Pull to refresh

Comments 287

Это вы про AES, который входит в NSA Suite B, но гос.органы использую закрытые шифры из NSA Suite A?

Для чего вы хотите использовать ГОСТовые алгоритмы?
Национальные алгоритмы не используют «потому что хотят». Это требование при работе с различными организациями
Это понятно, про не используют «потому что хотят».
Вопрос в том, а есть ли в этом реальная проблема.
Вот есть два субъекта, один гос, второй не гос.
Обмениваются они между собой шифрованной информацией по ГОСТу.
Ну допустим у спецслужб есть доступ к этой информации. И что? Спецслужбы итак с любой госконторой сотрудничают.
Зачем тогда такие сложности, почему просто не заставлять законом шифровать всё на еще один ключ?
Это слишком явно и заставит многих людей искать иные способы защитить информацию.

А бэкдор — это тихо, уютно, лампово.
Явно, но это возвращает нас к предыдущему комментарию. «И что?» Это ведь гос сектор, где спецслужбы и так имеют ко всему доступ.
Почему обязательно госсектор?

Никто не запрещает использовать ГОСТовые шифры в любых других областях, в которых на вопрос «зачем?» ответ «а почему нет?». Мало ли почему. Да хоть чтобы тендеры выигрывать, внося в требования поддержку Кузнечика.
Разница есть, бэкдор позволяет получать информацию «анонимно», то есть агенты не будут знать, что информация может попасть в третьи руки.

И еще немного нубский вопрос: позволяет ли такой бэкдор в алгоритме подменять данные (не просто слушать, а еще и фальсифицировать передаваемые данные)?
Вероятнее всего, подменить данные не получится, но это как повезёт. Но в любой нормальной системе, где используется любой код подтверждения (начиная с алгоритма Луна и заканчивая sha-хэшами), это уже не прокатит.

В (условно) нормальной системе вместо SHA вполне может использоваться как раз Стрибог, в котором может быть "недостаток" (как, впрочем, и в SHA).

Для того чтобы абы кто не получал доступ к информации.
Если бы с одним ключом был реалистичный сценарий, то использовали бы его. Но увы.
UFO just landed and posted this here
Сотрудничать-то сотрудничают, но спецслужбы на то и спец, что бы работать не привлекая к себе лишнего внимания, и вопросами автоматизации своей работы они занимаются с незапамятных времен…
… не нужно думать что механизм под названием государство, есть нечто целостное, и единомысленное, жесткость и вертикальность любой власти, она сильно преувеличена ибо у людей всегда есть личные интересы…
Если там есть NOBUS, то на его разработку было потрачено усилий и средств сильно больше, чем позволяют какие-то ни было личные интересы. Очевидно, что никто в здравом смысле по собственному желанию не будет использовать ГОСТы. Так зачем тратить столько усилий? Как может окупиться работающий бекдор в ГОСТовском алгоритме?
А кто сказал, что «окупиться» должно только в экономическом смысле?
Очевидно, что никто в здравом смысле по собственному желанию не будет использовать ГОСТы.
Почему нет? Чем алгоритмы ГОСТ плохи, помимо отсутствия настолько же скоростных реализаций, по сравнению с более популярными алгоритмами? orignal по собственному желанию добавил поддержку подписи и хеширования по ГОСТ Стрибог в ПО анонимной оверлейной сети I2P i2pd.
Почему нет?

В вопросах шифрования данных нет доверия всему российскому. Про остальные ГОСТы, не относящиеся к шифрованию, речи не идет, конечно.
В вопросах шифрования данных нет доверия всему российскому.

Как говорил один хороший человек: «Очень сильное утверждение… проверять я его, пожалуй, не стану.»
Там его быть не может по той простой логике, что дешифратор может тайно утечь, и будет скомпрометировано все отечественное шифрование со стороны иных спецслужб. А мотивы встраивать такой бэкдор (если это вообще возможно) довольно невнятные, имхо. Так что, скорее всего, это лишь фантазии.
Это мое частное мнение.
Ну проблема бэкдоров в том, что они могут использоваться и кем-то помимо того, кто этот бэкдор внедрил. Но как всегда подразумевается, что о бэкдоре никто не узнает. Мышление «security through obscurity» никуда не делось.
Основная проблема в том, что наличие бэкдора снижает стойкость шифрования по определению. К нему могут получить доступ третьи лица, не относящиеся к спецслужбам (в результате утечки/слива или грамотного анализа), и тогда скомпрометированной станет вся система шифрования, а не один ключ, который можно заменить… Причем не факт, что о доступе третьих лиц (например спецслужб, но других ;) ) станет известно хоть сколько-нибудь оперативно.

