id: Гость   вход   регистрация
текущее время 13:07 28/03/2024
Владелец: unknown (создано 10/05/2011 14:27), редакция от 15/06/2011 22:53 (автор: unknown) Печать
Категории: криптография, криптоанализ, политика, алгоритмы, симметричное шифрование, атаки, сертификация
http://www.pgpru.com/Новости/2011/СообщенияОВзломеБлочногоШифраГОСТ28147-89ВРазгарУсилийПоЕгоМеждународнойСтандартизации
создать
просмотр
редакции
ссылки

10.05 // Сообщения о взломе блочного шифра ГОСТ 28147-89 в разгар усилий по его международной стандартизации


Известный исследователь, основоположник алгебраического криптоанализа Николя Куртуа утверждает, что блочный шифр ГОСТ, который в ближайшее время должен был стать международным стандартом, фактически взломан и ожидает в дальнейшем множества публикаций, которые должны развить его идеи о нестойкости этого алгоритма.


Далее приведены краткие выдержки из этой работы, которую можно рассматривать как алармистский выпад в разгаре международной стандартизации (схожими преувеличениями автор был известен и в отношении AES, однако его работы тогда оказали большое теоретическое влияние на криптоанализ, но так и не привели на сегодняшний момент к практическим атакам на сам AES). Но, возможно, это и реальное предупреждение о начале этапа "пикирующего в штопор самолёта", которое может закончиться крахом национального стандарта шифрования, как это было с алгоритмом хэширования SHA-1 и алгоритмом хэширования "де-факто" MD5.


ГОСТ 28147-89 был стандартизирован в 1989 году и впервые стал официальным стандартом защиты конфиденциальной информации, но спецификация шифра оставалась закрытой. В 1994 году стандарт был рассекречен, опубликован и переведён на английский язык. По аналогии с AES (и в отличие от DES), ГОСТ допущен к защите секретной информации без ограничений, в соответствии с тем, как это указано в российском стандарте. Т.о. ГОСТ — это не аналог DES, а конкурент 3-DES с тремя независимыми ключами или AES-256. Очевидно, что ГОСТ — это достаточно серьёзный шифр, удовлетворяющий военным критериям, созданный с расчётом на самые серьёзные применения. По крайней мере два набора S-блоков ГОСТа были идентифицированы на основе приложений, используемых российскими банками. Эти банки нуждаются в проведении секретных коммуникаций с сотнями филиалов и защите миллиардов долларов от мошеннических хищений.


ГОСТ — это блочный шифр с простой структурой Файстеля, с размером блока 64 бита, 256-битным ключом и 32 раундами. Каждый раунд содержит сложение с ключом по модулю 232, набор из восьми 4-битных S-блоков и простой циклический сдвиг на 11 битов. Особенностью ГОСТа является возможность хранения S-блоков в секрете, что можно представить как второй ключ, увеличивающий эффективный ключевой материал до 610 битов. Один набор S-блоков был опубликован в 1994 году в рамках спецификации хэш-функции ГОСТ-Р 34.11-94 и, как писал Шнайер, использовался Центральным Банком Российской Федерации. Он также вошёл в стандарт RFC4357 в части "id-GostR3411-94-CryptoProParamSet". В исходных кодах в конце книги Шнайера была ошибка (в порядке S-блоков). Наиболее точную эталонную реализацию исконно российского происхождения сейчас можно встретить в библиотеке OpenSSL. Если где-то применяются секретные S-блоки, то они могут быть извлечены из программных реализаций и из микросхем, по факту чего были опубликованы соответствующие работы.

ГОСТ — серьёзный конкурент


В дополнение к очень большому размеру ключа, GOST имеет значительно более низкую стоимость исполнения по сравнению с AES и какими-либо ещё сходными системами шифрования. В действительности, он стоит намного меньше AES, которому требуется в четыре раза больше аппаратных логических вентилей ради значительно меньшего заявленного уровня безопасности.


