Алгоритмы ГОСТ в стандарте OpenPGP

О спец. версиях или не спец. говорить ещё рано, нет смысла ставить телегу впереди ложади. Вопрос о занижаемой стойкости шифра сводится только к методике выбора параметров узлов замены: принимайте в расчёт комментарии unknown'а и "The Family of Trapdoor Ciphers". Если критерии выбора будут открыты (а они будут открыты, чтобы быть закреплёнными в документе RFC), вопросов, полагаю, не будет. Также их не будет, если будут взяты готовые параметры из ГОСТа хэш-функции.

Касаемо опасений о снижении надёжности программы в целом, они ничем не обоснованы. В конце концов, именно Вы как получатель и владелец открытого ключа решаете, какими алгоритмами может шифровать для Вас письма отправитель. Не хотите ГОСТ, испытывая дискомфорт от тех или иных подозрений, — вычеркните его. И уж конечно никто не помешает ни Вам, ни Вашим корреспондентам (если только они или Вы не работаете в госсекторе и с гостайной) пользоваться версиями программ, где эти алгоритмы вообще не реализованы.

В спец. версии для российского рынка, поддерживающие только алгоритмы ГОСТ, я не верю хотя бы потому, что в таком случае начисто теряется смысл в OpenPGP и универсальной совместимости программ, этот стандарт поддерживающих. Какой смысл покупать тот же PGP (да и самой PGPCorp писать такую версию), который нельзя будет использовать для связи с пользователями других версий этой программы и других OpenPGP-приложений?

Только, исходя из моей переписки последних дней, как бы у PGPCorp вообще желание не пропало всей этой нашей сертификационной морокой заниматься. Алгоритмы в стандарт может быть и включат, но не исключено, что дальше не пойдут.

Я за включение ГОСТ в структуру PGP. Это позволит расширить область применения программы на гос. учреждения, об этом уже писали, что в свою очередь сделает программу еще более популярной. Здесь, я бы сказал, есть некая критическая масса – от которой отталкивается популярность программы в целом.
К тому же читал о ГОСТ много хорошего, правда unknown, привел определенные сведения, характеризующие его как возможно устаревший к определенным видам новых атак. Но ГОСТ был утвержден достаточно давно. Хочется надеяться, что если его почтенный возраст несколько подкосил его здоровье, то в недалеком будущем он будет выпущен в обновленном виде и включен в следующие версии PGP.
Ну и к тому же будет просто приятно видеть отечественную разработку как говориться в работе – по защите наших секретов.

Где то я читал, что в США то же используют ГОСТ, при этом те же самые программы в которых он используется, экспортируются за пределы США в ослабленном виде.
И еще вот что в голову мне пришло. А как обстоит вопрос с конкретной программной реализацией. Я в этом вопросе не имею детального представления, попробую выразить так. Пусть алгоритм наш, отечественный, но он реализован не в границах РФ. Не возникнет ли проблем при сертификации ПО на территории России именно по этой причине?

Где то я читал, что в США то же используют ГОСТ, при этом те же самые программы в которых он используется, экспортируются за пределы США в ослабленном виде.

Это было актуально для начала девяностых – нужно было искать замену DES, а доверия к новым шифрам с большими ключами еще не было. GOST использовался в частности в архиваторе ARJ и действительно подпадал под американские экспортные ограничения. Сейчас и ограничений этих почти нет и проверенных временем шифров достаточно. Интерес к ГОСТу утрачен.

Пусть алгоритм наш, отечественный, но он реализован не в границах РФ. Не возникнет ли проблем при сертификации ПО на территории России именно по этой причине?

Я предполагаю, что причины будут чисто бюрократического характера. Законодательство не очень рассчитано на открытый, честный и свободный процесс сертификации, а о разработке такого рода программ зарубежными компаниями вообще никто не думал. Кто-то может посчитать, что их присутствие на российском рынке нежелательно. По крайней мере, такое может быть.

Где то я читал, что в США то же используют ГОСТ, при этом те же самые программы в которых он используется, экспортируются за пределы США в ослабленном виде.

С 99-го года экспортные ограничения на СКЗИ в Штатах сняты. До тех пор вывоз криптографических средств с длиной ключа более 40 битов требовал специальной лицензии Министерства торговли США (оставляли за собой право взлома любых произведённых у себя и вывезенных за рубеж СКЗИ). При этом импорт и пользование никак не регламентировались, а поскольку в то время алгоритмы с ключом более 128 бит были редкостью, вот и использовали ГОСТ.

Пусть алгоритм наш, отечественный, но он реализован не в границах РФ. Не возникнет ли проблем при сертификации ПО на территории России именно по этой причине?

Только если из бюрократическо-патриотических соображений. Вообще иностранные СКЗИ имеют те же права на сертификацию, что и отечественные разработки, при соблюдении всех требований, разумеется. А требования непростые. Особенно по ГСЧ. И в части лицензирования на право распространения и обслуживания средств: строгий учёт экземпляров, требования к персоналу и прочее. Для компании, не работающей непосредственно на нашем рынке, это может стать неподъёмной задачей.

unknown, дуракам одни и те же мысли на ум приходят? Или умные люди думают одинаково? :)

то в недалеком будущем он будет выпущен в обновленном виде и включен в следующие версии PGP.

Ходят слухи, что еще в 2000 году ФСБ на одной из конференций признало, что ГОСТ несколько устарел и предлагало заинтересованным организациям некую замену за деньги и за подписку о неразглашении. Это всего лишь слухи и возможно искаженная информация (может быть имелся ввиду старый "ГОСТ на подпись", а новый к тому моменту не был опубликован?). Но отсутствие открытости в этих вопросах несколько снижает шансы на успешную сертификацию зарубежных продуктов шифрования.

unknown, дуракам одни и те же мысли на ум приходят? Или умные люди думают одинаково?

Вот черт! С добрым утром! Когда начинаются синхронные ответы и совпадения, даже умные мысли начинают выглядеть как-то по-дурацки.

Ходят слухи, что еще в 2000 году ФСБ на одной из конференци...

Да, представитель службы с хитрой улыбкой тогда заявил, что если кого-то не устраивает шифр ГОСТ и предложенные схемы распределения ключей, "им есть, что предложить взамен". Многие ГОСТы по защите информации по-прежнему засекречены. Вообще закрытость любых работ в этой сфере нам свойственна — пережиток советской эпохи.

Да, действительно забавно получилось, очень синхронно.
По поводу сертификации. Какое время реально требуется специалистам (в данном случае я имею не широкую общественность, а специалистов гос. структур, которые видимо этим все равно будут заниматься целенаправленно), что бы действительно качественно изучить код программы на наличие спец. лазеек, багов или других факторов, снижающих надежность защиты информации?

http://www.intuit.ru/department/security/networksec2/
http://www.intuit.ru/shop/product.xhtml?id=2460116

Положение "О сертификации средств защиты информации" предельные сроки не оговаривает, но при общем объёме проверок, испытаний и согласований процедура может растянуться и на год (помимо сертификата на продукт компания или её представитель должны получить лицензию на право разработки, распространения и обслуживания продукта на территории РФ).

Также там предусмотрен порядок признания зарубежных сертификатов, но мне неизвестно, относится ли к принимаемым у нас FIPS 140-2, который имеет PGPCorp на ядро PGP SDK. Причём он, кажется, подтверждает только корректность реализации криптографических примитивов, но не отсутствие недокументированных функций, хотя точно я не знаю. Вообще у нас больше склонны доверять международным нормативам наподобие ISO, чем стандартам каких-то конкретных стран (тем более, бывших идеологических противников).

Да, действительно забавно получилось, очень синхронно.

Участники форума проявили нестойкость по отношению к коллизиям.
:-)

unknown, cегодня прочитал статью Андрея Винокурова и Эдуарда Применко о новом криптографическом алгоритме США «Rijndael», который авторы сравнивают с ГОСТ 28147-89. В заключении авторы указывают, что алгоритмы имеют примерно одинаковую криптостойкость. Как вы расцениваете их выводы, учитывая свою точку зрения?
URL http://www.enlight.ru/crypto/d.....nokurov/gost_aes.zip

cегодня прочитал статью Андрея Винокурова и Эдуарда Применко о новом криптографическом алгоритме США «Rijndael», который авторы сравнивают с ГОСТ 28147-89

Эта статья была скорее всего написана в 2001 году с чисто ознакомительными целями, когда RIJNDAEL был только принят в качестве стандарта.

В заключении авторы указывают, что алгоритмы имеют примерно одинаковую криптостойкость. Как вы расцениваете их выводы, учитывая свою точку зрения?

Ну свою точку зрения я уже изложил неоднократно.
Есть два способа оценки стоимости шифров.

Первый звучит примерно так: "Практически осуществимых атак на шифр нет? Значит он стойкий! А о чисто теоретических или неприменимых на практике атаках не стоит беспокоиться. Их можно просто отбросить из рассмотрения".

Второй звучит примерно так: "Важно собрать, оценить и взвесить сведения обо всех слабых местах шифра, даже чисто теоретических. Теоретические атаки сегодня могут быть усовершенствованы до практических взломов завтра. Если удается создать шифр, который относительно хорошо противостоит всем известным теоретическим атакам, то он явно будет стойким и по отношению к практическим. И в какой-то мере, даже к новым, еще неизвестным видам атак."

Первый подход можно условно назвать "практическим криптоанализом".

Второй подход называется "сертификационным криптоанализом".

Б. Шнайер говорил "Мы живем в эпоху сертификационного криптоанализа", на этой идеологии был построен конкурс AES, практически все работы по созданию новых шифров тоже публикуются с учетом этого подхода.

Я считаю, что второй подход более оправдан, он получает все большее признание в криптосообществе и свои оценки строю именно на нем.
Авторы статьи ограничились только первым подходом. И сточки зрения первого подхода сделали абсолютно правильный вывод об эквивалентной ПРАКТИЧЕСКОЙ (на данный момент) стойкости двух шифров.

Второй подход может быть более субъективен, первый – более ограничен.

Если уж смотреть на сам AES-RIJNDAEL с точки зрения сертификационного криптоанализа, он был самым слабым из пяти самых сильных финалистов конкурса AES.

Но если сравнивать с позиций сертификационного криптоанализа RIJNDAEL и GOST, то сравнение будет далеко не в пользу ГОСТа.
Даже если сравнивать старый DES, обращая внимание только на конструкцию шифра, а не на некоторые параметры (длину ключа, число раундов), то получится таже картина.