Беда всех подобных кейсов со спецслужбами, что они считают себя самыми умными, а это далеко не всегда так. Можно быть честным гражданином и скрепя сердцем соглашаться с тем, что кто надо имеет доступ к чему-то такому, что составляет личную либо коммерческую (а то и страшно подумать — государственную!) тайну. Но вот доверия к их непогрешимости, а главное — компетентности что-то нет… В том числе из-за вот таких вот казусов. (
проблема в том, что в нашем государстве испокон веку «принадлежащее госконторе = общедоступное», разнообразнейшие базы с любыми данными физических и юридических лиц тому подтверждение
а используется криптография внезапно в том числе для ЭЦП, то есть подтверждения отправителя
плюс всех в принудительном порядке перевели в цифру во всех областях
в итоге мы получаем бескрайний простор для злоупотреблений, подтасовок, подстав, вымогательств и прочая и прочая
Такая проблема (утечка данных) есть, и не только в гос секторе.
Но причем здесь ГОСТ и предположение о том, что возможно в ГОСТе есть закладка?
И причем здесь возможная закладка в ГОСТовом алгоритме шифрования, и алгоритм хеширования, который используется при подписании. Давайте не будем смешивать разные проблемы.
нормальный алгоритм шифрования не должен бояться утечек данных, потому что он должен быть открытым
ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования» — действующий российский криптографический стандарт, определяющий алгоритм и процедуру вычисления хеш-функции
Название хеш-функции — «Стрибог», по имени славянского божества, — часто используется вместо официального названия стандарта, хотя в его тексте явно не упоминается

вики
там и про S-box есть
Алгоритм шифрования и есть открытый, ГОСТ общедоступен, о каких утечках данных речь? Если Вы говорите об утечке данных о процессе разработки алгоритма, то в данном случае это не влияет на его криптостойкость (по крайней мере, пока).
Вообще, если честно, не понимаю из-за чего весь сыр-бор по поводу Кузнечика, когда на деле все еще (по крайней мере в СКЗИ, с которыми я сталкивался) используется ГОСТ 28147-89, да и в новом ГОСТе Магму оставили, только таблицу замен зафиксировали.
когда на деле все еще (по крайней мере в СКЗИ, с которыми я сталкивался) используется ГОСТ 28147-89

ну так-то принудительно всех переводят на 12-е госты, год уже поп-апы в крипто-про и прочих скзи выскакивают
Как вариант, если их протолкнуть в стандарты, то везде где их требуют в приказном порядке, они будут просто работать, без адовой кучи геморроя с покупкой, установкой, настройкой и «поддерживается только на WinXP SP1».
Так эту ГОСТовую криптографию потому и не включают ни в стандарты, ни в реализации библиотек.
ФСБ требует, чтобы для работы с персональными данными использовались «сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства».
Если Вы не поленились разобраться с этими доками — может, скажете, возбраняется ли ими шифровать «в два слоя» — скажем, AES, а поверх ГОСТ (понимаю, что электричества сожрём больше, но если кому надо и требованиям удовлетворить, и не думать, есть ли бэкдор — выглядит выходом)
Кто-то говорил, что с точки зрения нормативки, западные алгоритмами шифрованием не считаются.
Поэтому второй слой, это будет просто математическое преобразование по определенному алгоритму (наверно).
Расскажите это тем, кто требует наличие нотификации от ФСБ для ввоза к нам BLE модулей, у которых AES 128 аппаратно унутре сидит.
Причем тут нотификация? Импорт шифровальных средств, это отдельная нормативка.
Речь же шла о реализации некого преобразования поверх шифрования ГОСТ.
Наверное при том, что если бы западные алгоритмы не считались шифрованием, то и разрешений на ввоз девайсов, их содержащих, не требовалось бы.
Требуется, но по другой причине.
Неужели не видно разницы, когда ты ввозишь чужое устройство, и когда предоставляешь свое устройства для изучения вместе с исходниками?
с точки зрения нормативки, западные алгоритмами шифрованием не считаются

это будет просто математическое преобразование по определенному алгоритму


Это ваши слова? AES разработан у нас?

Я всего лишь хотел сказать, что ваша формулировка в реальности не применима.
Какая разница, как именно реализовано шифрование — аппаратным блоком или программно. Шифрованием оно от этого не перестает быть.
Давайте попробуем на примерах:
Представим, что нужно выполнить требование: «обеспечить криптографическую защиту канала связи»

Это требование вы не закроете ни одним западным алгоритмом, т. к. что бы пройти наших регуляторов, им требуется шифрование ГОСТ. Поэтому я и написал, что западный алгоритм за шифрование не считается (за сертифицируемое шифрование).

Но что вы накрутите сверх этого, зависит от вас. Сможете обосновать необходимость дополнительного преобразования, например эквивалентного AES, значит сертификацию пройдете (конечно, если ГОСТ будет правильно реализован).

Какая разница, как именно реализовано шифрование — аппаратным блоком или программно. Шифрованием оно от этого не перестает быть.

Я специально выделил ключевые места. Чужое устройство или свое с исходниками. В данном контексте, возможность задействования аппаратных блоков роли не играет.
> (конечно, если ГОСТ будет правильно реализован)