Неудивительно, что ГОСТ стал интернет-стандартом, в частности, он включён во многие криптобиблиотеки, такие как OpenSSL и Crypto++, и становится всё популярнее за пределами страны своего происхождения. В 2010 году ГОСТ был заявлен на стандартизацию ISO как всемирный стандарт шифрования. Крайне малое количество алгоритмов смогли стать международными стандартами. ISO/IEC 18033-3:2010 описывает следующие алгоритмы: четыре 64-битных шифра — TDEA, MISTY1, CAST-128, HIGHT — и три 128-битных шифра — AES, Camellia, SEED. ГОСТ предлагается добавить в этот же самый стандарт ISO/IEC 18033-3.


Впервые в истории промышленной стандартизации мы имеем дело со столь конкурентоспособным алгоритмом в терминах оптимальности между стоимостью и уровнем безопасности. ГОСТ имеет за собой 20 лет попыток криптоанализа и до недавних пор его безопасность военного уровня не подвергалась сомнению.


Как стало недавно известно автору из приватной переписки, большинство стран высказались против ГОСТа на голосовании ISO в Сингапуре, однако результаты этого голосования будут ещё рассматриваться на пленарном заседании ISO SC27, так что ГОСТ всё ещё находится в процессе стандартизации на момент публикации этой работы.

Мнения экспертов по поводу ГОСТ


Ничто из имеющихся сведений и литературы по поводу ГОСТа не даёт оснований полагать, что шифр может быть небезопасным. Наоборот, большой размер ключа и большое число раундов делают ГОСТ, на первый взгляд, подходящим для десятилетий использования.


Все, кому знаком закон Мура, понимают, что, в теории, 256-битные ключи останутся безопасными по крайней мере 200 лет. ГОСТ был широко исследован ведущими экспертами в области криптографии, известными в области анализа блочных шифров, такими как Шнайер, Бирюков, Данкельман, Вагнер, множеством австралийских, японских и российских учёных, экспертами по криптографии от ISO, и все исследователи высказывались, что всё выглядит так, что он он может быть или должен быть безопасным. Хотя широкого понимания достигло мнение, что сама по себе структура ГОСТа крайне слаба, например, по сравнению с DES, в частности, диффузия не настолько хороша, однако это всегда обуславливалось тем, что это должно компенсироваться большим числом раундов (32), а также дополнительной нелинейностью и диффузией, обеспечиваемой сложением по модулю.


Бирюков и Вагнер писали: "Большое число раундов (32) и хорошо изученная конструкция Фейстеля, сочетаемая с последовательными Шенноновскими подстановками-перестановками, обеспечивают солидную основу безопасности ГОСТ". В той же самой работе мы читаем: "после значительных затрат времени и усилий, никакого прогресса в криптоанализе стандарта в открытой литературе достигнуто не было". Таким образом, не было никаких существенных атак, которые позволяли бы дешифрование или восстановление ключа в реалистичном сценарии, когда ГОСТ используется в шифровании со множеством разных случайных ключей. В противоположность этому, известно очень много работ по атакам на слабые ключи в ГОСТ, атаки со связанными ключами, атаки на восстановление секретных S-блоков. На Crypto-2008 был представлен взлом хэш-функции, основанной на этом шифре. Во всех атаках атакующий имеет значительно больший уровень свободы, чем ему обычно допускается. В традиционных применениях шифрования с использованием случайно выбираемых ключей до настоящего момента никаких серьёзных криптографических атак на ГОСТ найдено не было, что в 2010 году выражалось итоговой фразой: "несмотря на существенные усилия криптоаналитиков за прошедшие 20 лет, ГОСТ всё ещё не взломан" (Axel Poschmann, San Ling, and Huaxiong Wang: 256 Bit Standardized Crypto for 650 GE GOST Revisited, In CHES 2010, LNCS 6225, pp. 219-233, 2010).

