[oss-gost-crypto] ГОСТ в OpenPGP

[Dmitry Eremin-Solenikov]

вт, 13 авг. 2019 г. в 14:28, Paul Wolneykien <manowar at altlinux.org>:

>
>
>   Всем привет. Вернувшись к работе над GnuPG я понял, что то, о чём мне
> несколько раз говорил Дима — что здесь нужен RFC, — действительно правда.

Я бы начал с более простой и понятной его части. Давай опишем симметричные
функции: Кузнечик (Магму?), Стрибог. С Кузнечиком/Магмой отдельный вопрос,
удастся ли объяснить, зачем мы хотим использовать KDF_TREE.
Отдельно можно описать цифровые подписи. И отдельной главой пойдет
шифрование.

>   Согласно https://tools.ietf.org/html/rfc6637 , к каждому открытому
> ключу, для которого разрешено шифрование, прикладываются параметры KDF —
> key derivation function, т.е., в конечном счёте — рецепт: как для
> данного публичного ключа зашифровать симметричный ключ. Но для ГОСТ
> рецепт требуется свой, специфический. К тому же, есть уже несколько
> таких рецептов.
>
>   Если следовать логике RFC 6637, то для открытого ключа ГОСТ нужно
> определить целых три группы параметров:
>
>   * параметры ВКО (длина UKM, хэш-функция [+ её параметры]);
>   * собственно KDF (диверсификация КриптоПро / KDF_TREE (количество
> итераций, сообщение-метка));
>   * параметры шифрования (wrapping) симметричного ключа (вариант
> упаковки + шифр + вариант имитовставки).

Я бы предложил не изобретать велосипед, а использовать VKO и Kexp15,
как в новых сьютах TLS вместо KDF из RFC 6637.

> потом указывать для публичного ключа просто номер варианта. Примерно так
> сделано сейчас в OpenSSL, где длина UKM неявным образом определяет выбор
> между "старым" вариантом и вариантом "2018 года" (я прав, Дима?).

Гм, я за Диму не скажу, но выбор между старым и новым вариантом должен
определяться шифронабором (если мы про TLS говорим).

>   В итоге я пока не вижу простого и очевидного решения, которое хорошо
> вписалось бы в OpenPGP и не противоречило имеющимся RFC про ГОСТ.

Собственно, это одна из причин, почему я отложил OpenPGP в свое время.

--
With best wishes
Dmitry