30 лет стандартизациикриптографических технологий в России

Григорий
Маршалко

Эксперт ТК 26

Дмитрий
Ларин

Историк криптографии

Развитие каждой технологии с точки зрения как ее функционального наполнения, так и практического внедрения в определенный момент приводит к необходимости четкой формализации и нормативной фиксации ее свойств, принципов и методов. В современном мире это делается с помощью различных документов нормативно-технического регулирования – стандартов, которые могут приниматься на отраслевом, государственном, межгосударственном и международном уровне.

Три стандарта первого поколения

Активное внедрение сетей связи и необходимость организации информационного обмена между государственными органами потребовали в конце 1980-х гг. создания соответствующего стандарта криптографической защиты.

Разработанный документ включал в себя описания блочного алгоритма шифрования с длиной входного блока 64 бита и длиной ключа 256 битов¹, а также ряда режимов работы данного алгоритма, предназначенных для обеспечения конфиденциальности и имитозащиты данных².

Начало 1990-х в нашей стране охарактеризовалось появлением рыночной экономики и развитием банковского сектора. Необходимость обмена информацией между финансовыми организациями в скором времени привела к разработке отечественного стандарта электронной подписи³ ГОСТ Р 34.10-94 и функции хеширования ГОСТ Р 34.11-94.

Описанная в стандарте схема подписи была основана на одном из вариантов широко известной обобщенной схемы Эль-Гамаля, реализованной в подгруппе мультипликативной группы конечного простого поля. Характеристика поля имела размер около 1 024 битов, порядок подгруппы – размер 256 бит. Хеш-функция, описанная в стандарте ГОСТ Р 34.11-94, также имела длину хеш-кода, равную 256 битам.

До начала 2000-х гг. эти три стандарта первого поколения служили основой механизмов защиты отечественных сетей связи, а также были приняты Межгосударственным советом по стандартизации, метрологии и сертификации в качестве межгосударственных стандартов СНГ (ГОСТ 34.310-95 и ГОСТ 34.311-95 соответственно). Однако эволюция методов криптографического анализа всегда требует переосмысления используемых методов защиты и их обновления.

Активное развитие методов логарифмирования в полях (прежде всего метода решета числового поля) создавало потенциальные угрозы безопасности схемам подписи, аналогичным ГОСТ Р 34.10-94, что потребовало пересмотра этого стандарта. В 2001 г. произошла его замена.

Криптографические преобразования в новом стандарте ГОСТ Р 34.10– 2001 стали использовать операции в группе точек эллиптической кривой при сохранении общей конструкции Эль-Гамаля. С одной стороны, это позволило обеспечить заданный уровень криптографической стойкости, а с другой – повысить быстродействие по сравнению с преобразованиями в конечном простом поле за счет использования более компактной алгебраической структуры. Соответственно, в 2004 г. был обновлен и межгосударственный стандарт подписи.

Переход на новый уровень и создание ТК 26

Несмотря на то что рассмотренных базовых механизмов достаточно для реализации защищенного взаимодействия в подавляющем большинстве важных ситуаций, практические приложения требуют стандартизации алгоритмов и протоколов более высоких уровней, в первую очередь для обеспечения возможности взаимодействия различных информационных систем.

Работа по описанию криптографических механизмов, использующих российские криптографические стандарты, была начата во второй половине 2000-х гг. рядом российских компаний, таких как "Крипто-Про" и "Криптоком", на площадке Инженерного совета Интернета – IETF. Разработанные рекомендации (RFC 4357, 4490, 4491 и т.д.) активно использовались российскими разработчиками при создании СКЗИ.

Необходимость более тесного взаимодействия разработчиков, интеграторов и регулятора в области криптографической защиты информации в лице ФСБ России при разработке спецификаций механизмов защищенного взаимодействия потребовала создания отдельной площадки. 28 декабря 2007 г. приказом Федерального агентства по техническому регулированию и метрологии № 3825 был создан Технический комитет по стандартизации "Криптографическая защита информации" (ТК 26).

Функция хеширования: обновление национальной и международной стандартизации

Увеличение объемов передаваемой информации наравне с развитием методов криптографического анализа привели в начале второго десятилетия ХХI века к необходимости обновления сначала стандарта функции хеширования, а затем и блочного шифрования.

Действительно, начало 2000-х гг. ознаменовалось бурным развитием методов криптографического анализа функций хеширования: многие существовавшие на тот момент решения, в том числе стандарт США SHA-1, были "сломаны". При этом атаки зачастую, как в случае с MD5 и той же SHA-1, впоследствии привели к возможности построения практически реализуемых атак.

Не избежала успешного криптоанализа и отечественная функция хеширования ГОСТ 34.11-94⁴. И хотя предложенная атака, к счастью, была чисто теоретической, появилась необходимость обновления национального стандарта. Это было вызвано в том числе и потребностью стандартизации более длинной 512-битной электронной подписи.

В результате в 2012 г. были утверждены стандарты ГОСТ Р 34.11–2012 и ГОСТ Р 34.10– 2012, теперь включавшие в себя два варианта криптографических механизмов (256- и 512-битные). Новая отечественная функция хеширования получила название "Стрибог".

Проблемы алгоритма ГОСТ 28147-89 и принятие новых стандартов

Чуть позже, в 2010 г., появились теоретические атаки и на алгоритм ГОСТ 28147-89⁵, которые также показали определенную неидеальность используемой в алгоритме конструкции. При этом даже сами авторы предложенных атак заявляли, что "не призывают пользователей алгоритма немедленно отказываться от его использования"⁶ в связи с невозможностью построения практических атак. Но все же самые существенные проблемы при резко возросших объемах передаваемой информации представляла собой именно короткая 64-битная длина входного блока данного алгоритма. Это в наибольшей степени и послужило причиной принятия в 2015 г. национального стандарта ГОСТ Р 34.12– 2015, включающего в себя блочный шифр из ГОСТ 28147-89 под новым названием "Магма" и вновь разработанный 128-битный шифр "Кузнечик". При этом режимы работы блочных шифров были теперь определены отдельным стандартом ГОСТ Р 34.13–2015. Впоследствии, в 2018 г., все четыре новых стандарта были приняты в качестве межгосударственных стандартов СНГ⁷.