Линейный и дифференциальный анализ ГОСТ


В широкоизвестной книге Шнайера мы читаем: "Против дифференциального и линейного криптоанализа ГОСТ вероятно более устойчив, чем DES". Основную оценку безопасности ГОСТа дали в 2000 году Габидулин и др. Их результаты очень впечатляющи: при заложенном уровне безопасности 2256, достаточно пяти раундов для защиты ГОСТа от линейного криптоанализа. Более того, даже при замене S-блоков на тождественные и единственной нелинейной операции шифра — сложения по модулю 232 — шифр всё равно стоек против линейного криптоанализа после 6 раундов из 32. Дифференциальный криптоанализ ГОСТа выглядит сравнительно более лёгким и привлекает больше внимания. Для 2128 уровня безопасности исследователи (Vitaly V. Shorin, Vadim V. Jelezniakov and Ernst M. Gabidulin: Linear and Differential Cryptanalysis of Russian GOST, Preprint submitted to Elsevier Preprint, 4 April 2001) предполагали достаточную стойкость на уровне 7 раундов. По их утверждению, взлом ГОСТа более чем на пяти раундах "крайне труден". Более того, двое японских исследователей показали, что классическая прямая дифференциальная атака с одной дифференциальной характеристикой имеет крайне малую вероятность для прохождения через большое число раундов. На основе факта изучения достаточно "хорошей" итеративной дифференциальной характеристики для ограниченного числа раундов (которая сама по себе имеет вероятность прохождения не лучше 2-11.4 на раунд), получено значения множества подходящих ключей менее половины. Для полнораундового ГОСТа такая атака с единственной характеристикой будет работать лишь с ничтожно малой частью ключей порядка 2-62 (и даже в этой малой части она будет иметь вероятность прохождения не более 2-360).


Более сложные атаки включают множества дифференциалов, следующих определённым паттернам, например с использованием отдельных S-блоков, имеющих нулевые дифференциалы, в то время как на других битах имеются ненулевые. Речь об атаках-различителях, основанных на плохих диффузионных свойствах ГОСТа. Лучшая из таких атак работает против 17 раундов ГОСТа, зависит от ключа и имеет сама по себе на выходе крайне слабый различитель от случайных данных, чтобы его как-то можно было использовать для получения информации о ключе.

Атаки скольжения и отражения


Согласно Бирюкову и Вагнеру, структура ГОСТа, включающая обратный порядок подключей в последних раундах, делает его стойким против атак скольжения (т.н. "слайд-атаки"). Однако из-за наличия большой величины самоподобия в шифре, это позволяет проводить атаки инверсии ключей на комбинации неподвижных точек и свойства "отражения" (т.н. "рефлективные атаки") для определённых слабых ключей. Сложность этой атаки 2192 и 232 подобранных открытых текстов.

Последние результаты


Новые атаки также используют отражение и фактически взломали ГОСТ, что и было представлено на конференции FSE 2011. Эти атаки также были открыты независимо автором данной работы. Атака требует 2132 байтов памяти, что фактически хуже, чем более медленные атаки с меньшим требованием к памяти.


Множество новых атак на основе самоподобия работают против всех ключей ГОСТа и позволяют взламывать полнораундовый ГОСТ с 256-битным ключом, а не только для слабых ключей, как было ранее. Все эти атаки требуют значительно меньше памяти и они значительно быстрее.


Эти новые атаки могут рассматриваться как примеры новой общей парадигмы криптоанализа блочных шифров, называемой "алгебраическая редукция сложности", с обобщением этих атак на множество частных случаев атак с известными неподвижными точками, скольжением, инволюциями и циклами. Важно, что среди семейства всех этих атак есть такие, которые позволяют проводить криптоанализ ГОСТ без всяких отражений и без каких-либо симметричных точек, которые проявляются в ходе вычислений. Одним из примеров является простая атака взлома ГОСТа без отражений в данной работе.

