yR и определить саму точку R = (xR, yR).

Для доказательства стойкости схем ПВЗ необ-ходимо также построить генератор фальшивых подписей – полиномиальную вероятностную ма-шину Тьюринга, которая, не владея секретными ключами, строит фальшивые подписи, не отличи-мые никаким полиномиальным алгоритмом от кор-ректных. Наличие такого генератора совместно со свойством нулевого разглашения протокола вери-фикации гарантирует следующее практически важ-ное достоинство схем ПВЗ: выполнив один раз про-токол верификации для данной пары (сообщение, подпись), V затем не может «продать» это сообще-ние, подпись и записанную им транскрипцию про-токола как доказательства подлинности, поскольку по определению нулевого разглашения V может создать такую же транскрипцию самостоятельно, без участия S.

Если схемы ПВЗ реализованы через интерак-

тивные системы доказательств с нулевым разгла-

шением [17], то они будут стойкими против неадап-

тивных противников и доказательство стойкости

можно провести с использованием модели Канетти –

модели UC (Universally Сomposable) [18].

Это – сравнительно новая парадигма доказа-

тельства стойкости произвольной последовательной

композиции криптографических протоколов. В

данном случае она может использоваться для дока-

зательства конфиденциальности факта проставле-

ния ПВЗ [19], а также позволяет построить генера-

тор фальшивых подписей, удовлетворяющий вы-

шеназванным условиям безопасности.

Конвертируемые и селективно конвертируемые

схемы подписи с верификацией по запросу

Для преобразования схемы ПВЗ в схему элект-

ронной подписи S достаточно сделать общедоступ-

ным значение S2 = u. Тогда, зная S2 и Р, любой або-

нент может проверить корректность подписи (R, s)

следующим образом: uR = swG – rwY. При этом

открытие u дает возможность верифицировать все

имеющиеся и сгенерированные в дальнейшем под-

писи, соответствующие электронным подписям

отечественного стандарта ГОСТ Р 34.10–2012.

Для получения возможности верифицирования

одной подписи, необходимо, чтобы подпись сооб-

щения m представлялась тройкой (ε, r, s). Однако

вместо слагаемого mku в сумме s подставляется

m (uµ + kε),

где

ε = [xE] (mod q), Ε = µG,

т.е.

s ≡ [xr + m(uµ + kε)] (mod q).

В этом случае подпись является корректной то-

гда и только тогда, если

uE = (swG – rwY) – εR,

где w ≡ [m–1](mod q).

Так как никто, кроме S, не знает секретных клю-

чей u и µ, то проверка может быть осуществлена

только с его участием. Если µ сделать общедоступ-

ным, тогда любой проверяющий может верифициро-

вать (ε, R, s) как подпись сообщения m. Сначала не-

обходимо проверить, что Ε = µG, а затем, что

µU = (swG – rwY) – εR (так называемая селективно

конвертируемая схема ПВЗ). В данном случае от-

крытие параметра µ позволит конвертировать лишь

одну ПВЗ в обычную электронную подпись.

Заключение

Разработка схемы ПВЗ, конвертируемой и се-

лективно конвертируемой ее схем, предпринятая

в статье, проводится в рамках исследований мето-

дов и средств защиты программного обеспечения от

разных злоумышленных действий [13], в данном

случае от нарушений целостности программ и ау-

тентичности их разработчиков.

«Вестник компьютерных и информационных технологий» № 6, 2015

48

В настоящее время на многих платформах

Microsoft, Apple, MacOS, Google и других используют

сертификаты разработчика, которыми подписывают

программное обеспечение для подтверждения ав-

торства программ и гарантии того, что код не был

изменен, после проставления электронной подписи

соответствующего центра сертификации. Прове-

рить ее может любой желающий, имеющий доступ

к сертификату открытого ключа. Использование схемы ПВЗ вместо обычных

схем электронной подписи, верифицирование под-писи возможно только после факта совершения ка-ких-либо действий и только в присутствии предста-вителя организации-разработчика данного про-граммного обеспечения, что необходимо для реали-зации соответствующей политики безопасности, принятой в организации. Например, проверить кор-ректность ранее распространенных исполняемых кодов программ можно только после заключения контракта на их приобретение (обновление) потен-циальным потребителем данного программного продукта.