Вы в какие-то дебри ушли и рискуете запутаться и запутать читателей. Тезисно:
1) Абы кто не имеет права реализовывать ГОСТ с целью его использования как СКЗИ, ибо разработка СКЗИ является лиценизруемой деятельностью
2) Никто из лицензиатов не будет внедрять схему двойного шифрования дополнительным западным алгоритмом. По разным причинам, от экономических, до нормативно-правовых.
3) А вот как пользователю, который приобрел сертифицированное СКЗИ, вам не запрещается шифровать внутри ещё и AES'ом, или чем-нибудь ещё.
4) Не понятно пока, где это возможно применить. Очевидно, что поддержка двойного шифрования должна быть реализована с двух сторон, при этом в текущей ситуации второй стороной является какой-нибудь госорган, который явно это не будет поддерживать. Использовать же ГОСТ между частными структурами и при этом передавать какие-то важные вам данные — тоже странно. Есть, например, сценарий передачи банком вашей кредитной в БКИ. Но в этой истории единственный интересант, которому важна конфиденциальность данной информации — это субъект кредитной истории, то есть заёмщик, но он просто напросто исключен из этого обмена ) Таким образом, мы видим, что у сторон, обменивающихся данными, шифрованными ГОСТом нет никакой заинтересованности в том, чтобы данные сведения были конфиденциальны. Либо же данная информация предназначается государству.
Пожалуйста, не путайте кислое с мягким.
1) Абы кто не имеет права реализовывать ГОСТ…
Реализация алгоритма != разработка СКЗИ.
Но мы же говорим про гипотетическую возможность реализации AES поверх ГОСТ в рамках честного СКЗИ, значит у честного разработчика эта лицензия должна быть.
2) Никто из лицензиатов не будет внедрять…
Вам не кажется, что это дело самих лицензиатов?

3) А вот как пользователю, который приобрел сертифицированное СКЗИ...
Пользователю вообще запрещено что либо модифицировать внутри СКЗИ, тем более, если этот функционал не закладывался разработчиком.

4) Не понятно пока, где это возможно применить...
На вскидку могу предложить следующие варианты:
  • реализация единого решения как для продажи внутри России, так и для экспортого варианта
  • всякие шлюзы, для подключение зарубежных представительств российских компаний к головному офису в России (у них западное оборудование, а у нас ГОСТ)
  • удовлетворение академического интереса (ну прям как сейчас ;-) )

> Вам не кажется, что это дело самих лицензиатов?

Не кажется.

> Реализация алгоритма != разработка СКЗИ.
Но мы же говорим про гипотетическую возможность реализации AES поверх ГОСТ в рамках честного СКЗИ, значит у честного разработчика эта лицензия должна быть.

> Пользователю вообще запрещено что либо модифицировать внутри СКЗИ, тем более, если этот функционал не закладывался разработчиком.

Вы занимаетесь в этих абзацах словоблудием. С одной стороны вы приравниваете пользователя СКЗИ к юзеру, тыкающему кнопки в браузере. Однако это не так. Пользователь СКЗИ может спокойно себе разрабатывать свою информационную систему, которая использовует сертифицированное СКЗИ для шифрования трафика. Между тем, как разработчику этой ИС, ему ничто не мешает подавать на вход СКЗИ уже шифрованный AES'ом или другим алгоритмом трафик. Правда ведь?

Так вот, пользователю СКЗИ с одной стороны нужно сертифицированное СКЗИ, чтобы закрыть нормативно-правовой аспект работы своей информационной системы. И здесь он не имеет права разрабатывать свою имплементацию ГОСТа в общем случае. С другой стороны ничто не мешает ему подавать на вход СКЗИ уже шифрованный другим алгоритом трафик, и тут нету нужды влезать внутрь СКЗИ и производить там какие-либо модификации.
Вам не кажется, что это дело самих лицензиатов?
Не кажется.
Ну раз так, тогда ОК. Может поделитесь статистикой, сколько разработчиков СКЗИ у вас уже консультировались?

А насчет словоблудия, перечитайте пожалуйста исходный тезис. Я уже несколько раз вам пояснял, что речь идет о вопросе с точки зрения разработчика СЗКИ.
>Может поделитесь статистикой, сколько разработчиков СКЗИ у вас уже консультировались?

Батенька, давайте вернемся к тому вопросу, где вы можете из себя хоть что-нибудь представлять в этой дискуссии, а именно к теоретическим фантазиям реализации и комбинирования схем шифрования. А то уж как-то больно резко вы скатываетесь в говнодоводы. Консультироваться у меня — не консультировались. Но профессионально общался на подобные темы с несколькими работниками нескольких различных вендоров СКЗИ (в частности ЛИССИ и Инфотекс, а так же ещё пары, которые кажется уже почили в бозе). Не буду утверждать, что высказанные мне мнения являются официальной позицией каждого конкретного вендора, тем не менее мотивация была ясна. И, в отличии от вашего опыта общения с разработчиками СКЗИ, похоже, что мой опыт в бесконечное количество раз больше. Так что повторяю — не кажется. Впрочем, к нашей дискуссии это не имеет совершенно никакого отношения.

> Я уже несколько раз вам пояснял

Как вы могли мне пояснить несколько раз, если до этого камента вы мне ответили только один единственный раз? Что-то вы путаетесь в показаниях, милейший.

> что речь идет о вопросе с точки зрения разработчика СЗКИ.

Читаю ваш камент, на который я оставил свой первый камент. Цитирую:

Давайте попробуем на примерах:
Представим, что нужно выполнить требование: «обеспечить криптографическую защиту канала связи»


То есть вы априори не рассматриваете задачу разработки СКЗИ, а рассматриваете задачу его применения. Разработчик СКЗИ не занимается тем, что обеспечивает защиту канала связи. Разработчик СКЗИ занимается тем, что разрабатывает СКЗИ, которое может быть использовано для этих целей. Так что вы сформулировали задачу прикладного применения СКЗИ с большим желанием применить схему двойного шифрования.

При этом я с вами полностью согласен — применение зарубежных алгоритмов шифрования не считается криптографической защитой. И поэтому не входит в состав СКЗИ и не может туда входить.