Алгебраический криптоанализ и атаки с небольшой сложностью данных на шифры с уменьшенным числом раундов


Алгебраические атаки на блочные и потоковые шифры могут быть представлены в виде проблемы решения большой системы Булевых алгебраических уравнений, которая следует геометрии и структуре частной криптографической схемы. Сама идея восходит к Шеннону. На практике была представлена для DES (впервые представлена автором данной работы) как метод формального кодирования и может взламывать 6 раундов всего на одном известном открытом тексте. Манипуляция с уравнениями происходит на основе алгоритмов XL, базисов Грёбнера, метода ElimLin, SAT-решателей.


На практике алгебраические атаки реализованы против очень малого числа раундов блочных шифров, но уже приводили к взломам потоковых шифров, также есть и успехи во взломе сверхлёгких шифров для микрооборудования. Из-за трудностей в объёмах памяти и оценках затрат на вычисления их комбинируют с другими атаками.

Как взломать ГОСТ?


Алгебраическая атака на полнораундовый ГОСТ более подробно представлена в рассматриваемой публикации. В предыдущей работе автор уже изложил 20 алгебраических атак на ГОСТ и ожидает большого их числа в ближайшем будущем. Атака, предложенная в данной работе — не лучшая из них, но открывает простой (по крайней мере для понимания криптографами) путь для последующих разработок для создания специфичной методологии к взлому ГОСТа.


Практический результат пока скромен: 264 известных открытых текста и 264 памяти для хранения пар "открытый текст/шифртекст" позволяют взломать ГОСТ в 28 быстрее, чем простой перебор. Но в плане криптоанализа это делает полностью справедливым утверждение о том, что "ГОСТ взломан".

Выводы


ГОСТ спроектирован на обеспечение военного уровня безопасности на 200 лет вперёд. Большинство ведущих экспертов, изучавших ГОСТ, приходили к соглашению о том, что "несмотря на значительные криптоаналитические усилия на протяжении 20 лет, ГОСТ всё ещё не взломан". В 2010 году ГОСТ продвигают в ISO 18033 в качестве мирового стандарта шифрования.


Основа идей об алгебраическом криптоанализе возникла более 60 лет назад. Но только лишь за последние 10 лет были разработаны эффективные программные средства (частичного) решения множества NP-полных проблем. Было взломано некоторое число потоковых шифров. Только один блочный шифр был взломан этим методом — сам по себе слабый KeeLoq. В этой работе автор взламывает важный, реально используемый шифр ГОСТ. Он отмечает, что это первый случай в истории, когда алгебраическим криптоанализом был взломан стандартизированный государственный шифр.


Простая атака "MITM с отражением" на ГОСТ уже представлена на конференции FSE 2011. В работе же, рассматриваемой в данной статье, представлена другая атака лишь для иллюстрации факта того, как много атак на ГОСТ уже появилось сейчас, многие из которых быстрее, а сама алгебраическая атака требует намного меньше памяти и открывает практически неисчерпаемое пространство возможностей для противника, атакующего шифр разными способами. Также в данной работе показано отсутствие необходимости использования свойства отражения для взлома.


Автор утверждает: очевидно, что ГОСТ имеет серьёзные изъяны и теперь не обеспечивает уровня стойкости, требуемого ISO. Множество атак на ГОСТ представлено в рамках подтверждения парадигмы редуцирования алгебраической сложности.


Напоследок исследователь особенно отмечает некоторые факты, которые пока недоступны читателю, но известны исследователю, являющиеся важными в ходе процесса стандартизации ISO. Данная атака — не просто "сертификационная" атака на ГОСТ, которая быстрее перебора грубой силой. Фактически, стандартизация ГОСТа сейчас была бы крайне опасной и безответственной. Это так потому, что некоторые из атак возможны к осуществлению на практике. Некоторые ключи ГОСТа на практике даже могут быть дешифрованы, будь они слабые ключи или ключи из частных реальных применений ГОСТа. В предыдущей работе автор приводит детальное рассмотрение случаев возможности практических атак. Важно также то, что "это первый случай в истории, когда серьёзный стандартизированный блочный шифр, созданный для защиты секретов военного уровня и предназначенный для защиты документов государственной тайны для правительств, крупных банков и других организаций, оказался взломан математической атакой"*.


