openPGP в России / Новости / 2008 / Первая атака на функцию хэширования ГOСТ-Р 34.11-94

19.02 // Первая атака на функцию хэширования ГOСТ-Р 34.11-94

Сотрудники Института Прикладной Информатики, Вычислений и Коммуникаций
Florian Mendel, Dr. Norbert Pramstaller и Christian RECHBERGER
представили работу file Cryptanalysis of the GOST Hash Function на конференции Fast Software Encryption.

На функцию хэширования ГОСТ, являющуюся стандартом Российской Федерации ГOСТ-Р 34.11-94 долгое время не было известно никаких атак. В отличие от MD5 и SHA-1 в функции хэширования ГОСТ кроме простой итеративной структуры применяется также вычисление контрольной суммы всех входящих блоков хэшируемых данных, что затрудняет проведение атак.

Исследователям удалось обойти эту трудность. Ими были использован метод как неоснованный на свойствах блочного шифра ГОСТ, положенного в основу хэш-функции, так и метод, основанной на слабости ГОСТ в отношении фиксированных точек. Из-за слабого ключевого расписания, фиксированные точки, найденые для 8 раундов, легко удалось использовать в полных 32 раундах шифра.

Функция хэширования ГОСТ оказалась теоретически неустойчивой к псевдоколлизиям, коллизиям, мультиколлизиям, нахождению первого и второго прообраза.

Атаки нахождения первого и второго прообраза независят от свойств шифра ГОСТ и имеют сложность 2²²⁵, что меньше чем 2²⁵⁶ и 2³⁸ байт памяти, используя особенности шифра ГОСТ, атаку на нахождения прообраза можно упростить до 2¹⁹² шагов и 2⁶⁹ байт памяти.

Атаки на нахождения коллизий имеют сложность 2¹⁰⁵ < 2¹²⁸ и 2⁶⁹ байт памяти.

Таким образом, атаки пока не имеют практического значения, но являются первым серьёзным теоретическим результатом в исследовании функции хэширования ГОСТ.

Источник: 15th Fast Software Encryption 2008 WorkShop

Комментарии [скрыть комментарии/форму]

—	Вий (08/08/2008 15:13, исправлен 08/08/2008 15:16) профиль/связь <#> комментариев: 510 документов: 110 редакций: 75

Пожалуй это относится к опросу:

07/01 (id80): Как вы думаете, будет ли 2008 год знаменован новыми открытиями в области крипто? Например нахождением путей взлома каких-либо известных криптографических алгоритмов

который в начале этого года был на главной странице форума. И жаль, что мнение многих пользователей, ориентированное на не лучший прогноз, подтвердилось. Тем более жаль, что этой коснулось отечественной разработки. Хотя наша хеш-функция конечно еще не взломана, но эти результаты все-же не приятны.

—	SATtva (12/08/2008 13:29) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

07/01 (id80): Как вы думаете, будет ли 2008 год знаменован новыми открытиями в области крипто? Например нахождением путей взлома каких-либо известных криптографических алгоритмов
Вполне вероятно, что это может произойти	34	37.8%
Думаю, что нет	34	37.8%
Я слабо в этом разбираюсь, что бы делать такие прогнозы	22	24.4%
Респондентов: 90 Опрос шел (дней): 25 Добавил: Вий

—	unknown (13/08/2008 08:55) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Опрос был риторическим?

—	*Гость* (29/08/2008 21:10, исправлен 29/08/2008 22:05) <#>

Австрийские и польские криптоаналитики представили модель атаки на российский криптографический стандарт ГОСТ Р34.11-94, в ходе которой намного сокращается процесс поиска коллизий.

ГОСТ 34.11-94 определяет алгоритм и процедуру вычисления хэш-функции, используемой в России при реализации электронно-цифровой подписи (ЭЦП) и в других криптографических приложениях.

Хэш-функция h – детерминированная функция, отображающая строку битов произвольной длины в строку битов фиксированной длины. Хэш-функции должны обеспечивать неразрешимость задачи вычисления входной строки x по h(x). Кроме того, они должны быть устойчивы к коллизиям, то есть успешному поиску величин x и y, удовлетворяющих условиям "x не равно y" и "h(x) равна h(y)".

Исследователи из Университета Граца и Варшавского института математики и криптологии показали уязвимость российского стандарта ГОСТ 34.11-94 к атакам, направленным на писк коллизий и на вычисление как первого, так и второго прообраза, то есть соответственно двух или трех значений входной строки, для которых выходная строка совпадает.

http://online.tu-graz.ac.at/tu.....=80200&pCurrPk=36649

Предложенная модель атаки основана на уязвимости блочного шифра хэш-функции, позволяющей находить для некоторых видов открытого текста фиксированные точки, для которых можно предсказывать значение функции сжатия.

В результате коллизионный поиск мог быть существенно сокращен. Сложность успешной атаки, направленной на поиск коллизий, составил 2¹⁰⁵ операций, на поиск второго прообраза – 2¹⁹³ операций (последний показатель в 2³³ раз сокращает время аналогичной атаки, показанной в этом же году Флорианом Менделем (Florian Mendel) с коллегами).

Источник: http://www.cnews.ru/news/top/index.shtml?2008/08/29/315265

—	unknown (01/09/2008 10:01) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Получилась машина времени :)

По данным работы очередной версии исследования таблица наиболее важных предыдущих и текущих значений выглядит таким образом (работа представлена летом на CRYPTO 2008):

работа	сложность атаки	тип атаки
Gauravaram и Kelsey (CT-RSA 2008)	2^256-t	нахождение вторых прообразов для длинных сообщений (2^t блоков)
Mendel и др (FSE 2008)	2²²⁵	нахождение прообразов и вторых прообразов
	2¹⁰⁵	нахождение коллизий
Текущая работа	2¹⁰⁵	нахождение осмысленных коллизий (с подобранным префиксом)
	2¹⁹²	нахождение прообразов и вторых прообразов

Сравниваем это с текстом опубликованной новости, где такие же цифры уже были приведены в феврале со слайдов и не исправлялись.

Видимо на FSE 2008 была подана заявка на старую версию работы, а слайды были представлены от будущей работы и к моменту FSE 2008 в начале года уже были известны, просто окончательная версия работы не была опубликована и была готова только к CRYPTO 2008.

Ваша оценка документа [показать результаты]