Если же вы по прежнему хотите рассматривать эту задачу с т.з. разработчика СКЗИ (хотя я в душе не понимаю для чего), то попробую вам аналогию подыскать: вы хотите найти (для себя) первоклассного нейрохирурга, но в перечне ваших требований к кандидату имеется требование, чтобы данный врач производил лечение гомеопатией в востановительный период после операции.
Ок, значит мы остались каждый при своем мнении, тем более, что у меня нет задачи вас в чем-то убедить.

Кстати, раз уж вы так гордитесь общением с
работниками нескольких различных вендоров СКЗИ
то ставьте себе еще +1.
> Ок, значит мы остались каждый при своем мнении, тем более, что у меня нет задачи вас в чем-то убедить.

А как же «в интернете кто-то неправ»? )))

> Кстати, раз уж вы так гордитесь общением с

Какой-то вы странный. Почему вы решили, что я этим горжусь? Вы гордитесь тем, что вам приходится общаться с коллегами? Или разрабы СКЗИ у вас где-то между богами и Фредди Меркьюри? ))) Или всё дело в том, что вы решили меня спросить о «статистике», будучи уверены в том, что такой «статистики» у меня нет, но испытали облом? Ну что… бывает. Но не вижу в этом повода для гордости.

> то ставьте себе еще +1.

Ещё один к чему? И зачем мне эти ваши плюсы? Вы тут из-за плюсов сидите и всё это пишете? Давайте я вам поставлю сейчас пачечку.
Сможете обосновать необходимость дополнительного преобразования, например эквивалентного AES, значит сертификацию пройдете (конечно, если ГОСТ будет правильно реализован)


Даже обосновывать не надо, если ГОСТ реализован.
Если говорить об электричестве, то AES сейчас практически бесплатный, во многих процессорах, т.к. реализован аппаратно.
если к вам придут из ФСБ и скажут, что вы используете несертифицированное криптосредство для работы с ПД?
Вот об этом я и спрашиваю. Пока из информации — только коммент выше от rsashka, но информация из третьих рук не годится. Вы, я так понял, тоже не выясняли и не разбирались.
Обсуждалось предположение:
возбраняется ли ими шифровать «в два слоя» — скажем, AES, а поверх ГОСТ
А за несертифицированное криптосредство естественно по башке настучат.
А я покажу сетификат СКЗИ на какой-нибудь Крипто-Про и спрошу: «Какие ваши доказательства?»
Не возбраняется, но сертификат не получите :)

Вы разобрались (если да — то было бы здорово увидеть, где нормативные документы указывают на недопустимость второго слоя, а не на необходимость использования ГОСТ) или это предположение?

Коап ст. 13.12 ч.2 предусматривает ответственность на использование несертифицированных средств защиты информации.

Это не совсем то: если вы просто реализуете ГОСТ — у вас тоже будет «несертифицированное средство». Вопрос, по сути, в том, мешает ли лишний слой шифрования пройти сертификацию.
Лишний слой не мешает, только не надо его называть шифрованием (иначе придется обосновывать его). Вы можете делать любые преобразования данных для соответствия формату хранения/передачи, а потому уже полученный данные защищать сертифицированным средством. Можно и наоборот, защищать исходные документы сертифицированным средством, а потом проводить преобразования для соответствия формату передачи, например, IPsec с AES. Только зачем? Любые лишние преобразования тратят ресурсы системы.
Формально не возбраняется.
А они запускают тест, который например пытается используя уязвимость взломать шифрованное сообщение и получает отрицательный результат. Вам сообщают «Программа не прошла внутреннее тестирование. Отказать.»
Важно не смешивать абсолютно разные понятия:
1. «сертификат» на средство криптографической защиты информации (СКЗИ)
2. «аттестат» на систему защиты персональных данных
По п.1, разумеется, никакие зарубежные криптоалгоритмы и СКЗИ, их использующие, у нас сертифицированы как СКЗИ не могут быть.
По п.2.
Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
— если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
— если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
(см. методические рекомендации ФСБ от 31.03.2015 № 149/7/2/6-432; и да, «рекомендации ФСБ» в области крипты никто не оспаривает)
И именно эти СКЗИ, упомянутые выше, должны быть сертифицированы ФСБ, т.е. по нашим ГОСТам.

Использовать для собственных нужд (не для декларируемой защиты ПДн) зарубежные криптоалгоритмы никто не запрещает. И, соответственно, на аттестацию системы защиты ПДн это не влияет. Главное, чтобы в необходимых случаях использовались сертифицированные СКЗИ.
p.s. это в части защиты сведений, не составляющих государственную тайну.
p.p.s. Вопрос ввоза устройств с зарубежными криптоалгоритмами к этой теме вообще никак не относится, совершенно иные задачи.
Судя по действующему законодательству, не возбраняется.
Есть ФЗ «О персональных данных», дающий право Правительству право разрабатывать правила обработки ПД. Есть постановление Правительства «Об обеспечении безопасности персональных данных...», дающее право ФСБ устанавливать методы и способы защиты. Есть изданные ФСБ «Типовые требования...», устанавливающие, что операторы ПД должны соблюдать «Положение о разработке... и »Методические рекомендации...". И вот уже в «Методических рекомендациях...» сказано буквально следующее:
Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные...
То есть присутствует требование наличия как минимум одного сертифицированного СКЗИ, иначе было бы написано «должны использоваться исключительно сертифицированные».
Хм, и есть коап 13.12 ч.2, наказывающий за использование несертифицированных СКЗИ там, где нужно использовать сертифицированные. Это можно трактовать достаточно широко.
Так никто не заставляет шифровалку AES'ом называть СКЗИ. Главное, чтобы как минимум одним сертифицированным СКЗИ данные закрывались. По определению из методических рекомендаций,
«Криптосредство — шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) — шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