Модернизация криптографических механизмов

Одновременно экспертами технического комитета был проведен большой объем работ по расширению перечня стандартизированных криптографических механизмов. В частности, были разработаны:

• рекомендации Р 1323565.1.005–2017, описывающие границы на допустимый объем материала, обрабатываемый на одном ключе, для стандартизированных режимов работы блочных шифров;
• рекомендации, описывающие различные варианты функций выработки производного ключа Р 1323565.1.022-2018 и Р 1323565.1.017–2018;
• функции выработки псевдослучайных последовательностей Р 1323565.1.006–2017;
• схемы выработки общего ключа с аутентификацией на основе открытого ключа Р 1323565.1.004–2017, а также на основе пароля Р 50.1.115–2016.

Комитетом были одобрены варианты представления эллиптических кривых в форме Эдвардса Р 50.1.114–2016, что позволяет эффективнее реализовывать схемы вычисления электронной подписи, в том числе и на устройствах с ограниченными ресурсами. Впервые в отечественной истории были опубликованы рекомендации Р 1323565.1.012–2017, описывающие принципы разработки и модернизации шифровальных средств защиты информации. Являясь аналогом широко известного стандарта FIPS 140-2, эти рекомендации касаются вопросов безопасности практических реализаций средств защиты информации. В рекомендациях Р 1323565.1.026– 2019 описан режим имитозащищенного шифрования (т.е. режим шифрования, обеспечивающий одновременно конфиденциальность и имитозащиту данных) MGM. Без подобного криптографического механизма невозможно представить функционирование большинства современных криптографических протоколов.

Вклад отечественных экспертов в международную стандартизацию

В 2018 г. были опубликованы рекомендации Р 1323565.1.020– 2018, описывающие отечественный вариант протокола TLS 1.2. При его создании был проанализирован и учтен широкий спектр угроз зарубежных вариантов этого протокола⁸, зачастую приводящих к фатальным уязвимостям информационных систем. В этом же году организация IANA (Internet Assigned Numbers Authority), управляющая идентификаторами и параметрами протоколов сети Интернет, одобрила по результатам экспертизы внесение российского варианта данного протокола в реестр идентификаторов⁹.

В этой связи нельзя не отметить большую работу, проведенную отечественными экспертами в части международной стандартизации. Кроме упомянутого ранее IETF, такая деятельность идет в Международной организации по стандартизации/Международной электротехнической комиссии (ИСО/МЭК). Это, с одной стороны, позволяет создать условия по более простому взаимодействию отечественных информационных систем с иностранными, а с другой (что немаловажно) – обеспечивает постоянный интерес мирового криптографического сообщества к проведению исследований российских криптографических механизмов. Действительно, любая попытка международной стандартизации алгоритмов автоматически вызывала вал научных публикаций с их анализом. К настоящему моменту все основные криптографические механизмы описаны рекомендациями IETF, а два из них – схемы выработки электронной подписи и функции хеширования – являются стандартами ИСО/МЭК (стандарты ISO/IEC 14888-3 и ISO/IEC 10118-3 соответственно).

Доказанная эффективность российских алгоритмов

При стандартизации хеш-функции "Стрибог" Техническим комитетом по стандартизации ТК 26 при участии Академии криптографии Российской Федерации и организационной и финансовой поддержке ОАО "ИнфоТеКС" впервые в истории российской криптографии был проведен международный конкурс научных работ по исследованию этой хеш-функции¹⁰. Как результат, только за первые три года появилось более 10 публикаций¹¹ по ее анализу. Такое же пристальное внимание привлек и новый российский алгоритм блочного шифрования "Кузнечик"¹².

Несмотря на то что зачастую авторы публикаций делали громогласные и широко тиражируемые заявления о нестойкости алгоритмов (как, например, Николя Куртуа в отношении ГОСТ 28147-89 или найденных зависимостей, которые, к слову сказать, существуют в любом криптографическом алгоритме, или как Лео Перрен в отношении "Кузнечика"), никаких реальных уязвимостей найдено не было, что подтвердило правильность выбора принципов синтеза российских алгоритмов.

Вызовы сегодняшнего дня

В последние годы в связи с массовой цифровизацией наступил, по всей видимости, очередной этап стандартизации российских криптографических технологий, а именно их внедрение в конкретные прикладные сервисы. Так, за сравнительно короткий срок Техническим комитетом ТК 26 были разработаны и одобрены рекомендации Р 1323565.1.003– 2017, описывающие механизмы аутентификации абонентских устройств в сотовых сетях 3G, и рекомендации по использованию российских криптографических алгоритмов и протоколов в платежных системах, контрольно-кассовой технике и тахографах.

Отметим, что большая работа проводится в области стандартизации Интернета вещей¹³: на конец 2019 г. ТК 26 одобрил три варианта низкоресурсных криптографических протоколов, предназначенных для использования в данной области.

Задачи и перспективы

Таким образом, за 30 лет своего существования российские криптографические стандарты претерпели множество изменений, подстраиваясь под требования рынка и реагируя на прогресс криптографической науки. Сейчас перед экспертами ТК 26 стоят новые перспективные направления: квантовая и постквантовая криптография, защита систем искусственного интеллекта и распределенных реестров.