разработаны специальные алго- ритмические приемы (являющиеся know-how фирмы "ЛАН Крипто"), ко- торые позволяют сократить время вычислений на РС-АТ/286 примерно в 1,5 раза по сравнению с обычными способами вычислений, не тре- буя при этом дополнительной памяти. Другие приемы позволяют без потери стойкости цифровой под- писи по отношению к попыткам фальсификации сократить ее длину до 300 или даже до 200 бит, работая с простыми числами из 500 или 1 000 бит. Все это дало нам возможность сделать единый пакет программ "НОТАРИУС," включающий процедуры: - генерации пользователем своих индивидуальных ключей для подписывания и проверки подписи, - регистрации открытых ключей всех пользователей, - сжатия (хэширования) подписываемых документов, - вычисления и проверки цифровой подписи компактным и быстро и надежно работающим. Здесь мы приведем только скоростные характеристики основных версий пакета "НОТАРИУС". Термин "подпись Эль Гамаля" обозначает алгоритм цифровой подписи в котором используется простое число P такое, что число P-1 имеет вид 2*Q, где число Q также простое , "стандарт США" использует простое число P такое, что P-1 имеет простой делитель 160 Q( Q 2 ), случайный показатель x выбирается из интервала 1< x < Q. Термин "подпись Шнорра" означает , что при хэшировании сообщения М в него уже включено число u , а результат хэширова- ния имеет длину записи в половину длины записи числа Q ( эти приемы предложил впервые R.Shnorr). Данные для PC/AT-286 , 16MHz , время - в секундах. Модуль P - из 512 бит. +----------------------------------------------------------------------------+ | | Подпись ЭльГамаля | Стандарт США | Подпись Шнорра | | +-----------------------------------------------------------+ | | обычная | сетевая | обычная | сетевая | обычная | сетевая | +----------------------------------------------------------------------------+ | Подписывание | 1.0101 | 0.9885 | 0.3223 | 0.2975 | 0.2966 | 0.2899 | +----------------------------------------------------------------------------+ | Проверка | | | | | | | | подписи | 2.2286 | 2.7520 | 0.8153 | 1.0166 | 0.5065 | 0.7050 | | абонента | | | | | | | +----------------------------------------------------------------------------+ | Проверка | нет | | нет | | нет | | | подписи нового | этой | 4.9641 | этой | 1.6883 | этой | 0.9643 | | абонента | функции | | функции | | функции | | +----------------------------------------------------------------------------+ | Регистрация | 2.2973 | нет | 0.7076 | нет | 0.2832 | нет | | подписи | | функции | | функции | | функции | +----------------------------------------------------------------------------+ | Размер подписи | 128 | 192 или | 40 | 104 или | 27 | 91 или | | в байтах | | 128 | | 40 | | 27 | +----------------------------------------------------------------------------+ | Генерация | | | | | | | | программы | 0.9013 | 4.5693 | 0.2777 | 2.1599 | 0.2903 | 1.6585 | | подписи | | | | | | | +----------------------------------------------------------------------------+ | Генерация | нет | | нет | | нет | | | программы | этой | 4.0532 | этой | 1.4292 | этой | 1.6388 | | подписи ценра | функции | | функции | | функции | | +----------------------------------------------------------------------------+ Термин "сетевая подпись" означает использование протокола с повышенной ролью центра , но без необходимости хранения пользо- вателями открытых ключей партнеров. Кроме того,сетевая подпись позволяет обойтись без предвари- тельного этапа регистрации всех пользователей системы, сбора их открытых ключей в каталог и рассылки каталога каждому пользова- телю. В некоторых случаях это оказывается гораздо удобней. Формальное описание процедуры цифровой подписи "ЛАН Крипто" приведено в Приложении А. 1.4. Оценка надежности цифровой подписи. Стойкость цифровой подписи "ЛАН Крипто" по отношению к по- пыткам фальсификации без нарушения правильности работы программ или кражи индивидуального ключа x определяется минимумом из x сложности восстановления x по открытому ключу b = g mod P для проверки подписи, т.е. сложности "дискретного логарифмирова- ния" числа b по основанию g при модуле P, и сложности фаль- сификации результатов хэширования сообщения М. Оценки сложности задачи ДИСКРЕТНОГО ЛОГАРИФМИРОВАНИЯ в за- висимости от длины двоичной записи простого числа P (при пра- вильном его выборе) приведены в таблице +-------------------------------------------------------------------------+ | Длина P | Сложность | Память | Время решения задачи | | ( в битах) | определения | используемая | на суперкомпьюре | | | ключа x | алгоритмом | типа CRAY (10**9 оп/c) | | | | ( в битах) | | +-------------------------------------------------------------------------+ | | 12 | 6 | | | 128 | 2*10 | 7*10 | Несколько минут | | | 16 | 8 | | | 200 | 10 | 10 | Несколько месяцев | | | 17 | 9 | | | 256 | 9*10 | 10 | Несколько десятков лет | | | 24 | 12 | | | 512 | 4*10 | 3*10 | © | | | 34 | 17 | | | | 1024 | 10 | 10 | | | | | 41 | 20 | | Более 100 лет | | 1500 | 10 | 8*10 | Ц непрерывной | | | 47 | 24 | | работы | | 2000 | 7*10 | 10 | | | | | 50 | 25 | | | | 2200 | 10 | 10 | Ы | | | | | | +-------------------------------------------------------------------------+ Эти оценки получены в результате анализа последних достиже- ний в области теории сложности вычислительных задач и основы- ваются не столько на заключениях специалистов "ЛАН Крипто" , но на всех результатах по данной задаче , опубликованных в научно- технических журналах и трудах специальных конференций и семина- ров по вычислительной математике и криптографии за последние 10 лет ( CRYPTO`82-92, EUROCRYPT`84-92, и т.д.). Таким образом , для "цифрового подписывания" абсолютного большинства документов вполне достаточным является простое число P из 200 - 250 двоичных знаков , а для наиболее серьезных доку- ментов или документов , подлинность цифровой подписи под которы- ми может проверяться и через 30 - 50 лет, следует, видимо, реко- мендовать использовать простое число P из 500 бит. Простые числа Р из 1000 (или даже 1500) бит можно использовать для наиболее "экзотических" применений в стратегических военных системах подтверждения подлинности. Оценки сложности фальсификации результатов хэширования М, то есть целенаправленного изменения его содержимого при сохране- нии длины , контрольной суммы и хэш - значения показывают , что это или вообще невозможно или требует гораздо больше усилий, чем определение x . В то же время мы считаем, что реализованная в пакете "НОТА- РИУС" функция "хэширования" излишне усложнена. Для следующих версий цифровой подписи мы считаем разумным использовать более компактные и быстро работающие процедуры хэ- ширования , одна из которых предложена специалистам через ТК-22 в качестве первого проекта стандарта России для применения при подписывании сообщений, не имеющих грифа секретности. 2. АЛГОРИТМЫ ШИФРОВАНИЯ. В отличие от цифровой подписи, которая является от- носистельно "недавней" (1976 года), теоретической разработкой, методы защиты информации путем шифрования известны с глубокой древности. Правда, в ХХ веке до 70-х годов их использование оставалось в основном прерогативой государственных служб ( военных, дипло- матических и т.п.) и было облечено завесой особой секретности. В секрете держались не только конкретные методы шифрования, но и сами научные основы их разработки. Для применения в коммерческих целях предлагались устройства или отдельные специальные блоки, в которых информация обрабаты- валась по принципу "черного ящика". Утверждалось, что при подаче на вход открытой информации на выходе будет надежно зашифрован- ная информация, а как это делается пользователь знать не должен, - это дело специалистов особых государственных организаций. Однако, такой подход совсем не устраивал коммерческие структуры, которые желали надежно защищать свою конфиденциальную информацию, в том числе, и от государственных служб. Острая потребность биржевых и банковских структур в надеж- ной и удобной системе обеспечения конфиденциальности информации при обмене ею по сетям телекоммуникаций привела к тому, что в 1973 году в США был впервые принят открытый национальный стан- дарт на шифрование и данных (DES). С тех пор он получил очень широкое распространение во всем мире, как надежный метод криптографической защиты информации. "Движение идеи в массы" началось, и в 1989 году в СССР был также принят стандарт на шифрование данных в компьютерных сетях, который получил обозначение ГОСТ 28147-89. Правда, до распада СССР он оставался "полуоткрытым", т.к. имел гриф "для служебного пользования". Его гораздо меньшая из- вестность связана , впрочем, не столько с этим грифом, сколько с отсутствием в СССР компьютерных сетей как таковых. В том же 1989 году в Японии принимаются два варианта стан- дарта на шифрование данных FEAL-4 и FEAL-8. В европейских странах работы по созданию такого рода стан- дартов в это время только начинают разворачиваться. 2.1. Алгоритм DES. Алгоритм шифрования данных DES предполагает их обработку блоками по 64 бита. Каждый блок зашифровывается отдельно. В раз- личных режимах шифрование последовательно идущих блоков информа- ции может быть независимым или учитывать результаты обработки предыдущих блоков. Мы не будем приводить здесь подробного описания алгоритма DES, т.к. с ним можно познакомится в большом количестве книг по криптографии (см., например, [ 7 ] ) или по официальному изданию Национального бюро стандартов США [ 2,3 ]. В целом, алгоритм DES прошел с 1973 года достаточно серьез- ную проверку со стороны прфессионалов и огромного числа любите- лей и показал себя весьма надежным методом шифрования. Несмотря на то, что в первоначальном варианте в алгоритме DES использу- ется ключ всего из 56 бит, до настоящего времени не известно ни одного случая его "вскрытия". В комплекте программ шифрования "ЛАН Крипто" есть програм- ма, реализующая шифрование по алгоритму DES. Однако, DES при всех его достоинствах имеет два существен- ных недостатка: - он слишком громоздок для реализации в виде программы на персональном компьютере (ни одна из известных нам программ реа- лизаций алгоритма DES не позволяет добиваться на PC-AT/286 ско- рости обработки информации более 50 Кбайт/сек.); - при шифровании по алгоритму DES происходит заметное "размножение ошибки" (искажение в канале связи одного бита ин- формации, при расшифровании приводит к искажению как минимум блока из 64 бит), что при недостаточном качестве канала связи практически лишает возможности обмена информацией в зашифрован- ном виде). 2.2. Алгоритм ГОСТ 28147-89. Алгоритм шифрования данных в сетях ЭВМ (ГОСТ 28147-89) был разработан в СССР в 1989 году. Его разработчики явно находились под влиянием идей, заложенных в основу национального стандарта США на шифрование данных (DES). Алгоритм ГОСТ 28147-89 также предусматривает обработку информации блоками по 64 бита. Каждый из этих блоков зашифровывается путем многократного повторения элементарного цикла преобразования информации как заполнения ре- гистра сдвига длины 2, каждая ячейка которого состоит из 32 бит. Обратная связь регистра определяется на каждом цикле своей частью ключа шифрования. Все эти приемы в точности повторяют схему построения алгоритма DES и наследуют тем самым все его не- достатки. Точного описания алгоритма ГОСТ 28147-89 нельзя получить даже из офицального текста стандарта, т.к. не для всех парамет- ров указаны конкретные значения. Поэтому у разработчиков с одной стороны есть определенная свобода при программной или аппаратной реализации алгоритма шифрования, но с другой стороны нет никакой гарантии, что реализованный алгоритм действительно обеспечивает шифровние, т.к. в криптографических преобразованиях даже неболь- шие на первый взгляд изменения могут привести к полному краху всего алгоритма. Кроме того, свобода в выборе параметров ведет к несовмести- мости различных вариантов конкретных реализаций алгоритмов шиф- рования, выполненных в соответствии со стандартом, что означает наличие не одного стандарта, а целого семейства. Впрочем, специалисты "ЛАН Крипто" на основе своего анализа выбрали надлежащим образом параметры алгоритма, реализовали программным способом алгоритм шифрования ГОСТ 28147-89 на РС-АТ/286 и убедились, что он позволяет достичь несколько боль- шей скорости шифрования при одновременным сокращении объема используемой памяти по сравнению с аналогичной реализацией алго- ритма DES, но эти улучшения не носят принципиального характера. Поэтому мы продолжали работы по созданию собственного алго- ритма шифрования информации, который не уступал бы по стойкости упомянутым выше стандартам, но был бы более приспособлен для программной реализации на персональных компьютерах. 2.3. Алгоритм шифрования "Веста". В основу алгоритма шифрования информации, разработанного специалистами "ЛАН Крипто" положены как идеи, использованные при создании алгоритма DES, так и заложенные в стандарт ГОСТ 28147-89. Но в отличие от обоих этих алгоритмов, мы для удобства реа- лизации шифрования на персональных компьютерах используем обра- ботку информации блоками по 2 байта в ходе генерации псевдослу- чайной последовательности из исходного ключа, а собственно за- шифрование/расшифрование информации осуществляется путем побито- вого ее сложения по модулю 2 с этой последовательностью. Такой принцип шифрования обладает целым рядом существенных преимуществ: - он не размножает ошибку (искажение в канале любого бита информации приводит к неправильному расшифрованию только этого бита: можно использовать практически любой канал); - процедуры зашифрования и расшифрования одинаковы и пре- дельно просты ( что позволяет реализовать их компактно и достичь большой скорости обработки информации: скоростные версии прог- раммы "Веста" позволяют шифровать/расшифровывать информацию на PC/AT-286 со скоростью ее считывания с диска - 200-220 Кбайт/сек); - он наименее чувствителен к дополнительным свойствам исходного ключа: кроме случайности и равновероятности ничего не требуется. В то же время у этого принципа есть один( крайне существен- ный для традиционных систем обмена шифрованной информацией) не- достаток: при зашифровании каждого нового сообщения должен быть использован новый исходный ключ. О том, почему этот недостаток становится несущественным в технологии защиты информации "ЛАН Крипто" будет сказано подроб- ней в разделе 3. Формальное описание процедур зашифрования/расшифрования ал- горитма "Веста" приведено в Приложении В. 2.4. Оценка стойкости шифрования. Стойкость алгоритмов шифрования, т.е. их надежность по от- ношению к попыткам получить открытую информацию из шифрованной без знания ключа шифрования ("взломать шифр") определяется до настоящего времени во всем мире и по отношению ко всем алгорит- мам шифрования единственным способом - методом экспертных оце- нок. Поэтому сам факт, что стандарт США (DES) был открыто опуб- ликован 20 лет назад и с тех пор доступен для анализа любому эксперту говорит очень сильно в пользу обоснованности оценок его 18 стойкости на уровне 10 , которые до настоящего времени так и не были поколеблены. Практически это означает, что для дешифрования алгоритма DES с помощью суперЭВМ типа CRAY, которая выполняет в 9 секунду до миллиарда (10 ) операций, потребуется около 30 лет 7 непрерывной работы (в году - около 3*10 секунд). Гипотетически рассуждая о возможности создания специализи- рованной суперЭВМ, обладающей возможностью выполнять в секунду в 12 тысячу раз больше операций, чем CRAY, т.е. до 10 оп./сек., можно предположить, что время "взламывания" алгоритма DES может быть сокращено до нескольких недель. Однако все такого рода рассуждения, начиная с 1973 года и по настоящее время остаются всего лишь абстрактно-гипотетическими, хотя они и привели в последних версиях алгоритма DES к увеличению длины ключа. Стандарт СССР на шифрование данных в сетях ЭВМ (ГОСТ 28147-89) был разработан в 1989 году и до его появления в 1990-1991 годах в рекламно-информационных материалах компаний "Kami" и "Анкад" широкому кругу специалистов был практически не- доступен. В 1992 году его описание было приведено в книге "Защи- та информации в персональных ЭВМ", подготовленной специалистами СП "Диалог" и вышедшей в издательстве "Радио и связь", и с этого момента он стал не менее доступен для анализа, чем алгоритм DES. Учитывая, что с момента опубликования алгоритма ГОСТ 28147-89 прошло не так уж много времени, и то, что развитие криптографии как науки (открытой) в нашей стране делает только первые шаги, видимо не следует в ближайшее время ожидать ка- ких-либо серьезных публикаций по оценкам его стойкости. Остается только надеяться, что специалисты его разрабаты- вавшие профессионально сделали эту работу и несут за качество алгоритма хотя бы моральную ответственность. Со своей стороны специалисты "ЛАН Крипто" проводили в ходе реализации алгоритма ГОСТ 28147-89 также и анализ его криптогра- фических качеств, в результате чего пришли к заключению, что его 50 стойкость не менее 10 , что по всем разумным критериям более чем достаточно. Анализ криптографических качеств алгоритма "Веста", который разрабатывался на основе алгоритмов DES и ГОСТ 28147, также при- 70 вел нас к заключению, что его стойкость не менее 10 при самом жестком подходе к анализу. Из приведенных выше рассуждений о возможности практического 50 дешифрования алгоритма DES следует, что оценка 10 , и тем более 70 - 10 , является на много порядков превосходящей любой разумный уровень стойкости, необходимый для практических нужд. Наше решение о реализации алгоритма с таким уровнем стой- кости обьясняется только тем, что он достигается практически без дополнительных затрат по отношению к реализации процедуры форми- рования ключей. 3. АЛГОРИТМЫ ФОРМИРОВАНИЯ КЛЮЧЕЙ. Как мы уже отмечали в предыдущем разделе, одним из самых чувствительных мест в алгоритмах шифрования путем позначного сложения информации с шифрующей последовательностью (поточные шифры) является обязательная замена текущего ключа после шифро- вания каждого сообщения. Этот недостаток поточных шифров особенно серьезно мешает оперативному обмену информацией в разветвленных сетях, где жела- тельно обеспечить конфиденциальность обмена между каждой парой абонентов. Традиционные решения, связанные с рассылкой заранее изго- товленных центральной службой наборов различных ключей, для ком- мерческих сетей практически неприемлемы в силу их практического неудобства и дороговизны: необходимо содержать большую и надежно работающую (а, следовательно, хорошо оплачиваемую) службу изго- товления, доставки и контроля за использованием секретных ключей для шифрования. Более того, оставаясь внешней по отношению к пользователям сети, эта служба ни в коей мере не может гарантировать им действительную конфиденциальность циркулируемой в сети информа- ции. Приходится полагаться на честность, надежность, ... самой этой службы, что во многих ситуациях оказывается неудобным. Поэтому, в 1976 году в той же статье У.Диффи и М.Хеллмана, которую мы уже упоминали в разделе 1, были предложены новые пути для решения проблем с ключами шифрования. Один из них основан, как и цифровая подпись, на идее ис- пользования для преобразования информации двух различных ключей, которые жестко связаны между собой, но восстановление одного по второму практически невозможно . В этом случае ключ для зашифрования можно сделать обще- доступным( открытым ), а ключ для расшифрования хранить в секре- те и расшифровывать с его помощью полученные зашифрованные сооб- щения. Получается как бы цифровая подпись "наоборот". Такой принцип получил название Открытого Шифрования( ОШ ), и первым практическим примером была, естественно, "система RSA". Другой путь - самостоятельное формирование пользователями общих секретных ключей шифрования после предварительного обмена открытыми сообщениями( открытыми ключами ). 3.1. Метод Диффи - Хеллмана. Смысл предложения Диффи и Хеллмана сводился к тому, чтобы любая пара пользователей могла независимо ни от кого сформиро- вать в любой момент общий секретный ключ и использовать его для зашифрования/расшифрования сообщений, передаваемых только между ними. Для формирования общего секретного ключа они могут предва- рительно обменяться несекретными сообщениями (открытыми ключами) по общедоступным каналам. Эти сообщения могут быть перехвачены какой-то третьей сто- роной и просмотрены, но не должны быть подменены. Общий секретный ключ пары пользователей формируется каждым из них из своего исходного секретного ключа,полученного самим(!) пользователем с помощью датчика случайных чисел, и открытого ключа партнера, переданного ему по общедоступтому каналу связи. Новый общий ключ пары пользователей может формироваться ими при каждом сеансе связи или даже несколько раз в течение одного сеанса. Таким образом, главная проблема любой сети обмена конфиден- циальной информацией - оперативная и надежная смена ключей для шифрования/расшифрования в принципиальном плане была решена. Такой принцип снабжения ключами получил название - Открытое Распределение Ключей (ОРК). Первый практический способ реализации Открытого Распределе- ния Ключей был предложен самими авторами идеи и получил название метода Диффи - Хеллмана. В этом методе так же, как и в цифровой подписи Эль Гамаля, используется возведение в степень по модулю большого простого числа P. Интенсивные исследования, проводившиеся многими аналитиками с 1976 года, привели к заключению, что его надежность, так же, как и надежность цифровой подписи Эль Гамаля, определяется слож- ностью решения задачи ДИСКРЕТНОГО ЛОГАРИФМИРОВАНИЯ, оценки слож- ности которой мы привели в разделе 1.4. Конкретное описание процедуры Открытого Распределения Клю- чей в технологии "ЛАН Крипто" приведено в Приложении Г. 3.2. Идентификация абонентов. Одна из проблем, которая при использовании ОРК требует спе- циального решения - это подтверждение подлинности принятого от партнера по общедоступному каналу связи его открытого ключа и, в частности, подтверждение подлинности самого партнера. В традиционных системах обмена шифрованной информацией для этих целей служат секретные ключи, доставленные специальной службой: если с помощью такого ключа полученная зашифрованная информация расшифровывается правильно ( в осмысленный текст или по какому-то формальному критерию), то считается, что ее мог правильно зашифровать и передать только обладатель такого же секретного ключа, т.е. законный пользователь системы, которому этот секретный ключ был доставлен службой распределения ключей. О неудобствах и экономической неэффективности такого спо- соба идентификации абонентов мы уже говорили в разделе 2. Добавим только, что это лишь увеличивает зависимость поль- зователей от службы снабжения ключами. В современных телекоммуникационных системах для этих целей могут быть использованы различные способы: дублирование передачи по нескольким каналам, применение цифровой подписи, ... . Один из таких способов - протокол формирования общего сек- ретного ключа с аутентификацией абонентов, - детально описыва- ется в Приложении В. 3.3. Алгоритм формирования ключей "Афина". В программных разработках "ЛАН Крипто" первоначальный вари- ант метода ОРК Диффи-Хеллмана претерпел значительные изменения лишь в плане его алгоритмической реализации, ориентированной на персональные компьютеры. Поскольку основой вычислительной процедурой этого метода, так же как и метода цифровой подписи ЭльГамаля, является возве- дение в степень по модулю большого простого числа P, то его важ- нейшая техническая характеристика - время формирования общего ключа практически совпадает с оценками времени вычисления цифро- вой подписи, приведенными в средней колонке таблицы раздела 1.3. С целью сокращения времени формирования ключа для шифрова- ния в метод Диффи - Хеллмана внесены изменения , которые деталь- но описываются в Приложении В. Для получения больших простых чисел P заданного вида и ос- нования логарифмов используются процедуры , детально описанные в Приложении Г. В отличие от процедуры случайного выбора P , предлагаемой в национальном стандарте США(DSS), мы используем детерминирован- ную процедуру построения числа P , у которой в начале может быть 16 задано случайно одно из 2 возможных состояний , а дальнейшие вычисления производятся в соответствии с алгоритмом Приложения Д. Это дает возможность защититься от потенциального обвинения в том, что число P подобрано специально таким, чтобы давать воз- можность разработчикам системы "вскрывать" ее. Каждый достаточно аккуратный эксперт может самостоятельно получить то же самое число P , запуская процедуру на одном из начальных заполнений, и проделав то же самое количество вычислений. В то же время, он на основе анализа алгоритма генерации P может сам убедиться в прак- тической невозможности подобрать таким образом "плохое" число P. Процедура генерации исходных ключей детально описана в При- ложении Д. 3.4. Оценка стойкости. С точки зрения стойкости, т.