Математические методы обоснования оценок уровня информационной безопасности программных средств защиты информации, функционирующих в слабодоверенном окружении тема диссертации и автореферата по ВАК РФ 05.13.19, доктор наук Смышляев Станислав Витальевич

Апробация работы.

Результаты, полученные в диссертации, докладывались на международных и всероссийских конференциях и научно-исследовательских семинарах: - семинар отдела дискретной математики Математического института им. В.А. Стеклова РАН;

- семинар «Булевы функции в криптологии» кафедры дискретной математики Механико-математического факультета Московского государственного университета им. М.В. Ломоносова;

- семинар «Математические методы криптографического анализа» кафедры информационной безопасности факультета Вычислительной математики и кибернетики Московского государственного университета им. М.В. Ломоносова;

- цикл из четырех семинаров в Университете Бергена (научный семинар по вопросам информационной безопасности центра "Selmer Center in Secure Communication", под руководством Тора Хеллесета);

- семинар лаборатории National Engineering Laboratory for Wireless Security, Сиань, КНР;

- международный симпозиум НАТО «Enhancing Cryptographie Primitives with Techniques from Error Correcting Codes», Велико-Тырново, Болгария (2008 г.);

- симпозиум с международным участием «Современные тенденции в криптографии», CTCrypt (2013, 2015, 2016, 2017, 2018, 2019, 2020, 2021 г.);

- международная научная конференция «Progress of Security Protocols» (PSP 2017), Сиань, КНР (2017 г.);

- международные научные конференции по криптографии на территории Республики Куба (2015 и 2017 г.);

- конференции с международным участием «РусКрипто» (2012, 2013, 2014, 2015, 2016, 2017, 2018 г.);

- конференция с международным участием «V Международная научно-практическая конференция "Управление информационной безопасностью в современном обществе"», НИУ ВШЭ (2017 г.);

- международные конференции сообщества IETF/IRTF: Берлин, Германия (2016 г.), Сеул, Республика Корея (2016 г.), Чикаго, США (2017 г.), Прага, Чехия (2017 г.), Сингапур (2017 г.), Монреаль, Канада (2018 г.),

Бангкок, Таиланд (2018 г.), Прага, Чехия (2019 г.);

- международные совещания подкомитета ISO/IEC JTC1 SC27 "Information security, cybersecurity and privacy protection", Ухань, КНР (2018 г.), Гьовик, Норвегия (2018 г.), Тель-Авив, Израиль (2019 г.);

- форум «Безопасность информационных технологий в цифровой экономике», Москва (2020 г.);

- международная конференция «Security Standardisation Research 6th International Conference» (SSR 2020), Лондон, Англия (2020 г.);

- международный симпозиум «IEEE 33rd Computer Security Foundations Symposium» (CSF 2020), Бостон, США (2020 г.).

Теоретическая значимость.

В ходе исследования получены результаты, существенно развивающие математические модели и методы, применяемые при синтезе и анализе механизмов обеспечения информационной безопасности. Доказанные утверждения о кодирующих устройствах, построенных с использованием дискретной функции и регистра сдвига, которые сохраняют равновероятность входной последовательности при любом выборе расстояний между точками съема (в том числе, доказанная Гипотеза Голича, 1996 г.), новые результаты о свойствах спектральных коэффициентов совершенно уравновешенных булевых функций (опровергающие ранее существовавшие предположения, основавшиеся на результатах зарубежных исследователей), а также установленные достаточные условия обладания совершенно уравновешенной булевой функцией свойством корреляционной иммунности существенно развивают методы синтеза и анализа дискретных функций для использования в задачах обеспечения информационной без-

опасности. Разработанные подходы, позволяющие обеспечить безопасность реализаций схем электронной подписи Эль-Гамаля и протоколов обеспечения защиты каналов связи в условиях потенциально уязвимых источников случайности, строго обоснованы в релевантных математических моделях. Разработанный математический аппарат для исследования механизмов преобразования сессионных векторов блочных симметричных алгоритмов обеспечения конфиденциальности позволил установить оценки уровня информационной безопасности для семейств построенных с их применением режимов (в том числе, новых, синтезированных в рамках настоящего исследования), обосновывающие повышение стойкости результирующих процедур защиты данных по сравнению с базовыми режимами работы блочных симметричных алгоритмов. Для параметризованных семейств механизмов УКО, РКРСОБТ, КЭРТЯЕЕ, модифицированных схем подписи Эль-Гамаля, а также функций генерации проверочных параметров СУУ и РУУ в соответствующих математических моделях разработаны методы обоснования оценок уровня информационной безопасности, позволяющие выбирать определяющие их конкретный вид значения параметров исходя из ограничений на вероятность успеха нарушителя при проведении атак. Разработан интерактивный протокол вычисления электронной подписи, для которого в математической модели, отражающей условия наличия уязвимостей в основном вычислительном устройстве, обоснована стойкость. Разработан применимый для защиты доступа к хранимым высокоэнтропийным секретам протокол установления защищенного соединения с аутентификацией на основе пароля и явным подтверждением выработанного общего секрета БЕБРАКЕ, для которого в построенной математической модели, подробно описывающей

условия его применения, разработаны методы получения обоснованных оценок уровня информационной безопасности. Совокупность разработанных в диссертации математических методов обеспечения достаточного уровня информационной безопасности, математических моделей, а также методов получения обоснованных оценок уровня информационной безопасности средств защиты информации в условиях ограниченного доверия к среде функционирования представляет собой качественное развитие математического аппарата, применяемого при разработке и анализе математических моделей и методов оценки защищенности информации в задачах обеспечения информационной безопасности.

Практическая значимость.

Все полученные результаты применимы для синтеза и анализа механизмов обеспечения защиты информации в условиях слабодоверенного окружения. Полученные результаты позволяют для индивидуальных параметров схем получать обоснованные численные значения уровня информационной безопасности, осуществлять выбор параметров схем, опираясь на строгие математические результаты о стойкости, без проведения дополнительных исследований. Кроме того, разработанные методы могут использоваться при подготовке учебных пособий и разработке лекционных курсов. Внедрение изложенных и обоснованных методов при разработке средств защиты информации решает практическую проблему обеспечения безопасности их функционирования в условиях массового применения, имеющую определяющее значение для информационной безопасности государства.

Практическая значимость диссертации подтверждена 16 актами о внедрении, а также 11 свидетельствами о государственной регистрации

программы для ЭВМ.

Результаты диссертации используются в деятельности следующих государственных и коммерческих организаций:

• Министерство обороны Российской Федерации — при обеспечении информационной безопасности в системах электронного документооборота и удостоверяющего центра Минобороны России;

• Федеральная налоговая служба Российской Федерации —

при проектировании и оценке защищенности систем электронного документооборота и удостоверяющего центра ФНС России;

• Центральный банк Российской Федерации — в деятельности Департамента информационной безопасности Банка России, при оценке защищенности информационных систем кредитных организаций, а также при формировании нормативно-технических актов Банка России по обеспечению защиты информации при осуществлении переводов денежных средств и формировании комплексной системы защиты информации в Системе быстрых платежей Банка России;

• НИИ «Восход» — при разработке и оценке уровня информационной безопасности средств головного удостоверяющего центра Российской Федерации, а также паспортов с электронным носителем;

• Национальная система платежных карт (НСПК) — при проектировании и оценке уровня информационной безопасности перспективных систем обеспечения информационной безопасности национальной платежной системы «МИР», а также в решениях, обес-

печивающих защиту информации в действующих информационных системах национальной платежной системы «МИР»;

• АНСЕР ПРО — при оценке защищенности информации в рамках проведения исследований средств и информационных систем на соответствие действующим в Российской Федерации требованиям по информационной безопасности, а также при разработке методологии проведения данных исследований;

• Актив-Софт — при разработке и оценке уровня информационной безопасности средств защиты информации, в том числе, в системах дистанционного банковского обслуживания клиентов кредитно-финансовых организаций (в частности, ПАО «Сбербанк»), а также в федеральном проекте, предназначенном для обеспечения конфиденциальности контрольно-измерительных материалов (КИМ) при проведении Единого государственного экзамена (ЕГЭ) в масштабах всей Российской Федерации;

• Системы практической безопасности — при разработке и внедрении средств защиты информации, предназначенных для обеспечения информационной безопасности систем платежных карт;

• КРИПТО-ПРО — при разработке и оценке уровня информационной безопасности средств защиты информации, обеспечивающих информационную безопасность клиент-серверных соединений, а также систем электронного документооборота в государственных и коммерческих организациях;

• ИнфоТеКС — при разработке и оценке уровня информационной

безопасности средств защиты информации, обеспечивающих информационную безопасность клиент-серверных соединений, а также систем электронного документооборота в государственных и коммерческих организациях;

• SafeTech — при разработке и оценке уровня информационной безопасности средств электронной подписи, применяемых, в частности, в системах электронного документооборота банков ВТБ, Промсвязьбанк, Альфа-Банк, Россельхозбанк;

• Яндекс — при разработке сервисов и оценке уровня информационной безопасности средств защиты информации, применяемых в информационных системах ООО «Яндекс.Облако»;

• Газинформсервис — при разработке и оценке уровня информационной безопасности средств защиты информации, применяемых для обеспечения информационной безопасности систем электронного документооборота, в том числе, в структурах ПАО «Газпром»;

• Ростелеком — при разработке средств и система защиты информации, при обеспечении информационной безопасности взаимодействий с государственной Единой системой идентификации и аутентификации (ЕСИА) и Единой биометрической системой (ЕБС) в рамках процессов регистрации, идентификации и аутентификации;

• МегаФон — при обеспечении информационной безопасности процессов работы систем электронной подписи, используемых в системах электронного документооборота ПАО «МегаФон»;

• Сбербанк — при обеспечении информационной безопасности процессов электронной подписи в системах электронного документооборота ПАО «Сбербанк».

Разработанный механизм обеспечения защиты от уязвимых источников случайности по результатам данных исследований стандартизирован в IETF/IRTF в RFC 8937 как готовый к внедрению в средства защиты информации без дополнительных исследований.

Разработанный и обоснованный режим работы блочных симметричных алгоритмов CTR-ACPKM, предназначенный для функционирования в условиях слабодоверенного окружения, стандартизирован в российских рекомендациях по стандартизации Р 1323565.1.017-2018 «Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов блочного шифрования», в международном отраслевом стандарте IETF/IRTF RFC 8645, а также в международном стандарте ISO/IEC 10116:2017 /AMD 1:2021 «Information technology — Security techniques — Modes of operation for an n-bit block cipher», став шестым режимом работы блочных симметричных алгоритмов в ряду с разработанными более 30 лет назад классическими режимами ECB (простой замены), CTR (гамми-рования), CFB (гаммирования с обратной связью по шифртексту), CBC (простой замены с зацеплением), OFB (гаммирования с обратной связью по выходу). Режим CTR-ACPKM и доказанные результаты о его свойствах стали фундаментом для процедур транспорта данных в стандартизированных в России протоколах CMS и TLS 1.2 (Рекомендации по стандартизации Р 1323565.1.020-2020 «Информационная технология. Крип-

тографическая защита информации. Использование российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.2)»).

По результатам проведенных исследований семейств механизмов PRFGOST, VKO, KDFTREE, KDFGOST они были стандартизированы в рекомендациях по стандартизации Р 50.1.113-2016 «Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хэширования», вошли в RFC 7836, на результатах проведенных исследований была основана разработка и анализ процедур выработки ключей всех современных стандартизированных в России версий протоколов CMS, TLS и IPsec. Разработанные для KDFTREE и VKO методы позже позволили при разработке порядка применения российских алгоритмов (с последующей стандартизацией) для платежной системы «МИР» провести анализ стойкости подсистем выработки ключей в процессах персонализации и процессинга, защиты PIN-кода при его проверке в отсутствие доступа к сети, определив строго обоснованным образом допустимые параметры безопасного функционирования данных подсистем.

По результатам проведенных исследований усовершенствованные процедуры формирования параметров CVV/PVV стандартизированы в России в рекомендациях по стандартизации Р 1323565.1.007-2017 «Информационная технология. Криптографическая защита информации. Использование алгоритмов блочного шифрования при формировании проверочного параметра платежной карты и проверочного значения PIN» в качестве процедур формирования проверочного параметра платежной

карты и проверочного значения PIN.

Разработанный и обоснованный протокол SESPAKE по результатам проведенных в диссертации исследований стандартизирован в рекомендациях по стандартизации Р 50.1.115-2016 «Информационная технология. Криптографическая защита информации. Протокол выработки общего ключа с аутентификацией на основе пароля» и вошел в RFC 8133, применяется в паспортах с электронным носителем, планируемых к массовой выдаче вместо существующих бумажных паспортов.

Структура и объем работы

Диссертационная работа состоит из введения, трех глав, заключения, списка основных обозначений, списка литературы из 339 наименований и приложения. Работа изложена на 593 страницах.

Содержание работы

Во введении обоснована актуальность темы диссертации, сформулированы цели и задачи исследований, отражены научная новизна, теоретическая и практическая значимость полученных результатов, представлены основные результаты, которые выносятся на защиту.

В разделе «Обозначения, определения и общие сведения» вводятся используемые в работе понятия и обозначения, а также приводятся некоторые используемые в работе ранее известные результаты: понятие совершенно уравновешенной дискретной функции и функции с барьером, основные известные утверждения о данных классах функций, используемая далее в работе терминология для определения математических моделей нарушителя, обозначения, определения и некоторые известные результаты для используемых далее в работе механизмов, таких

как HMAC, функции хэширования, схемы электронной подписи.

Первая глава посвящена методам применения и преобразования выходов источников случайности в средствах защиты информации с целью обеспечения защищенности в условиях слабодоверенного окружения. В ней развивается математический аппарат дискретных функций, необходимых для построения генераторов псевдослучайных чисел, устойчивых к сбоям источников случайности (то есть позволяющих сохранить положительные качества выходной последовательности в случае сбоев в окружении средства защиты информации), а именно, совершенно уравновешенных функций, а также синтезируются и анализируются математические конструкции, позволяющие обеспечить отсутствие ухудшения свойств защиты информации в случае сбоев исходного датчика случайных чисел — как в общем случае, без применения дополнительных модулей (для схем электронной подписи), так и в ситуациях, в которых возможно применение вспомогательных источников случайности на базе программно-аппаратных модулей HSM (Hardware Security Module).

При реализации генераторов псевдослучайных чисел (ГПСЧ — здесь и далее будем употреблять данный термин для механизмов, предполагаемых для реализации непосредственно в рассматриваемых средствах защиты информации программным образом) в средствах защиты информации типичным подходом является следующий: исходное заполнение генератора псевдослучайных чисел берется с некоторого датчика случайных чисел (ДСЧ — здесь и далее будем употреблять данный термин для программно-аппаратных компонент, применяемых в рассматриваемых средствах защиты информации в качестве внешних источников случайности) аппаратного или биологического (см. [13, 49, 50]), после чего

для порождения сессионных секретов, синхропосылок и прочих критичных для безопасности одноразовых значений используются очередные выходы ГПСЧ (см. [290, 309]).

Изучаются методы преобразования исходной случайной последовательности, применимые в средствах, предполагаемых для использования в тех системах, в которых целесообразно учитывать возможность сбоев и отказов некоторых из источников случайности. В таких случаях важно обеспечить, с одной стороны, сохранение «идеальных» свойств случайной последовательности в штатном режиме работы (пока сбои и отказы не произошли) и, одновременно, защиту от полного вырождения случайной последовательности в случае сбоев.

Результаты исследований в области преобразований, применяемых при обеспечении защиты информации и сохраняющих положительные качества входной случайной последовательности, представлены в работах С.Н. Сумарокова [77], В.Г. Никонова, Н.В. Никонова [59], А.В. Баба-ша [33], М.И. Рожкова [62, 63, 64], О.А. Логачева [52], С.В. Смышляева, В.В. Ященко [54], Р. Андерсона [119], Г. Хедлунда [202], Ф. Препараты [261] и др.

Выход ДСЧ, применяемых в средствах защиты информации, на практике в типичном случае получается на основе ряда независимых по природе, но не всегда имеющих гарантии стабильного поведения источников. В результате этого в штатном режиме выход ДСЧ является неотличимым от последовательности независимых равномерно распределенных двоичных символов (битов), а в случае сбоев вырождается в снабженную строгими зависимостями последовательность, типичным видом которой является линейно-рекуррентная. С учетом указанных особенностей по-

ведения в слабодоверенном окружении, в программных средствах защиты информации может использоваться такой метод дополнительной защиты, как применение обработки двоичной последовательности вспомогательным кодирующим устройством, построенным на основе регистра сдвига и дискретной функции. Из практических требований вытекает, что данная дискретная функция должна обладать двумя свойствами: в случае последовательности независимых равномерно распределенных двоичных символов на входе преобразования такой должна быть и выходная последовательность (определяемые этим свойством дискретные функции называются совершенно уравновешенными), а в случае вырождения входной последовательности в линейно-рекуррентную она должна обеспечивать улучшение ее качеств (см. [313]), в частности, добавляя нелинейность в зависимости выходных символов от входных. Разделы 1.1 и 1.2 диссертации посвящены исследованию и методам построения соответствующих вспомогательных кодирующих устройств — в случаях произвольного и фиксированного набора точек съема кодирующего устройства соответственно.

Раздел 1.1 посвящен исследованию фундаментального вопроса о возможности сохранения дискретной функцией свойства совершенной уравновешенности при добавлении любого количества фиктивных переменных. В булевом случае предположение о структуре класса функций, обладающих таким свойством, было выдвинуто в работе [192] в 1996 году Йованом Голичем. Начиная с работы М. Дихтла [174], данное предположение известно в качестве Гипотезы Голича.

Гипотеза Голича предполагает, что все булевы функции, сохраняющие совершенную уравновешенность при добавлении любого числа фик-

тивных переменных, линейны по одной из крайних переменных. С точки зрения практики, это означает, что все параметризованные набором точек съема вспомогательные кодирующие устройства на основе регистра сдвига и булевой функции, которые не ухудшают свойства входной последовательности ни при каком наборе расстояний между точками съема (см. [314]), неминуемо обладают свойством линейности по первому или последнему входу (что, в свою очередь, как следует из результатов диссертаций [53] и [71], а также [313] и [316], является нежелательным свойством в случае необходимости избежать применимости простых методов обращения таких кодирующих устройств).

Попытки зарубежных исследователей (Й. Голич, [192], М. Дихтл [174], А. Канто [159], А. Гуже, Х. Сибер [195]) продвинуться в доказательстве Гипотезы Голича ранее не только оканчивались неудачами, но и приводили к получению ошибочных результатов (как ранее опровергнутых, [71], так и опровергаемых в настоящей работе в разделе 1.2).

В настоящей диссертации Гипотеза Голича полностью доказана. В Теореме 1.1.2 разработан метод построения для произвольной существенно и нелинейно зависящей от крайних переменных булевой функции набора точек съема, для которого с применением доказанного С.Н. Сумароковым в работе [77] критерия и с применением доказанных Лемм 1.1.1, 1.1.2, 1.1.3 обосновывается нарушение свойства совершенной уравновешенности у соответствующей булевой функции.

Таким образом, доказана невозможность построения вспомогательного кодирующего устройства на основе регистра сдвига и отличной от линейной по крайней переменной булевой функции, которое не ухудшало бы статистические свойства входной последовательности ни при каком

выборе точек съема.

С учетом возможности преобразования входной последовательности блоками длины т ^ 2 далее рассматривается вопрос о возможности построения таких кодирующих устройств над алфавитом большей мощности — в особенности, в случае алфавита мощности к = 2т, т ^ 2. Формулируются и рассматриваются два обобщения условия Гипотезы Голича для случая произвольного к ^ 2:

• Условие Голича. Совершенная уравновешенность, сохраняющаяся при любом выборе набора точек съема (без изменения порядка), эквивалентна перестановочности по первой или последней существенной переменной.

• Слабое условие Голича. Совершенная уравновешенность, сохраняющаяся при любом выборе обобщенного (т.е. с возможностью изменения порядка) набора точек съема, эквивалентна перестановочности по каждой существенной переменной (для функции, отличной от константы).

Из доказанной Теоремы 1.1.2 следует, что Условие Голича и Слабое Условие Голича выполнены для к = 2.

Также доказано, что Условие Голича:

1. нарушается на ^-значных функциях двух переменных при любом составном к (Следствие 1.1.2);

2. не нарушается на ^-значных функциях двух переменных при к равном одному из четырех наименьших простых чисел (Теорема 1.1.8);

3. нарушается на ^-значных функциях с барьером длины 2 при любом составном к (Теорема 1.1.3);

4. не нарушается на ^-значных функциях с барьером длины 2 при любом простом к (Следствие 1.1.7);

5. выполнено на ^-значных функциях двух переменных с барьером при любом простом к (Следствие 1.1.8);

6. нарушается на существенно зависящих от п переменных ^-значных функциях при любом составном к и любом п ^ 2 (Теорема 1.1.4).

Кроме того, доказано, что Слабое условие Голича:

1. нарушается на ^-значных функциях двух переменных при любом составном к (Следствие 1.1.5);

2. не нарушается на ^-значных функциях двух переменных при к равном одному из четырех наименьших простых чисел (Следствие 1.1.10);

3. нарушается на существенно зависящих от трех переменных ^-значных функциях при любом составном к (Теорема 1.1.5).

Итак, обобщенная версия Гипотезы Голича в ^-значном случае не является корректной: более того, получен, в определенном смысле, неожиданный результат о связи выполнения обобщенной версии Гипотезы Голича с простотой к.

Из доказательства самой Гипотезы Голича следует, что вспомогательные кодирующие устройства для рассматриваемых задач требуется выбирать сразу с фиксированным набором точек съема.

В разделе 1.2 свойства совершенно уравновешенных булевых функций (в том числе, булевых функций с барьером) исследуются в свете применения во вспомогательных кодирующих устройствах на базе регистра сдвига и булевой функции при фиксированном наборе точек съема; изучается вопрос о методах построения таких функций с положительными свойствами. В большом числе случаев положительные с точки зрения использования в таких кодирующих устройствах свойства булевых функций выражаются через набор условий на коэффициенты Уолша-Адамара — но, за исключением некоторых ранее полученных частных утверждений (см. [55]), содержательные результаты о свойствах коэффициентов Уолша-Адамара совершенно уравновешенных булевых функций отсутствовали.

Список литературы

1. Доктрина информационной безопасности Российской Федерации. Утверждена Указом Президента Российской Федерации от 5 декабря 2016 г. № 646.

2. Федеральный закон от 6 апреля 2011 г. № 63-Ф3 «Об электронной подписи».

3. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

4. Указание Банка России и ПАО "Ростелеком" от 9 июля 2018 г. № 4859-У/01/01/782-18 «О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации», в единой биометрической системе».

5. Поручение Президента Российской Федерации от 16 июля 2016 года № Пр-1380 «Об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования».

6. Постановление Правительства Российской Федерации от 30 июня 2020 года № 963 «О реализации пилотного проекта по использованию российских криптографических алгоритмов и средств шифрования в го-

сударственных информационных системах».

7. ГОСТ 28147-89, «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования», Москва, ИПК Издательство стандартов, 1989.

