Программа конференции

Оптимизация ресурсоемкости алгоритма «Гиперикум» при реализации в устройствах с ограниченными ресурсами за счет кеширования фрагментов подписи на управляющем устройстве

• Панасенко Сергей Петрович, к.т.н., директор по научной работе, Компания «Актив»
• Турченко Олег Юрьевич, к.т.н., криптограф-исследователь, КуАпп

В докладе рассматривается возможность использования постквантового алгоритма цифровой подписи «Гиперикум» в низкоресурсных устройствах за счет кеширования частей подписи на управляющем устройстве. Описан пример протокола вычисления ЦП при организации такого кеширования; приведены зависимости снижения ресурсоемкости операции вычисления ЦП от размера кеша для ряда параметров алгоритма «Гиперикум».

Отличительные особенности отечественного постквантового механизма инкапсуляции ключа «Земляника» на основе задачи M-LWE

• Зеленецкий Алексей Сергеевич, старший криптограф-исследователь, КуАпп, МГТУ им. Н.Э. Баумана

Задача Learning With Errors (LWE) и её различные модификации относятся к числу наиболее известных вычислительно сложных задач в криптографии на решетках. На их основе к настоящему времени предложено множество постквантовых механизмов инкапсуляции ключа (МИК) — криптосистем, предназначенных для формирования общего секретного ключа по открытому каналу в условиях уязвимости протокола Диффи—Хеллмана к атакам с использованием квантового компьютера. Представленный на конференции «РусКрипто 2025» отечественный механизм инкапсуляции ключа «Земляника», основанный на задаче M-LWE, также относится к данному семейству криптосистем. Настоящая работа посвящена сравнению «Земляники» с другими представителями упомянутого семейства и ставит своей целью, в первую очередь, подчеркнуть отличительные особенности разработанного механизма. Кроме того, во время доклада будут представлены эксплуатационные характеристики «Земляники», а также будет доложено о текущем статусе процесса ее стандартизации в рамках РГ ПККМ ТК26.

От решёток Барнса–Уолла к стандарту: текущий статус разработки постквантовой схемы «Облепиха»

• Кунинец Артём Андреевич, криптограф-исследователь, КуАпп
• Леевик Антон Георгиевич, криптограф-исследователь, КуАпп
• Малыгина Екатерина Сергеевна, к.ф.-м.н., старший криптограф-исследователь, КуАпп
• Мельничук Евгений Михайлович, криптограф-исследователь, КуАпп

В работе описывается статус работ по разработке схемы цифровой подписи «Облепиха». Представлены основные алгоритмы, используемые в схеме, и приведена оценка ее криптографической стойкости.

«Спартиум» – постквантовая схема подписи с хранением состояния

• Кирюхин Виталий Александрович, главный специалист, СФБ Лаб

Анонсируется постквантовый алгоритм подписи «Спартиум», основанный на хэш-функции «Стрибог» и её функции сжатия. Рассматриваются принципы синтеза алгоритма, отличия от существующих аналогов, его достоинства и ограничения. Приводятся первичные результаты доказательного и конструктивного криптографического анализа.

Обзор алгоритмов, построенных на основе коммутативных изогений суперсингулярных эллиптических кривых

• Полякова Полина Алексеевна, младший аналитик отдела криптографического анализа, Код Безопасности, НИЯУ МИФИ
• Поляков Михаил Вадимович, заместитель начальника отдела криптографического анализа, Код Безопасности, НИЯУ МИФИ
• Коренева Алиса Михайловна, к.ф.-м.н., заместитель руководителя службы сертификации по научно-техническому сотрудничеству, Код Безопасности

В 2022 году была опубликована достаточно эффективная атака на протокол SIDH, построенный на некоммутативных изогениях суперсингулярных эллиптических кривых. В результате почти все исследования в этой области были приостановлены. В рамках доклада будет проведен обзор криптографических алгоритмов на основе коммутативных изогений суперсингулярных эллиптических кривых, которые не обладают уязвимостями своих предшественников и при этом являются более удобными с точки зрения плавного перехода на постквантовые механизмы подписи и согласования ключа.

PQ/T-гибридные схемы цифровой подписи как этап миграции к постквантовой криптографии

• Качмазов Руслан Александрович, старший инженер по информационной безопасности, Яндекс Облако, НИУ ВШЭ

В докладе рассматриваются PQ/T-гибридные схемы цифровой подписи как один из наиболее реалистичных сценариев миграции к постквантовой криптографии. Предлагается классификация таких схем, рассматриваются вопросы их безопасности, совместимости и интеграции в PKI. Отдельное внимание уделяется практическим рискам гибридизации, включая трудности формального обоснования безопасности и возможные атаки, возникающие при некорректном встраивании гибридных подписей в существующую инфраструктуру.

