Русская Википедия:NIST SP 800-90A

NIST SP 800-90A — («SP» — сокращение от Шаблон:Lang-en, «специальная публикация») — публикация Национального института стандартов и технологий (Шаблон:Lang-en) с названием «Рекомендация для генерации случайных чисел с использованием детерминированных генераторов случайных битов» (Шаблон:Lang-en). Публикация содержит описания трех предположительно криптографически стойких генераторов псевдослучайных чисел для использования в криптографии: Hash_DRBG (на основе хеш-функций), HMAC_DRBG (на основе хеш-кода аутентификации сообщений) и CTR_DRBG (на основе блочных шифров в режиме счетчика).

С 24 июня 2015 года текущей версией издания является Редакция 1 (Шаблон:Lang-en). Более ранние версии включали четвёртый генератор, Dual_EC_DRBG (основанный на эллиптической криптографии). Позже сообщалось, что Dual_EC_DRBG, вероятно, содержит клептографический бэкдор, внедренный Агентством национальной безопасности, в то время как другие три генератора случайных чисел принимаются как непротиворечивые и безопасные несколькими криптографами^[1]^[2].

NIST SP 800-90А является общественным достоянием и находится в свободном доступе, так как представляет из себя исследование федерального правительства США.

Hash_DRBG

Шаблон:Main HASH-DRBG основан на хеш-функции SH : {0, 1}^∗ → {0, 1}^l из семейства криптографических хеш-функций SHA^[3]. Состояние имеет вид S = (V, C, cnt), где V ∈ {0, 1}^len — счетчик, который хешируется для создания конечных блоков, значение которого обновляется во время каждого вызова генератора; С — константа, зависящая от порождающего элемента (Шаблон:Lang-en), а cnt — счетчик повторного заполнения. cnt указывает количество запросов псевдослучайных битов с момента получения нового значения, принятого от истинно случайного генератора во время создания экземпляра или повторного заполнения.

Алгоритм генерации для HASH-DRBG. Если в вызове generate используется дополнительный вход, он хэшируется и добавляется в счетчик V по модулю 2^len во время процесса инициализации. Выходные блоки r_j затем формируются путем хеширования счетчика V. В конце вызова счетчик хэшируется с отдельным префиксом, а результирующая строка вместе с константой C и cnt добавляется к V, результат такой операции задается как обновленный счетчик.

Константа C обновляется только во время повторного заполнения (когда она снова является производной от новой переменной V) и добавляется в переменную состояния V во время каждого обновления состояния. Константа C позволяет убедиться, что даже если предыдущий счетчик V дублируется в какой-то момент в разных периодах повторного заполнения (почти наверняка различных), счетчик при следующем обновлении значения будет препятствовать повторению предыдущей последовательности состояний. Стандарт определяет V и C как переменные критического состояния безопасности^[3]. Файл:Hash DRBG.jpg

Входные данные: S = (V, C, cnt), β, addin
Выходные данные: S' = (V', C, cnt'), R
  if 0 ← check(S, β, addin) then
    Return (error, ⊥)
  if addin ≠ ε then
    w ← SH(0x02||V||addin)
    V0 = (V + w) mod 2^len
  else V(0) ← V
  temp ← ε
  m ← [β/l]
  for j = 1, . . . , m do
    r(j) ← SH(V(j−1))
    V(j) ← (V(j−1) + 1) mod 2^len
    temp ← temp||r(j)
  R ← left(temp, β)
  H ← SH(0x03||V(0))
  V' ← (V(0) + H + C + cnt) mod 2^len
  cnt' ← cnt + 1
  return (V', C, cnt')

HMAC_DRBG

Шаблон:Main HMAC — это код аутентификации (проверки подлинности) сообщений, использующий хеш-функции, который был введен Михиром Беллэром (Шаблон:Lang-en) и его коллегами^[4] и впоследствии стандартизирован^[5]. HMAC-DRBG использует HMAC: {0, 1}^l×{0, 1}^* → {0, 1}^l для генерации блоков псевдослучайного вывода. Состояние имеет вид S = (K, V, cnt), где стандарт определяет K и V как критические для безопасности переменные секретного состояния. Предполагается, что после инициализации начальным состоянием является S₀ = (K₀, V₀, cnt₀), где cnt₀ = 1 и K₀, V₀ ← {0, 1}^len. Здесь K ∈ {0, 1}^l используется в качестве ключа HMAC, V ∈ {0, 1}^l является счетчиком, и cnt обозначает счетчик повторного заполнения^[3].