8. ГОСТ Р 34.10-2012, «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», Москва, Стандартинформ, 2012.

9. ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования», Москва, Стандарт-информ, 2012.

10. ГОСТ Р 34.12-2015 «Информационная технология. Криптографическая защита информации. Блочные шифры», Москва, Стандартин-форм, 2015.

11. ГОСТ Р 34.12-2015 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров», Москва, Стандартинформ, 2015.

12. Рекомендации по стандартизации Р 50.1.115-2016 «Информационная технология. Криптографическая защита информации. Парольная защита ключевой информации», Москва, Стандартинформ, 2016.

13. Рекомендации по стандартизации Р 1323565.1.012-2017 «Информационная технология. Криптографическая защита информации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации», Москва, Стандартинформ, 2017.

14. Рекомендации по стандартизации Р 1323565.1.016-2018 «Информационная технология. Криптографическая защита информации. Использование режимов алгоритма блочного шифрования, алгоритмов

электронной подписи и функции хэширования в процедуре оффлайновой аутентификации платежного приложения», Москва, Стандарт-информ, 2018.

15. Рекомендации по стандартизации Р 1323565.1.024-2019 «Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов», Москва, Стандартинформ, 2019.

16. Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в сети Интернет версии 2 (IKEv2)» (Проект)

17. Рекомендации по стандартизации Р 1323565.1.025-2019 «Информационная технология. Криптографическая защита информации. Форматы сообщений, защищенных криптографическими методами», Москва, Стандартинформ, 2019.

18. Рекомендации по стандартизации Р 1323565.1.010-2017 «Информационная технология. Криптографическая защита информации. Использование функции диверсификации для формирования производных ключей платежного приложения», Москва, Стандартинформ, 2017.

19. Рекомендации по стандартизации Р 1323565.1.011-2017 «Информационная технология. Криптографическая защита информации. Использование алгоритмов согласования ключа и блочного шифрования при офлайновой проверке PIN», Москва, Стандартинформ, 2017.

20. Методические рекомендации МР 26.2.001-2013, «Использование наборов алгоритмов шифрования на основе ГОСТ 28147-89 для протокола безопасности транспортного уровня (TLS)», Москва, Технический ко-

митет по стандартизации «Криптографическая защита информации», 2013.

21. Методические рекомендации МР 26.2.002-2013 «Использование алгоритмов ГОСТ 28147-89, ГОСТ Р 34.10 и ГОСТ Р 34.11 в криптографических сообщениях формата CMS», Москва, Технический комитет по стандартизации «Криптографическая защита информации», 2013.

22. Техническая спецификация ТС 26.2.002-2014, «Использование ГОСТ 28147-89 при шифровании вложений в протоколах IPSEC ESP», Москва, Технический комитет по стандартизации «Криптографическая защита информации», 2013.

23. Техническая спецификация ТС 26.2.001-2015 «Использование ГОСТ 28147-89, ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012 в протоколах обмена ключами IKE и ISAKMP», Москва, Технический комитет по стандартизации «Криптографическая защита информации», 2015.

24. Единая биометрическая система. Методические рекомендации по работе с Единой биометрической системой для разработчиков, https: //bio.rt.ru/documents/.

25. Положение об Открытом конкурсе научных работ по исследованию хэш-функции ГОСТ Р 34.11-2012, http://www.streebog.info.

26. Модель угроз и нарушителя безопасности для программно-технического комплекса дистанционного электронного голосования. https://www.comnews.ru/content/215806/2021-08-04/2021-w31/ model-ugroz-i-narushitelya-bezopasnosti-dlya-ptk-deg.

27. Электронный документооборот. Применение электронной подписи // Портал Федеральной налоговой службы Российской Федерации, https://www.nalog.gov.ru/rn77/related_activities/

el_doc/use_electronic_sign/.

28. Алексеев Е.К., Ошкин И.Б., Попов В.О., Смышляев С.В. Решение систем линейных уравнений булева типа с искаженной правой частью над полем действительных чисел // Дискретная математика. 2017. Т. 29. № 1. С. 3-9.

29. Анохин М.И., Варновский Н.П., Сидельников В.М., Ященко В.В. Криптография в банковском деле. М.: МИФИ, 1997.

30. Архангельская А.В. Обзор и анализ современных генераторов случайных и псевдослучайных чисел // Безопасность информационных технологий. 2005. № 4. С. 31-39.

31. Архангельская А.В. О компонентах генераторов случайных чисел, используемых в криптографических приложениях, и требованиях к ним // X Международная конференция «Комплексная защита информации»: сб. науч. тр. 2005. № 4. С. 31-39.

32. Архангельская А.В. Построение высокоскоростных квантовых генераторов случайных чисел для систем защиты информации // Диссертация на соискание степени кандидата технических наук. 2008.

33. Бабаш А. В. Запреты автоматов и двоичных функций // Труды по дискретной математике. 2006. Т. 9. С. 7-20.

34. Баранов А.П. Перспективные направления исследований в защите информации // Материалы пленарного заседания РусКрипто'2014, https://www.ruscrypto.ru/resource/archive/rc2014/files/01_ baranov.pdf, 2014 г.

35. Баранов А.П. Актуальные направления в области информационной безопасности // Материалы пленарного заседания РусКрипто'2016, https://www.ruscrypto.ru/resource/archive/rc2016/files/01_

baranov.pdf, 2016 г.

36. Баранов А.П., Баранов П.А. Информационная безопасность больших данных в массовых системах // Материалы пленарного заседания РусКрипто'2017, https://www.ruscrypto.ru/resource/ archive/rc2017/files/01_baranov.pdf, 2017 г.

37. Баранов А.П., Баранов П.А. Криптография и информационная безопасность в цифровом обществе // Материалы пленарного заседания РусКрипто'2019, https://www.ruscrypto.ru/resource/ archive/rc2019/files/01_Baranov.pdf, 2019 г.

38. Баранов А.П., Баранов П.А.. Российские перспективы развития применения криптосредств в гражданском обществе // Материалы РК1-Форума 2017, https://pki-forum.ru/files/files/2017/01_ Baranov.pdf, 2017 г.

39. Баранов А.П., Баранов П.А. Квалифицированная электронная подпись в массовых системах // Материалы РК1-Форума 2020, https: //pki-forum.ru/files/files/Baranov_2020.pdf, 2020 г

40. Баранов А.П., Баранов П.А. Госключ — успех или катастрофа // Материалы РК1-Форума 2021, https://pki-forum.ru/files/files/ 11-00_Bara.nov_PKI%202021.pdf, 2021 г.

41. Варновский Н.П. Стойкость схем электронной подписи в модели с защищенным модулем // Дискретная математика, 20:3 (2008), 147-159.

42. Варновский Н.П. Курс лекций по математической криптографии. 2009. http://cryptography.ru/wp-content/uploads/2014/11/varn_ lectures_long.pdf

43. Василенко О.Н. Теоретико-числовые алгоритмы в криптографии. М.: МЦНМО, 2003.

44. Вдовина М.С. Внедрение электронного паспорта в Российской Федерации // Материалы PKI-Форума 2019, https://pki-forum.ru/ files/files/2019/26_vdovina.pdf, 2019 г.

45. Грушо А.А. Скрытые каналы и безопасность информации в компьютерных системах // Дискретная математика, 10:1, 1998, с. 3-9

46. Грушо А.А. О существовании скрытых каналов // Дискретная математика, 11:1, 1999, с. 24-28

47. Грушо А.А., Тимонина Е.Е. Оценка времени, требуемого для организации скрытого канала // Дискретная математика, 15:2, 2003, с. 40-46

48. Грушо А.А., Грушо Н.А., Тимонина Е.Е. Оценки скорости передачи информации и пропускной способности в скрытых каналах с метками // Информация и ее применения, 9:4, 2015, 85-90

49. Задорожный Д.И., Коренева А.М., Фомичев В.М. Построение биодатчика случайных чисел и оптимизация его характеристик с помощью вычислительных экспериментов // Материалы РусКрипто'2016, https://www.ruscrypto.ru/resource/archive/ rc2016/files/02_zadorozhny.pdf, 2016 г.

50. Задорожный Д.И., Коренева А.М., Фомичев В.М. Способ генерации случайных двоичных последовательностей с использованием компьютера и действий пользователя. Патент RU2628213C1, 15 августа 2017 г.

51. Зубков А.М. Датчики псевдослучайных чисел и их применения // Московский университет и развитие криптографии в России. Материалы конференции в МГУ 17-18 октября 2002 г.: сб. науч. тр., 2003. С. 200-206.

52. Логачев О. А. Критерий совершенной уравновешенности

сдвиг-композиции функций над конечным алфавитом // Дискретная математика, 29:4, 2017, с. 59-65.

53. Логачев О. А. Построение и анализ эффективности алгоритмов обращения дискретных функций в математических моделях информационной безопасности. Диссертация на соискание степени доктора физико-математических наук. 2019.

54. Логачев О. А., Смышляев С. В., Ященко В. В. Новые методы изучения совершенно уравновешенных булевых функций // Дискретная математика. 2009. Т. 21. Вып. 2. С. 51-74.

55. Логачев О. А., Смышляев С. В., Ященко В. В. Ро-уравновешенные булевы функции // Дискретная математика. 2012. 24(2). 154-159.

56. Маховенко Е.Б., Сюсюгина Н.Г. Анализ криптосистем на скрытых отображениях полей нечетных характеристик // Безопасность информационных технологий, т. 17, № 1, 2010, https://bit.mephi.ru/ index.php/bit/article/view/779.

57. Мелузов А.С., Никитина О.Ю. Электронная подпись: безопасное использование и предотвращение рисков // https://iitrust.ru/articles/article/elektronnaya-podpis-bezopasnoe-ispolzovanie-i-predotvrashhenie-riskov/.

58. Миронкин В.О. О некоторых вероятностных характеристиках алгоритма выработки ключа «CRYPTOPRO KEY MESHING». Проблемы информационной безопасности. Компьютерные системы. №4, 2015. С. 140-146.

59. Никонов В.Г., Никонов Н.В. Некоторые классы функций k-значной логики без запрета // Вестник Московского государственного университета леса — Лесной вестник, №1, 2006. С. 117-123

60. Пьянченко А.А. Перспективные планы по развитию института усиленной электронной подписи для взаимодействия граждан и государства // Материалы РусКрипто'2021, https://www.ruscrypto.ru/ resource/archive/rc2021/files/08_pyanchenko.pdf, 2021 г.

61. Пьянченко А.А. О реализации мероприятий по переходу на отечественную криптографию между государством и обществом // Материалы PKI-Форума 2021, https://pki-forum.ru/files/files/15-50_ Pyanchenko_pki21.pdf, 2021 г.

62. Рожков М. И. Некоторые алгоритмические вопросы идентификации конечных автоматов по распределению выходных m-грамм I // Обозрение прикладной и промышленной математики. 2008. 15(4). 613-630.

63. Рожков М. И. Некоторые алгоритмические вопросы идентификации конечных автоматов по распределению выходных m-грамм II // Обозрение прикладной и промышленной математики. 2008. 15(5). 786-806.

64. Рожков М. И. Некоторые алгоритмические вопросы идентификации конечных автоматов по распределению выходных m-грамм III // Обозрение прикладной и промышленной математики. 2009. 16(1). 35-60.

65. Рублев С. Протокол Remote Desktop. Архитектура и возможности. https://www.securitylab.ru/analytics/367591.php

66. Сабанов А.Г. Анализ международных стандартов по идентификации и аутентификации // доклад на X Уральском форуме "Информационная безопасность финансовой сферы", 2018.

67. Сабанов А.Г. Аутентификация как часть единого пространства доверия // Электросвязь, №8, 2012. С. 40-44.