е. надежности по отношению к попыткам определить общий секретный ключ пары абонентов по отк- рытым ключам, которыми они обмениваются, алгоритм формирования ключей "Афина" полностью эквивалентен исходному методу Диффи- Хеллмана. Метод ОРК Диффи-Хеллмана как "первая ласточка" новой крип- тографии очень активно исследуется многими аналитиками с момента появления в 1976 году. Все существующие на настоящий день оценки его стойкости основываются на сложности известной математической проблемы - задачи ДИСКРЕТНОГО ЛОГАРИФМИРОВАНИЯ. Современные оценки слож- ности этой задачи приведены в разделе 1.4. Влияние качества датчика случайных чисел на оценку стой- кости отражено в таблице Приложения Д. ЗАКЛЮЧЕНИЕ о криптографических качествах алгоритмов, используемых в программах "ЛАН Крипто". 1. Алгоритмы цифровой подписи, описанные в Приложении А, обеспечивают при использовании простого числа P из 510 бит, полученного по алгоритму Приложения Г, 24 стойкость 10 ( или более 1000 лет непрерывной работы сети из 100 супер- 9 компьютеров по 10 оп./сек. каждый). 2. Алгоритмы шифрования информации(Приложение Б) обеспечи- вают при сохранении в секрете ключа шифрования стойкость шифра не менее : 18 - алгоритм стандарта США (DES) - 10 , 50 - алгоритм ГОСТ 28147-89 - 10 , 70 - алгоритм "Веста" - 10 . 3. Алгоритмы формирования общего секретного ключа (Приложение В) обеспечивают при использовании - простого числа P из 510 бит, полученного по алгоритму Приложения Г, - исходных индивидуальных ключей, полученных с помощью дат- чика Приложения Д, 24 стойкость 10 . А.Лебедев президент "ЛАН Крипто" ЛИТЕРАТУРА 1. W. Diffie, M. Hellman, " New directions in cryptography ", IEEE Trans. Informat. Theory, vol. IT-22, pp.644-654, Nov.1976. 2. Federal Register , "Encryption algorithm for computer data protection", vol.40, no.52, pp.12134-12139, Mar.17, 1975. 3. "Data encryption standard(DES)", National Bureau of Standards (U.S.), Federal information Service, Springfield , VA , Federal Information Processing Standard Publication,46, Apr. 1977. 4. R. Rivest, A. Shamir, L. Adleman, "A method for obtaining di- gital signatures and public key cryptosystems", Commun. ACM, vol. 21, no. 2, pp. 120-126, Feb. 1978. 5. T. ElGamal, "A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms", IEEE Trans. Informat. Theory , vol. IT-31, no.4, pp.469-472, Nov.1985. 6. Federal Register , "A Proposed Federal Information Processing Standard for Digital Signature Standard(DSS), vol.56, no.169, Aug.30, 1991. 7. A. Konheim , " Cryptography. A Primer" John Wiley & Sons, New York, 1983.  * ПРИЛОЖЕНИЯ *  Договор о применении цифровой подписью. Рыба Д О Г О В О Р О ПРИМЕНЕНИИ СИСТЕМЫ КОЛЛЕКТИВНОГО ПОЛЬЗОВАНИЯ ЦИФРОВОЙ (ЭЛЕКТРОННОЙ) ПОДПИСЬЮ В ......... . Участники сделок , совершаемых в рамках или при участии .............................. (далее - Стороны), подписавшие настоящий договор, руководствуясь намерениями дальнейшего улучшения уровня деловых отношений между собой и другими партнерами; в целях существенного сокращения сроков заключения и исполнения договоров и иных сделок в процессе коммерческой де- ятельности; желая обеспечить предотвращение крупных нерациональных расходов, связанных с ведением договорной работы на бумажных носителях информации; исходя из общей заинтересованности в возможности обеспе- чения гарантированного подтверждения подлинности и авторства документов, обрабатываемых средствами электронно-вычислитель- ной техники; последовательно придерживаясь соблюдения норм, установ- ленных законодательством, добрых нравов, правил и обычаев де- лового оборота, пришли к соглашению о н и ж е с л е д у ю щ е м: С Т А Т Ь Я I. Стороны выражают намерение применять при заключении и исполнении договоров (контрактов) и иных сделок, а также для осуществления иных видов коммерческой деятельности систему коллективного пользования цифровой (электронной) подписью. С Т А Т Ь Я II. Обязательства Сторон, связанные с применением системы коллективного пользования цифровой (электронной) подписью, ре- гулируются Положением о системе коллективного пользования циф- ровой (электронной) подписью, являющимся неотъемлемой частью настоящего договора. С Т А Т Ь Я III. Разрешение возникших или могущих возникнуть между Сторо- нами споров, связанных с применением системы коллективного пользования цифровой (электронной) подписью, осуществляется постоянно действующим третейским судом при ............... . Стороны признают решение, принятое постоянно действующим третейским судом при ............................ , в соот- ветствии с процедурой, установленной Положением о системе кол- лективного пользования цифровой (электронной) подписью, обяза- тельным для участников спора, по которому оно вынесено. Стороны обязуются добровольно исполнять решения постоянно действующего третейского суда при ............................ по указанным вопросам в установленные в них сроки. В случае отказа от добровольного исполнения решения по- стоянно действующего третейского суда при ................. его исполнение осуществляется принудительно , в порядке, пре- дусмотренном действующим законодательством. С Т А Т Ь Я IV. Обязательства Сторон, вытекающие из настоящего договора, возникают с момента его подписания. Подписание договора с оговорками не допускается. Договор о применении системы коллективного пользования цифровой (электронной) подписью является открытым для подписа- ния и другими участникам сделок, совершаемых в рамках или при участии .......................... . С Т А Т Ь Я V. Первый экземпляр настоящего договора хранится в ... , остальные экземпляры, имеющие одинаковую юридическую силу, пе- редаются Сторонам. Совет директоров .......................... в случае присоединения к настоящему договору новых участников обязан незамедлительно информировать об этом Стороны. От ___________________________________________________ __________________________ (_____________) м.п. От ___________________________________________________ __________________________ (_____________) м.п. . . . . . . . . . . . . . . . . . . . . . . . . . Обоснование системы электронной подписи ОБОСНОВАНИЕ возможности внедрения системы электронной подписи, разрешения коллизий , связанных с этим, а также создания постоянно действую- щего третейского суда для разрешения эко- номических споров между участниками сделок в .......................... . 1. Решение вопроса о значительном ускорении процессов заключения и исполнения договоров на финансовом рынке, а также рынке ценных бумаг, удешевлении этих процессов и процедур, связанных с разрешением различного рода имущественных споров (в том числе вытекающих из неисполнения или ненадлежащего исполнения заключенных договоров), требует создания особых правовых механизмов. Эти правовые механизмы призваны обеспечить необходимые юридические гарантии, позволяющие при значительном ускорении и удешевлении процессов исполнения договоров, процедур разреше- ния имущественных споров создать благоприятные условия объек- тивного как с точки зрения материального, так и с точки зрения процессуального права рассмотрения возникающих коллизий. 2. Решение вопроса о возможности создания правового обеспечения ускорения заключения и исполнения договоров на основе применения электронно-вычислительной техники (в том числе с помощью внедрения системы электронной подписи), а так- же разрешение возникающих при этом коллизий обосновываются на ряде требований законодательства. Согласно ст.58 Основ гражданского законодательства Союза СССР и республик/1/ договор считается заключенным, когда между сторонами, в требуемой в подлежащих случаях форме , достигнуто соглашение по всем существенным его условиям. При этом, если стороны условились заключить договор в определенной форме, он считается заключенным с момента придания ему условленной фор- мы, хотя бы по законодательству для данного вида договоров эта форма и не требовалась. ____________________ /1/ Утверждены Верховным Советом СССР 31 мая 1991 г. (Ведо- мости Съезда народных депутатов СССР и Верховного Совета СССР. 1991. N 26. Ст.733). В соответствии с постановлением Верховно- г