Лицензии ФСБ

Россия (и СССР до развала) обладает значительно ограниченными ресурсами для самостоятельной разработки криптостойких алгоритмов, и по-этому при их дизайне были допущены некоторые недоработки, компенсированные за счет черезмерных значений параметров алгоритма.
До перестройки, криптография вообще была внутренним делом спецслужб, но скорее всего из-за недостатка ресурсов внутри государства, было решено, что дешевле проверять и лицензировать коммерческие разработки, чем все разрабатывать самим, на что уже нехватало средств.
Была проведена достаточно поверхносная и низкокачественная работа перерабатывания внутренней документации в стандарты, и эти стандарты были опубликованны. Скорее всего, это просто отредактированная внутренняя документация, причем редактировали ее не те, кто писали, с не совсем полным понимамием дела.
Заметим, что изначально полностью отсутствовала криптография с открытым ключем, и только много позже появилась ЭЦП. Шифрования как небыло, так и нет.
Я склонен считать, что в СССР независимо доперли до принципа шифрования с открытым ключем (это небезпрецедентно; есть свидетельства тому, что в нескольких странах военная разведка разрабатывала такие системы за долго до публикаций Диффи-Хелльмана и RSA). Но конкретные реализации этого принципа оказались недостаточно стойкими и поэтому в конце-концов небыли опубликованы в качестве стандартов. Я даже подозреваю, что сам блочный шифр ГОСТ мог применятся для шифрования с открытым ключем. Например для согласования ключа Diffie-Hellman или шифрования ElGamal нужно всего-навсего семейство трудно обратимых коммутативных операторов. На базе шифра ГОСТ (если S-блоки рассматривать как параметры) можно нечто подобное сообразить, но обратимость не слишком трудная. Единственное, что мне удалось придумать, это использовать нулевой секретный ключ, в качестве закрытого ключа использовать (правильно подобранные) S-блоки, а в качестве откытого ключа — фиксированный (публичный) блок зашифрованный с использованинем закрытого ключа. Согласованый ключ будет открытый ключ партнера зашифрованный с использованием моего закрытого ключа. Скорее всего, даже если нечто подобное и существовало, то делалось не совсем так просто (нулевой секретный ключ слишком слабый), от использования и публикации скорее всего отказались на каком-то этапе разработки и использовали дизайн блочного шифра только как блочный шифр и функция компрессии для хеширования.
А сертифицировать Diffie-Helman на базе GF(mod p) (где p — простое и (p-1)/2 тоже простое) отказались либо опасаясь, что потенциальный противник уже знает как это вскрыть (маловероятно), либо потому, что реализацию трудно проверить. Заметим, кстати, что в США и в Японии тоже не сертифицируют шифрование с открытым ключем, только хеш-функцию, подпись, и блочный шифр, точно так же, как в России.
Дело в том, что государства не очень любят (или не любили в прошлом) сертифицировать шифропродукты на основе ПО. Они предпочитают аппаратные реализации. В восьмидесятые годы (тем более в СССР) реализовать модулярное возведение в степень аппаратно, да еще так, чтобы это можно было проверить было совсем нетривиально. Блочный шифр ГОСТ очень просто проверяем (то есть, если вам дадут маски микросхемы, или печатную плату со стандартными микросхемами SSI и MSI, то достаточно просто убедиться в том, что она действительно его реализует без