Программа конференции

Аддитивно связанные ключи подписи: взломать нельзя использовать

• Бабуева Александра Алексеевна, ведущий инженер-аналитик, КриптоПро
• Кяжин Сергей Николаевич, к.ф.-м.н., ведущий инженер-аналитик, КриптоПро

Для некоторых практических приложений представляет интерес использование схемы подписи со связанными ключами. В докладе будут представлены результаты аналитического обзора моделей угроз и нарушителя для анализа схем подписи в случае использования связанных ключей, а также результаты анализа схем подписи ГОСТ, ECDSA, SM2 и Шнорра в указанных моделях безопасности в случае использования аддитивно связанных ключей.

О методах построения схем динамической групповой подписи и атаках на одну схему

• Утехина Мария Павловна, ВМК МГУ им. М.В. Ломоносова

Динамические групповые подписи — это механизм, позволяющий не только аутентифицировать подписанное сообщение, но и обеспечивать частичную анонимность подписывающего — анонимность среди участников группы. Динамические групповые подписи также позволяют добавлять новых пользователей на протяжении всего времени работы схемы, не только в момент инициализации схемы. В работе рассматриваются два метода построения схем динамической групповой подписи: метод, использующий рандомизируемые подписи (схемы подписи, в которых по одному значению подписи возможно построить без знания секретного ключа множество других подписей, корректных для того же сообщения), и метод, использующий схему шифрования с открытым ключом. Далее в работе описывается схема динамической групповой подписи, основывающаяся на задаче дискретного логарифмирования, и атаки на свойство анонимности данной подписи.

Encrypt-then-Sign или Sign-then-Encrypt, вот в чем вопрос

• Ахметзянова Лилия Руслановна, к.ф.-м.н., зам. начальника отдела криптографических исследований, КриптоПро
• Алексеев Евгений Константинович, к.ф.-м.н., начальник отдела криптографических исследований, КриптоПро

Стандартно для одновременного обеспечения аутентичности и конфиденциальности сообщений в системах, где может быть несколько отправителей или несколько получателей, используются комбинации схемы подписи и схемы шифрования с открытым ключом, а именно либо комбинация Sign-then-Encrypt (шифруется сообщение и подпись), либо комбинация Encrypt-then-Sign (подписывается шифртекст сообщения). В настоящем докладе будут представлены результаты анализа указанных двух подходов к комбинированию с точки зрения обеспечения безопасности в многопользовательских системах.

Показуемая стойкость в задаче обфускации криптографических исследований

• Маршалко Григорий Борисович, Академия криптографии Российской Федерации, МИЭМ НИУ ВШЭ
• Фомин Денис Бониславович, к.ф.-м.н., Академия криптографии Российской Федерации, МИЭМ НИУ ВШЭ

Основной задачей, решаемой в ходе проведения криптографических исследований, является получение обоснованных оценок стойкости криптографического механизма.  В настоящее время особое распространение получил теоретико-информационный подход, сводящийся к обоснованию неотличимости результатов проведённых изысканий от возможных результатов всесторонних криптографических исследований. В этом смысле основная задача исследователя — построить релевантную модель проведения криптографических исследований такую, что потенциальный рецензент не сможет в рамках взаимодействия с моделью сделать обоснованный вывод видит ли он результаты полных (исчерпывающих) криптографических исследований или нет.

В докладе на основе изучения ряда примеров и гипотетических ситуаций рассматриваются вопросы отличия используемого в современной криптографической практике теоретико-информационного подхода от проведения реальных криптографических исследований.

RC4OK. Модифицированная версия RC4

• Ховайко Олег Игоревич, Эмеркоин
• Щелкунов Дмитрий Анатольевич, к.т.н., Рекрипт

Описывается модифицированная версия поточного шифра RC4. Модификации позволяют реализовать легковесный криптографически стойкий высокоскоростной генератор случайных чисел, подходящий для использования как в IoT, так и в качестве соответствующего компонента ОС. Высокая скорость и низкая ресурсоемкость генератора достигаются в том числе за счёт оригинального механизма добавления энтропии из внешних источников.

О сложности алгоритмов последовательного опробования (АПО)

• Фомичев Владимир Михайлович, д.ф.-м.н., профессор, научный консультант, Код Безопасности, ведущий научный сотрудник ФИЦ ИУ РАН

Общая задача решения системы булевых уравнений имеет высокую сложность. В докладе показано, что перестановкой уравнений системы, часть которых зависит не от всех переменных, достигается приближение к треугольной системе уравнений, что снижает среднюю сложность алгоритмов последовательного опробования (АПО) в естественной вероятностной модели вычислений. Предложен алгоритм поиска подходящей перестановки уравнений с учетом структуры множеств существенных переменных уравнений, дана оценка сложности АПО. Приведен пример.

