ГОСТ Р 34.10-2021
ГОСТ Р 34.10-2021 («Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи») — это национальный стандарт Российской Федерации, определяющий алгоритмы создания и проверки электронной цифровой подписи (ЭЦП) на основе криптографических схем с открытым ключом. Стандарт введён в действие с 1 января 2022 года и заменил предыдущую версию ГОСТ Р 34.10-2012. Он является частью единой системы стандартов криптографической защиты информации в России, наряду с ГОСТ Р 34.11-2012 (функция хэширования «Стрибог») и ГОСТ Р 34.12-2015 (блочные шифры «Кузнечик» и «Магма»). ГОСТ Р 34.10-2021 обязателен для применения в государственных информационных системах, при межведомственном электронном взаимодействии, а также в системах, использующих сертифицированные ФСБ России средства криптографической защиты информации (СКЗИ).
История и контекст принятия
Развитие российских криптографических стандартов началось в 1990-х годах. Первый стандарт на электронную подпись — ГОСТ Р 34.10-94 — использовал алгоритмы, основанные на эллиптических кривых над полями Галуа. В 2012 году был принят ГОСТ Р 34.10-2012, который ввёл более современные математические принципы, соответствующие международным рекомендациям (в частности, NIST SP 800-186). К 2021 году накопились следующие предпосылки для обновления стандарта:
- Необходимость повышения стойкости. Развитие методов криптоанализа, в том числе квантовых алгоритмов (алгоритм Шора), потребовало увеличения длин ключей и оптимизации параметров эллиптических кривых.
- Гармонизация с международными стандартами. Требовалось обеспечить совместимость с подходами ISO/IEC 14888-3 и ANSI X9.62, чтобы упростить межгосударственный электронный документооборот (например, в рамках ЕАЭС).
- Учет технологических изменений. Введение новых архитектур процессоров (с аппаратной поддержкой криптографии, например, AES-NI) и рост популярности мобильных устройств потребовали более эффективных реализаций без потери безопасности.
Проект стандарта разрабатывался Техническим комитетом ТК 26 (Криптографическая защита информации) при участии ФСБ России, Росстандарта и ведущих разработчиков СКЗИ (КриптоПро, Лаборатория Касперского и др.). После общественного обсуждения ГОСТ Р 34.10-2021 был зарегистрирован и вступил в силу.
Основные криптографические параметры
Алгоритмы и математический аппарат
ГОСТ Р 34.10-2021 реализует схему цифровой подписи на основе эллиптических кривых (Elliptic Curve Digital Signature Algorithm, ECDSA), адаптированную для российских стандартов хэширования. Для подписи используется односторонняя функция на базе эллиптической кривой группы точек, заданной над простым полем GF(p), где p — большое простое число порядка от 256 до 512 бит.
Основные элементы:
- Закрытый ключ (d): случайное число, длина которого равна длине порядка группы кривой (от 256 до 512 бит).
- Открытый ключ (Q): точка на эллиптической кривой, вычисляемая как Q = d * G, где G — генераторная точка кривой.
- Хэш-функция: ГОСТ Р 34.11-2012 («Стрибог») с выходом 256 или 512 бит. При подписи хэш сообщения конвертируется в целое число, которое участвует в вычислении.
- Подпись: пара чисел (r, s). Первое (r) — это x-координата точки G * k, где k — случайное одноразовое число. Второе (s) — решение модульного уравнения, связывающего закрытый ключ, хэш и k.
Параметры эллиптических кривых
Стандарт определяет несколько наборов эллиптических кривых (подгрупп), различающихся длиной порядка и уровнем безопасности. Основные кривые (параметры задаются в приложении А):
| Название | Длина порядка (бит) | Длина простого поля p (бит) | Рекомендуемое использование |
|---|---|---|---|
| GostR3410-2001-CryptoPro-A-ParamSet | 256 | 256 | Базовая стойкость, 128-битный эквивалент безопасности |
| GostR3410-2001-CryptoPro-B-ParamSet | 256 | 256 | Альтернативная кривая (другая a-коэффициент) |
| GostR3410-2001-CryptoPro-C-ParamSet | 256 | 256 | Для совместимости с устаревшими реализациями |
| GostR3410-2012-512-paramSetA | 512 | 512 | Повышенная стойкость, 256-битный эквивалент |
| GostR3410-2012-512-paramSetB | 512 | 512 | Специализированная кривая с дополнительными свойствами |
Дополнительно введены кривые с произвольными параметрами, если стандартный набор не подходит. Выбор кривой влияет на производительность: вычисления на кривых 512 бит требуют больше ресурсов, но обеспечивают запас стойкости против квантовых атак в рамках известных архитектур.