*Прим. пер.: под "математической атакой" автор подразумевает преимущественно вычислительно-алгебраические методы, в то время как "традиционный" криптоанализ скорее относит к вычислительно-статистическим методам. Другие исследователи считают такое деление криптоанализа по "чистоте" используемых математических методов достаточно условным.


Источник: Cryptology ePrint Archive
См. также: Первая атака на функцию хэширования ГOСТ-Р 34.11-94, Рефлективные атаки понижают стойкость шифра ГОСТ


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— unknown (08/06/2011 12:02, исправлен 08/06/2011 12:03)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

[offtop]

Прошёл по [WWW] ссылке, опираясь на инфу из /proekt/reklama. Забавный факт:

очень забавно, там всем даётся доступ, чтобы напортачить? Я вот, нечаянно уже. А можно и по другим пунктам там пройтись? Это не read-only доступ?
[/offtop]

— SATtva (08/06/2011 14:00)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Read-only в основном.
— С400 (07/11/2011 21:43)   <#>
Однако, неспроста с 2010 года в России официально планируется создать новый ГОСТ на блочный шифр и хэш-функцию


Можно подробнее либо ссылку?
— unknown (08/11/2011 17:31, исправлен 08/11/2011 17:32)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Даже с 2004 года на "Рускрипто" это предлагалось, а где-то в последние разы был доклад от более официальных лиц о том, что вроде "вот-вот, ещё чуть-чуть". Где-то были слайды в сети.

— Гость (09/11/2011 02:49)   <#>
Можно подробнее либо ссылку?
Вы прям напрашиваетесь на ответ "Я слышал на конференции от такого-то, когда на банкете обсуждали...". Вы сами-то хоть подумайте: зачем unknown'у такой деанон :)
— Гость (28/09/2013 23:18)   <#>
Этот Николя Куртуа или очень тупой или политикой страдает. Потому как анализировал ГОСТ с какими-то левыми S-блоками. Совершенно непонятно откуда они были взяты — не имеют никакого отношения к тому варианту ГОСТа, который шел на стандартизация.

Технический комитет по стандартизации даже заявление сделал

Сразу после начала голосования по вопросу включения российского блочного шифра ГОСТ в международный стандарт блочного шифрования ISO/IEC 18033-3 была опубликована новая работа Н. Куртуа (eprint.iacr.org/2011/312, текущая версия 20110702:192247). Комментарий к ней также представлен российской стороной в 27-й подкомитет. В данной работе автор утверждает, что «ГОСТ НЕ ЯВЛЯЕТСЯ СТОЙКИМ даже против (усовершенствованных форм) разностного криптоанализа», основываясь на ряде утверждений для блочного шифра ГОСТ 28147-89 с только одним фиксированным набором узлов замены. Как и в предыдущей работе Куртуа (eprint.iacr.org/2011/211, Attachment 2 to SC 27 N10066) основное утверждение работы («Fact» 7.1.1) не доказано и сам автор признает это («Our current attack is just a sketch and a proof of concept. The exact complexity is not guaranteed»).

И самое важное, о чем российская сторона хотела бы предупредить экспертов 27-го подкомитета: набор узлов замены, рассматриваемый в работе Куртуа, полностью отличается от набора узлов замены, определенного в 1-м рабочем проекте Дополнения 1 к стандарту ISO/IEC 18033-3. Это означает, что последняя работа Куртуа – не о российском блочном шифре ГОСТ, предложенном для стандартизации в ISO и для проводимого голосования.
— unknown (28/09/2013 23:39)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Уточним, что "технический комитет по стандартизации" — это в данном контексте и есть российская сторона. Российская сторона правильно делает, что придирается к неточностям и неаккуратностям его работы. На криптоконференциях поступают также — если много формальных ошибок, то на рассмотрение содержательной части силы не тратят и работу до конференции вообще не допускают.

