1 РАЗРАБОТАНЫ подкомитетом 2 Технического комитета по стандартизации ТК 26 "Криптографическая защита информации"

2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 26 "Криптографическая защита информации"

3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 23 ноября 2016 г. N 1753-ст

4 ВВЕДЕНЫ ВПЕРВЫЕ

Настоящие рекомендации содержат расширения документов PKCS#8 "PrivateKey Information Syntax Standard" версии 1.2 [1] и PKCS#12 "Personal Information Exchange Syntax" версии 1.0 [2], описывающие формирование транспортных ключевых контейнеров для ключей, созданных в соответствии с ГОСТ Р 34.10.

Необходимость разработки настоящих рекомендаций вызвана необходимостью разработки решения, использующего национальные криптографические стандарты, для обеспечения безопасной передачи ключевой информации.

Примечание - Основная часть настоящих рекомендаций дополнена приложением А.

Настоящие рекомендации предназначены для применения в информационных системах, использующих механизмы электронной подписи по ГОСТ Р 34.10 в общедоступных и корпоративных сетях для защиты информации, не содержащей сведений, составляющих государственную тайну.

В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты:

ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования

ГОСТ Р 34.10-2012 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи

ГОСТ Р 34.11-2012 Информационная технология. Криптографическая защита информации. Функция хэширования

Р 50.1.113-2016 Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хэширования

Р 50.1.111-2016 Информационная технология. Криптографическая защита информации. Парольная защита ключевой информации

Примечание - При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный стандарт (рекомендации), на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт (рекомендации) отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

P - пароль, представляющий собой символьную строку в кодировке Unicode UTF-8;

S - случайное значение синхропосылки;

|| - конкатенация двух байтовых строк; для двух байтовых строк , их конкатенацией называется байтовая строка .

Для обеспечения защиты закрытых ключей от утечек по побочным каналам при считывании и проведении операций с ключами, целесообразно использование маскированных ключей. Для хранения маскированных ключей и наборов масок предлагаются следующие принципы.

Алгоритм наложения маски определен базовой операцией криптографического преобразования алгоритма. Для ключей по ГОСТ Р 34.10 это умножение в поле F_q, для ключей по ГОСТ 28147-89 - сложение по модулю 2³².

Задана последовательность из k масок M₁, M₂,..., M_k. Через M_i(·) обозначают операцию наложения i-й маски, а через M^-1_i(·) - операцию снятия i-й маски, 1 <= i <= k. Имеется ключ K. Маскированный ключ K_M получается в результате k-кратного применения операции наложения маски, а именно K_M = M_k(...(M₂(M₁(K))...). Демаскирование выполняется при помощи k-кратного применения операции снятия маски, но в обратном порядке, а именно K = M^-1₁(...(M^-1_k-1(M^-1_k(K_M))...). Маскированный ключ представляется как последовательность I = K_M||M₁||M₂||...||M_k, где "||" - операция конкатенации. Предположим, ключ K имеет n двоичных разрядов, тогда для представления в памяти последовательности I понадобится (k+1)n двоичных разрядов или k+1 n-разрядных блоков.

Поскольку размерность типа INTEGER может изменяться при наличии нулевых значений в старших разрядах числа, использование такого типа для представления закрытого ключа создает неудобства при вычислении размерности.

Таким образом, пара ключей для алгоритма по ГОСТ Р 34.10 представлена в виде:

Для алгоритма ГОСТ 28147-89 ключ представляется в виде:

Gost28147-89-Key-KeyValueMask ::= OCTET STRING { K_M||M₁||M₂|| .... ||M_k}

Возможно использование немаскированного закрытого ключа (т.е. k = 0, K_M = K).

Для обеспечения унификации между представлениями ключей в PFX и сертификатах формата X.509, как секретный, так и открытый ключи представляются в формате little-endian (старший байт справа).

Операцией наложения маски является умножение ключа на число, обратное маске:

где значение Q взято из параметров ключа. Соответственно операцией снятия маски является умножение маскированного ключа на маску:

В соответствии с [1] и [2] портфель ключевой информации KeyBag представлен в следующем виде:

Версия структуры на данный момент равна нулю.

