Р 1323565.1.040-2022
РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ
Информационная технология
КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ
Парольная защита ключевой информации
Information technology. Cryptographic data security. Password-based protection keys
ОКС 35.040
Дата введения 2023-05-01
Предисловие
1 РАЗРАБОТАНЫ Акционерным обществом "Информационные технологии и коммуникационные системы" (АО "ИнфоТеКС")
2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 26 "Криптографическая защита информации"
3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 октября 2022 г. N 1160-ст
4 ВЗАМЕН Р 50.1.111-2016
Правила применения настоящих рекомендаций установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Введение
Настоящие рекомендации базируются на документе [1], который содержит рекомендации по реализации криптографических механизмов при использовании низкоэнтропийных данных (пароля пользователя), и расширяют его в плане применения соответствующих российских криптографических алгоритмов.
Данное расширение позволяет, не нарушая исходных принципов работы схем выработки общей ключевой информации из парольной информации, использовать в нем криптографические механизмы, приведенные в национальных стандартах Российской Федерации.
Разработка настоящих рекомендаций вызвана необходимостью создания решения, корректно использующего национальные криптографические стандарты для процедур взаимодействия сторон, обеспечивающих безопасную выработку общей ключевой информации при наличии общих исходных данных с низкой энтропией.
Примечание - Настоящие рекомендации дополнены приложениями А и Б.
1 Область применения
Настоящие рекомендации предназначены для применения в информационных системах, использующих механизмы шифрования и обеспечения конфиденциальности и аутентификации данных, с реализацией алгоритмов шифрования согласно ГОСТ Р 34.12-2015 и функции хэширования согласно ГОСТ Р 34.11-2012 для защиты информации, не содержащей сведений, составляющих государственную тайну. Описанные в данных рекомендациях методы предназначены для выработки ключевой информации с использованием пароля пользователя и обеспечения конфиденциальности и опционально аутентификации данных с использованием выработанной ключевой информации. Информация, защищенная с использованием описываемых методов, может передаваться по доверенным каналам связи или храниться при соблюдении дополнительных организационных мер, ограничивающих к ней доступ.
2 Нормативные ссылки
В настоящих рекомендациях использованы нормативные ссылки на следующие документы:
ГОСТ Р 34.11-2012 Информационная технология. Криптографическая защита информации. Функция хэширования
ГОСТ Р 34.12-2015 Информационная технология. Криптографическая защита информации. Блочные шифры
ГОСТ Р 34.13-2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров
Р 50.1.113-2016 Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хэширования
Р 1323565.1.017-2018 Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов блочного шифрования
Р 1323565.1.025-2019 Информационная технология. Криптографическая защита информации. Форматы сообщений, защищенных криптографическими методами
Примечание - При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных документов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный документ, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то рекомендуется использовать версию этого документа с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
3 Обозначения
В настоящих рекомендациях использованы следующие обозначения:
HMAC_GOSTR3411 (K, T) | - значение кода аутентификации сообщения, вычисленное для сообщения T на ключе K по алгоритму HMAC_GOSTR3411_2012_512, определенному в Р 50.1.113-2016, длина значения равна 512 битам; |
P | - пароль, представляющий собой символьную строку в кодировке Unicode UTF-8; |
S | - значение синхропосылки, выбираемое по схеме равновероятного выбора без возвращения из множества |
c | - число итераций алгоритма выработки ключа из пароля; |
dkLen | - длина выходной последовательности (в байтах); |
DK | - производный ключ длины dkLen; |
| - операция покомпонентного сложения по модулю 2 двух двоичных строк одинаковой длины; |
| - множество байтовых строк длины n, |
| - конкатенация двух байтовых строк ( |
| - функция усечения байтовой строки до размера r путем взятия старших r байт, то есть |
| - функция усечения байтовой строки до размера r путем взятия младших r байт, то есть |
lnt(i) | - представление целого неотрицательного числа |
b[i..j] | - строка |
| - целая часть сверху числа x, то есть |
, где n=8, ..., 32;
0. Строка 
принадлежит множеству 
, если 
. При n=0 множество 
и 
, то есть строка 
;
;
;
в виде байтовой строки длины 4 
, такой, что 
;
, где 
и 
;
.4 Алгоритм выработки ключа из пароля
Для выработки ключа DK из пароля P кроме самого пароля используются следующие параметры:
- значение синхропосылки S;
- число итераций c;
- длина выходной последовательности dkLen (в байтах).