Вот только из содержательной части работ Куртуа скорее всего следует, что ГОСТ при любом наборе S-блоков уязвим к сертификационному криптоанализу. Только, поскольку стандарт местечковый, наряду со всякой китайщиной, японщиной и прочей азиатщиной, проталкиваемой на стандартизацию ради повышения прибыли компаний из соответствующих регионов, никому доведение его открытого криптоанализа до конца может просто оказаться неинтересно. И это всем хорошо.
— gyhsal (29/09/2013 00:07)   <#>
КриптоПро недавно выкатило статейку на тему уязвимости ГОСТа и аферы от Куртуа в частности:

...нигде в работе нет детального описания и анализа трудоемкости второго и главного этапа определения ключа. Именно трудоемкость второго этапа определяет трудоемкость всего метода в целом. Вместо этого автор приводит пресловутые «факты», на основе которых делает оценки трудоемкости. Утверждается, что эти «факты» основаны на результатах экспериментов. Анализ «фактов» из работы Куртуа в целом приведен в работе [Rud2] отечественных авторов. Авторами этой работы отмечается, что многие из представленных без каких-либо доказательств «фактов» Куртуа при экспериментальной проверке оказались ложными. Авторы статьи пошли дальше и за Куртуа провели анализ трудоемкости второго этапа с помощью хорошо обоснованных алгоритмов и оценок. Получившиеся в результате оценки трудоемкости показывают полную неприменимость представленной атаки. Помимо отечественных авторов, большие проблемы, которые возникают у Куртуа с оценками и обоснованием своих методов, отмечались также, например, в работе [Cid].

...Куртуа использует несколько модифицированный вариант дифференциального метода. Сразу же отметим, что свой анализ Куртуа проводит для S-блоков, отличных от действующих и от предложенных в ISO. В работе приводятся дифференциальные характеристики (те самые номера, в которых должны отличаться блоки) для малого числа раундов. Обоснование продления характеристик на большее число раундов, как водится, основано на «фактах». Куртуа высказывает, опять же ничем кроме его авторитета не подкрепленное предположение, что изменение S-блоков не повлияет на стойкость ГОСТ 28147-89 против его атаки (при этом по непонятным причинам S-блоки из 1-го рабочего проекта дополнения к стандарту ISO/IEC 18033-3 не рассматривались). Анализ, проведенный авторами статьи [Rud2], показывает, что даже если принять на веру необоснованные «факты» Куртуа и провести анализ ГОСТ 28147-89 с другими S-блоками, то атака опять же оказывается не лучше полного перебора.

Детальный анализ работ Куртуа с подробным обоснованием беспочвенности всех утверждений о снижении стойкости российского стандарта был проведен в работах [Rud2, Руд2]...


Кстати, российским компаниям без разницы на базе каких алгоритмов шифрования клепать продукцию. Потому и быть не может заинтересованности в проталкивании ГОСТа. Переключить продукт на другой алгоритм — это дело нескольких минут.
— unknown (29/09/2013 00:20, исправлен 29/09/2013 00:55)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Каждой компании по-отдельности, возможно и нет. Но многим компаниям в разных странах почему-то выгодно иметь свою рыночную нишу, основанную на местечковых местных стандартах.


На оба этих документа уже кто-то давал ссылки в форуме. Было и соответствующее обсуждение.


Обзорный пересказ этих работ звучит менее убедительно, чем то, что можно почерпнуть из работ Куртуа. Самих этих разоблачительных работ на IACR/ArXiV нет. Видимо, из каких-то принципиальных соображений.
Звиняюсь, есть. Лучше бы ссылку на работу дали, чем на статью. Вот только эта работа разоблачает не работы Куртуа, а совсем другие работы с другими методами криптоанализа.