Так что создайте преобразователь данных, пишущий в своём формате, внутри которого зачем-то есть некая функция преобразования с непонятной вам логикой работы, подозрительно похожей на шифрование AES. Главное, что он предназначен не для шифрования данных, я для их преобразования в удобный вид — напиример, XML с блобом внутри.
Риск невелик, штраф в КоАП для организации смешной.
а средства дл защиты информации, содержащей сведения, составляющие государственную тайну как называются? не криптографические?
Программно-технические средства криптографической и стенографической (sic!) защиты информации.
стенографической или стеганографической?
Так я и отметил, что почему-то «стенографической». Фигли, 1999 год, ФСБ, набор по объявлениям в бесплатных газетах.

Можно. По крайней мере так делают именно для того, чтобы шифрование было "православным", при этом не трогая родной слой шифрования, который не всегда есть возможность убрать.

Всегда интересовал вопрос, что будет, если опубликованная информация (в шутку, как пример или как результат изучения), будет в точности соответствовать реальной, а автор публикации в действительно не имеет доступа к первоисточнику (например, источник имеет гриф секретности).
Т.к. объективно доказать, что человек не имел доступа к чему-либо, невозможно, даже в идеальном случае суд будет исходить из правдоподобности заявлений защиты и обвинения.

То есть, если в статье на хабре в коде комментарии такие же, как в совсекретном документе, сданном в архив десять лет назад, то посадят, а если просто «схожесть до степени смешения» и опрошенный эксперт говорит, что выводы сделаны достаточно очевидные для того, чтобы без посторонней помощи до них дойти — то отпустят.

Хотя на самом деле такие процессы во всём мире в меньшей степени правосудие и в большей степени — публичная демонстрация государством границ, за которые его гражданам залезать не рекомендуется.
Вот только у нас правосудие почти не работает. И полностью не работает, если обвинитель государство.
Оно нигде не работает, если службы госбезопасности всерьёз решили сделать вас своим врагом.
Почему так упорно пропагандируется эта мысль? Посмотрите как боролся с системой Мохаммед Али, когда не захотел воевать во Вьетнаме. И таких примеров много (за исключением советского и постсоветского пространства)
Расскажите как он боролся?
как он все потерял в самой важной для себя области?
как у него жизнь сразу наладилась после известных высказываний?
Википедия говорит нам следующее:
On April 28, 1967, Ali appeared in Houston for his scheduled induction into the U.S. Armed Forces, but he refused three times to step forward when his name was called. An officer warned him that he was committing a felony punishable by five years in prison and a fine of $10,000. Once more, Ali refused to budge when his name was called, and he was arrested. Later that same day, the New York State Athletic Commission suspended his boxing license and stripped him of his title. Other boxing commissions followed suit. Ali remained unable to obtain a license to box in any state for over three years.[157][page needed]

At the trial on June 20, 1967, the jury found Ali guilty after only 21 minutes of deliberation of the criminal offence of violating the Selective Service laws by refusing to be drafted.[22] After a Court of Appeals upheld the conviction, the case was reviewed by the U.S. Supreme Court in 1971.[158]


In a secret operation code-named «Minaret», the National Security Agency (NSA) intercepted the communications of leading Americans, including Ali, Senators Frank Church and Howard Baker, Dr. Martin Luther King Jr., prominent U.S. journalists, and others who criticized the U.S. war in Vietnam.[169][170] A review by the NSA of the Minaret program concluded that it was «disreputable if not outright illegal.»[170]

In 1971, his Fight of the Century with Frazier provided cover for an activist group, the Citizens' Commission to Investigate the FBI, to successfully pull off a burglary at an FBI office in Pennsylvania, which exposed the COINTELPRO operations that included illegal spying on activists involved with the civil rights and anti-war movements.
А вы посмотрите лучше на Ассанжа. Как только краешком задел интересы спецслужб (не постсовка) так тут же и изнасиловал кого-то там. Удобно как.
Как только краешком задел интересы спецслужб

Ассанж отправил в Аль-Джазира, The Guardian, Der Spiegel и The New York Times около 100 тыс. секретных документов о ходе войны в Афганистане, а также десятки тысяч документов о войне в Ираке. Часть документов касается расстрела мирных жителей. После публикации некоторых свидетельств, особенно видеоинформации, разразился международный скандал.
Ассанж также заявлял, что в его распоряжении находится ещё около 15 тыс. секретных документов Пентагона.
В июле 2012 года Ассанж сообщил, что Wikileaks опубликует около 2,4 млн документов, связанных с конфликтом в Сирии.
Что тогда по вашему не краешком?

так тут же и изнасиловал кого-то там. Удобно как.

Я верю Шведской прокуратуре, судебным органам и Верховному суду. Тем более есть конкретные истцы (хоть имена и не разглашаются СМИ). И он обвиняется в том, что совершил половой акт с без презерватива.

Я тоже верю шведской прокуратуре, но я не верю в ТАКИЕ совпадения.
Считая себя рационалистом, я рассматриваю конспирологические версии в самую последнюю очередь. Но прослеживается определённый паттерн ситуаций и реакций. Даже без учёта "казуса Стросс-Кана" вам не кажется ли, что секс без резинки спустя хрен знает сколько месяцев — явно недостаточный повод для угрозы штурмовать полицейским спецназом посольство иностранного государства и постоянного дежурства около него? Подобные меры выглядели бы вполне логично и понятно для Сноудена, например, или будь Ассанж обвинён конкретно в том, что он натворил — раскрыл какие-то там секреты, а так это выглядит как плохо прикрытый фарс под указку американцев :(

Если вы знаете что-то секретное, и не может никому об этом сказать, напишите художественное произведение. Где все в точности опишите что знаете, и еще насочиняйте по разными темам. Если что — это все «художественный вымысел автора».

По непроверенным данным, такое делал Виктор Суворов (Резун) «Контроль», «Выбор».
Суворов/Резун — мимо. На момент открытия литературного таланта он не был связан подпиской/присягой и мог писать правду в открытую, если бы было о чем писать. Цирк с литературой связан именно с тем, что сухие факты не шокировали бы публику и не обличили власть от слова совсем. Всех шокируют именно «литературные преувеличения» Резуна, а не факты, которые несомненно присутствуют в тексте.
Корабль мимо — там не гос тайна, а гос измена, судя по вашей ссылке. А стучать погранцам чужого государства (всего через год после 888) это точно измена.
Если уж судить по ссылке: "… передала сведения, составляющие государственную тайну"
Я «полное описание» не читал, в кратком тайны нет. Но в любом случае, перемещение военнослужащих является гос тайной. Даже если оно происходит по дорогам общего пользования.
Если вы его публикуете в РФ, то нельзя. Если что, срок получит дедушка из отдела «защиты информации». Ибо вы ни слова никогда и нигде в РФ даже в занюханном местячковом институтском журнальчике не опубликуете без «экспертного заключения». С одной стороны, из-за этой реально никому не нужной бумажки часто проще за бугром опубликоваться. А, с другой, если что, можно успешно прикрыться. В бумажёнке написано, что «не содержит сведений»? Всё, идити лесом, ребята!
Вообще интересно, а как они узнали про резюме в радиотехнический центр министерства обороны Швеции, у них что там, свой шпион в отделе кадров?
Придут и начнут задавать вопросы. Реально был такой случай, когда в какой-то статье нашего физика обнаружились формулы, точно совпадающие с украденными из Манхэттенского проекта.
В России это ненаказуемо; секретные сведения должны быть стать известны разгласившему по работе, службе или переданы иным предусмотренным законодательством способом для наступления уголовной ответственности. Исключение — сбор с целью передачи другому государству (т. е. шпионаж).
Ну т.е. если у Вы расписывались в получении секретных данных, то сразу пойдете по госизмене, а если нет, то сначала пойдете в разработку за шпионаж (ну и год-два-десять будете гулять на свободе, под пристальным присмотром) и только потом сядете.
Не, это нормально, защита государства — дело важное. Но хотелось бы, чтобы иногда включали мозг и не доводили дело до ломки человеческих судеб, когда гостайной является «секрет Полишинеля».
Статья УК РФ 276 «Шпионаж» отличается от 275 «Государственная измена» лишь тем, что 276 применяется к иностранным гражданам или лицам без гражданства.
Извиняюсь, был не прав. Буду точнее в формулировках.
С другой стороны, вчитаясь в 275 УК РФ: "… сведений, составляющих государственную тайну,… или в иных случаях, предусмотренных законодательством Российской Федерации, либо оказание… консультационной… помощи… в деятельности, направленной против безопасности Российской Федерации,..."
Т.е. навредил стране — изменил. Другой вопрос, является ли раскрытие уязвимости шифра вредом? И не является ли вредом внедрение (умышленное и/или случайное) уязвимости в шифр.
Тогда мы узнаем в авторе Дирка Джентли.
Автор исследования Partitions in the S-Box of Streebog and Kuznyechik вчера вынес его на обсуждение в мейллисте CFRG. Проследить за обсуждением можно здесь.
WIKI: Стрибо́г (др.-рус. Стрибогъ[1]) — божество древнерусского пантеона с неустановленными функциями
Символичненько, не находите? :)
Ничего нового: Огонёк (7ствольный гранатомёт), Нежность( наручники), Тюльпан ( САУ), Диагноз( топосферная станция), Зоопарк (комплекс артразведки и управления огнём), Колибри (противолодочная торпеда), Балеринка (авиапушка).
А ещё есть Кузнечики — мобильный роботехнический комплекс МРК-02.
И резиновая дубинка «Аргумент».
Там много всякой артиллерии с именем цветов: «Тюльпан», «Акация», «Пион».