PrivateKeyAlgorithmIdentifier ::= AlgorithmIdentifier

Для закрытых ключей по ГОСТ Р 34.10 используют идентификаторы соответствующих открытых ключей, представленные в рекомендациях [3].

PrivateKey ::= OCTET STRING

Содержимым данного типа является значение закрытого ключа, закодированное в соответствии с типом GostR3410-2012-PrivateKey:

GostR3410-2012-PrivateKey ::= CHOICE {

GostR3410-2012-KeyValueMask,

GostR3410-2012-KeyValueInfo }

Attributes ::= SET OF Attribute

Атрибуты могут содержать дополнительную необходимую информацию о ключе.

Ключ в зашифрованном виде представлен в виде структуры:

При шифровании должен быть использован алгоритм PBES2 по Р 50.1.111-2016. Алгоритм и параметры шифрования EncryptionAlgorithmIdentifier указаны в соответствии с Р 50.1.111-2016.

EncryptedData ::= OCTET STRING

Содержимым данного типа является результат зашифрования кодированной структуры PrivateKeyInfo.

В соответствии с 4.1 [2] каждый раздел транспортных ключевых контейнеров (далее - ТКК), содержащий конфиденциальные сведения, должен быть зашифрован в рамках ContentInfo типа AuthenticatedSafe. Портфель сертификата (CertBag - см. 4.2.3 [2]), соответствующий присутствующему в ТКК портфелю закрытого ключа (KeyBag), несет в себе информацию, облегчающую потенциальному злоумышленнику задачу первичного анализа перехваченного зашифрованного сообщения, в частности по данным, содержащимся в сертификате, можно получить информацию о владельце секретного ключа. В этой связи содержащийся в ТКК CertBag также может быть зашифрован.

Формирование парольного ключа для шифрования различных ContentInfo и портфелей закрытого ключа KeyBag должно быть осуществлено с использованием различных уникальных синхропосылок, что исключает повторное использование одного и того же секретного ключа для шифрования различных разделов ТКК.

Для обеспечения целостности и конфиденциальности ключей используют транспортный ключ, выработанный одним из способов, перечисленных в следующих разделах.

У отправителя и принимающего имеется предварительно согласованный пароль P. Отправитель с помощью алгоритма диверсификации вырабатывает парольный ключ по алгоритму PBKDF2 в соответствии с Р 50.1.111-2016 и использует его для шифрования передаваемого закрытого ключа. Принимающий независимо вырабатывает парольный ключ и использует его для извлечения закрытого ключа из ТКК.

Целостность ТКК обеспечивается с использованием алгоритма HMAC_GOSTR3411_2012_512 в соответствии с Р 50.1.113-2016.

Ввиду простоты реализации этот способ является наиболее приемлемым для большинства практических приложений.

Для шифрования различных разделов ТКК используется один и тот же пароль P, но различные случайные значения параметра S длиной от 8 до 32 байт.

Пароль должен быть представлен в формате UTF-8 без завершающего нуля и подан на вход алгоритма PBKDF2 в качестве параметра P.

При проверке целостности ТКК с помощью алгоритма HMAC_GOSTR3411_2012_512 ключ для данного алгоритма также вырабатывается по алгоритму PBKDF2 с тем же самым значением параметра P и случайным вектором S длиной от 8 до 32 байт. Ключом алгоритма HMAC_GOSTR3411_2012_512 должны быть последние 32 байта 96-байтовой последовательности, вырабатываемой с помощью PBKDF2.

Использован идентификатор алгоритма:

id-tc26-hmac-gost-3411-12-512::= { iso(1) member-body(2) ru(643) rosstandart (7) tk26(1) algorithms(1) mac(4) hash512(1) }

Функция HMAC_GOSTR3411_2012_512 вычисляется от содержимого поля content структуры authSafe (см. 7).