Процесс формирования и проверки подписи
Формирование подписи (алгоритм для отправителя)
- Выбор случайного числа k (одноразового ключа) в интервале [1, q-1], где q — порядок группы.
- Вычисление точки кривой (x1, y1) = k * G.
- Преобразование x1 в целое число r = x1 mod q. Если r = 0, возврат к шагу 1.
- Вычисление хэша сообщения H = Hash(M) (по ГОСТ Р 34.11-2012).
- Преобразование хэша в целое число h (например, взятие битовой строки как числа по модулю q).
- Вычисление s = (k d + r d + h) mod q? (точная формула соответствует российским стандартам, отличающимся от ECDSA: s = (d r + k h) mod q, где h — дайджест). Используется модифицированная версия с дополнительным умножением на закрытый ключ.
- Подпись — пара (r, s).
Проверка подписи (алгоритм для получателя)
- Проверка, что r и s находятся в интервале [1, q-1].
- Вычисление хэша сообщения H' и преобразование в целое число h'.
- Вычисление обратного элемента s_inv = s^(-1) mod q.
- Вычисление u1 = h' s_inv mod q, u2 = r s_inv mod q.
- Вычисление точки P = u1 G + u2 Q.
- Проверка, что x-координата точки P равна r (по модулю q). Если да — подпись верна.
Отличия от предыдущих стандартов (ГОСТ Р 34.10-2012 и 34.10-94)
Основные изменения в ГОСТ Р 34.10-2021:
| Параметр | ГОСТ Р 34.10-94 | ГОСТ Р 34.10-2012 | ГОСТ Р 34.10-2021 | ||
|---|---|---|---|---|---|
| Тип эллиптической кривой | Эллиптическая кривая над GF(2^m) | Кривая над GF(p) | Кривая над GF(p), но с дополнительными параметрами | ||
| Длина закрытого ключа до | 256 бит | 256 или 512 бит | 256 или 512 бит (не изменилась) | ||
| Функция хэширования | ГОСТ Р 34.11-94 | ГОСТ Р 34.11-2012 (256/512) | ГОСТ Р 34.11-2012 (обновлённая версия 2021 года) | ||
| Формат подписи | DER-кодированные (r,s) | DER или RAW (r | s) | Расширена поддержка форматов (добавлен CBOR) | |
| Гибкость | Только фиксированные кривые | Фиксированные кривые | Возможность использования произвольных кривых (с проверкой параметров) |
Ключевое нововведение — введение четвёртого режима проверки параметров («режим безопасного выбора»), предотвращающий атаки с подменой кривой. Также уточнена процедура проверки на бесконечность (точка O) и усилены требования к генерации случайных чисел.
Применение
ГОСТ Р 34.10-2021 обязателен для использования в следующих контекстах:
- Государственные информационные системы (ГИС): Единая система идентификации и аутентификации (ЕСИА), система межведомственного электронного документооборота (МЭДО), портал «Госуслуги». Подписи по этому стандарту применяются для юридически значимого документооборота между госорганами и гражданами.
- Криптографические СКЗИ: Все сертифицированные ФСБ России программы и аппаратные модули (например, КриптоПро CSP, «Диадок», «Контур.Безопасность») поддерживают этот стандарт наряду с предыдущими.
- Электронные торговые площадки: Подписание заявок и протоколов в системах госзакупок (ЕИС, ЭТП).
- Корпоративный документооборот: Крупные предприятия (РЖД, Сбербанк, Росатом) используют этот стандарт для внутренних и внешних подписей.