Но самое странное название — миномёт «Поднос» (а брат у него — «Василёк»). Больше кухонной утвари в армии, вроде, нет.
Тяжелая огнеметная система «Буратино», и её наследник «Солнцепек»

Чую, знатно от "солнцепека" у противника припекает. )

С артиллерией всё просто: когда прилетает — в месте приземления появляется цветочек ( смотреть издали, ни в коем случае не изнутри). В некоторых случаях — грибочек ( смотреть своими глазами не рекомендуется вовсе).
Думаю, вас заинтересует перевод этих названий: Microsoft, Apple, PayPal, Facebook =)
Это аккордеон. Мелкий мягкий товар, яблоко, ПлатитДруган и Лицокнига. Забавно для незнающих почему так образовалось. Название же отечественных военных разработок несколько забавны сколько приводят к когнитивному диссонансу. Почему Кузнечик, Хризантема, Тополь, Акация, Тюльпан.
Телевизоры Горизонт (Гори, зонт!) и Nissan Skyline.
Комплекс лазерного оружия «Пересве́т».
Принцип работы основан на засвечивании лазерным лучом оптических разведывательных систем.
:)
Ну, и где многочисленные апологеты местечковой криптографии? Неужели никто не заступится за родное, сермяжно-посконное, импортозамещённое? На святое же покусились, любители AES`а бездуховные…
UFO just landed and posted this here
Это довольно слабый аргумент, потому что в рассматриваемом случае проводился аудит и есть какие-никакие, но соображения математического плана. По крайней мере, даже если какие-то недостатки в AES`е и есть — недопущение их эксплуатации в интересах слишком большого количества организаций, в отличие от российской криптографии, где всё завязано на ФСБ и компанию…
Вообще-то ситуация немного обратная, чем «Родина слышит».
Как резонно заметили выше — родина и так слышит, что ей пишут, а с другими контрагентами спокойно можно будет шифровать\подписывать и другими алгоритмами.
Да, есть момент, если родина запретит использовать другие алгоритмы — и тогда «возможно большой брат нас всех услышит» (и это еще нужно будет преодолеть эффект «Неуловимого Джо»)

Однако, главная мина заложена не там, а там где «Авторы криптоанализа не представили новых атак на существующие алгоритмы ГОСТ». Авторы-то не представили. Однако, есть очень много других ребят, которые не пишут статей (которые то предложили «изменить S-Box до того как алгоритм стал стандартом», то пытались «протолкнуть в стандарты свои легковесные симметричные алгоритмы Simon и Speck» ).
Да, это потенциальная уязвимость типа NOBUS, но астрономически маловерятно — это все же не невозможно, в то же время у них есть и профильные знания и вычислительные мощности и большая заинтересованность (т.е. «Джо которых они не против половить»).

Продолжая вашу мысль: Так может быть бэкдор заложило не государство, а какой-то конкретный человек из своих личных целей, против интересов спецслужб, в надежде что никто не заметит?

Одному из алгоритмов 30 лет, вбросов вида "вот-вот и он падёт", "там точно бэкдор" с разной степенью аргументами — не мало. И до сих пор это всё разговоры в пользу бедных.
Гос.органы страны-работодателя АНБ (два раза было пойман на внедрении бэкдоров в стандарты) не используют AES, всеми силами и весьма успешно продвигая его в качестве международного.
ГОСТы гос.сектор использует во всех сферах, что самоубийственно при заведомом наличии бэкдор.

Судя по списку ваших публикаций, вы вполне осознаете, что госсектор использует СКЗИ, построенные на ГОСТ, не потому, что хочет, а потому, что его к этому принуждают регуляторы. Там, где нет требования к сертифицированным СКЗИ, используют что угодно.

А какие он должен использовать? В США госы используется закрытый NSA Suite A, хотя AES входит в NSA Suite B.
Если нет регулирования, никто независимо от страны и не будет применять криптографию и прочие СЗИ, это усложняет работу.

Тогда к чему эта фраза?
ГОСТы гос.сектор использует во всех сферах, что самоубийственно при заведомом наличии бэкдор.
ФСБ сказало «Надо», госсектор использует. А есть там бэкдор или нет, госсектору уже все равно. И после таких статей надо задавать вопросы, почему сертифицируются средства, построенные на возможно уязвимом алгоритме.
Добавлю.
Если нет регулирования, никто независимо от страны и не будет применять криптографию и прочие СЗИ, это усложняет работу.
Абсурдное утверждение. Как частные компании сейчас используют VPN, антивирусы, шифрованные хранилища без принуждения, так и госы использовали бы.
McDermott, частные компании во всем мире достаточно сильно зарегулированы — PCI DSS, GDPR и др., и часто вынуждены применять те СЗИ/крипту, которую им укажут и совершенно не добровольно.
Применять антивирусы из «принуждают» вирусописатели, шифрование дисков/соединений — конкуренты.
Если информация не представляет ценности, а стоимость восстановления ниже СЗИ и простоя — никакие частные компании добровольно не будут применять СЗИ/крипту.
Ну вот вы и пришли от «Если нет регулирования, то никто не будет использовать СЗИ» к «Если нет регулирования, и информация, обрабатываемая в компании, ничего не стоит, то никто не будет использовать СЗИ». С этим, по крайней мере, я могу согласиться :)
А какой алгоритм используют гос.органы страны-работодателя АНБ?
BATON и Firefly. И это понятно. AES придуман коммандой коммандой из Бельгии, которая хоть и член блока НАТО, но мало ли решит пошпионить :)

Посмотрите NSA Suite B и NSA Suite A.
Последний предназначен для "внутреннего" использования гос.органами США и не публикуется.
NSA Suite B включает AES, не включение и отсутствие формальной сертификации было бы слишком странным.

А у нас коды для «мёртвой руки» чем шифруются?