В случае наличия у отправителя предварительно распределенной ключевой пары, сформированной по алгоритму ГОСТ Р 34.10 и соответствующего сертификата электронной подписи, для согласования ключей защиты ТКК должен быть использован алгоритм VKO_GOSTR3410_2012_256 или VKO_GOSTR3410_2012_512 в зависимости от параметров ключей (см. раздел 6 [4]).

Целостность контейнера в этом случае обеспечивается электронной подписью на ключе отправителя.

В соответствии с PKCS#12 контейнер имеет вид:

где authSafe в зависимости от метода контроля целостности представляется либо как тип data при использовании парольной защиты, либо как signedData - в случае использования электронной подписи отправителя для защиты целостности контейнера, в соответствии с разделом 5 [5].

В случае использования парольной защиты для контроля целостности поле macData должно содержать информацию об алгоритме и параметрах выработки парольного ключа в соответствии с 7.1 Р 50.1.111-2016. Контроль целостности обеспечивается с использованием алгоритма HMAC_GOSTR3411_2012_512.

В случае использования электронной подписи поле macData отсутствует. Информация о сертификате отправителя и электронная подпись размещены в структуре signedData в соответствии с разделом 5 [4].

Данные в authSafe представляют собой результат кодирования списка объектов:

При использовании алгоритма Диффи-Хелмана для выработки ключа обмена данные представляются в виде EnvelopedData в соответствии с разделом 6 [5]. Шифрование содержимого и согласование ключей должны осуществлять в соответствии с рекомендациями разделов 6 и 7 [4].

AuthenticatedSafe может содержать объекты различного типа: ключи, сертификаты, списки отозванных сертификатов. В соответствии с [2]:

В случае представления данных в виде EnvelopedData секретный ключ может быть представлен в виде:

bagValue в этом случае содержит ключ и информацию о нем в виде PrivateKeyInfo.

При использовании парольной защиты для хранения ключа должен использоваться тип:

bagValue в этом случае содержит ключ и информацию о нем в зашифрованном виде EncryptedPrivateKeyInfo.

При шифровании сертификата с использованием парольной защиты зашифрованная структура CertBag помещается в структуру EncryptedData в соответствии с разделом 8 [5]:

В данном приложении приведен пример контейнера, зашифрованного на пароле "Пароль для PFX" в соответствии с изложенной в данном документе схемой.

В данном разделе представлены используемые в контрольных примерах сертификаты и соответствующие им закрытые ключи.

Значение корневого сертификата закодированное в соответствии с алгоритмом BASE64:

Представление ASN.1 корневого сертификата:

Тестовый сертификат присутствует во всех приведенных контрольных примерах в качестве сертификата, подлежащего упаковке в контейнер. Значение тестового сертификата, закодированное в соответствии с алгоритмом BASE64:

Представление ASN.1 тестового сертификата:

В данном разделе приведен пример контейнера, зашифрованного на пароле "Пароль для PFX" в соответствии с изложенной в данном документе схемой применения парольной защиты.

Значение контейнера, закодированное с соответствии с алгоритмом BASE64:

Представление ASN.1:

Представление пароля в бинарном виде:

d0 9f d0 b0 d1 80 d0 be d0 bb d1 8c 20 d0 b4 d0 bb d1 8f 20 50 46 58

Значение ключа шифрования закрытого ключа:

Синхропосылка:

dc 8a 7f 56 9d 08 b3 22

Значение расшифрованного закрытого ключа, закодированное в соответствии с алгоритмом BASE64:

MGYCAQAwHwYIKoUDBwEBAQEwEwYHKoUDAgIjAQYIKoUDBwEBAgIEQEYbRu86z+1JFKDcPDN9UbTG

G2ki9enTqos4KpUU0j9IDpl1UXiaA1YDIwUjlAp+81GkLmyt8Fw6Gt/X5JZySAY=

Представление ASN.1 закрытого ключа:

Значение ключа шифрования набора сертификатов:

Синхропосылка:

c5 ea 68 c3 0b d2 d7 53

Значение расшифрованного текста, закодированное в соответствии с алгоритмом BASE64:

Представление ASN.1 расшифрованного текста: