LINUX.ORG.RU

Предупрежден - значит вооружен или коллизии в open-source реализации ГОСТ Р 34.11-2012

 , , ,


0

1

В свое время реализация отечественных криптографических алгоритмов в библиотеке libgcrypt очень меня вдохновила. Стало возможным задействовать эти алгоритмы и в Kleopatra и в Kmail и в GnuPg в целом, рассматривать библиотеку libgcrypt как алтернативу openssl с ГОСТ-ым engine. И все было замечательно до прошлой пятницы.

Меня попросили проверить электронную подпись ГОСТ Р 34.10-2012-256 для документа, созданного в Microsoft Office на MS Windows. И я ее решил проверить в Kleopatra (у меня стоит Linux). И что вы думаете, подпись оказалась неверной. Закрались сомнения. Решил проверить на openssl с ГОСТ-овым engine. Подпись успешно была проверена. Срочно переподписал файл в Kleopatra и он не прошел проверку на MS Windows. Попробовали другие файлы подписать и проверить, все было нормально. Встал вопрос в чем беда? Поскольку при подписании участвует хэш документа, было решено проверить вычисление хэш разными программами.

Подробности

Перемещено Shaman007 из opensource


Поскольку при подписании участвует хэш документа, было решено проверить вычисление хэш разными программами. (И всё, дальше ссылка.)

Анонс статьи на хабре — это не новость.

Либо сделай информацию полной, но в кратком сухом изложении, либо попроси модераторов перенести в форум (раздел Security). Я, если что, за второй вариант (но и в форуме тебя могут попросить изложить, чем дело кончилось).

hobbit ★★★★★ ()

ГОСТ с каловратом - это сильно. Многое объясняет.

Shaman007 ★★★★★ ()
Ответ на: комментарий от Shaman007

ГОСТ с каловратом

Коловратом, Шаман. Каловрат это разве что тросик с рукояткой у сантехников.

alexferman ()
Последнее исправление: alexferman (всего исправлений: 1)
Ответ на: комментарий от alexferman

Есть «оговорка по Фрейду», а это «оговорка по Шаману».

Не каждая оговорка нуждается в исправлении.

ZweiStein ()
Ответ на: комментарий от ZweiStein

оговорка по Шаману

Инспирированная кактусами и духами предков?)

alexferman ()
Ответ на: песни от TclTk

изначально был скриншот, там на рабочем столе был ярлык «Ссылка на песни»

Kompilainenn ★★★★★ ()

ЯННП. 3 раза прочитал. Песни, госты, какие-то каловраты. Тут вообще за поттеринга или против?

d_a ★★★★★ ()
Ответ на: комментарий от d_a

Все, к чему прикасается гос-во, превращается в каловрат

TooPar ()

коллизии

Это слово, использованное в литературном смысле, в новости про криптографию... вброс прямо.

Aber ★★ ()

Если вы хотите, чтобы электронная подпись ГОСТ Р 34.10-2012, формируемая средствами libressl и libgcrypt (а может и другими), была совместима с реализацией в openssl и, самое главное, с реализацией в СКЗИ, сертифицированных в системе сертификации ФСБ России, используйте проверенные реализации для вычисления хэшей. Надеюсь, эта публикация позволит избежать многих недоразумений, а авторам реализации stribog в libressl, libgrypt и возможно других поможет устранить эти расхождения.

TclTk, а не проще заслать авторам патч?

pacify ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)