68. Сабанов А.Г. Уровни доверия к аутентификаторам // Вопросы за-

щиты информации, №2. 2019. С. 10-17.

69. Сабанов А.Г. Вопросы доверия к результатам аутентификации субъекта доступа // Методы и технические средства обеспечения безопасности информации, №28, 2019. С. 57-59.

70. Сабанов А.Г. Методология формирования иерархии доверия к результатам идентификации и аутентификации субъектов доступа. Диссертация на соискание степени доктора технических наук. 2020.

71. Смышляев С. В. Комбинаторные свойства совершенно уравновешенных булевых функций. Диссертация на соискание степени кандидата физико-математических наук. 2012.

72. Смышляев С. В. Булевы функции без предсказывания // Дискретная математика. 2011. Т. 23. Вып. 1. С. 102-118.

73. Смышляев С. В. О свойствах булевых функций без предсказывания // Материалы Шестой Междунар. научн. конференции по проблемам безопасности и противодействия терроризму (МГУ им. М. В. Ломоносова, Москва, 11-12 ноября 2010). М.: МЦНМО, 2011. С. 47-56.

74. Смышляев С. В. О преобразовании двоичных последовательностей с помощью совершенно уравновешенных булевых функций // Материалы Пятой Междунар. научн. конференции по проблемам безопасности и противодействия терроризму (МГУ им. М. В. Ломоносова, Москва, 29-30 октября 2009). М.: МЦНМО, 2010. С.31-41.

75. Смышляев С. В. О криптографических слабостях некоторых классов преобразований двоичных последовательностей // Прикладная дискретная математика. 2010. №1(7). С. 5-15.

76. Смышляев. С.В. Настоящее и будущее криптопротоколов в се-

ти Интернет, пленарный доклад на научно-практической конференции РусКрипто'2020, 2020 г., https://www.ruscrypto.ru/resource/ archive/rc2020/files/01_smyshlyaev.pdf

77. Сумароков С. Н. Запреты двоичных функций и обратимость для одного класса кодирующих устройств // Обозрение прикладной и промышленной математики. 1994. 1(1). 33-55.

78. Черемушкин А.В. Криптографические протоколы: основные свойства и уязвимости // Прикладная дискретная математика, 2009, приложение к № 2, 115-150.

79. Черепнев М.А. О вычислительной сложности алгоритмов факторизации и дискретного логарифмирования. Диссертация на соискание степени доктора физико-математических наук. 2017.

80. Черепнев М.А., Грачева С.С. Решение задачи Диффи-Хеллм-эна на некоторых эллиптических кривых, удовлетворяющих ГОСТ 34.10-2018 // Информационные технологии. 2020. 26 (3). С. 159-168.

81. Введение в криптографию. Под редакцией В. В. Ященко. Издание четвертое, дополненное. Москва. Издательство МЦНМО. 2012.

82. ISO/IEC 9797-2:2021 Information technology - Security techniques -Message Authentication Codes (MACs) - Part 2: Mechanisms using dedicated hash-function.

83. ISO/IEC 14888-3:2018, IT Security techniques - Digital signatures with appendix - Part 3: Discrete logarithm based mechanisms - Section 6: Certificate-based mechanisms - 6.9: ECRDSA, 2018

84. Krawczyk H., Bellare M., Canetti R, "HMAC: Keyed-hashing for message authentication", RFC 2104, 1997, https://www.rfc-editor.org/info/ rfc2104

85. Dierks T., Allen C., "The TLS Protocol Version 1.0", RFC 2246, 1999, https://www.rfc-editor.org/info/rfc2246

86. Harkins D., Carrel D., "The Internet Key Exchange (IKE)", RFC 2409, 1998, https://www.rfc-editor.org/info/rfc2409

87. Ylonen T., Lonvick C. "The Secure Shell (SSH) Transport Layer Protocol", RFC 4253, 2006, https://www.rfc-editor.org/info/ rfc4253

88. Eronen P. (Ed.), Tschofenig H. (Ed.), "Pre-Shared Key Ciphersuites for Transport Layer Security (TLS)", RFC 4279, 2005, https://www. rfc-editor.org/info/rfc4279

89. Kaufman C., Ed., "Internet Key Exchange (IKEv2) Protocol", RFC 4306, 2005, https://www.rfc-editor.org/info/rfc4306

90. Dierks T., Rescorla E., "The Transport Layer Security (TLS) Protocol Version 1.1", RFC 4346, April 2006, https://www.rfc-editor.org/ info/rfc4346

91. Popov V., Kurepkin I., Leontiev S., "Additional cryptographic algorithms for use with GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 algorithms", RFC 4357, 2007, https://www. rfc-editor.org/info/rfc4357

92. Dierks T., Rescorla E., "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008, https://www.rfc-editor.org/ info/rfc5246

93. Lochter M., Merkle J., "Elliptic Curve Cryptography (ECC) Brainpool Standard Curves and Curve Generation", RFC 5639, 2010, https://www. rfc-editor.org/info/rfc5639

94. Krawczyk H., Eronen P., "HMAC-based Extract-and-Expand Key

Derivation Function (HKDF)", RFC 5869, 2010, https://www. rfc-editor.org/info/rfc5869

95. Pornin T., "Deterministic Usage of the Digital Signature Algorithm (DSA) and Elliptic Curve Digital Signature Algorithm (ECDSA)", RFC 6979, 2013, https://www.rfc-editor.org/info/rfc6979

96. Dolmatov V., Degtyarev A., "GOST R 34.10-2012: Digital Signature Algorithm", RFC 7091, 2013, https://www.rfc-editor.org/info/ rfc7091

97. Kaufman C., Hoffman P., Nir Y., Eronen P., Kivinen T., "Internet Key Exchange Protocol Version 2 (IKEv2)", RFC 7296, 2014 https://www. rfc-editor.org/info/rfc7296

98. Josefsson S., Liusvaara I. Edwards-Curve Digital Signature Algorithm (EdDSA) RFC 8032, 2017, https://www.rfc-editor.org/info/ rfc8032

99. Rescorla E., "The Transport Layer Security (TLS) Protocol Version 1.3", RFC 8446, 2018 https://www.rfc-editor.org/info/rfc8446

100. Mattsson J., Thormarker E., Ruohomaa S. Deterministic ECDSA and EdDSA Signatures with Additional Randomness, https://datatracker. ietf.org/doc/html/ draft-mattsson-cfrg-det-sigs-with-noise-02

101. Sakemi Y. (Ed.), Kobayashi T., Saito T., Wahby R., "Pairing-Friendly Curves", https://datatracker.ietf.org/doc/html/ draft-irtf-cfrg-pairing-friendly-curves-09.

102. FIPS PUB 186-4. Federal Information Processing Standards Publication. Digital Signature Standard (DSS), 2013.

103. National Institute of Standards and Technology. NIST SP 800-56A,

Recommendation for Pair-Wise Key-Establishment Schemes Using Discrete Logarithm Cryptography, U.S. Department of Commerce, Washington, D.C., NIST Special Publication 800-56A Revision 3.

104. National Institute of Standards and Technology. NIST SP 800-108, Recommendation for Key Derivation using Pseudorandom Functions // October 2009.

105. National Institute of Standards and Technology. The keyed-hash message authentication code (HMAC). FIPS PUB 198, March 2002.

106. American National Standards Institution. ANSI X9.71, Keyed hash message authentication code, 2000.

107. Federal Office for Information Security (BSI): Advanced security mechanism for machine readable travel documents - extended access control (eac), password authenticated connection establishment (PACE), and restricted identification (ri) (2008).

108. Application Programmer's Guide, Appendix F. Cryptographic Algorithms and Processes, PIN Formats and Algorithms, VISA PIN Algorithms // IBM Knowledge Center, 2011, http://www.ibm.com/ support/knowledgecenter/en/SSLTBW_2.1.0/com.ibm.zos.v2r1. csfb400/csfb4za2598.htm

109. SafeCurves: choosing safe curves for elliptic-curve cryptography. https: //safecurves.cr.yp.to/index.html

110. Estonian eID scheme: Mobiil-ID. Technical specifications and procedures for assurance level high for electronic identification. https: //ec.europa.eu/cefdigital/

111. OpenID Connect Core 1.0, https://openid.net/specs/ openid-connect-core-1_0.html

112. Michel Abdalla. Reducing The Need For Trusted Parties In Cryptography. Cryptography and Security. Ecole Normale Superieure de Paris - ENS Paris, 2011.

113. Abdalla M., Bellare M. Increasing the Lifetime of a Key: A Comparative Analysis of the Security of Re-keying Techniques // Lecture Notes in Computer Science, 2000, vol. 1976, pp. 546-559.

114. Abdalla M., Fouque P.A., Pointcheval D. Password-based authenticated key exchange in the three-party setting // Lecture Notes in Computer Science, 2005, vol. 3386, pp. 65--84.

115. Abdalla M., Pointcheval D. Simple Password-Based Encrypted Key Exchange Protocols // Lecture Notes in Computer Science, 2005, vol.3376, pp. 191-208.

116. Abeni P., Bello L., Bertacchini M. Exploiting DSA-1571: How to break PFS in SSL with EDH // July 2008.

117. Ahmetzyanova L.R., Alekseev E.K., Oshkin I.B., Smyshlyaev S.V., Sonina L.A. On the properties of the CTR encryption mode of the Magma and Kuznyechik block ciphers with re-keying method based on CryptoPro Key Meshing // Cryptology ePrint Archive, Report 2016/628, 2016.

118. Ambrose, C., Bos, J. W., Fay, B., Joye, M., Lochter, M., Murray, B. Differential attacks on deterministic signatures // Cryptographers' Track at the RSA Conference, Springer, 2018, 339-353.

119. Anderson R. J. Searching for the optimum correlation attack // Lecture Notes in Computer Science, 1995, vol. 1008, pp. 137-143.

120. Aranha, D. F., Orlandi, C., Takahashi, A., Zaverucha, G. Security of hedged Fiat-Shamir signatures under fault attacks // Annual International Conference on the Theory and Applications of

Cryptographic Techniques, Springer, 2020, pp. 644-674

121. Bao F., DengR.H., Zhu H. Variations of Diffie-Hellman problem // Lecture Notes in Computer Science, 2003, vol.2836, pp. 301-312.

122. Barak B., Shaltiel R., Tromer E. True Random Number Generators Secure in a Changing Environment. // Lecture Notes in Computer Science, vol. 2779, pp. 166-180.

123. Barak B., Impagliazzo R., Wigderson A. Extracting randomness using few independent sources. // Proc. 45th FOCS. 2004. P. 384-393.

124. Barenghi, A., Pelosi, G. A note on fault attacks against deterministic signature schemes (short paper) // International Workshop on Security, Springer, 2016, pp. 182-192

125. Barker E., Kelsey J. Recommendation for random number generation using deterministic random bit generators. // NIST Special Publication (SP) 800-90A.

126. Bedrune J.-B. Kaspersky Password Manager: All your passwords are belong to us. https://donjon. ledger.com/kaspersky-password-manager/?fbclid= IwAR3YV82zNSDJzsKCyWp6j8vq7mZBUFQ3yjY3Lbbtpq6d9lD1KI_ 6JgIiEJU

127. Bellare M. Practice-Oriented Provable-Security. Lectures on Data Security, EEF School 1998 // Lecture Notes in Computer Science. I. Damgard, Vol. 1561, 1999. Pp. 1-15

128. Bellare M., Canetti R., Krawczyk H. Keyed Hash Functions and Message Authentication // Proceedings of Crypto'96, Springer. 1996. Pp. 1-15.

129. Bellare M., Canetti R., Krawczyk H. Pseudorandom functions revisited:

The cascade construction and its concrete security // Proceedings of 37th Conference on Foundations of Computer Science. IEEE, 1996, 514-523.

