id: Гость   вход   регистрация
текущее время 11:46 28/03/2024
Владелец: unknown (создано 14/06/2011 11:21), редакция от 16/06/2011 00:01 (автор: unknown) Печать
Категории: криптография, алгоритмы, симметричное шифрование
https://www.pgpru.com/Новости/2011/ПоказанПервыйКонцептуальныйВзломГОСТ28147-89ПутёмДифференциальногоКриптоанализа
создать
просмотр
редакции
ссылки

14.06 // Показан первый концептуальный взлом ГОСТ 28147-89 путём дифференциального криптоанализа


Исследователи Николя Куртуа (Университетский Колледж Лондона, кафедра компьютерных наук) и Мичал Мижтал (Военный Университет Технологий, Варшава) опубликовали новую атаку на российский стандарт блочного шифрования — ГОСТ 28147-89. Также как и предыдущие работы по взлому полнораундовой версии ГОСТ, атака не имеет практического значения, но показывает некоторые очевидные, по мнению авторов, вещи:


  • ГОСТ не удовлетворяет требованиям стойкого шифра с точки зрения современного сертификационного криптоанализа.
  • Десятилетиями поддерживаемое ведущими криптографами мнение о стойкости ГОСТа к диффереренциальному криптоанализу оказалось ошибочным.

Интересно, что дифференциальный криптоанализ — один из базовых видов криптоанализа, который показывает нестойкость шифра. Если шифр нестоек к такому виду атаки, следует ожидать и наличие атак другого рода. Следует однако отметить, что своё вызывающее на первый взгляд открытие авторы сделали на основе достаточно усложнённой версии дифференциального криптоанализа — с множественными дифференциалами. Это и позволило достичь контраста с принятыми ранее доказательствами стойкости ГОСТа к дифференциальному криптоанализу после всего нескольких раундов.


Лучшая из опубликованных в данной работе атак состоит из одиннадцати пунктов и включает в себя такие абсолютно непрактичные трюки, как угадывание 160 бит ключа из 256 и наличие 264 известных открытых текстов (это все возможные варианты открытых текстов в пределах блока). Стойкость ГОСТа снижается с 2256 до 2228 — именно столько шагов в сумме требует атака для нахождения ключа с вероятностью 50%. В отличие от ранее опубликованных алгебраических атак, которые требуют 2225 шагов, в данной атаке затраты памяти сокращены с 2128 до 264.


Противнику в сценарии таких атак необходимы не только недостижимые вычислительные ресурсы, но и невыполнимые (и в практическом смысле абсурдные) требования, которые он должен получить по доступу к нужным объёмам информации с атакуемой системы. Однако, с теоретической точки зрения, если работа достоверна, можно сказать, что полнораундовый шифр ГОСТ впервые взломан дифференциальным криптоанализом. Чтобы привлечь внимание специалистов на фоне попыток стандартизации ГОСТ в международном стандарте ISO 18033, авторы особо подчёркивают что шифр ГОСТ помимо уже известных рефлективных атак, атак с "двойным отражением" и ряда специфических атак, нестоек даже к ДК.


Данная атака является лишь доказательством концепции, однако может быть интересна теоретикам тем, что в отличие от изучения более сложного класса алгебраических атак, опубликованные константы дифференциалов проверить проще. Авторы обещают опубликовать серию новых атак на шифр ГОСТ в ближайшем будущем, включая и улучшенные версии дифференциальных атак.


Источник: Cryptology ePrint Archive
См. также:
Сообщения о взломе блочного шифра ГОСТ 28147-89 в разгар усилий по его международной стандартизации
Первая атака на функцию хэширования ГOСТ-Р 34.11-94, Рефлективные атаки понижают стойкость шифра ГОСТ


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— unknown (19/06/2011 21:27, исправлен 19/06/2011 21:37)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

На конкурсе хэшей SHA-3 были применены новые методы криптоанализа, соответственно к хэшам-конкурсантам. Затем эти методы решили проверить на блочных шифрах, и в первую очередь AES. Он, как выяснилось, оказался нестойким к атакам на связанные ключи и не является идеальным шифром в других атаках с известными ключами. Комитет конкурса отклонил все хэши на основе AES к продвижению в последущие раунды конкурса.


Ранние изыскания Куртуа против AES и DES оказались не очень успешными ( Демонстрация новых возможностей взлома AES, Осуществлена первая алгебраическая атака на DES ), но показали потенциал методов алгебраического криптоанализа и отчасти послужили основой тех атак, которые сейчас опубликованы против ГОСТ.


Атаки со связанными ключами на AES делались в ещё более жёсткой теоретической модели и выглядят ещё более нереалистичными, чем против ГОСТ, но оказались достаточными по мнению комитета НИСТ на снятие AES-основанных SHA-3-кандидатов:


Криптоанализ на супер-S-блоках отвоёвывает ещё один раунд теоретической стойкости у AES, Первая атака на полнораундовый AES доказывает его отличие от модели идеального шифра, Статистический различитель для полнораундового AES-128, Алгебраическо-статистические атаки на связанных ключах против полной версии AES-128, Новые бумеранг-атаки по методу связанных ключей на AES.


Единственно, что спешка и слишком громкие заявления отчасти выдают предвзятость Куртуа, но это вопрос его личных мотивов ("если наукой движет тщеславие, главное, чтобы оно не было пустым"), а не результатов работы, которые следует оценивать отдельно.


Если и есть возможная несправедливость в принятии такого стандарта, так это в том, что AES туда явно принят по-любому "как-есть", без дополнительного анализа (как раз Николя Куртуа был противником такого принятия автоматом AES на европейском конкурсе CryptoNESSIE, который, несмотря на весь пафос, вообще оказался практически не нужен). В отношение AES тут не столько политика, сколько лень криптографов — если его кто-то изучает, то он может сделать на этом успешную публикацию и без очередных конкурсов (SHA-3 — исключение, более мелкие — нет).


Где ещё ближе к "двойным стандартам" так это то, что в тот же стандарт ISO включены малоизученные корейские шифры, которые известны ещё меньше, чем ГОСТ. Вот зачем они там нужны вообще? Кроме как потому, что азиаты очень желают производить много дешёвого железа со своими стандартами, им отказать невежливо, а регионам, использующим ГОСТ, вероятно, по мнению комитета, можно и отказать.


Пользователям свободного ПО эти стандарты сами по-себе малоинтересны, но разработчикам их придётся реализовывать и возможно, что какой-либо SSL-сервер в интернете (внезапно, https://www.pgpru.com Camellia-256 256 bit) или чей-то PGP-ключ будет их содержать и ваш сеанс связи будет согласован по одному из этих алгоритмов.

— Гость (12/04/2013 01:07)   <#>
Куртуа бряцает уже 30-ю атаками :) http://www.youtube.com/watch?v=o_sP0qJam-4
и его статейка http://eprint.iacr.org/2012/138 версии от 11 Dec 2012.
— unknown (12/04/2013 09:57, исправлен 12/04/2013 09:58)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

И напишут во всех учебниках, что отличительными свойствами ГОСТ-89 являются:



Ну примут новый, хэш и подпись вон уже заменили.

На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3