Библиографический список

1. Казарин О. В., Ухлинов Л. М. Новые схемы цифровой подписи на основе отечественного стандарта // Защита информации. 1995. № 5. С. 52 – 56.

2. Криптография в банковском деле / М. И. Ано-хин, Н. П. Варновский, В. М. Сидельников, В. В. Ященко М.: МИФИ, 1997. 274 с.

3. Казарин О. В. Конвертируемые и селективно конвертируемые схемы подписи с верификацией по запросу // Автоматика и телемеханика. 1998. № 6. С. 178 – 188.

4. ГОСТ Р 34.10-1994. Информационная техноло-гия. Криптографическая защита информации. Процеду-ры выработки и проверки электронной цифровой подпи-си на базе ассиметричного криптографического алгорит-ма. Введ. 1995-01-01. М.: Изд-во стандартов, 1994 18 с.

5. Chaum D., van Antverpen H. Undeniable Signa-ture // Lecture Notes in Computer Science. Advances in Cryptology – CRYPTO'89. 1989. V. 435. P. 212 – 216.

6. ГОСТ Р 34.10-2012. Информационная техноло-гия. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой под-писи. Взамен ГОСТ Р 34.10-2001; введ. 2013-01-01. М.: Стандартинформ, 2013. 22 с.

7. Варновский Н. П. Стойкость электронной подписи в модели с защищенным модулем // Дискретная математика. 2008. Т. 20, Вып. 3. С. 147 – 159.

8. ГОСТ Р 34.10-2001. Информационная техноло-гия. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой под-писи. Взамен ГОСТ Р 34.10-1994; введ. 2002-07-01. М.: Изд-во стандартов, 2001. 16 с.

9. Miller S. Uses of Elliptic Curves in Cryptography //

Lecture Notes in Computer Science. Advances in Cryptology –

CRYPTO'85. 1985. V. 218. P. 417 – 426.

10. ГОСТ Р 34.11-2012. Информационная техноло-

гия. Криптографическая защита информации. Функция

хэширования. Взамен ГОСТ Р 34.11-94; введ. 2013-01-01.

М.: Стандартинформ, 2013. 24 с.

11. Boyar J., Chaum D., Damgard L, Pedersen T.

Convertible Undeniable Signature // Lecture Notes in Com-

puter Science. Advances in Cryptology – CRYPTO'90. N.Y.:

Springer-Verlag, 1990. V. 537. P. 189 – 205.

12. Diffi W., Нellman M. E. New Direction in Cryp-

tography // IEEE Transactions on Information Theory. 1976.

V. IT–22, № 11. P. 644 – 654.

13. Казарин О. В. Методология защиты программ-

много обеспечения. М.: МЦНМО, 2009. 464 с.

14. Дорджиев С. О., Казарин О. В. Криптогра-

фические примитивы: вложения, примеры и открытые

проблемы // Безопасность информационных технологий.

2014. № 1. С. 14 – 21. 15. ISO/IEC 15946-5:2009. Information Technology –

Security Techniques – Cryptographic Techniques Based on Elliptic Curves. Part 5: Elliptic Curve Generation.

16. Казарин О. В., Сорокин А. Д. Протоколы интерактивной идентификации, основанные на схеме электронной подписи ГОСТ Р 34.10–2012 // Вопросы защиты информации. 2014. № 2(105). С. 43 – 50.

17. Kurosava K., Furukawa J. Universally Compo-sable Undeniable Signature // Сайт Международной ассоциации криптологических исследований [Электрон-ный ресурс]. 2008. URL: http://eprint.iacr.org/2008/094.pdf (дата обращения: декабрь 2014).

18. Canetti R. Universally Composable Security: a New Paradigm for Cryptographic Protocols // Lecture Notes in Computer Science. 42nd Foundation of Computer Sciences Conference. 2001. P. 136 – 145.

