01.09 // Ошибка в структуре российской хэш-функции Stribog привела к её полнораундовому взлому

Хэш-функция «Стрибог» (ГОСТ Р 34.11-2012) с размером выхода 512/256 бит стала новым официальным российским стандартом, заменившим в 2013 году старый, теоретически взломанный ГОСТ Р 34.11-94 и была заявлена, как асимметричный ответ на SHA-3.

В основу данной функции положен 12-раундовый AES-подобный шифр с размером внутреннего состояния 8x8 байтов, предваряемый одним раундом нелинейного отбеливания в режиме сцепления. Функция сжатия работает в режиме Миагучи-Пренеля и внесена в расширенную область значений путём выполнения инструкции Меркла-Дамгарда на конечном шаге.

Внешняя структура хэш-функции практически полностью скопирована с режима HAIFA — HAsh Iterative FrAmework (HAIFA), которая использовалась в израильской хэш-функции SHAvite-3 и кандидате на конкурс SHA-3 BLAKE. Общий вид HAIFA-конструкции Stribog выглядит так:

При этом, в оригинальной публикации по режимам хэширования HAIFA не был опубликован формат использования межблокового счётчика и в разных HAIFA-хэшах он был реализован по разному.

По мнению исследователей Jian Guo, Jeremy Jean, Thomas Peyrin, Lei Wang (отдел математических наук, класс физических и математических наук, Наньянский технологический университет, Сингапур) и Gaetan Leurent (Французский государственный институт исследований в информатике и автоматике INRIA) в российском стандарте хэширования Stribog допущена грубая ошибка в использовании счётчика.

Вот так в общем виде выглядит функция сжатия Stribog со счётчиком итераций i:

Поскольку после текущего выполнения функции идёт следующий счётчик итераций i, то альтернативный взгляд может быть таким:

Поскольку функции идут последовательно встык друг за другом, то счётчики ксорятся между собой, в чём и состоит элементарная ошибка конструкции:

Поскольку счётчики на разных раундах не разделены между собой нелинейной функцией, то они связаны друг с другом простейшим линейным XOR-соотношением:

Формула этого соотношения достаточно тривиальна:

Неудивительно, что значение XOR-разниц для каждого чётного счётчика будет всегда равно единице:

Тривиальная ошибка использования счётчика позволила исследователям осуществить атаку на полнораундовую функцию Stribog (полный теоретический взлом). Авторы работы смогли сконструировать не просто атаку нахождения коллизий, но более сильную атаку: атаку нахождения второго прообраза, когда для заданного сообщения M можно подобрать произвольное сообщение M', которое даст на выходе одинаковое хэш-значение.

Если для идеальной 512-битовой хэш-функции для поиска второго прообраза потребовалось бы 2ⁿ или 2⁵¹² шагов, то в атаке исследователей для этого требуется всего n x 2^n/2 или 2²⁶⁶ шагов. Это конечно недостижимое значение для демонстрации атаки на практике, но является существенным результатом, показывающим серьёзную ошибку в реализации конструкции HAIFA в российском хэш-алгоритме Stribog.

Источник: Cryptology ePrint Archive.
См. также: Интегральный криптоанализ хэш-функции ГОСТ Р 34.11-2012 Стрибог, STRIBOB: шифрование с аутентификацией на основе стандарта российской хэш-функции.

На страницу: 1, 2 След.

Комментарии [скрыть комментарии/форму]

—	Гость (02/09/2014 01:22)   <#>

Кто знает такой клон Bitcoin-а где она уже используется? Айда атаку устроим!

—	Гость (02/09/2014 08:08)   <#>

Гость (02/09/2014 01:22), делай уроки и спать! Утром в школу с родителями.

—	Гость (02/09/2014 15:07)   <#>

Это характерно и очередной раз показывает еврейские уши торчащие из спецслужб. Хайфу назвали "Стрибог", но даже реализовать толком не смогли.

—	Гость (02/09/2014 16:52)   <#>

> даже реализовать толком не смогли

Вы действительно не понимаете? Это же закладка! Тогда всё встаёт на свои места вместе с иллюминатами, которые известили о закладке через этот ёпринт. В России эту новость пропустят или заболтают, а потом соберут конференции, для своей души, где будут доказывать, что эта уязвимость и не уязвимость вовсе. Всё как с предыдущими гостами, в том числе действующими и взломанными.

—	unknown (02/09/2014 16:53, исправлен 02/09/2014 16:56)   профиль/связь   <#> комментариев: 9796   документов: 488   редакций: 5664

Если бы закатали внутреннию функцию не в Хайфу, а в губку, то такой глупой ошибки не возникло бы.

>что эта уязвимость и не уязвимость вовсе

Два раза поксорить счётчик в один поток — это хуже, чем уязвимость. Это ошибка.

—	Гость (02/09/2014 22:52)   <#>

Разработчики: Центр защиты информации и специальной связи ФСБ России с участием ОАО «ИнфоТеКС»

Интересно, чем они там на самом деле занимаются, наверно тор взламывают. Стандарт лишний раз прочитать некогда.

—	Гость (05/09/2014 03:24)   <#>

Работу, набранную в ворде, хочется отправлять в мусорное ведро, не читая.

extremely limited practical applications and do not represent a fundamental obstacle to practical usage of the block ciphers

Жесть. Этот Рудской, который ФСБ, был в соавторстве российского ответа на SHA-3? И как, далеко они в конкурсе на стандарт продвинулись? Или они свой хэш даже формально не выдвигали на конкурс?

Запаса стойкости ГОСТа хватает, чтобы обеспечить практическую недешифруемость. Они это понимают и особого кипиша не поднимают. А сертификационный анализ это чисто буржуйская тема.

Вспомнились почему-то господа Рудской и Алексеев. Ещё поди снова придут сюда и будут орать, что это не практический взлом, поэтому пофиг.

—	unknown (10/09/2014 13:14)   профиль/связь   <#> комментариев: 9796   документов: 488   редакций: 5664

Кстати, с 2015 года в России ожидается принятие стандарта блочного шифрования на основе Кузнечика.

—	Гость (11/09/2014 01:02)   <#>

> в России ожидается

На слайдах опять истерика по поводу «ну и что, что теоретически взломан, это же не практический взлом!». Сами честно признаются, что лишь воруют «тренды», да занимаются переименованиями. Рудской такой рудской...

—	unknown (11/09/2014 20:54)   профиль/связь   <#> комментариев: 9796   документов: 488   редакций: 5664

Ну не так чтобы истерика, cлайды с лёгким юмором. Может попытка реализовать слой диффузии через регистр сдвига с обратной связью в Кузнечике будет аккуратно скопирована с Кеччика. Главное, чтобы опять чего-нибудь не напутали совсем по-глупому. Всё-таки госстандарт.

—	Гость (16/09/2014 02:56)   <#>

Как раз к госстандарту нет никаких повышенных серьёзных требований. У нас госстандартом защищают то, что если не будет им защищено, в игру вступят танки и ракеты. А в личной гражданской криптографии у вас нет опций с танками и ракетами, и криптография часто — последнее и единственное звено, гарантирующее безопасность. Конечно, другое дело, что гражданская криптография тоже ориентируется всё на тот же госстандарт...

—	unknown (13/01/2015 20:38)   профиль/связь   <#> комментариев: 9796   документов: 488   редакций: 5664

А вот как выглядит Кузнечик.

—	ZAS (14/01/2015 01:54)   <#>

А вот как выглядит Кузнечик.

Есть ли какие-нибудь пояснения/обоснования? Как получен S-box? Диф. характеристика слабее чем у AESовского.

Запаса стойкости ГОСТа хватает, чтобы обеспечить практическую недешифруемость.

Запаса стойкости RC4 тоже хватает, чтобы обеспечить недешифруемость.
Вот только использовать обоих нужно с оглядкой, помня о свойствах.

—	Гость (14/01/2015 03:57)   <#>

> Запаса стойкости RC4 тоже хватает, чтобы обеспечить недешифруемость.

Для этого его придётся обвешать огромным числом костылей и органичений.

—	Гость (14/01/2015 04:05)   <#>

>> А вот как выглядит Кузнечик.

> Есть ли какие-нибудь пояснения/обоснования?

Боитесь, что Кузнечик — обычная Саранча? Документ, конечно же, вородовый. Не могу понять эту больную на голову самобытность в форматировании. Впрочем, относительно аккуратно постарались сделать.

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]

-3

-2

-1

0

+1

+2

+3