Об одной атаке на протокол IKEv2

• Смыслов Валерий Анатольевич, ЭЛВИС-ПЛЮС

Доклад описывает атаку на протокол IKEv2 (Internet Key Exchange protocol Version 2, протокол обмена ключами в IPsec), дающую возможность атакующему понизить стойкость создаваемого защищенного соединения и произвести перехват защищаемого трафика. Возможность проведения подобной атаки в общих чертах была описана в 2016 г., однако, ввиду нереально высоких требований к возможностям атакующего, эта атака носила чисто теоретический характер. В 2025 г. атака была обобщена на случай использования атакующим квантового компьютера. В докладе описывается несколько вариантов атаки 2025 г. (с использованием квантового компьютера). В докладе также описываются изменения в протоколе IKEv2, предложенные автором доклада и одобренные экспертами IETF, которые делают все эти атаки (включая оригинальную атаку 2016 г.) невозможными.

Об одной особенности формирования модели нарушителя из потенциально доступных ему возможностей на примере проекта протокола TLS 1.2 на основе механизма инкапсуляции ключа

• Алексеев Евгений Константинович, к.ф.-м.н., начальник отдела криптографических исследований, КриптоПро, АНО «НТЦ ЦК»
• Кяжин Сергей Николаевич, к.ф.-м.н., доцент, НИЯУ МИФИ
• Мухортова Алена Андреевна, инженер-аналитик, КриптоПро

В настоящей работе приводится пример гипотетической ситуации, вдохновленной одной ранее опубликованной атакой на протокол GC и указывающей на то, что для формирования модели нарушителя недостаточно перечислить потенциально имеющиеся у него возможности по взаимодействию с криптосистемой, т.к. между ними могут существовать нетривиальные и обусловленные исключительно практикой применения зависимости. В рамках указанной практической ситуации (и продиктованной ей модели нарушителя) проводится анализ защищенности проекта протокола TLS 1.2 на основе механизмов инкапсуляции ключа, который в настоящее время разрабатывается в рамках технического комитета по стандартизации №26. Показывается, что текущая версия протокола при рассматриваемых возможностях нарушителя допускает компрометацию вырабатываемого сеансового ключа. Предлагаются методы модификации протокола и требования к его реализации, которые позволяют добиться защищенности от подобной атаки.

Анализ применимости атак на протоколы аутентифицированной выработки ключа, основанные на механизме инкапсуляции ключа, к протоколу pqRTLS12

• Алексеев Евгений Константинович, к.ф.-м.н., начальник отдела криптографических исследований, КриптоПро, АНО «НТЦ ЦК»
• Кяжин Сергей Николаевич, к.ф.-м.н., доцент, НИЯУ МИФИ
• Мухортова Алена Андреевна, инженер-аналитик, КриптоПро

В настоящей работе описываются результаты аналитического обзора атак на протоколы аутентифицированной выработки общего ключа с использованием механизма инкапсуляции ключа. Существующие атаки классифицированы по угрозам, а также требуемых для их реализации возможностям нарушителя. Также в работе приводятся результаты анализа применимости этих атак к текущей версии проекта документа протокола TLS 1.2 на основе механизма инкапсуляции ключа. Предложена модификация протокола, направленная на защиту от исследуемых атак.

Протокол доставки ключей «БУРУНДУК»

• Кирюхин Виталий Александрович, главный специалист, СФБ Лаб

Предлагается протокол «БУРУНДУК», предназначенный для смены общего секретного ключа в случае компрометации произвольного числа участников. Каждый пользователь получает исходно общий ключ и (небольшой) индивидуальный неизменяемый набор ключей. Новый общий ключ (ключи) все нескомпрометированные пользователи могут получить через широковещательный односторонний канал связи без интерактивного взаимодействия. Нагрузка на канал связи линейно зависит от числа скомпрометированных (групп) пользователей и не зависит от их общего числа. Протокол включает алгоритмы управления статусами участников, предусмотрены различные способы группировки пользователей и два возможных механизма аутентификации общего ключа. Для реализации протокола достаточно стойкого блочного шифра (к примеру, ГОСТ 34.12-2018 «Магма»).