19. Damgard I., Pedersen T. New Convertible Unde-

niable Signature Schemes // Lecture Notes in Computer

Science. Advances in Cryptology – EUROCRYPT'96. 1996.

V. 1070. P. 372 – 386.

References

1. Kazarin O. V., Ukhlinov L. M. New digital signa-

ture scheme based on the domestic standard. Zashchita

informatsii, (5), pp. 52-56.

2. Anokhin M. I., Varnovskii N. P., Sidel'nikov V. M.,

Iashchenko V. V. (1997). Cryptography in banking.

Moscow: MIFI.

3. Kazarin O. V. (1998). Convertible and selectively

convertible signature scheme with verification on re-

quest. Avtomatika i telemekhanika, (6), pp. 178-188.

4. Information technology. Cryptographic protection

of information. Procedures of generation and verification of

digital signature based on asymmetric cryptographic algo-

rithm. (1994). Ru Standard No. GOST R 34.10-1994. Mos-

cow: Izdatel’stvo Standartov.

5. Chaum D., van Antverpen H. (1989). Undeniable

signature. Lecture Notes in Computer Science. Advances in

Cryptology – CRYPTO'89,435, pp. 212-216.

6. Kazarin O. V., Sorokin A. D. (2014). Protocols of

interactive identification based on the electronic signature

«Вестник компьютерных и информационных технологий» № 6, 2015

49

scheme GOST R 34.10–2012. Voprosy zashchity

informatsii, 105(2), pp. 43-50.

7. Varnovskii N. P. (2008). Durability of electronic

signatures in the model with protected module. Diskretnaia

matematika, 20(3), pp. 147-159.

8. Information technology. Cryptographic protection

of information. The processes of formation and verification

of digital signature. (2001). Ru Standard No. GOST R 34.10-

2001. Moscow: Izdatel’stvo Standartov.

9. Miller S. (1985). Uses of Elliptic Curves in cryptog-

raphy. Lecture Notes in Computer Science. Advances in Cryp-

tology – CRYPTO'85. Vol. 218, pp. 417-426.

10. Information technology. Cryptographic protection

of information. Hash function. (2012). Ru Standard No.

GOST R 34.11-2012. Moscow: Standartinform.

11. Information technology. Cryptographic protection

of information. Hash function. (2013). Ru Standard No.

GOST R 34.11-2012. Moscow: Standartinform.

12. Boyar J., Chaum D., Damgard L, Pedersen T.

(1990). Convertible undeniable signature. Lecture Notes in

Computer Science. Advances in Cryptology –

CRYPTO'90, 537, pp. 189-205.

13. Diffi W., Нellman M. E. (1976). New direction in

cryptography. IEEE Transactions on Information Theo-

ry, IT–22(11), pp. 644-654.

14. Kazarin O. V. (2009). Methodology of software pro-

tection. Moscow: MTsNMO.

15. Dordzhiev S. O., Kazarin O. V. (2014). Crypto-

graphic primitives: attachments, examples and open prob-

lems. Bezopasnost' informatsionnykh tekhnologii, (1),

pp. 14-21.

16. Information Technology – Security Techniques –

Cryptographic Techniques Based on Elliptic Curves. Part 5:

Elliptic Curve Generation. International Standard No.

ISO/IEC 15946-5:2009.

17. Kurosava K., Furukawa J. (2008). Universally

Compsable Undeniable Signature. Website of the Interna-

tional Association for cryptological research. Available at:

http://eprint.iacr.org/2008/094.pdf (Accessed: December

2014)

18. Canetti R. Universally (2001). Composable Security:

a New Paradigm for Cryptographic Protocols. Lecture Notes

in Computer Science. 42nd Foundation of Computer Sciences

Conference, pp. 136-145.

19. Damgard I., Pedersen T. (1996). New Convertible

Undeniable Signature Schemes Lecture Notes in Computer

Science. Advances in Cryptology – EUROCRYPT'96, 1070,

pp. 372-386.

Статья поступила в редакцию 08.12.2014 г.

♦♦♦ ♦♦♦

«Вестник компьютерных и информационных технологий» № 6, 2015