openPGP в России / Новости / 2011 / Улучшенная атака на полнораундовый ГОСТ 28147-89

12.10 // Улучшенная атака на полнораундовый ГОСТ 28147-89

Алгоритм блочного шифрования GOST (ГОСТ 28147-89) был создан в Советском Союзе как альтернатива американскому стандарту шифрования DES. DES изначально имел небольшой запас прочности по размеру ключа и количеству раундов, поэтому был взломан как теоретически, так и за счёт тривиальных атак перебора ключевого пространства ещё в 90-е годы. Однако сообщения о взломе шифра ГОСТ появились лишь относительно недавно.

Если не считать атак на связанных ключах, которые известны достаточно давно, то первую одноключевую атаку на полнораундовый ГОСТ представил Таканори Изобе на конференции FSE'11 (февраль 2011 года). Он использовал удивительное свойство отражения, которое впервые отметил Орхан Кара: каждый раз, когда левая и правая половина блока оказываются одинаковыми после 24 раундов (что может произойти с вероятностью 2^-32), то последние раунды становятся тождественным отображением и таким образом можно снизить эффективное число раундов с 32 до 16-ти. Изобе разработал новый алгоритм выделения ключа от оставшихся 16 раундов ГОСТа, который требует затрат в количестве 2¹⁹² шагов по времени и 2⁶⁴ памяти. Для того, чтобы получить все 256 бит ключа требуется 2³² данных, 2⁶⁴ памяти и 2²²⁴ времени. Это значительно быстрее, чем полный перебор по всем параметрам, хотя и непрактично.

Вскоре новую атаку на ГОСТ опубликовал Николя Куртуа. Она была основана на совершенно иных, алгебраических подходах, но имела даже худшие показатели в плане сложности: 2⁶⁴ данных, 2⁶⁴ памяти и 2²⁴⁸ шагов времени исполнения. Позднее Куртуа и Мижтал описали дифференциальную атаку, которая опять использовала 2⁶⁴ данных и памяти, но сокращала затраты времени до 2²²⁶.

Израильские исследователи Итаи Динур, Ади Шамир (кафедра компьютерных наук Института Вейцмана, Реховот), Орр Данкельман (кафедра компьютерных наук Университета Хайфы) продолжили исследования свойств алгоритма ГОСТ и представили новые, улучшенные методики криптоанализа.

Используя свойства отражения, фиксированных точек и двумерной атаки встречи посредине (2DMITM) им удалось с использованием 2³² данных снизить затраты памяти с непрактичных 2⁶⁴ до практичных 2³⁶ без изменения времени исполнения 2²²⁴. Если использовать теоретическую возможность использования 2⁶⁴ данных (исчерпание кодовой книги, задаваемой размером блока шифра), то можно снизить время исполнения до 2¹⁹² и затраты памяти до 2³⁶.

Интересно отметить и другие усовершенствования. Атака Изобе основана на предположении об использовании только инвертируемых S-блоков. Поскольку S-блоки не описаны в стандарте, то в структуре шифра, основанной на сети Фейстеля, использование именно инвертируемых S-блоков, в принципе, не является обязательным. Схожая проблема есть и в атаках Куртуа — их сложность оценивается только для наиболее известного набора S-блоков, применявшихся в реализациях для банковских операций. Нет оснований считать, что какой-либо другой реально использующийся набор S-блоков в рамках такой атаки не окажется имеющим другой уровень стойкости.

Новые атаки, которые предложены в данном исследовании, сумели обойти эти трудности. Их сложность не зависит от того, являются ли S-блоки инвертируемыми или нет. Также они не зависят от дифференциальных свойств S-блоков и будут одинаково хорошо работать против любого их набора.

Источник: Cryptology ePrint Archive
См. также:
Показан первый концептуальный взлом ГОСТ 28147-89 путём дифференциального криптоанализа
Сообщения о взломе блочного шифра ГОСТ 28147-89 в разгар усилий по его международной стандартизации
Первая атака на функцию хэширования ГOСТ-Р 34.11-94, Рефлективные атаки понижают стойкость шифра ГОСТ

Комментарии [скрыть комментарии/форму]

—	*Гость* (13/10/2011 14:46) <#>

unknown, спасибо за интересную статью и за то, что держите нас в курсе происходящего в криптографии. У меня возник вот такой вопрос: Ранее кем-то считалось, что ГОСТ не хуже AES'а. Если сейчас взвесить все эти новые теоретические атаки на оба шифра, то каков будет расклад? По скорости, наверное, AES всяко лучше, а вот в плане криптостойкости?

—	unknown (13/10/2011 16:11, исправлен 13/10/2011 16:23) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Спасибо вам за интерес.

Можно было бы сравнивать ГОСТ и 3DES, но сравнивать его с AES сложнее, хотя бы из-за разных размеров блока.

Разве что у ГОСТ и AES слабое ключевое расписание. Но здесь нет однозначного мнения. Те же исследователи во главе с Шамиром продвигают и шифры со сверхслабым ключевым расписанием (якобы можно обеспечить всю стойкость только за счёт раундовой функции).

Что касается атак на ГОСТ и атак методом биклик на AES, то в общих чертах они очень похожи: разделение шифра на части по раундам, "угадывание-перебор" части ключа, использование "встречи посредине", слабого ключевого расписания.

Тот же Куртуа был противником как ГОСТ, так и AES. Хотя AES выигрывает за счёт более позднего времени создания и более современного дизайна. К нему больше доверия из-за открытого процесса разработки. Да, теоретически взломаны оба, что есть плохо. Да, пока больше теоретически плохо для ГОСТ, чем для AES. Но оба шифра имеют реальные тенденции к снижению своей стойкости по мере дальнейших исследований. И теперь уже неизвестно, кто из них дольше продержится, если дело зайдёт далеко.

Кое что обсуждалось в комментариях к новости про AES здесь.

—	С400 (07/11/2011 21:50) <#>

Изобе разработал новый алгоритм выделения ключа от оставшихся 16 раундов ГОСТа, который требует затрат в количестве 2^192 шагов по времени и 2^64 памяти.

Что? Как это? В оставшихся 16 раундах ГОСТа используется все 256 бит ключа.

—	unknown (08/11/2011 13:21) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

На 16 раундов провести атаку проще, чем сразу на все 32 (и заодно как раз получить весь ключ). На похожем разделении построены многие последние атаки на ГОСТ, AES, хэши.

Ваша оценка документа [показать результаты]