Рекомендуемый способ выбора пароля P и значения его длины приведены в приложении А. Для одного и того же значения пароля значение синхропосылки S должно выбираться по схеме равновероятного выбора без возвращения из множества 
, где n=8, ..., 32. Рекомендуемое значение n=32. Число итераций c должно выбираться в зависимости от условий эксплуатации и длины пароля (рекомендуемые значения приведены в приложении А).
Ключ DK вычисляется с помощью функции диверсификации PBKDF2 (P, S, c, dkLen) с использованием в качестве псевдослучайной функции PRF функцию HMAC_GOSTR3411:
DK=PBKDF2(P, S, c, dkLen).
Функцию диверсификации вычисляют по следующему алгоритму:
- если dkLen>(2
-1)·64, то алгоритм завершает работу с ошибкой (неверные параметры);
- вычисляют 
;
- для каждого i от до n вычисляют набор значений:
,
,
...
,
;
- ключ DK вычисляют как конкатенацию байтовых строк T(i) с последующим усечением полученной последовательности до длины dkLen выходной последовательности:
.
Контрольные примеры для различных значений параметров приведены в приложении Б.
5 Шифрование с использованием алгоритма ГОСТ Р 34.12-2015
В данном разделе описана схема шифрования данных PBES2 на ключе DK с использованием ГОСТ Р 34.12-2015 в режиме CTR-ACPKM согласно Р 1323565.1.017-2018.
5.1 Зашифрование данных
Процесс зашифрования данных M в схеме PBES2 осуществляется следующим образом:
- выбирается случайное значение S размерности от 8 до 32 байт. Рекомендуемая размерность - 32 байта;
- выбирается число итераций c в зависимости от условий эксплуатации и длины пароля (рекомендуемые значения приведены в приложении А);
- устанавливается значение dkLen=32;
- ключ шифрования данных DK вычисляется с помощью функции диверсификации согласно алгоритму из раздела 4 с использованием параметров S, c, dkLen, то есть DK=PBKDF2(P, S, c, 32);
- значение ukm выбирается случайно равновероятно из множества 
, где n принимает значение 12 или 16 байт в зависимости от выбранного алгоритма шифрования. Для обработки каждого отдельного сообщения на одном начальном ключе используется уникальное значение ukm:
ГОСТ Р 34.12-2015 "Магма" | n=12; |
ГОСТ Р 34.12-2015 "Кузнечик" | n=16; |
- устанавливается значение синхропосылки S'=ukm[1..n-8];
- для алгоритмов id-gostr3412-2015-magma-ctracpkm и id-gostr3412-2015-kuznyechik-ctracpkm данные зашифровываются в соответствии с ГОСТ Р 34.12-2015 в режиме CTR-ACPKM согласно Р 1323565.1.017-2018, в качестве начального ключа используется значение DK, в качестве синхропосылки - значение S';
- для алгоритмов id-gostr3412-2015-magma-ctracpkm-omac и id-gostr3412-2015-kuznyechik-ctracpkm-omac данные зашифровываются в соответствии с ГОСТ Р 34.12-2015 в режиме CTR-ACPKM согласно Р 1323565.1.017-2018 на ключе DK с использованием ukm следующим образом:
а) из ключа DK с использованием алгоритма KDF_TREE_GOSTR3411_2012_256 согласно Р 50.1.113-2016 вырабатывается два ключа:
1) ключ шифрования сообщения K(1);
Попробуйте «Техэксперт: Базовые нормативные документы» бесплатно