Из самого обзора работ следует, что ГОСТ полностью провалился на сертификационном криптоанализе. Однако акцент ставят на том, что при соблюдении практических условий эксплуатации это не страшно. Как будто сертификационного криптоанализа не существует, также как и модели идеального блочного шифра. Хотя даже при самом скептическом рассмотрении работ, Куртуа и другим авторам удалось выйти далеко за рамки нахождения абстрактного полнораундового различителя.


При том, что на SHA-3 принимались хэши с размером выхода 2512. Так там всерьёз ставили крест на алгоритмах при нахождении абстрактного различителя от случайного оракула за менее, чем в 2512 шагов. И даже атаки с числом шагов до 21024 рассматривались в определённых сценариях весьма серьёзно (при анализе утечек внутреннего состояния функции, например). Было бы очень смешно, если кто-то бы стал оправдываться тем, что это за пределами практических режимов эксплуатации. Естественно, за пределами. Это не имеет отношения к снятию алгоритма с конкурса с пометкой "взломан".

— Гость (29/09/2013 01:33)   <#>
Лучше бы ссылку на работу дали, чем на статью. Вот только эта работа разоблачает не работы Куртуа, а совсем другие работы с другими методами криптоанализа.

Может потому, что это отнюдь не та работа, что упоминается в статье?
В интернетах есть презенташка Рудского с РусКрипто2012.

Из самого обзора работ следует, что ГОСТ полностью провалился на сертификационном криптоанализе.

Тебе уже не верю, шибко ты невнимательный и склонный к провокациям. Лично мне безразлично провалился ГОСТ или нет, потому посмотрю работы сам лично, но попозжа, не прямо щас.
— Гость (29/09/2013 06:50)   <#>

Вот оно. Обсуждение там же выше по треду.


Работу, набранную в ворде, хочется отправлять в мусорное ведро, не читая.

extremely limited practical applications and do not represent a fundamental obstacle to practical usage of the block ciphers

Жесть. Этот Рудской, который ФСБ, был в соавторстве российского ответа на SHA-3? И как, далеко они в конкурсе на стандарт продвинулись? Или они свой хэш даже формально не выдвигали на конкурс?


+1. До тех пор, пока ФСБ не осознает, что алгоритмы в современной криптографии бракуются уже на стадии сертификационного криптоанализа, а практического взлома никто не сидит и не ждёт, она так и будет фейлить до последнего. У них прям NIH-синдром на этом сертификационном криптоанализе. Дескать, буржуи специально под себя придумали такой криптоанализ, чтобы его проходили только их шифры, а остальные фейлились.


По-моему, ссылку на fileнеё тоже где-то давали в обсуждениях.


ФСБ с бывшими на этом сайте тусуются только в одном месте — в этом.
— Гость (29/09/2013 15:08, исправлен 29/09/2013 16:23)   <#>

Вокруг ГОСТа есть две конфликтные стороны. Истина не только по середине, но и в том, что играют они грязно. Нет смысл уличать одну, но замалчивать о «маневрах» другой.


[флейм вырезан цензурой]

— unknown (29/09/2013 15:45, исправлен 29/09/2013 15:55)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Да, есть две конфликтные стороны — неподконтрольное, ориентированное на чистую науку международное криптосообщество с одной стороны; и крупные корпорации и спецслужбы разных государств — с другой.


Сама эта ISO-шная стандартизация — достаточно бредовая вещь. Если ISO-шный комитет такой честный, он должен был бы забраковать всех кандидатов и застрелиться самораспуститься из-за бессмысленности всей затеи.


Одно дело, когда NIST созывает международный конкурс на создание криптопримитивов, где указаны чёткие критерии их разработки, за обоснование каждой детали надо отчитываться, а за такой исторический казус в виде игры в прятки с S-блоками никто не принял бы алгоритм даже к первому раунду конкурса.