Алгоритм генерации использует функцию update, которая используется для добавления любых дополнительных входных данных в переменные состояния K и V, и обновляет оба в одностороннем порядке. Если в вызов включены дополнительные входные данные, выполняется дополнительная пара обновлений. Сам алгоритм генерации для HMAC-DRBG работает следующим образом: процесс инициализации добавляет любые дополнительные входные данные в переменные состояния через функцию update; если дополнительные входные данные не включены в вызов, состояние остается неизменным. За К₀, V₀ обозначим переменные состояния, соответствующие этому процессу, после чего результирующие блоки автоматически генерируются путем итеративного применения алгоритма HMAC(К₀,·) для текущего счетчика V_j-1, выходному блоку r_j и следующему значению счетчика V_j приравнивается результирующая строка. Ключ K₀ остается неизменным на протяжении каждой итерации. По завершении вызова окончательный процесс обновляет K и V с помощью функции update^[3]. Файл:HMAC DRBG.jpg Функция update

Входные данные: addin, K, V
Выходные данные: K, V
  K ← HMAC(K, V||0x00||addin)
  V ← HMAC(K, V)
  if addin ≠ ε then
    K ← HMAC(K, V||0x01||addin)
    V ← HMAC(K, V)
  return (K, V)

функция generate

Входные данные: S = (K, V, cnt), β, addin
Выходные данные: S' = (K', V', cnt'), R
  if 0 ← check(S, β, addin) then
    return (error, ⊥)
  if addin ≠ ε then
    (K0, V0) ← update(addin, K, V)
  else (K0, V(0)) ← (K, V)
  temp ← ε ; m ← [β/l]
  for j = 1, . . . , m do
    V(j) ← HMAC(K0, V(j−1))
    r(j) ← V(j)
    temp ← temp||r(j)
  R ← left(temp, β)
  (K', V') ← update(addin, K0, V(m))
  cnt' ← cnt + 1
  return (R, (K', V', cnt'))

CTR_DRBG

Шаблон:Main CTR_DRBG основан на алгоритме блочного шифра, функция шифрования которого E : {0, 1}^k × {0, 1}^l → {0, 1}^l используется в CTR-режиме (режиме счетчика). Состояние имеет вид S = (K, V, cnt), где K ∈ {0, 1}^k используется в качестве ключа для блочного шифра, V ∈ {0, 1}^l является счетчиком, а cnt обозначает счетчик повторного заполнения. Стандарт утверждает, что K и V являются критическими переменными состояния безопасности. Инициализация возвращает начальное состояние S₀ = (К₀, V₀, cnt₀), где cnt₀ = 1 и K₀ ← {0, 1}^k, V₀ ← {0, 1}^l^[3].

Как и в HMAC_DRBG алгоритм использует функцию update для одностороннего обновления переменных состояния K и V, а также для включения любых дополнительных входов данных (которые передаются функции update с помощью параметра provided_data). Функция запускает блочный шифр в CTR-режиме с использованием текущего ключа и счетчика, объединяя результирующие выходные блоки r^j. Затем крайние слева κ+l бит отсекаются, и значения provided_data встраиваются внутрь с помощью операции XOR. Функция update вызывается каждым из других процессов таким образом, что это гарантирует, что provided_data точно имеет длину в κ+l бит^[3].

Существует два варианта CTR_DRBG в зависимости от того, используется ли производящая функция. Производящая функция CTR_DRBG df объединяет в себе функцию, основанную на CBC-MAC, и возможность извлечения почти равномерного выхода из достаточно высокоэнтропийных входов. В случае, если производящая функция df не используется, строки дополнительного входа addin ограничены до не более (κ + l) — бит в длину. Процесс инициализации подключает каждый дополнительный вход к функции update: если производящая функция используется, то строка дополнительного входа представляет из себя строку (κ + l)-бит с CTR_DRBG df до начала этого процесса. Если дополнительный вход не используется, состояние остается неизменным, и addin имеет значение 0^(κ+l) (для формирования входных данных для функции update во время финальной процедуры при завершении вызова). Выходные блоки r^j затем создаются итеративно с помощью блочного шифра в CTR-режиме. Ключ K остаётся неизменным на протяжении всех этих итераций. При завершении вызова окончательный процесс обновляет оба K и V через вызов функции update^[3]. Файл:CTR DRBG.jpg Функция update

Входные данные: provided data, K, V
Выходные данные: K, V
  temp ← ε
  m ← [(κ + l)/l]
  for j = 1, . . . , m do
  V ← (V + 1) mod 2^l
C(i) ← E(K, V)
temp ← temp||Ci
temp ← left(temp, (κ + l))
K||V ← temp ⊕ provided data
return (K, V)

функция generate

Входные данные: S = (K, V, cnt), β, addin
Выходные данные: S' = (K', V', cnt'), R
  if 0 ← check(S, β, addin) then
    return (error, ⊥)
  if addin ≠ ε then
    if derivation function used then
      addin ← df(addin, (κ + l))
    else if len(addin) < (κ + l) then
      addin ← addin||0^(κ+l−len(addin))
    (K0, V0) ← update(addin, K, V )
  else
    addin ← 0^κ+l; (K0, V(0)) ← (K, V)
  temp ← ε ; m ← [β/l]
  for j = 1, . . . , m do
    V(j) ← (V(j−1) + 1) mod 2^l
    r(j) ← E(K0, V(j))
    temp ← temp||r(j)
  R ← left(temp, β)
  (K', V') ← update(addin, K0, V(m))
  cnt' ← cnt + 1
  return (R, (K', V', cnt'))

Бэкдор в Dual_EC_DRBG

Шаблон:Main Dual_EC_DRBG была изъята из публикации с выпуском первой редакции документа. Причиной этому стало потенциальное существование бэкдора. Бэкдор — намеренно встроенный дефект алгоритма, позволяющий получить несанкционированный доступ к данным или удалённому управлению компьютером^[6].

В рамках программы Bullrun АНБ вставляет бэкдоры в криптографические системы. Dual_EC_DRBG был предположительно одной из целей в 2013 году^[7]. В процессе работ по стандартизации, АНБ добилось того, что в конечном итоге стало единственным редактором стандарта^[8]. При получении доступа к Dual_EC_DRBG, принятого в NIST SP 800-90A, АНБ процитировало использование Dual_EC_DRBG известной охранной фирмой RSA Security в своих продуктах. Однако компании RSA Security было выплачено NSA в размере 10 миллионов долларов США за использование Dual_EC_DRBG по умолчанию в своих продуктах. Reuters описывает эту сделку как «обработанную бизнес-лидерами, а не чистыми технологами». Поскольку контракт на 10 миллионов долларов, чтобы заставить RSA Security использовать Dual_EC_DRBG, был описан Reuters как секретный, люди, участвовавщие в процессе принятия Dual_EC_DRBG в NIST SP 800-90A, предположительно не были осведомлены об этом очевидном конфликте интересов^[9]. Это может помочь объяснить, как генератор случайных чисел, который позже показал, что он уступает альтернативным аналогам (в дополнение к вероятному бэкдору), приняли как стандарт в NIST SP 800-90A.

Хотя потенциал для бэкдора в Dual_EC_DRBG уже был задокументирован Дэном Шумовым и Нильсом Фергюсоном в 2007 году,^[10] он продолжал использоваться в выпускаемых продуктах такими компаниями, как RSA Security до 2013 года^[1]. Учитывая известные недостатки в Dual_EC_DRBG, впоследствии появились обвинения в том, что RSA Security сознательно вставила бэкдор NSA в свои продукты. RSA отрицает сознательную вставку бэкдора в свои продукты^[11].

После того, как бэкдор был обнаружен, NIST возобновил процесс государственной проверки стандарта NIST SP 800-90А^[7]^[12]. Пересмотренная версия NIST SP 800-90A, в которой Dual_EC_DRBG был удален, опубликована в июне 2015 года^[13].

Анализ безопасности

Hash_DRBG и HMAC_DRBG имеют доказательства безопасности для генерации псевдослучайных последовательностей^[14]. Документ, подтверждающий безопасность Hash_DRBG и HMAC_DRBG цитирует попытки доказательства безопасности для Dual_EC_DRBG, высказывая, что не следует использовать CTR_DRBG, потому что это единственный генератор в NIST SP 800-90А, для которого отсутствуют доказательства безопасности^[14].

HMAC_DRBG также имеет машинно-подтверженное доказательство безопасности^[15]. Тезис, содержащий проверенное вычислительными методами доказательство безопасности, также доказывает, что взлом правильно реализованного экземпляра HMAC_DRBG не ставит под угрозу безопасность чисел, созданных до взлома^[15].

