Действует

Неофициальный перевод. (с) СоюзПравоИнформ

Зарегистрирован

Министерством юстиции Украины

21 декабря 2020 года

№1272/35555

ПРИКАЗ АДМИНИСТРАЦИИ ГОСУДАРСТВЕННОЙ СЛУЖБЫ СПЕЦИАЛЬНОЙ СВЯЗИ И ЗАЩИТЫ ИНФОРМАЦИИ УКРАИНЫ

от 27 октября 2020 года №687

Об утверждении перечня стандартов и технических спецификаций, разрешенных для реализации в средствах криптографической защиты информации

В соответствии с пунктом 24 части первой статьи 14 Закона Украины "О Государственной службе специальной связи и защиты информации Украины", частями первой и второй статьи 23 Закона Украины "О стандартизации", подпунктом 7 пункта 4, пунктом 10 Положения об Администрации Государственной службы специальной связи и защиты информации Украины, утвержденного постановлением Кабинета Министров Украины от 3 сентября 2014 года №411, и с целью приведения нормативно-правовых актов криптографической защиты информации в соответствие с законодательством ПРИКАЗЫВАЮ:

1. Утвердить такие, которые прилагаются:

1) перечень стандартов и технических спецификаций, разрешенных для реализации в средствах криптографической защиты информации (далее - Перечень);

2) Технические спецификации в RFC 5652.

2. Установить, что:

1) в средствах криптографической защиты государственных информационных ресурсов или информации, требование относительно защиты которой установлено законом, реализуются криптоалгоритмы и криптопротоколы, которые являются национальными стандартами в объеме функций безопасности в соответствии с Перечнем, если иное не установлено нормативно-правовыми актами;

2) стандарты, определенные пунктом 3 раздела I и пунктом 5 раздела V Перечня, применяются только для обеспечения совместимости со средствами криптографической защиты информации, введенными в эксплуатацию до вступления в силу настоящего приказа.

3. Признать утратившим силу приказ Администрации Государственной службы специальной связи и защиты информации Украины от 18 декабря 2012 года №739 "Об утверждении Требований к форматам криптографических сообщений", зарегистрированный в Министерстве юстиции Украины 14 января 2013 года за №108/22640 (с изменениями).

4. Директору Департамента защиты информации Администрации Государственной службы специальной связи и защиты информации Украины обеспечить представление этого приказа в установленном порядке на государственную регистрацию в Министерство юстиции Украины.

5. Этот приказ вступает в силу со дня его официального опубликования.

6. Контроль за исполнением настоящего приказа возложить на заместителя Председатели Государственной службы специального связи и защиты информации Украины в соответствии с распределением обязанностей.

Председатель Службы подполковник

Ю.Щиголь

 

Согласовано:

Первым заместителем Министра цифровой трансформации Украины

 

А.Выскуб

Председателем Национального банка Украины

К.Шевченко

Исполняющим обязанности Министра образования и науки Украины

С.Шкарлет

Исполняющим обязанности Председателя Государственной регуляторной службы Украины

А.Мирошниченко

Председателем Государственного комитета телевидения и радиовещания Украины

А.Наливайко

 

Утвержден Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 27 октября 2020 года №687

Перечень стандартов и технических спецификаций, разрешенных для реализации в средствах криптографической защиты информации

I. Стандарты, определяющие требования к блочным шифрам (block ciphers)

1. ГСТУ 7624:2014 "Информационные технологии. Криптографическая защита информации. Алгоритм симметричного блочного преобразования".

2. ГСТУ ISO/IEC 18033-3:2015 (ISO/IEC 18033-3:2010, IDT) "Информационные технологии. Методы защиты. Алгоритмы шифрования. Часть 3. Блочные шифры".

3. ГСТУ ГОСТ 28147:2009 "Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования".

4. ГСТУ ISO/IEC 10116:2019 (ISO/IEC 10116:2017, IDT) "Информационные технологии. Методы защиты. Режимы работы n-битовых блочных шифров".

II. Стандарты, определяющие требования к потоковым шифрам (stream ciphers)

1. ГОСТ 8845:2019 "Информационные технологии. Криптографическая защита информации. Алгоритм симметричного потокового преобразования".

2. ГСТУ ISO/IEC 18033-4:2015 (ISO/IEC 18033-4:2011, IDT) "Информационные технологии. Методы защиты. Алгоритмы шифрования. Часть 4. Поточные шифры".

III. Стандарты, определяющие требования к асимметричным криптографическим алгоритмам и методам (asymmetric algorithms and techniques)

1. ГСТУ 4145-2002 "Информационные технологии. Криптографическая защита информации. Цифровая подпись, основанная на эллиптических кривых. Формирование и проверка".