Протокол анонимного подтверждения наличия элемента в рассматриваемом множестве

• Хуцаева Алтана Феликсовна, ИТМО, ГУАП
• Беззатеев Сергей Валентинович, д.т.н., профессор, ИТМО, ГУАП

Рассматривается модель анонимного подтверждения наличия элемента m ∈ M в некотором подмножестве B, где множество M известно всем участникам. Для данной модели предлагается использовать протокол, использующий функцию F:M→M^n и забывчивую подпись 1-из-n сообщений. В модели сторона А проверяет принадлежность произвольного элемента конечному подмножеству элементов стороны Б, не раскрывая проверяемый элемент. В результате у стороны А имеется подпись, подтверждающая факт принадлежности запрошенного элемента некоторому подмножеству множества элементов стороны Б. Данная модель находит свое применение в задачах приватных проверок членства в множествах.

Схема подписи ГОСТ в условиях мультипликативно связанных ключей: о стойкости в модели UF-CM-sKRKA

• Бабуева Александра Алексеевна, ведущий инженер-аналитик, КриптоПро
• Кяжин Сергей Николаевич, к.ф.-м.н., доцент, НИЯУ МИФИ
• Махонин Илья Владимирович, инженер-аналитик, КриптоПро

Доклад посвящен адаптации результатов анализа схемы подписи ГОСТ в новой модели Mult-Hash, представленных Бахаревым А.О. и Царегородцевым К.Д. на РусКрипто 2025, к наиболее близкой среди часто используемых моделей для оценки схем подписи в условиях связанных ключей UF-CM-sKRKA. Определены задачи (для хэш-функции, используемой в схеме подписи), сложностью которых определяется стойкость схемы.

Формальный анализ модифицированной версии протокола WireGuard на основе отечественных криптографических механизмов

• Скоробогатова Марина Андреевна, старший аналитик, Компания «Актив»
• Царегородцев Кирилл Денисович, криптограф-исследователь, Компания «Актив»

В докладе рассматриваются свойства безопасности и подходы к формальной верификации протокола WireGuard. Представлены результаты анализа его адаптированной версии (Ru-WireGuard) с применением инструментов автоматизированной проверки Tamarin и Verifpal.

Модель безопасности для протоколов делегированной аутентификации на основе HTTP

• Мурадян Давид Каренович, инженер-аналитик, КриптоПро
• Ахметзянова Лилия Руслановна, к.ф.-м.н., зам. начальника отдела криптографических исследований, КриптоПро
• Алексеев Евгений Константинович, к.ф.-м.н., начальник отдела криптографических исследований, КриптоПро, АНО «НТЦ ЦК»

Настоящая работа посвящена разработке алгоритмической модели безопасности на основе экспериментатора для протоколов делегированной аутентификации на основе HTTP, к которым относится протокол OpenID Connect. Необходимость построения оригинальной модели обусловлена спецификой данного класса протоколов, включая трёхстороннюю архитектуру, особенности взаимодействия по протоколу HTTP и использование TLS с односторонней аутентификацией. Разработанная модель позволяет формализовать угрозы ложной аутентификации и некорректной идентификации пользователя в рамках эксперимента.

Конфиденциальное сложение данных: определение объекта и предмета исследования

• Никифорова Лидия Олеговна, ведущий инженер-аналитик, КриптоПро
• Ахметзянова Лилия Руслановна, к.ф.-м.н., зам. начальника отдела криптографических исследований, КриптоПро
• Быстревский Сергей Андреевич, инженер-аналитик, КриптоПро
• Мухортова Алена Андреевна, инженер-аналитик, КриптоПро

Данный доклад посвящён схемам конфиденциального сложения данных (Private Stream Aggregation, PSA). В рамках доклада будут выделены классы схем в зависимости от интерфейса и обеспечиваемых свойств безопасности. Для выделенных классов будет представлена систематизация моделей угроз и нарушителя.

Иллюзия теоретической безопасности: тайна памяти нарушителя

• Новиков Антон Александрович, ТК 26, Академия криптографии РФ
• Фомин Денис Бониславович, ТК 26, Академия криптографии РФ

В алгоритмическом подходе на основе экспериментатора (game-based) сохраняется методологическая проблема: формально всегда существует противник, находящий коллизию с преимуществом 1, хотя явно он может быть неизвестен (парадигма Human Ignorance). Аналогичным образом, стандартные модели безопасности часто упускают, что нарушитель может использовать вспомогательную информацию, полученную на этапе предварительной обработки. Игнорирование этого факта завышает оценки теоретической стойкости, поскольку существование эффективных методов анализа, связанных с балансировкой по времени и памяти доказано теоретически. Это ставит вопрос о пересмотре традиционных предположений о возможностях нарушителя, используемых при получении оценок теоретической стойкости.