Было показано, что CTR_DRBG имеет проблемы с безопасностью при использовании с определёнными параметрами, поскольку криптографы не учитывали размер блока шифра при проектировании этого генератора псевдослучайных чисел^[16]. CTR_DRBG кажется безопасным и неотличимым от истинного случайного источника, когда AES используется в качестве базового блочного шифра и 112 бит берутся из этого генератора псевдослучайных чисел^[16]. Когда AES используется в качестве базового блочного шифра и 128 бит берутся из каждого экземпляра, необходимый уровень безопасности ставится с оговоркой, что на выходе 128-битный шифр в режиме счетчика можно отличить от истинного генератора случайных чисел^[16]. Когда AES используется в качестве базового блочного шифра и более 128 бит берется из этого генератора псевдослучайных чисел, тогда результирующий уровень безопасности ограничивается размером блока, а не размером ключа, и поэтому фактический уровень безопасности намного меньше, чем уровень безопасности, подразумеваемый размером ключа^[16]. Также показано, что CTR_DRBG не может обеспечить ожидаемый уровень безопасности при использовании Triple DES, поскольку его 64-битный размер блока намного меньше, чем 112-битный размер ключа, используемый для Triple DES^[16].

Попытка доказательства безопасности для Dual_EC_DRBG утверждает, что для обеспечения безопасности Dual_EC_DRBG требуется, чтобы три задачи принадлежали классу NP: Задача Диффи-Хеллмана, проблема дискретного логарифмирования и проблема усеченной точки^[17]. Проблема принятия решений Диффи-Хеллмана широко признана как математически трудная^[17]. Проблема дискретного логарифмирования широко не принята к классу NP, некоторые доказательства показывают, что эта проблема трудна, но не доказывают этого^[17]. Доказательство безопасности, следовательно, подлежит сомнению и может быть принято недействительным, если проблема дискретного логарифмирования будет показана разрешимой, а не математически трудной. Проблема усеченной точки требует, чтобы достаточное количество битов было усечено от точки, выбранной Dual_EC_DRBG, чтобы сделать её неотличимой от действительно случайного числа^[17]. однако было показано, что усечение 16 бит, заданное по умолчанию стандартом Dual_EC_DRBG, является недостаточным для того, чтобы сделать вывод неотличимым от истинного генератора случайных чисел^[18] и поэтому делает недействительным доказательство безопасности Dual_EC_DRBG при использовании значения усечения по умолчанию.

Примеры применения

Приведенные алгоритмы являются стандартами и используются крупными компаниями для создания собственных продуктов на их основе. Так компания Microsoft в процессе создания обновления для своего CryptoApi под названием «Cryptography API: Next Generation (CNG)» установила в качестве генератора псевдослучайных чисел по умолчанию на CTR_DRBG^[19].

Компания Intel в инструкции RdRand для генерации случайного числа при помощи встроенного генератора случайных чисел также использует CTR_DRBG^[20].

История версий NIST Special Publication 800-90A

Шаблон:Cite web Отозвана в марте 2007.
Шаблон:Cite web Отозвана в январе 2012.
Шаблон:Cite web Отозвана в июне 2015.
Шаблон:Cite web

Примечания

Шаблон:Примечания

↑ ^1,0 ^1,1 Шаблон:Cite web
↑ Шаблон:Cite web
↑ ^3,0 ^3,1 ^3,2 ^3,3 ^3,4 ^3,5 ^3,6 Шаблон:Cite web
↑ Шаблон:Книга
↑ Шаблон:Книга
↑ J.P. Aumasson Cryptographic bacdooring Шаблон:Wayback
↑ ^7,0 ^7,1 Шаблон:Cite web
↑ Шаблон:Cite web
↑ Шаблон:Cite news
↑ Шаблон:Cite news
↑ Шаблон:Cite web
↑ Шаблон:Cite web
↑ Шаблон:Cite web
↑ ^14,0 ^14,1 Шаблон:Cite web
↑ ^15,0 ^15,1 Шаблон:Cite web
↑ ^16,0 ^16,1 ^16,2 ^16,3 ^16,4 Шаблон:Cite web
↑ ^17,0 ^17,1 ^17,2 ^17,3 Шаблон:Cite web
↑ Шаблон:Cite web
↑ Шаблон:Cite web
↑ Intel Digital Random Number Generator (DRNG) Software Implementation Guide Шаблон:Wayback // Gael Hofemeier, 08/08/2012]

[green-1] 1,0 ^1,1 Шаблон:Cite web

[2] Шаблон:Cite web

[main_mic-3] 3,0 ^3,1 ^3,2 ^3,3 ^3,4 ^3,5 ^3,6 Шаблон:Cite web

[bel-4] Шаблон:Книга

[5] Шаблон:Книга

[Cryptographic_backdooring-6] J.P. Aumasson Cryptographic bacdooring Шаблон:Wayback