О стойкости алгоритма блочного шифрования КБ-256 к атакам с использованием квантовых алгоритмов

• Коренева Алиса Михайловна, к.ф.-м.н., начальник отдела криптографического анализа, Код Безопасности, доцент кафедры ИБ, Финансовый университет при Правительстве РФ
• Поляков Михаил Вадимович, Код Безопасности, МГТУ им. Баумана

КБ-256 — открытый алгоритм блочного шифрования, рекомендованный для защиты больших объемов данных, который имеет состоятельные оценки «классической» стойкости. В рамках доклада рассматривается вопрос криптографической стойкости КБ-256 в модели атакующего, имеющего доступ к квантовому компьютеру. В частности, оценивается трудоемкость применения алгоритма Гровера, а также его комбинации с алгоритмом Саймона.

Усиление квантовой угрозы на примере оптимизированной атаки Гровера для S-AES

• Моисеевский Алексей Денисович, Центр научных исследований и перспективных разработок ИнфоТеКС, Центр квантовых технологий МГУ имени М.В. Ломоносова
• Манько Софья Дмитриевна, Центр научных исследований и перспективных разработок ИнфоТеКС

В докладе представлены оптимизированные подходы к построению квантовой атаки с помощью алгоритма Гровера на блочный шифр S-AES. Известные ранее способы построения подобной атаки требовали 32 и более кубитов. На предыдущих этапах работы были найдены альтернативные схемы атак с более низкими требованиями по числу кубитов, а также способные работать с частичной утечкой ключа. В данной работе рассматривается схема прямой атаки Гровера с обработкой однобайтовой утечки, требующая 24 кубита, а также схема атаки разделением, требующая 23 – 4 * n кубитов при утечке n полубайтов ключа. Такое снижение ресурсных требований позволило произвести моделирование предложенных атак на квантовом эмуляторе, а также анализ устойчивости полученных квантовых схем к элементарным шумам, что является оригинальным результатом работы. Это, в свою очередь, позволило провести анализ некоторых статистических свойств ключей, таких как средне количество коллизий, с помощью квантового алгоритма.

Об оценке трудоемкости перебора ключей алгоритмом Гровера с неравновзвешенным состоянием на входе

• Щербаченко Андрей Александрович, специалист, СФБ Лаб, НИУ ВШЭ

Рассматривается модификация алгоритма Гровера, в которой на вход алгоритма подается неравновзешенное квантовое состояние ключей, характеризующееся заданным следовым расстоянием до равновзвешенного. В таких условиях установлена нижняя оценка средней трудоемкости для случая, когда алгоритм используется для перебора ε-секретных ключей, вырабатываемых в результате сеанса квантового распределения ключей. Обобщено на случай смешанного состояния.

О свойствах безопасности одного режима работы блочных шифров при наличии у нарушителя доступа к квантовому оракулу

• Коренева Алиса Михайловна, к.ф.-м.н., начальник отдела криптографического анализа, Код Безопасности, доцент кафедры ИБ, Финансовый университет при Правительстве РФ
• Фирсов Георгий Валентинович, старший системный программист, Код Безопасности, НИЯУ МИФИ

В 2022 году приняты рекомендации по стандартизации, определяющие режим работы блочных шифров DEC, используемый для защиты носителей информации с блочно-ориентированной структурой. Данный режим представляет собой модификацию режима гаммирования со специальным алгоритмом выработки синхропосылки и начального значения счетчика из номера раздела и номера сектора. В данной работе построена эффективная атака различения на режим DEC в условиях доступа нарушителя к квантовому оракулу.

Квантовые технологии в информационной безопасности: новые подходы для криптоанализа и квантово-устойчивые алгоритмы

• Фёдоров Алексей Константинович, директор, Институт физики и квантовой инженерии НИТУ МИСИС

Одним из приложений квантовых вычислительных устройств является криптоанализ существующих алгоритмов шифрования, в частности алгоритмов с открытым ключом. Вместе с тем, квантовые технологии развиваются и в направлении защиты информации: разрабатываются технологии распределения криптографических ключей с помощью квантовых устройств и квантово-устойчивые алгоритмы шифрования. В докладе будет дан обзор последних достижений в области квантовых алгоритмов для криптоанализа, включая результаты в области вариационной квантовой факторизации. Также будет представлен прогресс в области разработки и внедрения квантово-устойчивых систем, основанных на синергии квантовых коммуникаций и постквантовой криптографии.