Вместо этого, дармоеды (в данном случае) из ISO пихают в стандарт то, что уже прошло конкурс НИСТ (AES) и в рамках коммисий по нему и должно решаться, а на ряду с этим какую-то маргинальную азиатщину и ГОСТ — алгоритмы, которые никогда не разрабатывались в условиях открытых международных конкурсов.


Этот ISO-шный стандарт — просто попытка развалить стойкую гражданскую криптографию в угоду местнокорпоративным интересам и, возможно, спецслужбам разных государств, которым удобно сыграть в игру "протолкнём свой алгоритм и объявим его прошедшим международный конкурс с криптографами", "победят чужие алгоритмы — тоже хорошо, главное, что они разрабатывались криптосообществом не в открытую, а неизвестно кем", "будет зоопарк плохо проанализированных алгоритмов — будет больше шансов наворотить бэкдоров в каше из их реализаций". Удивительно, что вообще кто-то из относительно известных криптографов уделил внимание и соизволил потыкать эти алгоритмы. С ГОСТом — это скорее всего какой-то "just for fun", поэтому Куртуа и столь несерьёзен в своих работах и выступлениях, просто из-за дикого абсурда ситуации в рамках современных понятий о разработке алгоритмов.


Или все страны должны принять общий стандарт для межгосударственной связи, или ограничиться своими местными стандартами, зоопарк из поддержки которых будет обеспечен в софте (или даже железе) для тех, кому это нужно. Стойкость местных стандартов вообще никем анализироваться специально не должна — пусть страны сами решают, что они хотят, чтобы использовалось для обмена информацией внутри них или с ними и сами свои стандарты поддерживают.


Во все криптобиблиотеки (наподобие недавно обсуждаемой GnuPG) просто добавить поддержку местных алгоритмов со статусом "недоверяемый, проставьте доверие вручную". Вынести это в отдельный конфиг или даже отдельную библиотеку, чтобы обычный пользователь по умолчанию её даже не ставил и в ходе какой-либо уязвимости в ней не пострадал.


А такого рода стандарты — на помойку на уровень региональных, не рассматривая на международном уровне вообще, раз они не создавались по конкурсным критериям. Также как и имевшие ранее место внеконкурсные попытки НИСТа пропихнуть АНБ-шный Dual EC DRBG, где АНБ устроило такой же цирк, не соизволив описать, откуда оно взяло S-блоки "волшебные константы" для эллиптики.


Сам комитет по стандартизации играет грязно, это да. Он не должен был вообще создавать такой стандарт, где допущены к рассмотрению такие алгоритмы (это касается не только ГОСТа, но и алгоритмов из Азии). Просто, в каких-то конкурсах побеждают силы научного криптосообщества, а в каких-то всё делается под дудку спецслужб и корпораций.

— Гость (29/09/2013 18:03)   <#>
Или все страны должны принять общий стандарт для межгосударственной связи

Бред, ты очень далеко ушел в свой собственный мирок и уже не понимаешь назначение «стандартов».
У тебя в голове путаница примерно такая же как и «офицер» в английском не означает даже чего-то подобного офицеру в русском языке.

Промышленные стандарты существуют не ради продвижения или признания с подтверждением качества. Это просто единое бюро или служба реестра в котором хранятся банальные технические описание.
Примерно как то место, где в городах хранятся архитектурные планы зданий, помещений и систем коммуникаций. А в каком из них жить, делать ли перепланировку, менять ли схему коммуникаций — это самостоятельно решают владельцы и собственники зданий. Потом отражают характер изменений в новых вариантах технической документации и отправляют их в это специальное хранилище.

Бюро независимо от владельцев и собственников, потому позволяет другим людям выстраивать с ними взаимоотношения более цивилизованным образом. Когда получение инженерно-технической документации не упирается в амбиции, планы или настроение каких-то отдельно взятых людей. В этом и есть основная цель «стандартов» или «стандартизации».
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3