130. Bellare M., Canetti R., Krawczyk H. A modular approach to the design and analysis of authentication and key exchange protocols (extended abstract) // In 30th Annual ACM Symposium on Theory of Computing, pages 419-428. ACM Press, May 1998.

131. Bellare M., Cash D., Keelveedhi S. Ciphers that Securely Encipher their own Keys // Cryptology ePrint Archive, Report 2011/432, 2011.

132. Bellare M., Desai A., Jokipii E., Rogaway P. A concrete security treatment of symmetric encryption. In Proceedings of 38th Annual Symposium on Foundations of Computer Science (FOCS '97), pages 394-403. IEEE, 1997.

133. Bellare M., Kilian J., Rogaway P. The security of the cipher block chaining message authentication code. Journal of Computer and System Sciences (JCSS), vol. 61, no. 3, pp. 362-399, 2000. Earlier version in Crypto'94.

134. Bellare M., Pointcheval D., Rogaway P., "Authenticated key exchange secure against dictionary attacks", In: Preneel B. (Ed.), EUROCRYPT 2000, Lect. Notes Comput. Sci., vol. 1807, pp. 139-155. Springer, Heidelberg (2000).

135. Bellare M., Rogaway P. Random oracles are practical: a paradigm for designing efficient protocols // CCS'93: Proceedings of the 1st ACM conference on Computer and communications security. 1993. pp. 62--73. https://doi.org/10.1145/168588.168596

136. Bellare M., Rogaway P., "Entity Authentication and Key Distribution", In Stinson, D.R. (Ed.), CRYPTO 1993, Lect. Notes Comput. Sci., vol.

773, pp. 232-249. Springer, Heidelberg (1994).

137. Bellare M. and Rogaway P. The AuthA Protocol for Password-Based Authenticated Key Exchange //Contributions to IEEE P1363. March 2000.

138. Bellare M., Rogaway P. Introduction to modern cryptography: Lecture Notes. UCSD CSE 207 Course Notes- http://www.cs.ucsd.edu/users/ mihir/cse207/classnotes.html, 2005.

139. Bellare M., Rogaway P. The Security of Triple Encryption and a Framework for Code-Based Game-Playing Proofs // Lecture Notes in Computer Science, Vol. 4004, Advances in Cryptology - EUROCRYPT 2006

140. Bender J., Fischlin M, Kugler D. Security Analysis of the PACE KeyAgreement Protocol // Proceedings of the 12th International Conference on Information Security, September 07-09, 2009, Pisa, Italy.

141. Bellovin S., Merritt M., "Encrypted Key Exchange: Password-Based Protocols Secure Against Dictionary Attacks", In: IEEE Symposium on Security and Privacy, pp. 72-84, 1992.

142. Bernstein D.J., Lange T., Niederhagen R. Dual EC: A Standardized Back Door // Cryptology ePrint Archive, Report 2015/767, 2015.

143. Biehl I., Meyer B., Muller V. Differential fault attacks on elliptic curve cryptosystems (extended abstract). // Pages 131-146 in: Advances in cryptology — Crypto 2000, Lecture Notes in Computer Science 1880, Springer, 2000. http://lecturer.ukdw.ac.id/vmueller/publications.php

144. Biham, E. How to Forge DES-Encrypted Messages in 228 Steps. Technion Computer Science Department Technical Report CS0884, 1996.

145. Biham, E., Neumann, L. Breaking the Bluetooth Pairing — The Fixed

Coordinate Invalid Curve Attack // Cryptology ePrint Archive, Report 2019/1043, 2019.

146. Biham E., Shamir A. Differential Cryptanalysis of DES-like Cryptosystems // Journal of Cryptology. V. 537. P. 2-21. 1990.

147. Black J., Rogaway P., Shrimpton T. «Encryption-Scheme Security in the Presence of Key-Dependent Messages». SAC 2002: Selected Areas in Cryptography pp. 62-75, 2002.

148. M. Blum and S. Micali. How to generate cryptographically strong sequences of pseudo random bits. // Symposium on Foundations of Computer Science, 1982, pp. 112—117.

149. Boileau A. Hit by a bus: Physical access attacks with Firewire // In: Presentation, Ruxcon (2006).

150. Boneh D. The Decision Diffie-Hellman Problem. Proceedings of the Third Algorithmic Number Theory Symposium // Lecture Notes in Computer Science 1423, 1998. Pp. 48-63.

151. Boneh D., Lynn B., Shacham H. Short Signatures from the Weil Pairing // Lecture Notes in Computer Science, Vol. 2248, Advances in Cryptology, ASIACRYPT 2001, 2001

152. Boneh D., Shen E., Waters B. Strongly unforgeable signatures based on computational diffie-hellman // PKC 2006. Lecture Notes in Computer Science, Springer, 2006. V. 3958.

153. Bos J.W., Halderman J.A., Heninger N., Moore J., Naehrig M., Wustrow E.. Elliptic curve cryptography in practice // International Conference on Financial Cryptography and Data Security, 2014. Pp. 157-175.

154. Bernstein D.J., Chang Y.A., Cheng C.M., Chou L.P., Heninger N.,

Lange T., van Someren N. Factoring RSA keys from certified smart cards: Coppersmith in the wild // Lecture Notes in Computer Science 8270, 2013. Pp. 341-360.

155. BoykoV., MacKenzie P., Patel S. Provably secure password authenticated and key exchange using Diffie-Hellman //In EUROCRYPT 2000 (Lecture Notes in Computer Science 1807), 2000. Pp. 156-171.

156. Bresson E., Chevassut O., Pointcheval D. Security Proofs for an Efficient Password-Based Key Exchange // CCS '03 Proceedings of the 10th ACM conference on Computer and communications security.

157. Brown D. Conjectured security of the ANSI-NIST elliptic curve RNG. // Cryptology ePrint Archive, Report 2006/117, 2006, http://eprint. iacr.org/2006/117

158. Canetti R., Halevi S., Katz J., LindellY., MacKenzie P.D. Universally composable password-based key exchange // In Ronald Cramer, editor, Advances in Cryptology - EUROCRYPT 2005, volume 3494 of Lecture Notes in Computer Science, pages 404-421. Springer, May 2005.

159. Canteaut A., Analysis and Design of Symmetric Ciphers, Habilitation for directing Theses, University of Paris 6, 2006.

160. Canvel B., Hiltgen A., Vaudenay S., Vuagnoux M.: Password Interception in a SSL/TLS Channel // Lecture Notes in Computer Science, 2003, vol. 2729, pp. 583-599.

161. Chang D., Nandi M. A Short Proof of the PRP/PRF Switching Lemma. Cryptology ePrint Archive: Report 2008/078. 2008.

162. Checkoway S., Maskiewicz J., Garman C., Fried J., Cohney S., Green M., Heninger N., Weinmann R.-P., Rescorla E., Shacham H. A Systematic Analysis of the Juniper Dual EC Incident. In Proceedings of the 2016

ACM SIGSAC Conference on Computer and Communications Security, CCS '16, pages 468-479, New York, NY, USA, 2016. ACM.

163. Checkoway S., Niederhagen R., Everspaugh A., Green M., Lange T., Ristenpart T., Bernstein D.J., Maskiewicz J., Shacham H., Fredrikson M. On the Practical Exploitability of Dual EC in TLS Implementations. In 23rd USENIX Security Symposium (USENIX Security 14), pages 319-335, San Diego, CA, August 2014. USENIX Association.

164. Chevalier C., Fouque PA., Pointcheval D., Zimmer S. Optimal Randomness Extraction from a Diffie-Hellman Element // Lecture Notes in Computer Science, Vol. 5479, Advances in Cryptology - EUROCRYPT 2009, 2009

165. Clarke D., Hao F. Cryptanalysis of the Dragonfly key exchange protocol. IET Information Security, Volume 8, Issue 6, pp. 283-289, November 2014.

166. Cohney S., Green M., Heninger N. Practical State Recovery Attacks against Legacy RNG Implementations // Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security, CCS 2018, Toronto, ON, Canada, October 15-19, 2018, pp. 265-280, 2018.

167. Cohney S., Kwong A., Paz S., Genkin D., Heninger N., Ronen E., Yarom Y. Pseudorandom Black Swans: Cache Attacks on CTR_DRBG, Cryptology ePrint Archive, Report 2019/996, 2019, https://eprint. iacr.org/2019/996

168. Courtois N. On Splitting a Point with Summation Polynomials in Binary Elliptic Curves // Cryptology ePrint Archive: Report 2016/003, http://eprint.iacr.org/2016/003

169. Courtois N.T., Daum M., Felke P. On the Security of HFE, HFEv-and Quartz // Lecture Notes in Computer Science, Vol. 2567, Public Key

Cryptography, PKC 2003, 2003

170. Courtois N.T., Finiasz M., Sendrier N. How to Achieve a McEliece-Based Digital Signature Scheme // Lecture Notes in Computer Science, Vol. 2248, Advances in Cryptology, ASIACRYPT 2001, 2001

171. Danger J.L., Guilley S., Hoogvorst P., Murdica C., Naccache D. A synthesis of side-channel attacks on elliptic curve cryptography in smartcards // Journal of Cryptographic Engineering, 3(4), 2013, pp. 241-265.

172. Degabriele J.P., Paterson K.G., Schuldt C.N., Woodage J. Backdoors in pseudorandom number generators: Possibility and impossibility results // Lecture Notes in Computer Science, Vol. 9814, CRYPTO 2016, Part I, 2016, pp. 403-432.

173. Degabriele J.P., Paterson K.G., Watson G.J. Provable security in the real world // IEEE Security & Privacy 9(3), pp. 33-41, 2011.

174. Dichtl M. On nonlinear filter generators // Lecture Notes in Computer Science. 1997. Vol. 1267. Pp. 103-106.

175. Diffie W., Hellman M. New Directions in Cryptography // IEEE Transactions on Information Theory. November 1976. 22 (6): 644-654.

176. Diffie W., van Oorschot P. C., Wiener M. J., "Authentication and authenticated key exchanges", Designs, Codes and Cryptography, Volume 2, Issue 2, pp. 107-125, June 1992.

177. Ding J., Schmidt D. Rainbow, a New Multivariable Polynomial Signature Scheme // Lecture Notes in Computer Science, Vol. 3531, Applied Cryptography and Network Security. ACNS 2005, 2005

178. Dubois V., Fouque PA., Shamir A., Stern J. Practical Cryptanalysis of SFLASH // Lecture Notes in Computer Science, Vol. 4622, Advances in Cryptology - CRYPTO 2007, 2007.

179. Dymydiuk J. RUBICON and revelation: the curious robustness of the 'secret' CIA-BND operation with Crypto AG // Intelligence and National Security, 35:5, pp. 641-658.

180. ElGamal T. A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms // Proc. Crypto 84, Springer-Verlag, New York, Heidelberg, Berlin, 1985, pp. 10-18.

181. Farashahi R.R., R. Pellikaan, and A. Sidorenko. Extractors for binary elliptic curves. // Designs, Codes, and Cryptography, 49, 2008.

182. Fersch, M. The provable security of Elgamal-type signature schemes. Diss. Bochum, Ruhr-Universitat Bochum, 2018

183. Fersch, M., Kiltz, E., Poettering, B. On the One-Per-Message Unforgeability of (EC)DSA and Its Variants // Lecture Notes in Computer Science, Vol. 10678, Theory of Cryptography. TCC 2017, 2017

184. Fersch M., Kiltz E., Poettering B. On the provable security of (EC) DSA signatures // Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, 2016. Pp. 1651-1662

185. Fischlin, M., Gunther, F. Modeling Memory Faults in Signature and Encryption Schemes, Cryptology ePrint Archive, Report 2019/1053, 2019, https://eprint.iacr.org/2019/1053

186. Fouque P. A., Pointcheval D., Zimmer S. HMAC is a randomness extractor and applications to TLS // Proceedings of the 2008 ACM symposium on Information, computer and communications security, 2008, pp. 21-32.