Анализ устойчивости постквантовой электронной подписи «Шиповник» к атакам, нацеленным на хэш-функции

• Высоцкая Виктория Владимировна, НПК «Криптонит», МГУ им. М.В. Ломоносова
• Дас Диана Кантаевна, НПК «Криптонит», МГУ им. М.В. Ломоносова

Постквантовая схема подписи «Шиповник» на основе кодов, исправляющих ошибки, является одним из кандидатов на новый российский стандарт. Поэтому на данном этапе крайне важно рассмотреть и выявить все ее возможные уязвимости. В работе будет приведена классификация атак на «Шиповник» с использованием алгоритмов, решающих задачи поиска прообраза и второго прообраза внутренней троичной хэш-функции. Также работа будет содержать анализ стойкости схемы подписи на основе сложности этих атак.

Модифицированная схема электронной подписи на основе схемы Штерна

• Ниткин Иван Сергеевич, факультет Безопасности информационных технологий, магистратура, Университет ИТМО
• Давыдов Вадим Валерьевич, к.т.н., факультет Безопасности информационных технологий, Университет ИТМО

В рамках описанного исследования предложен алгоритм генерации перестановки для модифицированной схемы подписи на основе схемы Штерна, произведена сравнительная оценка характеристик стандартной и модифицированной схем подписи, а также рассчитана сравнительная оценка уровня криптографической стойкости этих схем.

Постквантовая схема инкапсуляции ключа «Кодиеум»

• Высоцкая Виктория Владимировна, НПК «Криптонит», МГУ им. М.В. Ломоносова
• Чижов Иван Владимирович, НПК «Криптонит», МГУ им. М.В. Ломоносова, ФИЦ ИУ РАН

Быстрый прогресс в сфере квантовых технологий явно свидетельствует о необходимости разработки постквантовых механизмов. Такая работа ведется уже некоторое время, однако в России до сих пор нет стандартизированных постквантовых схем. В работе будет представлен новый постквантовый механизм инкапсуляции ключа, предназначенный для последующей стандартизации в России, под названием «Кодиеум». Схема опирается на сложные задачи из теории кодирования. В докладе также будет дана комплексная оценка стойкости «Кодиеума» в классической и квантовой моделях, предварительные наборы параметров и эксплуатационные характеристики полученной схемы.

Обзор применений SAT-решателей в целях криптоанализа симметричных криптографических алгоритмов

• Скоробогатова Марина Андреевна, аналитик, Компания «Актив»
• Панасенко Сергей Петрович, к.т.н., директор по научной работе, Компания «Актив»

Алгоритмы решения проблемы булевой выполнимости (SAT – от Satisfiability) и реализующие их средства (SAT-решатели) позволяют определить выполнимость булевой формулы – существует ли такой набор определенных булевых значений («ложь/истина») переменных формулы, при которых результат формулы становится истинным. Данные алгоритмы широко используются в криптоанализе – различные криптоаналитические задачи могут быть закодированы в виде булевой формулы, после чего для решения такой задачи может быть задействован хорошо изученный и эффективный алгоритмический аппарат SAT-решателей. Доклад посвящен обзору направлений применения SAT-решателей в криптоанализе симметричных криптографических алгоритмов и основных из достигнутых с их помощью результатов.

Применение SAT-решателей для анализа стойкости криптографических хеш-функций

• Давыдов Вадим Валерьевич, к.т.н., Университет ИТМО, ГУАП
• Заикин Олег Сергеевич, к.т.н., ИДСТУ им. В.М. Матросова СО РАН
• Кирьянова Анастасия Павловна, Университет ИТМО

Рассмотрены перспективы применения SAT-подхода для анализа стойкости современных криптографических хеш-функций и поточных шифров. В качестве примера успешного применения данного подхода были найдены прообразы неполнораундовых версий хеш-функций финалистов конкурса SHA-3.

Анализ стойкости XSL-семейства алгоритмов блочного шифрования с α-отражением к атакам двумерным методом встречи посередине

• Мухортова Алёна Андреевна, ИИКС НИЯУ МИФИ

Низкоресурсные XSL-алгоритмы блочного шифрования MANTIS и PRINCE, предложенные на конференциях ASIACRYPT-2016 и CRYPTO-2012, обладают свойством α-отражения. К ним было предложено множество атак на основе дифференциального, интегрального методов, метода встречи посередине и другие. В работе вводится XSL-семейство алгоритмов блочного шифрования с α-отражением, обобщающих алгоритмы шифрования MANTIS и PRINCE. На редуцированные 8-раундовые алгоритмы, относящиеся к этому семейству, предложена атака, основанная на двумерном методе встречи посередине, из которой вытекают атаки на алгоритмы MANTIS и PRINCE. Атака на MANTIS предложена впервые, ее временная сложность составляет 2**110.8 функций зашифрования, объём памяти: 2**67 ячеек памяти по 72 бита. Применение предложенной атаки на PRINCE согласуется с результатами 2016 года.

О точности оценок стойкости криптопротокола CRISP

• Кирюхин Виталий Александрович, СФБ Лаб

Доказательство стойкости протокола CRISP, включая верхние оценки на вероятность успеха противника, было представлено на CTCrypt 2023. В настоящей работе получены оценки снизу – построены атаки на конфиденциальность и целостность протокола. Тем самым продемонстрировано, что оценки стойкости протокола являются точными. Атака на свойство конфиденциальности основывается на известных методах дешифрования режима гаммирования (CTR). Метод навязывания построен за счёт адаптации атак Митчела на режим имитозащиты (CMAC).

Об использовании российских криптографических алгоритмов в протоколе QUIC

• Смыслов Валерий Анатольевич, архитектор системы, ЭЛВИС-ПЛЮС

QUIC — новый транспортный протокол с интегрированными средствами защиты на основе протокола TLS 1.3. По сравнению с TCP он обеспечивает многопоточность, быстрое создание соединения, миграцию соединения при изменении IP-адресов сторон, адекватную реакцию на потери пакетов и т.д. QUIC является компонентом http/3 и поддерживается всеми современными web-браузерами и http-серверами. В работе рассматривается возможность использования российских криптонаборов, определенных для TLS 1.3, в протоколе QUIC, описываются потенциальные проблемы и возможные пути их решения.

О применении схемы ECQV для защиты интеллектуальных транспортных систем

• Кирюхина Диана Маратовна, специалист, СФБ Лаб

Развитие интеллектуальных транспортных систем требует передачи большого объёма информации в ограниченный период времени, что делает крайне важной задачу минимизации издержек (overhead), порождаемых средствами защиты. Схема ECQV вместо сертификата (публичный ключ, подпись) формирует специальное значение, позволяющее восстановить публичный ключ и проверить его подлинность. Это позволяет сократить издержки примерно втрое. C использованием методов «доказуемой стойкости» для ECQV были получены верхние оценки на вероятность нарушения свойств безопасности, а также оценена стойкость к известным методам криптоанализа.

Логический вывод в протоколах многосторонних безопасных вычислений

• Столовник Дмитрий Александрович, ТК 26

В докладе рассматриваются стратегии нарушителя в роли легитимного участника протокола, который путем навязывания вычисляемых функций пытается получить дополнительную информацию о конфиденциальных входах других участников протокола. Анализируются возможные способы противодействия.

О некоторых системах подтверждения персональных данных без их разглашения, использующих неклассические криптографические механизмы

• Кяжин Сергей Николаевич, к.ф.-м.н., АНО «НТЦ ЦК», НИЯУ МИФИ, КриптоПро
• Утехина Мария Павловна, АНО «НТЦ ЦК», МГУ им. М.В. Ломоносова, КриптоПро
• Зюзин Юрий Васильевич, АНО «НТЦ ЦК», МГУ им. М.В. Ломоносова, КриптоПро
• Махонин Илья Владимирович, АНО «НТЦ ЦК», НИЯУ МИФИ
• Лебедев Вадим Андреевич, АНО «НТЦ ЦК», НИЯУ МИФИ

Задача подтверждения персональных данных без их разглашения при предоставлении некоторым сервисом услуги клиенту может быть решена как с помощью классических механизмов (известен, например, протокол ИКС), так и с использованием иных криптографических механизмов. В докладе будут представлены результаты аналитического обзора систем Idemix, U-Prove, ePCS, Privacy Pass, Nymble, использующих неклассические криптографические механизмы.

Обзор подходов к созданию низкоресурсных блокчейн-решений для применения в устройствах интернета вещей

• Панасенко Сергей Петрович, к.т.н., директор по научной работе, Компания «Актив»

Блокчейн-технологии оказались востребованными в системах Интернета вещей (IoT) и находят достаточно широкое применение в их составе. Основной проблемой в данном случае является высокая ресурсоемкость ряда применяемых в блокчейнах механизмов, прежде всего, криптографических алгоритмов, а также некоторых из методов достижения консенсуса, тогда как IoT-устройства обычно являются ограниченными в вычислительных ресурсах. Данное противоречие решается путем применения низкоресурсных блокчейнов, специально разрабатываемых для использования в условиях ограниченных ресурсов. Доклад посвящен обзору различных подходов к созданию низкоресурсных блокчейнов.