Алгоритмы ГОСТ в стандарте OpenPGP
Тут сейчас в рабочей группе OpenPGP дискуссия идёт на тему нужности или ненужности закрепления ГОСТовских алгоритмов в стандарте (в части описания тонкостей реализации и присвоения идентификаторов, чтобы разработчикам не приходилось их в секцию private/experimental пихать).
(В этом, правда, большей частью PGPCorp заинтересована, намеренная продвигать PGP в банковский и госсектор РФ и стран Восточной Европы. Вот незадолго до Нового года пытались сертифицировать его в ФСБ, но не разобрались в нашей системе сертификации.)
И, дабы дискуссия не шла на голом месте, вопрос: не знает ли кто, где можно найти (и возможно ли) описания алгоритмов на английском? В идеале — переведённые документы Госстандарта. Плюс к этому, реализация алгоритмов на java и С.
комментариев: 9796 документов: 488 редакций: 5664
hms of the cryptographic transformation", (1989).
GOST 34.10 – 94, "Information Technology Cryptographic Data Security Produce and
Check procedures of Electronic Digital Signature based on Asymmetric Cryptographic Algorith
m", (1994).
GOST 34.11 – 94, "Information Technology Cryptographic Data Security Hashing Function"
, (1994).
так назывались описания ГОСТов. Нашел в списке литературы. Как называется новый ГОСТ для подписи (с эллиптическими кривыми) – не знаю.
комментариев: 9796 документов: 488 редакций: 5664
GOST R 34.10-2001
ГОСТ Р 34.10-2001 – вот так он называется (самый новый)
Классическая работа: [Inf] J. Pieprzyk, L. Tombak,
"Soviet Encryption Algorithm,"
Preprint 94-10, Department of Computer Science, The University of Wollongong, 1994.
ftp://ftp.cs.uow.edu.au/pub/papers/1994/tr-94-10.ps.Z
(ссылка не работает :-(
Markku-Juhani Saarinen,
C implementation and test vectors for GOST hash function,
http://www.tcs.hut.fi/~mjos/gosthash.tar.gz
[The implementation is of GOST-Hash, but this archive also contains a draft translation into English of the GOST 28147-89 standard.]
комментариев: 9796 документов: 488 редакций: 5664
http://vipul.net/gost/
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Там только блочный шифр и хэш. А подпись они включать собираются? Особенно новую?
комментариев: 11558 документов: 1036 редакций: 4118
К слову... В качестве алгоритма с открытым ключом у нас только RSA для госструктур разрешён?
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
Вот ещё вопрос. Какова сравнительная стойкость DES и ГОСТ? Разумеется, если выносить за скобки длину ключа и полный перебор. Я имею в виду конкретно устойчивость к известным криптоаналитическим атакам.
Насколько мне известно, из-за большего числа раундов он невосприимчив ни к линейному, ни к дифференциальному криптоанализу. Но есть ли какие-то подводные камни? По S-блокам, например. Стандарт их не определяет; существуют ли какие-то особые методики по их подготовке? В отличие от DES, они вроде бы должны храниться в секрете?
комментариев: 9796 документов: 488 редакций: 5664
(IMHO).
В ГОСТЕ очень примитивная функция раунда – в качестве нелинейной операции используется единственный циклический сдвиг. Стопроцентно можно сказать, что это снижает лавинный эффект, по сравнению с расширениями и перестановками DES, потенциально это облегчает различные виды атак.
Размер S-блоков мал, критерии их создания не опубликованы, сами значения S-блоков не определены в стандарте.
Единственно, что можно сказать хорошего – добавление ключа сложением по модулю должно увеличивать (хотя и не значительно) стойкость к дифференциальному CA.
Ключевое расписание крайне примитивно (можно сказать оно вообще отсутствует) – в качестве раундовых подключей используются одни и теже подблоки основного ключа без какой-либо обработки. Похоже, создатели алгоритма не думали об "Related key attacks" и т.д. Также любая атака, восстанавливающая подключи раунда восстановит и основной ключ.
В ГОСТЕ были открыты слабые ключи, короткие циклы. Его нельзя использовать в качестве PRNG-генервтора в режиме OFB.
Отечественная научная печать по-прежнему превозносит стойкость ГОСТа, зарубежная просто утратила к нему интерес. В начале девяностых просто не было шифра с большой длиной ключа, а ГОСТ уже был к тому времени давно известен и свободен для использования. Когда за рубежом было создано большое число новых алгоритмов, интерес к ГОСТу был утрачен. Новых публикаций по нему нет. Скорее всего он малостоек к новым видам криптоанализа, при этом проигрывая в стойкости DES/3DES, если даже привести размер ключа и число раундов к общему знаменателю.
В отдельных публикациях стойкость ГОСТ против некоторых атак оценивалась всего в 2^54 (это чисто теоретические атаки, но все равно это плохой показатель). ССылки пока найти не могу, вроде что впомнил, изложил здесь.
Еще раз повторю, российские публикации пишут совершенно обратные вещи, а российские специалисты реагируют на критику ГОСТа неадекватно болезненно. Думаю тут дело в предвзятости.
Вот. Это было мое личное мнение (на основании зарубежных публикаций), так что не обижайтесь, если кто-то думает по-другому и испытывает к ГОСТу патриотические чувства.
комментариев: 11558 документов: 1036 редакций: 4118
Спасибо. Весьма информативно.
комментариев: 9796 документов: 488 редакций: 5664
Они доказали, еще в середине девяностых, что создатель S-блоков можно вставить в них возможность легкой дешифровки и остаться при этом необнаруженным (нельзя выявить известными методами анализа скрытую "троянскую сущность" S-блоков. Были сконструированы tLOKI и tCAST – троянские версии шифров, основанные на этих способах генерации S-блоков.
Теперь требуется полная публикация процесса создания S-блоков и доказательства ее незлонамеренности. (Это было требование конкурса AES). Например, для генерации использовалась известная фраза и функция SHA, а затем опубликован алгоритм отбора значений из этого потока для заполнения S-блоков.
комментариев: 9796 документов: 488 редакций: 5664
© Vincent Rijmen, Bart Preenel.
Вот и пользуйся после этого неизвестно откуда взятыми S-блоками.
комментариев: 11558 документов: 1036 редакций: 4118
Это не значит, что ГОСТ не может появиться в реализациях OpenPGP. Просто разработчикам придётся полагаться на собственные навыки, и использовать для алгоритмов идентификаторы private/experimental. Разумеется, о совместимости с другими реализациями в этом случае говорить не придётся.
Дискуссия ещё не завершена, но всё к тому идёт. И Хал Финни (OpenPGP), и Дэвид Шау (GnuPG) уже высказались в подобном плане. Подождём, что скажет Каллас.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
http://www.mirrors.wiretapped......phy/algorithms/gost/
Обратите внимание на комментарии.
http://www.schneier.com/paper-key-schedule.pdf
(про ГОСТ там тоже есть)
В догонку: из-за слишком простой функции раунда ГОСТ должен плохо противостоять новым видам атак типа Slide, которые являются более сильными, чем Related Key и потенциально не зависят от числа раундов.
Против всех шифров есть варианты атак, но ГОСТ выглядит серьезно уязвимым.
Вообще по современным понятиям у него явно недостаточный дизайн.
32 раунда тоже не достижение. Вспомним, взлом 31 раунда Skipjack это наглядно показал.
Да, классический дифференциальный и линейный анализ против него не работают, но их новые модификации кажется даже не пробовались на ГОСТе.
Мое мнение, по дизайну DES сильнее. Неплохое для своего времени ключевое расписание, которое за счет сдигов исключало почти все слабые ключи (этот прием используется до сих пор), хорошие диффузионные свойства линейных компонентов, продуманность S-блоков.
Согласен. Нужно еще что-то решать с хэш-функциями. Потихоньку искать замену SHA.