2. ГСТУ ISO/IEC 9796-2:2015 (ISO/IEC 9796-2:2010, IDT) "Информационные технологии. Методы защиты. Схемы цифровой подписи, обеспечивающие восстановление сообщения. Часть 2. Механизмы, основанные на факторизации целых чисел".

3. ГСТУ ISO/IEC 9796-3:2015 (ISO/IEC9796-3:2006, IDT) "Информационные технологии. Методы защиты. Схемы цифровой подписи, обеспечивающие восстановление сообщения. Часть 3. Механизмы, основанные на дискретном логарифме".

4. ГСТУ ISO/IEC 14888-2:2015 (ISO/IEC 14888-2:2008, IDT) "Информационные технологии. Методы защиты. Цифровые подписи с приложением. Часть 2. Механизмы, основанные на факторизации целых чисел".

5. ГСТУ ISO/IEC 14888-3:2019 (ISO/IEC 14888-3:2018, IDT) "Информационные технологии. Методы защиты. Цифровые подписи с приложением. Часть 3. Механизмы, основанные на дискретном логарифмировании".

6. ГСТУ ISO/IEC 15946-5:2019 (ISO/IEC 15946-5:2017) "Информационные технологии. Методы защиты. Криптографические методы на основе эллиптических кривых. Часть 5. Генерация эллиптических кривых".

7. ГСТУ ISO/IEC 18033-2:2015 (ISO/IEC 18033-2:2006, IDT) "Информационные технологии. Методы защиты. Алгоритмы шифрования. Часть 2. Асимметричные шифры".

IV. Стандарт, определяющий требования к кодам аутентификации сообщений (message authentication codes)

ГСТУ ISO/IEC 9797-2:2015 (ISO/IEC 9797-2:2011, IDT) "Информационные технологии. Методы защиты. Коды аутентификации сообщений (Mac). Часть 2. Механизмы, использующие специализированную хэш-функцию".

V. Стандарты, определяющие требования к хэш-функциям (hash functions)

1. ГСТУ 7564:2014 "Информационные технологии. Криптографическая защита информации. Функция хэширования".

2. ГСТУ ISO/IEC 10118-2:2015 (ISO/IEC 10118-2:2010; Cor 1:2011, IDT) "Информационные технологии. Методы защиты. Хэш-функции. Часть 2. Хэш-функции, использующие n-битный блочный шифр".

3. ГСТУ ISO/IEC 10118-3:2005 (ISO/IEC 10118-3:2004; Cor 1:2011, IDT) "Информационные технологии. Методы защиты. Хэш-функции. Часть 3. Специализированные хэш-функции".

4. ГСТУ ISO/IEC 10118-4:2015 (ISO/IEC 10118-4:1998; Cor 1:2014; Amd 1:2014, IDT) "Информационные технологии. Методы защиты. Хэш-функции. Часть 4. Хэш-функции, использующие модульную арифметику".

5. ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хэширования".

VI. Стандарты, определяющие требования к аутентификации сущности (entity authentication)

1. ГСТУ ISO/IEC 9798-2:2015 (ISO/IEC 9798-2:2008; Cor 3:2013, IDT) "Информационные технологии. Методы защиты. Аутентификация объектов. Часть 2. Механизмы, использующие симметричные алгоритмы шифрования".

2. ГСТУ ISO/IEC 9798-3:2002 (ISO/IEC 9798-3:1998; Cor 1:2009; Cor 2:2012) "Информационные технологии. Методы защиты. Аутентификация субъектов. Часть 3. Механизмы с применением методов цифровой подписи".

3. ГСТУ ISO/IEC 9798-4:2015 (ISO/IEC 9798-4:1999; Cor 1:2009; Cor 2:2012, IDT) "Информационные технологии. Методы защиты. Аутентификация объектов. Часть 4. Методы, которые используют криптографическую проверочную функцию".

4. ГСТУ ISO/IEC 9798-5:2015 (ISO/IEC 9798-5:2009, IDT) "Информационные технологии. Методы защиты. Аутентификация объектов. Часть 5. Механизмы, использующие методы нулевой осведомленности".

5. ГСТУ ISO/IEC 9798-6:2015 (ISO/IEC 9798-6:2010, IDT) "Информационные технологии. Методы защиты. Аутентификация объектов. Часть 6. Механизмы, которые используют ручную передачу данных".

VII. Стандарты, определяющие требования к управлению ключами (key management)

1. ГСТУ ISO/IEC 11770-2:2015 (ISO/IEC 11770-2:2008; Cor 1:2009, IDT) "Информационные технологии. Методы защиты. Управление ключами. Часть 2. Механизмы с использованием симметричных методов".