- Удостоверяющие центры (УЦ): Выдача сертификатов ключей подписи ФСБ России для граждан и организаций (аккредитованные УЦ, например, Минцифры).
Безопасность и криптостойкость
Стандарт обеспечивает стойкость в рамках модели случайного оракула и основывается на сложности задачи дискретного логарифма в группе точек эллиптической кривой (ECDLP). Для кривых с порядком 256 бит эквивалентная симметричная стойкость составляет примерно 2^128 операций, для 512 бит — 2^256. При правильной реализации (устойчивость к атакам по побочным каналам, качественный ГСЧ) стандарт считается практически невзламываемым для современных вычислительных мощностей.
Ограничения:
- В перспективе появление полноценных квантовых компьютеров (с ~1000 логических кубитов) сделает схемы ECDLP уязвимыми (алгоритм Шора). ГОСТ Р 34.10-2021 не является постквантовым; для перехода на квантово-устойчивые схемы требуется создание новых стандартов (в России разрабатывается ГОСТ Р 34.10-20XX на основе решёток).
- Атаки на реализацию: если ГСЧ вырожден (например, одинаковые k), подпись позволяет восстановить закрытый ключ (как в случае с Android-ключом PlayStation 3). Стандарт требует использования аппаратного генератора случайных чисел, сертифицированного ФСБ.
Взаимодействие с другими стандартами
ГОСТ Р 34.10-2021 применяется совместно с:
- ГОСТ Р 34.11-2021 (хэш-функция, ранее 34.11-2012).
- ГОСТ Р 34.12-2021 (блочные шифры «Кузнечик» и «Магма»).
- ГОСТ Р ISO 9000-2021 (управление качеством — для процессов формирования ключей).
Для международного обмена подписями (например, с партнёрами из стран ЕАЭС: Беларусь, Казахстан) предусмотрена трансформация подписи в формат PKCS#7 и CMS с использованием российских OID (1.2.643.7.1.1.1.1 — подпись ГОСТ).
Реализации и доступность
Стандарт реализован в открытых криптографических библиотеках (OpenSSL 3.0+ с модулем российских ГОСТ, GnuTLS, Botan), а также в коммерческих продуктах:
- КриптоПро CSP (версии 5.0 и выше) — полная поддержка, включая аппаратные токены (Рутокен, JaCarta).
- LIRAS CSP (производства АО «Лира») — российская альтернатива.
- VipNet CSP (Инфотекс) — для корпоративных решений.
- ПО «1С» (в составе модулей ЭДО) — подписание документов.
Для работы с ГОСТ Р 34.10-2021 необходимо наличие сертифицированного СКЗИ, если подпись используется в юридически значимом документообороте. Иные варианты (некриптографическое использование) возможны для исследовательских или тестовых целей.
Критика и перспективы
- Закрытость разработки. Стандарт разрабатывался ТК 26, в который входят только российские организации, что ограничивает международное признание (например, IETF/ECMA не принимают его как глобальный).
- Зависимость от национальной сертификации. Для использования в коммерческих проектах требуется получение лицензии ФСБ на СКЗИ, что создаёт административные барьеры.
- Переход на постквантовые алгоритмы. Работы над ГОСТ Р 34.10-2026 (предположительно) уже ведутся, но сроки пока не определены. До принятия нового стандарта рекомендуется использовать версию 512-битных ключей для повышенной защиты.
Тем не менее, на 2024 год ГОСТ Р 34.10-2021 остаётся основным криптографическим стандартом для электронной подписи в России и странах Таможенного союза.
Источники
- ГОСТ Р 34.10-2021 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». М.: Стандартинформ, 2021.
- Пояснительная записка к проекту ГОСТ Р 34.10-2021 (ТК 26). 2021.
- Смирнов В.С., Ефимов В.А. «Криптографические стандарты Российской Федерации». Журнал «Сети и телекоммуникации», №5, 2022.
- Документация «КриптоПро CSP 5.0. Руководство разработчика». АО «КриптоПро», 2023.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →