Алгоритмы ГОСТ в стандарте OpenPGP
Тут сейчас в рабочей группе OpenPGP дискуссия идёт на тему нужности или ненужности закрепления ГОСТовских алгоритмов в стандарте (в части описания тонкостей реализации и присвоения идентификаторов, чтобы разработчикам не приходилось их в секцию private/experimental пихать).
(В этом, правда, большей частью PGPCorp заинтересована, намеренная продвигать PGP в банковский и госсектор РФ и стран Восточной Европы. Вот незадолго до Нового года пытались сертифицировать его в ФСБ, но не разобрались в нашей системе сертификации.)
И, дабы дискуссия не шла на голом месте, вопрос: не знает ли кто, где можно найти (и возможно ли) описания алгоритмов на английском? В идеале — переведённые документы Госстандарта. Плюс к этому, реализация алгоритмов на java и С.
комментариев: 11558 документов: 1036 редакций: 4118
Касаемо опасений о снижении надёжности программы в целом, они ничем не обоснованы. В конце концов, именно Вы как получатель и владелец открытого ключа решаете, какими алгоритмами может шифровать для Вас письма отправитель. Не хотите ГОСТ, испытывая дискомфорт от тех или иных подозрений, — вычеркните его. И уж конечно никто не помешает ни Вам, ни Вашим корреспондентам (если только они или Вы не работаете в госсекторе и с гостайной) пользоваться версиями программ, где эти алгоритмы вообще не реализованы.
В спец. версии для российского рынка, поддерживающие только алгоритмы ГОСТ, я не верю хотя бы потому, что в таком случае начисто теряется смысл в OpenPGP и универсальной совместимости программ, этот стандарт поддерживающих. Какой смысл покупать тот же PGP (да и самой PGPCorp писать такую версию), который нельзя будет использовать для связи с пользователями других версий этой программы и других OpenPGP-приложений?
Только, исходя из моей переписки последних дней, как бы у PGPCorp вообще желание не пропало всей этой нашей сертификационной морокой заниматься. Алгоритмы в стандарт может быть и включат, но не исключено, что дальше не пойдут.
К тому же читал о ГОСТ много хорошего, правда unknown, привел определенные сведения, характеризующие его как возможно устаревший к определенным видам новых атак. Но ГОСТ был утвержден достаточно давно. Хочется надеяться, что если его почтенный возраст несколько подкосил его здоровье, то в недалеком будущем он будет выпущен в обновленном виде и включен в следующие версии PGP.
Ну и к тому же будет просто приятно видеть отечественную разработку как говориться в работе – по защите наших секретов.
И еще вот что в голову мне пришло. А как обстоит вопрос с конкретной программной реализацией. Я в этом вопросе не имею детального представления, попробую выразить так. Пусть алгоритм наш, отечественный, но он реализован не в границах РФ. Не возникнет ли проблем при сертификации ПО на территории России именно по этой причине?
комментариев: 9796 документов: 488 редакций: 5664
Это было актуально для начала девяностых – нужно было искать замену DES, а доверия к новым шифрам с большими ключами еще не было. GOST использовался в частности в архиваторе ARJ и действительно подпадал под американские экспортные ограничения. Сейчас и ограничений этих почти нет и проверенных временем шифров достаточно. Интерес к ГОСТу утрачен.
Я предполагаю, что причины будут чисто бюрократического характера. Законодательство не очень рассчитано на открытый, честный и свободный процесс сертификации, а о разработке такого рода программ зарубежными компаниями вообще никто не думал. Кто-то может посчитать, что их присутствие на российском рынке нежелательно. По крайней мере, такое может быть.
комментариев: 11558 документов: 1036 редакций: 4118
С 99-го года экспортные ограничения на СКЗИ в Штатах сняты. До тех пор вывоз криптографических средств с длиной ключа более 40 битов требовал специальной лицензии Министерства торговли США (оставляли за собой право взлома любых произведённых у себя и вывезенных за рубеж СКЗИ). При этом импорт и пользование никак не регламентировались, а поскольку в то время алгоритмы с ключом более 128 бит были редкостью, вот и использовали ГОСТ.
Только если из бюрократическо-патриотических соображений. Вообще иностранные СКЗИ имеют те же права на сертификацию, что и отечественные разработки, при соблюдении всех требований, разумеется. А требования непростые. Особенно по ГСЧ. И в части лицензирования на право распространения и обслуживания средств: строгий учёт экземпляров, требования к персоналу и прочее. Для компании, не работающей непосредственно на нашем рынке, это может стать неподъёмной задачей.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Ходят слухи, что еще в 2000 году ФСБ на одной из конференций признало, что ГОСТ несколько устарел и предлагало заинтересованным организациям некую замену за деньги и за подписку о неразглашении. Это всего лишь слухи и возможно искаженная информация (может быть имелся ввиду старый "ГОСТ на подпись", а новый к тому моменту не был опубликован?). Но отсутствие открытости в этих вопросах несколько снижает шансы на успешную сертификацию зарубежных продуктов шифрования.
комментариев: 9796 документов: 488 редакций: 5664
Вот черт! С добрым утром! Когда начинаются синхронные ответы и совпадения, даже умные мысли начинают выглядеть как-то по-дурацки.
комментариев: 11558 документов: 1036 редакций: 4118
Да, представитель службы с хитрой улыбкой тогда заявил, что если кого-то не устраивает шифр ГОСТ и предложенные схемы распределения ключей, "им есть, что предложить взамен". Многие ГОСТы по защите информации по-прежнему засекречены. Вообще закрытость любых работ в этой сфере нам свойственна — пережиток советской эпохи.
По поводу сертификации. Какое время реально требуется специалистам (в данном случае я имею не широкую общественность, а специалистов гос. структур, которые видимо этим все равно будут заниматься целенаправленно), что бы действительно качественно изучить код программы на наличие спец. лазеек, багов или других факторов, снижающих надежность защиты информации?
http://www.intuit.ru/shop/product.xhtml?id=2460116
комментариев: 11558 документов: 1036 редакций: 4118
Также там предусмотрен порядок признания зарубежных сертификатов, но мне неизвестно, относится ли к принимаемым у нас FIPS 140-2, который имеет PGPCorp на ядро PGP SDK. Причём он, кажется, подтверждает только корректность реализации криптографических примитивов, но не отсутствие недокументированных функций, хотя точно я не знаю. Вообще у нас больше склонны доверять международным нормативам наподобие ISO, чем стандартам каких-то конкретных стран (тем более, бывших идеологических противников).
комментариев: 9796 документов: 488 редакций: 5664
Участники форума проявили нестойкость по отношению к коллизиям.
:-)
URL http://www.enlight.ru/crypto/d.....nokurov/gost_aes.zip
комментариев: 9796 документов: 488 редакций: 5664
Эта статья была скорее всего написана в 2001 году с чисто ознакомительными целями, когда RIJNDAEL был только принят в качестве стандарта.
Ну свою точку зрения я уже изложил неоднократно.
Есть два способа оценки стоимости шифров.
Первый звучит примерно так: "Практически осуществимых атак на шифр нет? Значит он стойкий! А о чисто теоретических или неприменимых на практике атаках не стоит беспокоиться. Их можно просто отбросить из рассмотрения".
Второй звучит примерно так: "Важно собрать, оценить и взвесить сведения обо всех слабых местах шифра, даже чисто теоретических. Теоретические атаки сегодня могут быть усовершенствованы до практических взломов завтра. Если удается создать шифр, который относительно хорошо противостоит всем известным теоретическим атакам, то он явно будет стойким и по отношению к практическим. И в какой-то мере, даже к новым, еще неизвестным видам атак."
Первый подход можно условно назвать "практическим криптоанализом".
Второй подход называется "сертификационным криптоанализом".
Б. Шнайер говорил "Мы живем в эпоху сертификационного криптоанализа", на этой идеологии был построен конкурс AES, практически все работы по созданию новых шифров тоже публикуются с учетом этого подхода.
Я считаю, что второй подход более оправдан, он получает все большее признание в криптосообществе и свои оценки строю именно на нем.
Авторы статьи ограничились только первым подходом. И сточки зрения первого подхода сделали абсолютно правильный вывод об эквивалентной ПРАКТИЧЕСКОЙ (на данный момент) стойкости двух шифров.
Второй подход может быть более субъективен, первый – более ограничен.
Если уж смотреть на сам AES-RIJNDAEL с точки зрения сертификационного криптоанализа, он был самым слабым из пяти самых сильных финалистов конкурса AES.
Но если сравнивать с позиций сертификационного криптоанализа RIJNDAEL и GOST, то сравнение будет далеко не в пользу ГОСТа.
Даже если сравнивать старый DES, обращая внимание только на конструкцию шифра, а не на некоторые параметры (длину ключа, число раундов), то получится таже картина.