2. ГСТУ ISO/IEC 11770-3:2015 (ISO/IEC 11770-3:2008; Cor 1:2009, IDT) "Информационные технологии. Методы защиты. Управление ключами. Часть 3. Механизмы с использованием асимметричных методов".

3. ГСТУ ISO/IEC 11770-4:2015 (ISO/IEC 11770-4:2008; Cor 1:2009, IDT) "Информационные технологии. Методы защиты. Управление ключами. Часть 4. Механизмы, основанные на неустойчивых секретах".

4. ГСТУ ISO/IEC 11770-5:2015 (ISO/IEC 11770-5:2008, IDT) "Информационные технологии. Методы защиты. Управление ключами. Часть 5. Управление групповыми ключами".

VIII. Стандарты, определяющие требования к случайной генерации битов (random bit generation)

ГСТУ ISO/IEC 18031:2015 (ISO/IEC 18031:2011; Cor 1:2014, IDT) "Информационные технологии. Методы защиты. Генерирование случайных битов".

IX. Стандарты, определяющие требования к методам установления чувствительных параметров безопасности (sensitive security parameter establishment methods)

1. ГСТУ ISO/IEC 11770-2:2015 (ISO/IEC 11770-2:2008; Cor 1:2009, IDT) "Информационные технологии. Методы защиты. Управление ключами. Часть 2. Механизмы с использованием симметричных методов".

2. ГСТУ ISO/IEC 11770-3:2015 (ISO/IEC 11770-3:2008; Cor 1:2009, IDT) "Информационные технологии. Методы защиты. Управление ключами. Часть 3. Механизмы с использованием асимметричных методов".

X. Стандарты и технические спецификации, определяющие требования к форматам криптографических сообщений

RFC 5652 "Cryptographic Message Syntax (CMS)" с использованием криптографических алгоритмов согласно RFC 3370 "Cryptographic Message Syntax (CMS) Algorithms" или Техническим спецификациям к RFC 5652.

Заместитель директора Департамента защиты информации Администрации Государственной службы специальной связи и защиты информации Украины подполковник

А.Головенко

Утверждены Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 27 октября 2020 года №687

Технические спецификации к RFC 5652

1. Эти технические спецификации дополняют рекомендации Комитета по инженерным вопросам Интернета RFC 5652 "Cryptographic Message Syntax (CMS)" (далее RFC 5652) в части формирования сообщения типа "ContentInfo", содержащего данные типа "enveloped-data" ("данные защищены"), с использованием законодательства в сфере электронных доверительных услуг и отечественных криптографических алгоритмов, определенных национальными стандартами:

ГСТУ 4145-2002 "Информационные технологии. Криптографическая защита информации. Цифровая подпись, основанная на эллиптических кривых. Формирование и проверка" (далее - ГСТУ 4145-2002);

ГСТУ 7564:2014 "Информационные технологии. Криптографическая защита информации. Функция хэширования" (далее - ГСТУ 7564:2014);

ГСТУ 7624:2014 "Информационные технологии. Криптографическая защита информации. Алгоритм симметричного блочного преобразования" (далее - ГСТУ 7624:2014);

ГСТУ ГОСТ 28147:2009 "Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования" (далее - ГСТУ ГОСТ 28147:2009);

ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хэширования" (далее - ГОСТ 34.311-95).

2. Дополнение к пункту 6.1 RFC 5652 "EnvelopedData Type"

Номер версии синтаксиса, который определяется полем "Version" структуры "EnvelopedData", должен иметь значение "2".

3. Дополнения к подпунктам 6.2.2 "KeyAgreeRecipientInfo" и 10.1.3 "KeyEncryptionAlgorithmIdentifier":

1) во время применения динамического механизма согласования ключей в группе точек эллиптической кривой поле "algorithm" поля "originatorKey" для алгоритма цифровой подписи ГСТУ 4145-2002 может иметь следующие значения:

для полиномиального базиса:

Dstu4145WithDstu7564(256)pb OBJECT IDENTIFIER ::= {iso(1) member-body(2) Ukraine(804) root (2) security(1) cryptography(1) ua-pki (1) alg(1) asym (3) Dstu4145WithDstu7564(6) 256(1) pb(1)};

Dstu4145WithGost34311(pb) OBJECT IDENTIFIER ::= {iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) ua-pki (1) alg(1) asym (3) Dstu4145WithGost34311(1) pb(1)};

для оптимального нормального базиса:

Dstu4145WithDstu7564(256)оnb OBJECT IDENTIFIER ::= {iso(1) member-body(2) Ukraine(804) root (2) security(1) cryptography(1) ua-pki (1) alg(1) asym (3) Dstu4145WithDstu7564(6) 256(1) оnb(2)};

Dstu4145WithGost34311оnb OBJECT IDENTIFIER ::= { iso(1) member-body(2) Ukraine(804) root (2) security(1) cryptography(1) ua-pki (1) alg(1) asym (3) Dstu4145WithGost34311(1) onb(2)};

2) параметры алгоритма поля "algorithm" в "originatorKey" должны быть ASN.1 NULL;

3) поле "originatorKey publicKey" должно содержать открытый ключ отправителя (маркер), который имеет такой формат:

PublicKey:: = OCTET STRING, инкапсулируется в BIT STRING.

Открытый ключ ГСТУ 4145-2002 - последовательность байтов, которая является элементом основного поля (пункт 5.3 раздела 5 ГСТУ 4145-2002), который является сжатым изображением (пункт 6.9 раздела 6 ГСТУ 4145-2002) точки на эллиптической кривой. Размер изображения в байтах равен m/8, округленный до ближайшего целого в большую сторону;

4) объектные идентификаторы (OID) протокола согласования ключа в группе точек эллиптической кривой (ECDH):

с использованием хэш-функции ГСТУ 7564:2014:

алгоритм с кофакторным умножением:

id-dhSinglePass-cofactorDH-Dstu7564kdf-scheme OBJECT IDENTIFIER ::= {iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) ua-pki (1) alg (1) asym (3) dhSinglePass-cofactorDH - Dstu7564kdf (7) };

алгоритм без кофакторного умножения:

id-dhSinglePass-stdDH - Dstu7564kdf-scheme OBJECT IDENTIFIER ::= {iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) ua-pki (1) alg (1) asym (3) dhSinglePass - stdDH - Dstu7564kdf (8) };

с использованием хэш-функции ГОСТ 34.311-95:

алгоритм с кофакторным умножением:

id-dhSinglePass-cofactorDH-gost34311kdf-scheme OBJECT IDENTIFIER ::= {iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) ua-pki (1) alg (1) asym (3) dhSinglePass-cofactorDH-gost34311kdf (4) };

алгоритм без кофакторного умножения:

id-dhSinglePass-stdDH-gost34311kdf-scheme OBJECT IDENTIFIER ::= {iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) ua-pki (1) alg (1) asym (3) dhSinglePass- stdDH-gost34311kdf (5) };

5) параметры протокола согласования ключа в группе точек эллиптической кривой должны быть определены таким ASN.1 структурой:

ECDHParameters ::= SEQUENCE { q INTEGER, FR INTEGER, a INTEGER, b INTEGER, G ECPoint, n INTEGER, INTEGER h, dke OCTET STRING OPTIONAL},

где q - длина поля (field size) в битах, равная степени основного поля (m);

FR - индикатор представления поля или сводный полином (reduction polynomial);

a и b - два элемента поля, которые определяют кривую (коэффициенты уравнения эллиптической кривой);

G - базовая точка эллиптической кривой (Base Point) с координатами (xG, yG);

n - порядок базовой точки (order of the point) G;

h - кофактор, эквивалентный порядку кривой, деленному на n (для эллиптических кривых ГСТУ 4145-2002 h = 2 (если параметр эллиптической кривой a = 1) или h = 4 (если параметр эллиптической кривой a = 0));

значением точки эллиптической кривой ECPoint должна быть строка байтов, которая является закодированной точкой эллиптической кривой:

ECPoint ::= OCTET STRING;

процедура кодирования точки (Point-to-Octet-String Conversion):

входными данными является точка эллиптической кривой P = (Xp, Yp), которая не является нулевой;

исходными данными является строка байтов РО - изображение в несжатом формате (uncompressed form) точки P как строки байтов;

байт PC = 0х04 (признак несжатого формата);

результирующая строка байтов PO должна быть объединением (конкатенацией): PO = PC || Xp || Yp.