187. Gennaro R., Krawczyk H., Rabin T. Secure Hashed Diffie-Hellman over Non-DDH Groups. Full version available at http://eprint.iacr.org/2004/

188. Goldreich O. Foundations of Cryptography - Basic Tools. Cambridge

University Press, 2001.

189. Goldreich O. Foundations of Cryptography - Basic Applications. Cambridge University Press, 2004.

190. Goldwasser S. and Micali S. Probabilistic encryption. J. of Computer and System Sciences, Vol. 28, April 1984, pp. 270-299.

191. S. Goldwasser, S. Micali, P. Tong. Why and how to establish a private code on a public network. // Symposium on Foundations of Computer Science, 1982, pp. 134-144.

192. Golic J. D. On the security of nonlinear filter generators // Lecture Notes in Computer Science. 1996. Vol. 1039. Pp. 173-188.

193. Golic J. D. Conditional correlation attack on combiners with memory // Electronics Letters. 1996. Vol. 32(24). Pp. 2193-2195.

194. Golic J. D., Clark A., Dawson E. Generalized inversion attack on nonlinear filter generator // IEEE Trans. Comput. 2000. Vol. C-49. Pp. 1100-1109.

195. Gouget A., Sibert H. Revisiting correlation immunity in filter generators // Lecture Notes in Computer Science. 2007. Vol. 4876. Pp. 378-395.

196. Guselev A. One "Short" Signature Scheme's Security Properties // Proceedings of the 10-th Workshop on Current Trends in Cryptology (CTCrypt), Moscow Region, Russia, pp. 345-354.

197. Gutterman Z., Pinkas B., Reinman T. Analysis of the linux random number generator // IEEE Symposium on Security and Privacy. Oakland. CA. USA. May 2006.

198. Hankerson D., Menezes A. J., Vanstone S. Guide to Elliptic Curve Cryptography. 2004, Springer-Verlag New York.

199. Hao F., Shahandashti S. F., "The SPEKE Protocol Revisited", Cryptology ePrint Archive, Report 2014/585.

200. Halderman J.A., Schoen S.D., Heninger N., Clarkson W., PaulW., Calandrino J.A., Feldman A.J., Appelbaum J., Felten E.W. Lest We Remember: Cold-Boot Attacks on Encryption Keys // Communications of the ACM, vol. 52, no. 5, 2009.

201. Harkins D., "Simultaneous authentication of equals: A secure, password-based key exchange for mesh networks", In: Proceedings of SENSORCOMM 2008, pp. 839-844, IEEE Computer Society Washington, DC, USA.

202. Hedlund G. A. Endomorphisms and automorphisms of the shift dynamical system // Theory of Computing Systems. 1969. Vol. 3(4). Pp. 320-375.

203. Hellman M.E. A cryptanalytic time-memory trade off // IEEE Transactions on Information Theory, IT-26:401-406, 1980.

204. Heninger N., Durumeric Z., Wustrow E., Halderman J.A. Mining Your Ps and Qs: Detection of Widespread Weak Keys in Network Devices // Proceedings of the 21th USENIX Security Symposium, Bellevue, WA, USA, August 8-10, 2012, pp .205-220, USENIX Association, 2012.

205. Hopper N.J., Langford J., von Ahn L.: Provably Secure Steganography // Yung M. (eds) Advances in Cryptology — CRYPTO 2002. CRYPTO 2002. Lecture Notes in Computer Science, vol 2442. pp. 77-92 Springer, Berlin, Heidelberg(2002)

206. Hestad J., Impagliazzo R., Levin L.A., Luby M. Construction of a pseudo-random generator from any one-way function. // SIAM Journal on Computing 28 (1999), pp. 1364—1396.

207. Hermann U. Physical memory attacks via Firewire/DMA - part 1: Overview and mitigation // 2010.

208. Inoue A., Iwata T., Minematsu K., Poettering B. Cryptanalysis of OCB2: Attacks on Authenticity and Confidentiality // Lecture Notes in Computer Science, Vol. 11692, Advances in Cryptology - CRYPTO 2019, 2019

209. Iwata T. Comments on «On the security of XCBC, TMAC and OMAC» // https://pdfs.semanticscholar.org/21b0/ c40d3a08ffce60b11721b3fdd2516f37dce8.pdf — 2003.

210. Iwata T. and Kurosawa K. Stronger security bounds for OMAC, TMAC and XCBC. Comments to NIST, April 30, 2003.

211. Jablon D., "Strong Password-Only Authenticated Key Exchange", ACM SIGCOMM Computer Communication Review, Volume 26, Issue 5, pp. 5-26, 1996.

212. Jager T., Kohlar F., Schage S., Schwenk J. On the Security of TLS-DHE in the Standard Model // Cryptology ePrint Archive: Report 2011/219.

213. Jun B., Kocher P. The Intel random number generator. White Paper Prepared for Intel Corporation. Cryptography Research Inc. 1999. http://www.cryptography.com/resources/whitepapers/IntelRNG.pdf.

214. Kaliski B. S. Elliptic curves and cryptography: A pseudorandom bit generator and other tools. // Ph.D. thesis, MIT, Cambridge, MA, USA, 1988.

215. Killmann, W., Lange, T., Lochter, M., Thumser, W., Wicke, G. Minimum requirements for evaluating side-channel attack resistance of elliptic curve implementations, 2011 http://www.bsi.bund.de

216. Kipnis A., Patarin J., Goubin L. Unbalanced Oil and Vinegar Signature

Schemes // Lecture Notes in Computer Science, Vol. 1592, Advances in Cryptology, EUROCRYPT 99, 1999

217. Klyubin A. Some SecureRandom thoughts, https: //android-developers.googleblog.com/2013/08/ some-securerandom-thoughts.html, 2013.

218. Koblitz N. Hidden Monomial Cryptosystems // Algebraic Aspects of Cryptography, Algorithms and Computation in Mathematics, Vol. 3, 1998. Pp. 80-102

219. Koblitz N., Menezes A. Another look at HMAC //J. Mathematical Cryptology, 7(2013), pp.225-251.

220. Koblitz N., Menezes A. Another look at security theorems for 1-key nested MACs // Cryptology ePrint Archive: Report 2013/248, http:// eprint.iacr.org/2013/248

221. Koblitz N., Menezes A. Critical Perspectives on Provable Security: Fifteen Years of "Another Look" Paper // Cryptology ePrint Archive: Report 2019/1336, 2019

222. Krawczyk H.: The Order of Encryption and Authentication for Protecting Communications (Or: How Secure Is SSL?) // Lecture Notes in Computer Science vol. 2139, Springer-Verlag, pp. 310-331 (2001).

223. Krawczyk H. HMQV: A High-Performance Secure Diffie-Hellman Protocol // http://eprint.iacr.org/2005/176.pdf, 2005.

224. Krawczyk H.. Cryptographic Extraction and Key Derivation: The HKDF Scheme // Advances in Cryptology, CRYPTO 2010, Lecture Notes in Computer Science, vol. 6223, Springer, 2010.

225. Lai X., Massey J. Some connections between scramblers and invertible automata // Proceedings of 1988 Beijing International Workshop on

Information Theory. 1988. Pp. DI 5.1 - DI 5.5.

226. LaMacchia B., Lauter K. and Mityagin A. Stronger security of authenticated key exchange // Provable Security, Springer, 2007. Pp. 1-16.

227. Langley A. Pond. https://pond.imperialviolet.org/

228. Lavrenteva T.A., Matveev S.V. Side-channel attacks countermeasure based on decomposed S-boxes for Kuznechik // Математические вопросы криптографии, 12:2, 2021. С. 147-157.

229. Lavrikov I.V., Shishkin V.A. How much data may be safely processed on one key in different modes? // Математические вопросы криптографии, 10:2, 2019. С. 125-134.

230. Law L., Menezes A., Qu M., Solinas J., Vanstone S. An efficient Protocol for Authenticated Key Agreement // Designs, Codes and Cryptography, 28, 119-134, 2003.

231. Lendacky T. x86/CPU/AMD: Clear RDRAND CPUID bit on AMD family 15h/16h, https://lore.kernel.org/patchwork/patch/ 1115413/, 2019.

232. Lenstra A.K., Hughes J.P., Augier M., Bos J.W., Kleinjung T., Wachter C. Ron was wrong, Whit is right // Cryptology ePrint Archive: Report 2012/064, 2012.

233. Leung H-T. RDRAND Instruction Fails after Resume on AMD Family 22 CPU, https://bugzilla.kernel.org/show_bug.cgi?id= 85911, 2014.

234. Lim C. H., Lee P. J. A key recovery attack on discrete log-based schemes using a prime order subgroup // Pages 249-263 in: Advances in cryptology—CRYPTO '97: 17th annual international cryptology

conference, Santa Barbara, California, USA, August 17-21, 1997, proceedings. Lecture Notes in Computer Science 1294. Springer, 1997.

235. Lochter M., Merkle J., Schmidt J-M., Schutze T. Requirements for Standard Elliptic Curves // Cryptology ePrint Archive: Report 2014/832, http://eprint.iacr.org/2013/832

236. Long D. L., Wigderson A. How discreet is the discrete log. // ACM Symposium on Theory of Computing, 1983, pp. 413—420.

237. Marvin R. Google Admits an Android Crypto PRNG Flaw Led to Bitcoin Heist (August 2013).

238. Matsui M. Linear Cryptanalysis Method for DES Cipher // Advances in Cryptology - EUROCRYPT'93. Lecture Notes in Computer Science, Springer, 1994. V. 765. P. 386-397.

239. Menezes A. J., van Oorschot P. C., Vanstone S. A. Handbook of Applied Cryptography. CRC Press, 1996.

240. Menezes A., Qu M., Vanstone S. Some new key agreement protocols providing mutual implicit authentication // Second Workshop on Selected Areas in Cryptography (SAC 95), 1995.

241. Menezes A., Vanstone S. Reducing elliptic curve logarithms to logarithms in a finite field // IEEE transactions on information theory, 39 (1993), 1639-1696.

242. Michaelis K., Meyer C., Schwenk J. Randomly Failed! The State of Randomness in Current Java Implementations. Lecture Notes in Computer Science, 7779, pp. 129-144, 2013.

243. Mitchell C. J. On the security of XCBC, TMAC and OMAC. Technical Report RHUL-MA-2003-4, 19 August, 2003.

244. Mohamed M.S.E., Petzoldt A. The Shortest Signatures Ever //

Lecture Notes in Computer Science, Vol. 10095, Progress in Cryptology, INDOCRYPT 201б, 201б

245. Nandi M. A Simple and Unified Method of Proving Unpredictability. Cryptology eprint archive 200б/2б4. 200б.

246. Needham R. M., Schroeder M. D., "Using encryption for authentication in large networks of computers", Communications of the ACM, Volume 21, Issue 12, pp. 993-999, December 1978.

247. Paillier P., Vergnaud D. Discrete-Log-Based Signatures May Not Be Equivalent to Discrete Log // Lecture Notes in Computer Science, Vol. 3788, Advances in Cryptology - ASIACRYPT 2005, 2005

248. Palwe H. RDRAND on AMD CPUs does not work, https://github. com/systemd/systemd/issues/11810, 2019.

249. Parsovs A. Estonian Electronic Identity Card: Security Flaws in Key Management https://www.usenix.org/conference/ usenixsecurity20/presentation/parsovs.

250. Patarin J., Courtois N., Goubin L. FLASH, a Fast Multivariate Signature Algorithm // Lecture Notes in Computer Science, Vol. 2020, Topics in Cryptology, CT-RSA 2001, 2001

251. Patarin J., Courtois N., Goubin L. QUARTZ, 128-Bit Long Digital Signatures // Lecture Notes in Computer Science, Vol. 2020, Topics in Cryptology, CT-RSA 2001, 2001

252. Paterson K.G., Watson G.J.: Immunising CBC Mode against Padding Oracle Attacks: A Formal Security Treatment // Lecture Notes in Computer Science, vol. 5229, Springer, pp. 340-357 (2008).

253. Peeters E. Advanced DPA Theory and Practice // Springer, New York, NY, 2013.

254. Perrin T. Requesting removal of CFRG co-chair // Crypto Forum Research Group mailing list archives, https://mailarchive.ietf.org/ arch/msg/cfrg/scLoq7DvtXzo9Jl9AG9fQOcSGsM/, 2013.

255. Petit C., Kosters M., Messeng A. Algebraic Approaches for the Elliptic Curve Discrete Logarithm Problem over Prime Fields // Lecture Notes in Computer Science 9615, pp. 3-18, 2016.

256. Petit C., Quisquater J.-J. On polynomial systems arising from a Weil descent // In Proceedings of the 18th international conference on The Theory and Application of Cryptology and Information Security (ASIACRYPT'12). Springer-Verlag, Berlin, Heidelberg, 451-466.

257. Petro D., Cecil A. You're Doing IoT RNG. https://labs.bishopfox. com/tech-blog/youre-doing-iot-rng

258. Petzoldt A., Chen MS., Yang BY., Tao C., Ding J. Design Principles for HFEv- Based Multivariate Signature Schemes // Lecture Notes in Computer Science, Vol. 9452, Advances in Cryptology - ASIACRYPT 2015, 2015

259. Poddebniak, D., Somorovsky, J., Schinzel, S., Lochter, M., Rosler, P. Attacking deterministic signature schemes using fault attacks // IEEE European Symposium on Security and Privacy (EuroS&P), 2018, pp. 338-352.

260. Pollard, J.M. A Monte Carlo Method for Factorization // BIT, Vol. 15, 1975. Pp. 331-334

261. Preparata F. P. Convolutional transformations of binary sequences: Boolean functions and their resynchronizing properties // IEEE Transactions on Electronic Computers. 1966. Vol. 15. Pp. 898-909.

262. Ramsay C., Lohuis J. «TEMPEST attacks against AES. Covertly

stealing keys for 200 euro», 2017. https://www.fox-it.com/en/ wp-content/uploads/sites/11/Tempest_attacks_against_AES.pdf.

263. Ristenpart T., Yilek S. When good randomness goes bad: Virtual machine reset vulnerabilities and hedging deployed cryptography. // Proc. ISOC Network and Distributed Security Symposium (2010).

264. Rogaway P. Nonce-Based Symmetric Encryption // Fast Software Encryption (FSE 2004), Lecture Notes in Computer Science, vol 3017. Springer, Berlin, Heidelberg. P. 348-358

265. Rogaway P. Evaluation of Some Blockcipher Modes of Operation. Technical Report, Cryptography Research and Evaluation Committees (CRYPTREC) for the Goverment of Japan. 2011.

266. Romailler, Y., Pelissier, S. Practical fault attack against the Ed25519 and EdDSA signature schemes // 2017 Workshop on Fault Diagnosis and Tolerance in Cryptography (FDTC), 2017, IEEE, pp. 17-24.

267. Rogaway P., Stegers T. «Authentication without Elision: Partially Specified Protocols, Associated Data, and Cryptographic Models Described by Code.» In CSF 2009, IEEE Computer Society, pp. 26-39.

268. Samwel, N., Batina, L. Practical fault injection on deterministic signatures: the case of EdDSA // International Conference on Cryptology in Africa, Springer, 2018, pp. 306-321

269. Samwel, N., Batina, L., Bertoni, G., Daemen, J., Susella, R. Breaking Ed25519 in wolfSSL // Cryptographers' Track at the RSA Conference, Springer, 2018, pp. 1-20

270. Savage J.E. Models of Computation: Exploring the Power of Computing, 1998.

271. Schneier B. Applied cryptography. Wiley, 1995.

272. Schnorr C. P. Efficient identification and signatures for smart cards // Conference on the Theory and Application of Cryptology. Springer, New York, NY, 1989. C. 239-252.

273. Semaev I. A. Summation polynomials and the discrete logarithm problem on elliptic curves // Cryptology ePrint Archive: Report 2004/031, http://eprint.iacr.org/2004/031

274. Semaev I. A. New algorithm for the discrete logarithm problem on elliptic curves // Cryptology ePrint Archive: Report 2015/310, http: //eprint.iacr.org/2015/310

275. Seuschek, H., Heyszl, J., De Santis, F. A cautionary note: Side-channel leakage implications of deterministic signature schemes // Proceedings of the Third Workshop on Cryptography and Security in Computing Systems, pp. 7-12, 2016

276. Shannon C.E. Communication theory of secrecy systems. Bell System Tech. J., 28 (1949), pp. 656-715.

277. Sidorenko A. Design and analysis of provably secure pseudorandom generators. Ph.D. Thesis. Eindhoven. 2007.

278. Smart N.P, Rijmen V., Stam M., Warinschi B., Watson G. Study on cryptographic protocols // ENISA, Report TP-06-14-085-EN-N, 2014.

279. Sun Y., Kumar S., He S., Chen J., Shi Z. You Foot the Bill! Attacking NFC With Passive Relays // IEEE Internet of Things Journal, vol. 8, no. 2, pp. 1197-1210, 15 Jan.15, 2021.

280. Vanhoef M., Ronen E. Dragonblood: Analyzing the Dragonfly Handshake of WPA3 and EAP-pwd // Proceedings of the Symposium on Security & Privacy (SP). IEEE, 2020.

281. Wang P., Feng D., Lin C., Wu W. (2009) Security of Truncated MACs

// In: Yung M., Liu P., Lin D. (eds) Information Security and Cryptology. Indocrypt 2008. Lecture Notes in Computer Science, vol 5487. Springer, Berlin, Heidelberg

282. Weissbart, L., Picek, S., Batina, L. One trace is all it takes: Machine learning-based side-channel attack on EdDSA // International Conference on Security, Privacy, and Applied Cryptography Engineering, Springer, 2019, pp. 86-105.

283. Witherden F. Memory Forensics over the IEEE 1394 Interface // In: (2010).

284. Yilek S., Rescorla E., Shacham H., Enright B., Savage S. When private keys are public: results from the 2008 Debian OpenSSL vulnerability // Proceedings of the 9th ACM SIGCOMM conference on Internet measurement conference, 2009. Pp. 15-27.

285. Yu J., Kong F., Cheng X., Hao R., Li G. Construction of Yet Another Forward Secure Signature Scheme Using Bilinear Maps. // Baek J., Bao F., Chen K., Lai X. (eds) Provable Security. ProvSec 2008. Lecture Notes in Computer Science, vol. 5324, pp. 83-97 (2008).

286. Zheng Y. Digital signcryption or how to achieve cost (signature & encryption) ^ cost(signature) + cost(encryption) // Lecture Notes in Computer Science, Vol. 1294, Advances in Cryptology — CRYPTO'97, 1997.

Публикации автора по теме диссертации

Публикации в рецензируемых научных изданиях, индексируемых в базах данных Web of Science (WoS), Scopus, RSCI

287. Smyshlyaev S. V. Perfectly Balanced Boolean Functions and Golic Conjecture // Journal of Cryptology. 2012. Vol. 25 (3). Pp. 464-483.

288. Смышляев С.В. Совершенно уравновешенные дискретные функции и условие Голича // Дискретная математика. 2013. Т. 25. № 1. С. 63-75.

289. Смышляев С.В. О связях между некоторыми параметрами совершенно уравновешенных булевых функций // Прикладная дискретная математика. 2013. № 2 (20). С. 19-25.

290. Popov V.O., Smyshlyaev S.V. Construction of RNG using random automata and "one-way" functions // Математические вопросы криптографии. 2014. Т. 5. № 2. С. 109-115.

291. Smyshlyaev S.V. On the invariance of perfect balancedness property under the choice of tapping sequence // Математические вопросы криптографии. 2014. Т. 5. № 2. С. 127-135.

292. Alekseev E.K., Popov V.O., Prokhorov A.S., Smyshlyaev S.V., Sonina L.A. On the performance of one perspective LSX-based block cipher // Математические вопросы криптографии. 2015. Т. 6. № 2. С. 7-17.

293. Смышляев С.В. Об 1-устойчивых совершенно уравновешенных булевых функциях // Дискретная математика. 2016. Т. 28. № 2. С. 117-126.

294. Алексеев Е.К., Ошкин И.Б., Попов В.О., Смышляев С.В. О криптографических свойствах алгоритмов, сопутствующих применению стандартов ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012 // Математи-

ческие вопросы криптографии. 2016. Т. 7. № 1. С. 5-38.

295. Алексеев Е.К., Ахметзянова Л.Р., Ошкин И.Б., Смышляев С.В. Обзор уязвимостей некоторых протоколов выработки общего ключа с аутентификацией на основе пароля и принципы построения протокола SESPAKE // Математические вопросы криптографии. 2016. Т. 7. № 4. С. 7-28.

296. Ahmetzyanova L.R., Alekseev E.K., Oshkin I.B., Smyshlyaev S.V., Sonina L.A. On the properties of the CTR encryption mode of Magma and Kuznyechik block ciphers with re-keying method based on CryptoPro Key Meshing // Математические вопросы криптографии. 2017. Т. 8. № 2. С. 39-50.

297. Ahmetzyanova L.R., Alekseev E.K., Karpunin G.A., Smyshlyaev S.V. On cryptographic properties of the CVV and PVV parameters generation procedures in payment systems // Математические вопросы криптографии. 2018. Т. 9. № 2. С. 23-46.

298. Alekseev E.K., Nikolaev V.D., Smyshlyaev S.V. On the security properties of Russian standardized elliptic curves // Математические вопросы криптографии. 2018. Т. 9. № 3. С. 5-32.

299. Ahmetzyanova L.R., Alekseev E.K., Sedov G.K., Smyshlyaeva E.S., Smyshlyaev S.V. Practical significance of security bounds for standardized internally re-keyed block cipher modes // Математические вопросы криптографии. 2019. Т. 10. № 2. С. 31-46.

300. Алексеев Е.К., Смышляев С.В. О безопасности протокола SESPAKE. // Прикладная дискретная математика. 2020. № 4 (50). С. 5-41.

301. Алексеев Е.К., Ахметзянова Л.Р., Бабуева А.А., Смышляев С.В.

Защищенное хранение данных и полнодисковое шифрование // Прикладная дискретная математика. 2020. № 3 (49). С. 78-97.

302. Akhmetzyanova L., Alekseev E., Smyshlyaev S., Oshkin I. On Internal Re-keying // Lecture Notes in Computer Science, 2020, vol. 12529, pp. 23-45.

303. Akhmetzyanova L., Cremers C., Garratt L., Smyshlyaev S., Sullivan N. Limiting the impact of unreliable randomness in deployed security protocols // IEEE Computer Security Foundations, CSF, 2020, pp. 277-287.

304. Akhmetzyanova L.R., Alekseev E.K., Babueva A.A, Smyshlyaev S.V. On methods of shortening ElGamal-type signatures // Математические вопросы криптографии. 2021. Т. 12. № 2. С. 75-91.

305. Алексеев Е.К., Ахметзянова Л.Р., Бабуева А.А., Смышляев С.В. О повышении безопасности схем подписи Эль-Гамаля // Математические вопросы криптографии. 2021. Т. 12. № 3. С. 5-30.

306. Алексеев Е.К., Ахметзянова Л.Р., Божко А.А., Смышляев С.В. Безопасная реализация электронной подписи с использованием слабодоверенного вычислителя // Математические вопросы криптографии. 2021. Т. 12. № 4. С. 5-23.

307. Алексеев Е.К., Николаев В.Д., Смышляев С.В. Влияние рандомизации в механизмах VKO на безопасность средств защиты информации // Прикладная дискретная математика. 2021. № 4 (54). С. 78-94.

Публикации в рецензируемых научных изданиях, входящих в перечень ВАК Минобрнауки России

308. Леонтьев С.Е., Попов В.О., Смышляев С.В. Противодействие ата-

кам на протокол TLS. Системы высокой доступности. 2012. Т. 8. № 2. С. 109-115.

309. Попов В.О., Смышляев С.В. Подход к построению датчиков случайных чисел в программных средствах криптографической защиты информации // Системы высокой доступности. 2013. Т. 9. № 3. С. 24-28.

310. Алексеев Е.К., Ошкин И.Б., Попов В.О., Смышляев С.В., Сонина Л.А. О перспективах использования скрученных эллиптических кривых Эдвардса со стандартом ГОСТ Р 34.10-2012 и алгоритмом ключевого обмена на его основе // Проблемы информационной безопасности. Компьютерные системы. 2014. № 3. С. 60-66.

311. Смирнов П.В., Смышляев С.В. Обеспечение безопасности систем дистанционного формирования электронной подписи в условиях слабодоверенного окружения // International Journal of Open Information Technologies. ISSN: 2307-8162 vol. 8, no.12, 2020. С. 77-84.

312. Агафьин С.С., Смышляев С.В.. Повышение безопасности доступа к ключам электронной подписи в условиях слабодоверенного окружения. International Journal of Open Information Technologies. ISSN: 2307-8162 vol. 9, no.10, 2021. С. 84-89.

Публикации в иных изданиях

313. Логачев О.А., Сальников А.А., Смышляев С.В., Ященко В.В. Булевы функции в теории кодирования и криптологии (3-е изд.). Ленанд, 2015. 576 стр.

314. Logachev O. A., Salnikov A. A., Smyshlyaev S. V., Yashchenko V. V. Symbolic Dynamics, Codes and Perfectly Balanced Functions // Proceedings of the NATO Advanced Research Workshop on Enhancing

Cryptographic Primitives with Techniques from Error Correcting Codes. 2009. Pp. 222-233.

315. Смышляев С.В. Совершенная уравновешенность дискретных функций и условие Голича // Прикладная дискретная математика. Приложение. 2012. № 5. С. 28-30.

316. Логачев О.А., Смышляев С.В. О неавтономных двоичных регистрах сдвига, обладающих свойством синхронизации // Электроника инфо. 2013. № 6. С. 183-185.

317. Akhmetzyanova L., Alekseev E., Babueva A., Smyshlyaev S., On methods of shortening ElGamal-type signatures // Proceedings of the 9-th Workshop on Current Trends in Cryptology (CTCrypt), Dorokhovo, Ruza District, Moscow Region, Russia. Pp. 252-286; IACR Cryptology ePrint Archive, Report 2021/148, 2021.

318. Ahmetzyanova L.R., Alekseev E.K., Sedov G.K., Smyshlyaev S.V. On Security of TLS 1.2 Record Layer with Russian Ciphersuites // Proceedings of the 8-th Workshop on Current Trends in Cryptology (CTCrypt), Svetlogorsk, Kaliningrad region, Russia, pp. 254-292.

Стандарты, рекомендации по стандартизации, отраслевые стандарты, описывающие разработанные в диссертации механизмы

319. Рекомендации по стандартизации Р 50.1.113-2016 «Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хэширования», Москва, Стан-дартинформ, 2016.

320. Рекомендации по стандартизации Р 50.1.115-2016 «Информационная технология. Криптографическая защита информации. Протокол выработки общего ключа с аутентификацией на основе пароля», Москва, Стандартинформ, 2016.

321. Рекомендации по стандартизации Р 1323565.1.007-2017 «Информационная технология. Криптографическая защита информации. Использование алгоритмов блочного шифрования при формировании проверочного параметра платежной карты и проверочного значения PIN», Москва, Стандартинформ, 2017.

322. Рекомендации по стандартизации Р 1323565.1.017-2018 «Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов блочного шифрования», Москва, Стандартинформ, 2018.

323. Рекомендации по стандартизации Р 1323565.1.020-2020 «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.2)», Москва, Стандартин-форм, 2020.

324. Smyshlyaev S. (Ed.), Alekseev E., Oshkin I., Popov V., Leontiev S., Podobaev V., Belyavsky D., "Guidelines on the Cryptographic Algorithms to Accompany the Usage of Standards GOST R 34.10-2012 and GOST R 34.11-2012", RFC 7836, 2016, https://www.rfc-editor.org/info/ rfc7836.

325. Smyshlyaev S. (Ed.), Alekseev E., Oshkin I., Popov V., "The Security Evaluated Standardized Password Authenticated Key Exchange (SESPAKE) Protocol", RFC 8133, 2017, https://www.rfc-editor.org/

info/rfc8133.

326. Smyshlyaev S. (Ed.), "Re-keying Mechanisms for Symmetric Keys", RFC 8645, 2019, https://www.rfc-editor.org/info/rfc8645.

327. Cremers C., Garratt L., Sullivan N., Smyshlyaev S., Wood C., "Randomness Improvements for Security Protocols", RFC 8937, 2020, https://www.rfc-editor.org/info/rfc8937.

328. ISO/IEC 10116:2017/AMD 1:2021 Information technology — Security techniques — Modes of operation for an n-bit block cipher — Amendment 1: CTR-ACPKM mode of operation. ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection, 2021.

Свидетельства о государственной регистрации программ для ЭВМ

329. Свидетельство о государственной регистрации программы для ЭВМ № 2014610014 «Средство криптографической защиты информации "КриптоПро CSP (версия 3.8)"». Правообладатель: Общество с ограниченной ответственностью "КРИПТО-ПРО". Авторы: Агафьин С.С., Беляев А.А., Бородин Г.О., Дьяченко Д.Г., Коллегин М.Д., Леонтьев С.Е., Попов В.О., Смышляев С.В., Русев А.А., Пичулин Д.Н.

330. Свидетельство о государственной регистрации программы для ЭВМ № 2014610725 «Средство криптографической защиты информации "КриптоПро CSP (версия 3.9)"». Правообладатель: Общество с ограниченной ответственностью "КРИПТО-ПРО". Авторы: Агафьин С.С., Беляев А.А., Бородин Г.О., Дьяченко Д.Г., Коллегин М.Д., Леонтьев С.Е., Попов В.О., Смышляев С.В., Русев А.А.

331. Свидетельство о государственной регистрации программы для ЭВМ

№ 2015617421 «Средство криптографической защиты информации "КриптоПро ФКН CSP (версия 3.9)"». Правообладатель: Общество с ограниченной ответственностью "КРИПТО-ПРО". Авторы: Агафьин С.С., Алексеев Е.К., Бородин Г.О., Коллегин М.Д., Леонтьев С.Е., Попов В.О., Русев А.А., Смышляев С.В.

332. Свидетельство о государственной регистрации программы для ЭВМ № 2014610162 «Средство криптографической защиты информации "КриптоПро CSP (версия 4.0)"». Правообладатель: Общество с ограниченной ответственностью "КРИПТО-ПРО". Авторы: Агафьин С.С., Беляев А.А., Бородин Г.О., Дьяченко Д.Г., Коллегин М.Д., Леонтьев С.Е., Попов В.О., Смышляев С.В., Русев А.А.

333. Свидетельство о государственной регистрации программы для ЭВМ № 2017613509 «Средство криптографической защиты информации "КриптоПро CSP (версия 5.0)"». Правообладатель: Общество с ограниченной ответственностью "КРИПТО-ПРО". Авторы: Агафьин С.С., Беляев А.А., Бородин Г.О., Дьяченко Д.Г., Коллегин М.Д., Попов В.О., Русев А.А., Смышляев С.В.

334. Свидетельство о государственной регистрации программы для ЭВМ № 2016663455 «Программа "КриптоПро Key Server" версии 1.0». Правообладатель: Общество с ограниченной ответственностью "КРИПТОПРО". Авторы: Агафьин С.С., Беляев А.А., Бородин Г.О., Дьяченко Д.Г., Коллегин М.Д., Попов В.О., Смышляев С.В., Русев А.А.

335. Свидетельство о государственной регистрации программы для ЭВМ № 2018613646 «Средство криптографической защиты информации "КриптоПро nGate версии 1.0)"». Правообладатель: Общество с ограниченной ответственностью "КРИПТО-ПРО". Авторы: Дьяченко Д.Г.,

Коллегин М.Д., Куликов А.В., Пичулин Д.Н., Русев А.А., Русских А.Н., Сбитнев А.Г., Смышляев С.В.

336. Свидетельство о государственной регистрации программы для ЭВМ № 2016663137 «Программа "КриптоПро nGate версии 1.0)"». Правообладатель: Общество с ограниченной ответственностью "КРИПТОПРО". Авторы: Дьяченко Д.Г., Коллегин М.Д., Куликов А.В., Пичулин Д.Н., Русев А.А., Русских А.Н., Сбитнев А.Г., Смышляев С.В.

337. Свидетельство о государственной регистрации программы для ЭВМ № 2019613887 «Средство криптографической защиты информации "КриптоПро NGate версии 1.0)"». Правообладатель: Общество с ограниченной ответственностью "КРИПТО-ПРО". Авторы: Дьяченко Д.Г., Коллегин М.Д., Куликов А.В., Пичулин Д.Н., Русев А.А., Русских А.Н., Сбитнев А.Г., Смышляев С.В.

338. Свидетельство о государственной регистрации программы для ЭВМ № 2017613315 «Программа "КриптоПро Мобильный аутентификатор версии 1.0"». Правообладатель: Общество с ограниченной ответственностью "КРИПТО-ПРО". Авторы: Николаев В.Д., Смирнов П.В., Смышляев С.В.

339. Свидетельство о государственной регистрации программы для ЭВМ № 2018614804 «Программа "КриптоПро Мобильный аутентификатор версии 1.0"». Правообладатель: Общество с ограниченной ответственностью "КРИПТО-ПРО". Авторы: Николаев В.Д., Смирнов П.В., Смышляев С.В.

Приложение

Доказательство Теоремы 1.1.8

Теорема 1.1.8. При к Е {3, 5, 7} все совершенно уравновешенные функции из Р22 перестановочны по первой или последней переменной.

(2)

Доказательство. Каждой функции / Е Ркк сопоставим матрицу (Е Е^хк, = ¡(г, ]), г,] = 0,1,...,к — 1. Условие отсутствия перестановочности / по обеим переменным выражается следующим образом:

,з',з",г',г",з Е Ек, г' = г", / = / : а^, = а^,,, а/^ = а/^. (4.15)

По Теореме 0.2, отсутствие совершенной уравновешенности в таком случае эквивалентно выполнению следующего условия:

3 I Е М, е, 1'2, ,..., ^, , г** Е Ек : г'х = г'[

/

аг*,г [

а/ г' г1,г 2

/

аг*,г ч, /

г",

ч, 2

/ = / а ■! ■! - (!>■" ■!! •

г1-1, г1 ''' 1-1,г i '

а = П

'/ '4=4= ¡¡И ^'=+==+= *

ч,г ч ,г

(4.16)

(2)

Введем для всякой функции / Е РКк операторы