[nyt-7] 7,0 ^7,1 Шаблон:Cite web

[8] Шаблон:Cite web

[NSApaid-9] Шаблон:Cite news

[wired-schneier-10] Шаблон:Cite news

[11] Шаблон:Cite web

[12] Шаблон:Cite web

[13] Шаблон:Cite web

[Kan-14] 14,0 ^14,1 Шаблон:Cite web

[HMACProof-15] 15,0 ^15,1 Шаблон:Cite web

[CTRProof-16] 16,0 ^16,1 ^16,2 ^16,3 ^16,4 Шаблон:Cite web

[DualECProof-17] 17,0 ^17,1 ^17,2 ^17,3 Шаблон:Cite web

[18] Шаблон:Cite web

[19] Шаблон:Cite web

[20] Intel Digital Random Number Generator (DRNG) Software Implementation Guide Шаблон:Wayback // Gael Hofemeier, 08/08/2012]

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

Партнерские ресурсы
Криптовалюты	Обмен криптовалют - www.bestchange.ru Криптовалютная биржа CoinEx Криптовалютная биржа Binance HIVE OS - операционная система для майнинга e4pool - Мультивалютный пул для майнинга.
Магазины	AliExpress — глобальная виртуальная (в Интернете) торговая площадка, предоставляющая возможность покупать товары производителей из КНР; computeruniverse.net - Интернет-магазин компьютеров(Промо код 5 Евро на первую покупку:FWWC3ZKQ);
Хостинг	DigitalOcean - американский провайдер облачных инфраструктур, с главным офисом в Нью-Йорке и с центрами обработки данных по всему миру;
Разное	Викиум - Онлайн-тренажер для мозга Like Центр - Центр поддержки и развития предпринимательства. Gamersbay - лучший магазин по бустингу для World of Warcraft. Ноотропы OmniMind N°1 - Усиливает мозговую активность. Повышает мотивацию. Улучшает память. Санкт-Петербургская школа телевидения - это федеральная сеть образовательных центров, которая имеет филиалы в 37 городах России. Lingualeo.com — интерактивный онлайн-сервис для изучения и практики английского языка в увлекательной игровой форме. Junyschool (Джунискул) – международная школа программирования и дизайна для детей и подростков от 5 до 17 лет, где ученики осваивают компьютерную грамотность, развивают алгоритмическое и креативное мышление, изучают основы программирования и компьютерной графики, создают собственные проекты: игры, сайты, программы, приложения, анимации, 3D-модели, монтируют видео. Умназия - Интерактивные онлайн-курсы и тренажеры для развития мышления детей 6-13 лет SkillBox - это один из лидеров российского рынка онлайн-образования. Среди партнеров Skillbox ведущий разработчик сервисного дизайна AIC, медиа-компания Yoola, первое и самое крупное русскоязычное аналитическое агентство Tagline, онлайн-школа дизайна и иллюстрации Bang! Bang! Education, оператор PR-рынка PACO, студия рисования Draw&Go, агентство performance-маркетинга Ingate, scrum-студия Sibirix, имидж-лаборатория Персона. «Нетология» — это университет по подготовке и дополнительному обучению специалистов в области интернет-маркетинга, управления проектами и продуктами, дизайна, Data Science и разработки. В рамках Нетологии студенты получают ценные теоретические знания от лучших экспертов Рунета, выполняют практические задания на отработку полученных навыков, общаются с экспертами и единомышленниками. Познакомиться со всеми продуктами подробнее можно на сайте https://netology.ru, линейка курсов и профессий постоянно обновляется. StudyBay Brazil – это онлайн биржа для португалоговорящих студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт. Автор24 — самая большая в России площадка по написанию учебных работ: контрольные и курсовые работы, дипломы, рефераты, решение задач, отчеты по практике, а так же любой другой вид работы. Сервис сотрудничает с более 70 000 авторов. Более 1 000 000 работ уже выполнено. StudyBay – это онлайн биржа для англоязычных студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт.

Русская Википедия:NIST SP 800-90A

Содержание

Hash_DRBG

HMAC_DRBG

CTR_DRBG

Бэкдор в Dual_EC_DRBG

Анализ безопасности

Примеры применения

История версий NIST Special Publication 800-90A

Примечания

Навигация

Действия на странице

Действия на странице

Персональные инструменты

Навигация

Поиск

Инструменты