Строкой байтов для представления нулевого элемента группы точек эллиптической кривой O = (0, 0) (infinity) должен быть один нулевой байт: PO = 0х00;

процедура вычисления FR:

полиномом является примитивный многочлен, приведенный в таблице 1 ГСТУ 4145-2002. Значением сводного полинома является целое число как строка битов;

для оптимального нормального базиса FR = 0;

вычисление значения FR для полиномиального базиса, где: m - степень основного поля, ks[len] - массив целых чисел ks[0]=k3, ks[1]=k2, ks[2]=k1, являются степенями примитивного многочлена. Полином имеет вид x^m + x^k3 + x^2 + x^k1 + 1, где: m > k3 > k2 > k1 >= 1, len - длина массива ks, для трехчлена (trinomial) len = 1 и для пятичлена (pentanomial) len = 3, если len = 1, то k2 = k1 = 0;

для определения FR как строки битов необходимо:

установить FR = 1 (установить бит 0);

установить в FR бит m и соответственно биты k1, k2, k3;

6) при определении механизма согласования ключей должна выполняться операция сравнения общесистемных параметров "ECDHParameters" покомпонентно (эквивалентность параметров q, FR) или как сравнение массивов байтов DER-кодированной структуры "ECDHParameters". Если общесистемные параметры эквивалентны, применяется статический механизм согласования ключей, в других случаях - динамический;

7) формат сертификата открытого ключа, предназначенного для согласования симметричного ключа шифрования (далее - сертификат шифрования), должен соответствовать требованиям законодательства в сфере электронных доверительных услуг.

Сертификат шифрования должен иметь расширение "использование ключа", которое имеет объектный идентификатор id-ce-keyUsage OBJECT IDENTIFIER::= {id-ce 15} со значением "согласование ключа" ("keyAgreement").

4. Дополнение подпункта 10.1.4 "ContentEncryptionAlgorithmIdentifier" и пункта 12 "Security Considerations":

1) как алгоритм шифрования данных "contentEncryptionAlgorithm" структуры "EncryptedContentInfo" могут использоваться алгоритмы:

ГСТУ 7624:2014 в режимах "Калина-256/256-OFB" (режим гаммирования с обратной связью с шифротекстом согласно разделу 8 ГСТУ 7624:2014) и "Калина-256/256-CFB" (режим гаммирования с обратной связью с шифрограммой согласно разделу 11 ГСТУ 7624:2014), которые имеют следующие объектные идентификаторы:

id-Dstu7624ofb(256) OBJECT IDENTIFIER ::= {iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) ua-pki (1) alg (1) символ (1) dstu7624 (3) ofb (6) 256(2)};

id-Dstu7624cfb(256) OBJECT IDENTIFIER ::= {iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) ua-pki (1) alg (1) символ (1) dstu7624 (3) cfb (3) 256(2)};

ГСТУ ГОСТ 28147:2009 в режимах "id-gost28147-ofb" (режим гаммирования, раздел 3 ГСТУ ГОСТ 28147:2009) и "id-gost28147-cfb" (режим гаммирования с обратной связью, раздел 4 ГСТУ ГОСТ 28147:2009), которые имеют следующие объектные идентификаторы:

id-gost28147-ofb OBJECT IDENTIFIER ::= {iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) ua-pki(1) alg(1) символ(1) gost28147(1) ofb(2)};

id-gost28147-cfb OBJECT IDENTIFIER ::= {iso(1)member-body(2) Ukraine(804) root(2) security(1) cryptography(1) ua-pki(1) alg(1) символ(1) gost28147(1) cfb(3)};

2) параметры алгоритма ГСТУ ГОСТ 28147:2009:

GOST28147Parameters ::= SEQUENCE {

iv OCTET STRING (SIZE (8)),

dke OCTET STRING (SIZE (64)) },

где iv - вектор инициализации, который выбирается случайно;

"dke" - долгосрочный ключевой элемент (ДКЭ) для ГСТУ ГОСТ 28147:2009, который соответствует требованиям Инструкции №114;

3) параметры алгоритма ГСТУ 7624:2014:

Dstu7624Parameters::= SEQUENCE {

iv OCTET STRING (SIZE (32))},

где iv - вектор инициализации, который выбирается случайно;

4) для шифрования ключевых данных или иных данных, подлежащих защите, при формировании "защищенных данных" должен применяться алгоритм защиты ключа шифрования данных "KeyWrapAlgorithm";

5) алгоритм защиты ключа шифрования данных "KeyWrapAlgorithm" основывается на стандарте ГСТУ 7624:2014, который обозначается как "Dstu7624Wrap", или ГСТУ ГОСТ 28147:2009, который обозначается как "GOST28147Wrap";

6) алгоритм криптографического преобразования по ГСТУ 7624:2014 применяется в режиме "Калина-256/256-CFB-256" (гаммирование с обратной связью с шифротекстом согласно разделу 8 ГСТУ 7624:2014);

7) алгоритм криптографического преобразования по ГСТУ ГОСТ 28147:2009 применяется в режиме CFB (гаммирование с обратной связью в соответствии с разделом 4 ГСТУ ГОСТ 28147:2009);

8) алгоритм "KeyWrapAlgorithm", который основывается на стандарте ГСТУ 7624:2014, имеет такой синтаксис:

Dstu7624WrapParameters ::= CHOICE {

NULL, parameters Dstu7624Parameters},

Dstu7624Parameters::= SEQUENCE {

iv OCTET STRING (SIZE (32))},

где iv - вектор инициализации, который выбирается случайно;

9) алгоритм "KeyWrapAlgorithm", основанный на стандарте ГСТУ ГОСТ 28147:2009, имеет такой синтаксис:

GOST28147WrapParameters ::= CHOICE {

NULL, parameters GOST28147Parameters},

GOST28147Parameters ::= SEQUENCE {

iv OCTET STRING (SIZE (8)),

dke OCTET STRING (SIZE (64)) },

где iv - вектор инициализации, который выбирается случайно;

"dke" - долгосрочный ключевой элемент (далее - ДКЭ) в соответствии с ГСТУ ГОСТ 28147:2009.

При отсутствии ДКЭ в параметрах криптоалгоритма используется ДКЭ №1 из перечня ДКЭ, которые рекомендуются к применению в средствах КЗИ, приведенного в приложении 1 к Инструкции о порядке поставки и использования ключей к средствам криптографической защиты информации, утвержденной приказом Администрации Государственной службы специальной связи и защиты информации Украины от 12 июня 2007 года №114, зарегистрированным в Министерстве юстиции Украины 25 июня 2007 года за №729/13996 (далее - Инструкция №114).

Способ представления ДКЭ №1 должен отвечать требованиям технических средств, процессов их создания, использования и функционирования в составе информационно-телекоммуникационных систем при предоставлении квалифицированных электронных доверительных услуг, установленным в нормативно-правовых актах Минюста и Администрации Госспецсвязи;

10) во время использования "Dstu7624Wrap" или "GOST28147Wrap" как алгоритма защиты ключа шифрования ключей (КШК в структуре "защищенные данные" ("EnvelopedData") параметры алгоритма должны быть NULL.

Значение ДКЭ для алгоритма "GOST28147Wrap" должно браться из открытого ключа получателя;

11) поле "algorithm" должно содержать объектный идентификатор:

для алгоритма "Dstu7624Wrap":

id-dstu7624-wrap OBJECT IDENTIFIER ::= { iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) ua-pki (1) alg (1) символ (1) dstu7624 (3) wrap(11) };

для алгоритма "GOST28147Wrap":

id-gost28147-wrap OBJECT IDENTIFIER ::= { iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) ua-pki (1) alg (1) символ (1) gost28147(1) wrap(5) };

12) процесс зашифрования (Key Wrap) алгоритма "GOST28147Wrap"

Входными данными процесса зашифрования являются:

"dke" - долгосрочный ключевой элемент (ДКЭ);

"KEK" - ключ шифрования ключа (КШК);

"CEK" - ключевые данные для зашифрования (в операции формирования "защищенные данные" - ключ шифрования данных КСП).

Выходными данными процесса зашифрования является "result" - зашифрованные ключевые данные.

Процесс зашифрования выполняется по следующим этапам:

выполнить инициализацию алгоритма входными данными "dke" и "KEK";

вычислить контрольную сумму ключевых данных "CEK". Контрольная сумма ключевых данных (обозначена как "ICV") предназначена для контроля правильности расшифровки зашифрованных ключевых данных и вычисляется как имитовставка длины 32 бита ("MAC32") согласно разделу 5 ГСТУ ГОСТ 28147:2009.

Значение "dke" и ключ во время вычисления "KEK" берутся те, что установлены во время выполнения этапов процесса зашифрования:

ICV = MAC32(CEK, dke, KEK) [4 байта];

выполнить конкатенацию ключевых данных с полученной контрольной суммой:

CEKICV = CEK || ICV;

сгенерировать случайные 8 байт как вектор инициализации (синхропосылка, обозначено как "IV");

выполнить зашифрование данных "CEKICV" алгоритмом ГОСТ 28147:2009 в режиме гаммирования с обратной связью (GOST28147-CFB), используя "dke" и ключ "KEK", установленные на шаге 1, и вектор инициализации "IV", полученный по результатам выполнения позиции 4 настоящего пункта:

TEMP1 = GOST28147-CFB_encrypt(CEKICV, IV, dke, KEK).

Длина выходных данных "TEMP1" равна длине "CEKICV";

выполнить конкатенацию:

TEMP2 = IV || TEMP1;

выполнить реверсное преобразование порядка байтов TEMP2 так, что первый байт TEMP2 становится последним байтом. Результат преобразования обозначим TEMP3;

зашифровать TEMP3 алгоритма ГОСТ 28147:2009 в режиме гаммирования с обратной связью (GOST28147-CFB), используя "dke" и ключ "KEK", установленные во время выполнения позиции 1 настоящего пункта, и вектор инициализации "IV1":

IV1 = 4a dd a2 2c 79 e8 21 05 (4a - младший байт).

Результатом зашифрования алгоритмом GOST28147Wrap являются:

result = GOST28147-CFB_encrypt(TEMP3, IV1, dke, KEK);

13) процесс расшифрования (Key Unwrap) алгоритма GOST28147Wrap

Входными данными процесса расшифрования являются:

"result" - зашифрованные ключевые данные;

"dke" - долгосрочный ключевой элемент (ДКЭ);

"KEK" - ключ шифрования ключа (КШК).

Выходными данными процесса расшифрования являются:

"CEK" - ключевые данные (в операции формирования "защищенные данные" - ключ шифрования данных КСП).

Процесс расшифровки выполняется по следующим этапам:

выполнить инициализацию алгоритма входными данными "dke" и "KEK". Особенности инициализации по "dke" приведены в пункте 8.4 главы 8 раздела VI этих Требований;

выполнить расшифровку "result" на алгоритме ГОСТ 28147:2009 в режиме гаммирования с обратной связью (GOST28147-CFB), используя "dke" и ключ "KEK", установленные во время выполнения этапа, указанного в позиции 1 настоящего пункта, и вектор инициализации "IV1":

IV1 = 4a dd a2 2c 79 e8 21 05 (4a - младший байт);

TEMP3 = GOST28147-CFB_decrypt(result, IV1, dke, KEK);

выполнить реверсное преобразование порядка байтов TEMP3 так, что первый байт TEMP3 становится последним байтом. Результат преобразования обозначим TEMP2;

отделить составляющие в TEMP2 (первые 8 байт - IV, все остальные - TEMP1):

TEMP2 = IV || TEMP1;

выполнить расшифровку TEMP1 алгоритму ГОСТ 28147:2009 в режиме гаммирования с обратной связью (GOST28147-CFB), используя "dke" и ключ "KEK", установленные во время выполнения этапа, указанного в позиции 1 настоящего пункта, и вектор инициализации "IV", полученный по результатам выполнения этапа, указанного в позиции 3 данного пункта:

CEKICV = GOST28147-CFB_decrypt(TEMP1, IV, dke, KEK);

отделить составляющие в CEKICV (последние 4 байта - контрольная сумма ICV, все остальные первые - ключевые данные CEK):

CEKICV = CEK || ICV;

вычислить контрольную сумму ("ICV1") полученных ключевых данных "CEK" как имитовставку длины 32 бита ("MAC32") согласно разделу 5 ГСТУ ГОСТ 28147:2009.

Значение "dke" и ключ во время вычисления "KEK" берутся те, что установлены во время выполнения этапа, указанного в позиции 1 настоящего пункта:

ICV1 = MAC32(CEK, dke, KEK) [4 байта];

вычислить контрольную сумму ("ICV1") полученных ключевых данных "CEK" как имитовставку длины 32 бита ("MAC32") согласно разделу 5 ДСТУ ГОСТ 28147:2009.

Значение "dke" и ключ во время вычисления "KEK" берутся те, что установлены во время выполнения этапа, указанного в позиции 1 настоящего пункта:

ICV1 = MAC32(CEK, dke, KEK) [4 байта];

сравнить контрольную сумму "ICV", полученную по результатам выполнения этапа, указанного в позиции 6 настоящего пункта, с контрольной суммой "ICV1", полученной по результатам выполнения этапа, указанного в позиции 7 данного пункта.

В случае неэквивалентности указанных контрольных сумм прекратить дальнейшую обработку с результатом "ошибка расшифровки ключа".

В случае эквивалентности указанных контрольных сумм вернуть как результат расшифровки алгоритма "GOST28147Wrap" полученное значение ключевого материала "CEK";

14) во время использования "GOST28147Wrap" как алгоритма защиты ключа шифрования ключей (КШК в структуре "защищенные данные" ("EnvelopedData") "dke" (долгосрочный ключевой элемент) определяется из параметров алгоритма открытого ключа получателя;

15) процесс зашифрования (Key Wrap) алгоритма Dstu7624Wrap

Условные обозначения:

CMAC(T,K) - функция вычисления имитовставки (контрольной суммы) по алгоритму "Калина-256/256-CMAC-256" (раздел 9 ДСТУ 7624:2014) сообщения T на основе ключа K;

E(T,K,S) - функция шифрования сообщения T на основе ключа K и синхропосылки S;

D(T,K,S) - функция расшифрования сообщения T на основе ключа K и синхропосылки S;

REV(T) - функция реверсного преобразования порядка байтов сообщения T так, что последний байт становится первым;

X||Y - операция конкатенации блоков X и Y;

L(T,N) - функция получения младших N-двоичных разрядов сообщения T;

R(T,N) - функция получения старших N-двоичных разрядов сообщения T;

l(T) - функция получения длины сообщения T.

Входные параметры:

KEK - ключ шифрования ключа (КШК), двоичная строка длиной 256;

CEK - ключевые данные для шифрования (в операции формирования "защищенные данные" - ключ шифрования данных КСП);

IV - синхропосылка, двоичная строка длиной 256, генерация осуществляется перед использованием алгоритма;

IV1 - фиксированная синхропосылка, двоичная строка длиной 256 со значением "6973271D6E611D06616715046C65504C2020004F6D68011F65610C0 C73734714".

Выходные параметры:

RES - зашифрованные ключевые данные.

Алгоритм:

выполнить следующие вычисления:

ICV = CMAC(CEK,KEK)

CEKICV = CEK||ICV

TEMP1 = E(CEKIV,KEK,IV)

TEMP2 = IV||TEMP1

TEMP3 = REV(TEMP2)

RES = E(TEMP3, KEK,IV1);

16) процесс расшифрования (Key Unwrap) алгоритма Dstu7624Wrap

Входные параметры:

KEK - ключ шифрования ключа (КШК), двоичная строка длиной 256;

RES - зашифрованные ключевые данные;

IV1 - фиксированная синхропосылка, двоичная строка длиной 256 со значением "6973271D6E611D06616715046C65504C2020004F6D68011F65610C0 C73734714".

Выходные параметры:

CEK - ключевые данные для шифрования (в операции формирования "защищенные данные" - ключ шифрования данных КСП).

Алгоритм:

выполнить следующие вычисления:

TEMP3 = E(RES,KEK,IV1)

TEMP2 = REV(TEMP3)

IV=L(TEMP2,256)

TEMP1=R(TEMP2,l(TEMP2)-256)

CEKICV = E(TEMP1,KEK,IV)

CEK = L(CEKICV,l(CEKICV)-256)

ICV = R(CEKICV, 256)

ICV1 = CMAC(CEK,KEK).

Сравнить контрольные суммы ICV, ICV1. В случае неэквивалентности указанных контрольных сумм прекратить дальнейшую обработку с результатом "ошибка расшифровки ключа".

В случае эквивалентности указанных контрольных сумм вернуть как результат расшифровки алгоритма Dstu7624Wrap полученное значение ключевого материала CEK.

Заместитель директора Департамента защиты информации Администрации Государственной службы специальной связи и защиты информации Украины подполковник

А.Головенко

 

ПРИКАЗ АДМИНИСТРАЦИИ ГОСУДАРСТВЕННОЙ СЛУЖБЫ СПЕЦИАЛЬНОЙ СВЯЗИ И ЗАЩИТЫ ИНФОРМАЦИИ УКРАИНЫ Перечень стандартов и технических спецификаций, разрешенных для реализации в средствах криптографической защиты информации I. Стандарты, определяющие требования к блочным шифрам (block ciphers) II. Стандарты, определяющие требования к потоковым шифрам (stream ciphers) III. Стандарты, определяющие требования к асимметричным криптографическим алгоритмам и методам (asymmetric algorithms and techniques) IV. Стандарт, определяющий требования к кодам аутентификации сообщений (message authentication codes) V. Стандарты, определяющие требования к хэш-функциям (hash functions) VI. Стандарты, определяющие требования к аутентификации сущности (entity authentication) VII. Стандарты, определяющие требования к управлению ключами (key management) VIII. Стандарты, определяющие требования к случайной генерации битов (random bit generation) Технические спецификации к RFC 5652

Приказ Администрации Государственной службы специальной связи и защиты информации Украины от 27 октября 2020 года №687
"Об утверждении перечня стандартов и технических спецификаций, разрешенных для реализации в средствах криптографической защиты информации"

О документе

Номер документа:687
Дата принятия: 27/10/2020
Состояние документа:Действует
Регистрация в МинЮсте: № 1272/35555 от 21/12/2020
Начало действия документа:04/01/2021
Органы эмитенты: Государственные органы и организации

Опубликование документа

Официальный вестник Украины от 4 января 2021 года №1, стр. 414, статья 65, код акта 102260/2020

Примечание к документу

В соответствии с пунктом 5 настоящий Приказ вступает в силу со дня его официального опубликования - с 4 января 2021 года.