«Стрибог» под прицелом квантового криптоанализа: итоги и прогнозы

• Орлов Алексей Максимович, ТК 26, Академия криптографии РФ
• Фомин Денис Бониславович, ТК 26, Академия криптографии РФ

Анализируется стойкость хэш-функции «Стрибог» против квантового нарушителя в модели Q1. Основное внимание уделено устойчивости к нахождению прообраза, второго прообраза и коллизий посредством адаптации классических методов криптоанализа, применяемых к широкому классу хэш-функций. Оценены сценарии наличия и отсутствия у нарушителя значительного объема квантовой памяти. На основе анализа опубликованных работ по криптоанализу хэш-функций показано, что широкий спектр методов анализа, включая исследование функции сжатия с «меньшим количеством раундов», потенциально поддаётся ускорению при наличии у нарушителя доступа к квантовому вычислителю. Выделены направления дальнейших исследований.

Алгебраический анализ шифрсистемы UFHE-ILC на основе свойств дзета-функции Дедекинда и сумм идеалов

• Коновалов Александр, НИЯУ МИФИ

В работе проведён алгебраический анализ неограниченной полностью гомоморфной шифрсистемы UFHE-ILC (An Unbounded Fully Homomorphic Encryption Scheme Based on Ideal Lattices and Chinese Remainder Theorem), базирующейся на идеальных решетках. Главными результатами работы являются сформулированные и доказанные теоремы: первая описывает полиномиальный алгоритм восстановления уязвимого ключа, вторая позволяет ограничить снизу вероятность генерации уязвимого ключа алгоритмом, предложенным разработчиками шифрсистемы UFHE-ILC.

Оценка стойкости упрощенной реализации модели блочного алгоритма КБ-256 методом линейных аппроксимаций

• Винокуров Владимир Иванович, к.ф.м.н., в.н.с., Академия Криптографии РФ
• Бобровский Дмитрий Александрович, начальник отдела криптоанализа, Код безопасности

В работе исследуется оценка стойкости блочного алгоритма шифрования КБ-256-3 с длиной блока 256 бит путём применения линейного метода анализа к упрощённой (линеаризованной) модели алгоритма. Указан способ построения линейных следов (линейных аппроксимаций) со статистическими преобладаниями, позволяющими для линеаризованной 8-ти раундовой модели алгоритма получить корневую по сравнению с тотальным перебором трудоемкость определения долговременного ключа по известным 2^128 парам 256-битных блоков открытого и шифрованного текстов. Доказана неэффективность рассматриваемого подхода для 9-ти и выше раундовых упрощенных моделей алгоритма КБ-256 по сравнению с методом тотального опробования даже на материале 2^256 пар открытого и шифрованного текста.

О проблематике выбора режимов работы блочных шифров для защиты системного раздела диска

• Коренева Алиса Михайловна, к.ф.-м.н., заместитель руководителя службы сертификации по научно-техническому сотрудничеству, Код Безопасности
• Минаков Сергей Сергеевич, старший научный сотрудник, Академия криптографии РФ
• Фирсов Георгий Валентинович, начальник отдела разработки платформы средств защиты конечных точек, Код Безопасности, НИЯУ МИФИ

В рамках деятельности рабочей группы «Сопутствующие криптографические алгоритмы и протоколы» ТК 26 проходит период изучения по вопросу использования ГОСТ 34.12–2018 в режиме XEH. Одной из задач исследовательского периода является сравнение этого режима со стандартизированными. В докладе приведены результаты сравнительного анализа режима XEH c режимами DEC, CTR, CFB, CTR, OFB, CTR-ACPKM, MGM применительно к задаче обеспечения конфиденциальности информации на системном носителе с блочно-ориентированной структурой.

Memory-Hard функции: обзор подходов к построению и анализу

• Чичаева Анастасия Александровна, специалист-исследователь лаборатории криптографии, НПК «Криптонит»
• Давыдов Степан Андреевич, старший специалист-исследователь лаборатории криптографии, НПК «Криптонит»

В докладе представлен обзор криптографических функций, реализация которых требует значительных объёмов памяти (Memory-hard функций, MHF). Рассматриваются современные подходы к построению MHF, в частности изучаются конструкции функций Scrypt, Argon2 и др. Исследуются вопросы формализации свойства memory-hardness, методы анализа безопасности, и перспективы создания отечественной MHF.