Часть вбросов появляется строго в периоды перед обсуждением включения ГОСТ в перечень ISO, качество "исследований" и их неверифицируемость никого не смущает.
Если ГОСТ плохой, слабый, с бэкдорами — не используйте. Не всё просто и открыто в продвижении "своих" стандартов, честной конкуренции здесь нет.

Вы нашли ошибку в работе чтобы так говорить?
Если бы можно было не использовать — никто слово бы не сказал, пусть ковыряются в своей песочнице как хотят. Но поскольку порядок добровольно-принудительный — отсюда и недовольство. Это я про сертификации ПАК и прочие радости, идущие комплектом.

Делать этому шифру там нечего, совершенно не нужно что бы шифры с подозрением на слабый алгоритм были по дефолту в системах.


Наоборот от старых (SSL например) отказываемся, а вы предлагаете заведомо слабый шифр добавить, зачем?

Слабый по сравнению с чем? По открытым источникам AES имеет более низкую стойкость, чем ГОСТ.
«низкая стойкость» и «обоснованное подозрение на установленный разработчиками бэкдор» все же разные вещи.
Если известно, что бэкдор есть и известен примерный алгоритм его формирования, не облегчит ли это анб взлом этих алгоритмов шифрования?
Получается, что наши спецслужбы сами себя высекли и слили остальным иностранным спецслужбам всю зашифрованную этими гостами переписку, которую они теперь будут щёлкать, как белка- орешки.
Я думаю, для государственной и прочей переписки которую они сами хотят засекретить, они используют шифрование без бэкдоров:)

Тут вопрос кто это — ОНИ. Очевидно, что алгоритм бэкдора в руках одной конкретной организации. Например, ФСО. Все остальные силовики: ФСБ, военные, Росгвардия, проч вынуждены пользоваться этой системой без доступа к супер ключу. А в это время одна организация, например, ФСО, может свободно читать переписку не утруждая серия сложностями типа ордеров. Мне кажется более вероятным что этот бэкдор нужен в основном для аппаратной борьбы.
Но, разумеется, безопасность страны при этом скомпрометирована. Но кого это волнует

Может быть еще смешнее — как в той совсекретной системе шифрования в «Похождениях Швейка», которая оказалась дословной копипастой с довоенной популярной брошюры.
Так и тут, константы и таблицы могли быть неподумавши скопипащены с чьей-нить малоизвестной публикации, если не с учебника.

Почитал тред и у меня сложилось впечатление, что над вами стоит ФСБешник и прям заставляет пользоваться алгоритмами ГОСТ.

Это же алгоритмы для использования в софте госкомпаний типа госуслуг или в софте МО. Я не знаю, что там сейчас используется, но задумка изначально такая.

Обычных пользователей это не очень качается.

А то что там нашли явные дыры — так это не закладка ФСБ, так как основные пользователи этих алгоритмов защищаются не от ФСБ, а от служб других стран по требованию ФСБ. Это банальное раздолбайство или некомпетентность.
Это сейчас. Потом обяжут все шифрование пускать через эти алгоритмы.
Вопрос не в том кто кого и как заставляет. Вопрос в том, что организации с достаточно чувствительной и секретной информацией обязывают использовать уязвимыми решениями. И потенциальные противник знает об этой уязвимости. Хорошо если информация передается по закрытым каналам и огороженные физически от интернета, а если не так? Что если секретная информация передается в зашифрованном виде по общим каналам связи, а шифр имеет не то что уязвимость, а у противника есть копия секрета с помощью которого он может читать все секретные сообщения из данных источников? Зачем тогда применять такое решение?

Сравните стойкость ГОСТ и AES, по открытым публикацим стойкость последнего ниже.

Судя по материалам исследования, бэкдор, если он есть вообще, внедрен был точно не потенциальным противником…
Интересно, почему никто из собравшихся не задумался, не деза ли это? Я не про исследование, а про «подозрительную, без явной рандомизации» выработку оных S-блоков. Сколько денег и сил должен потратить потенциальный противник, клюнувший на исследования, подобные вышеприведенному, чтобы докопаться до истины? Я, конечно, в ТК-26 не состою, но не стал бы исключать и такой вариант…
Возможно и целенаправленная деза с целью компрометации алгоритмов в общественном сознании. Нагоняемый информационный шум с целью породить сомнения. Найденная зацепка с искаженной интерпретацией фактов позволит в головах поселиться разным не совсем здоровым идеям. К сожалению даже в ИБ не все и не всё проверяют на собственном опыте, частенько полагаются на опыт других.
В 2016м году исследователи показали

В 2015 году судя по ссылкам (1 и 2) из википедии. В 2016 публике представили полную версию исследования.
Авторы декларировали, что таблица замен выбрана случайным образом. Вот слайд из презентации алгоритма, на котором указано, что авторы выбирали таблицу случайным образом.

Я понимаю, что не тяну на звание светилы отечественной криптографии и возможно не замечаю скрытый смысл сего изречения. Или не умею читать между строк… Но не могли бы Вы, Scratch, мне ткнуть носом в место (обвести красненьким контуром на картинке), где на приведённом Вами слайде говорится о случайном характере выбора таблиц? В упор не вижу… И так смотрел, и сяк… и под лупой, и в монохроме… На наличие стего-контейнеров с указанным Вами текстом тоже проверил — не нашёл.
подсказка:
Там этого нет! А сказано обратное: мы не использовали случайные, потому что… и 2 пункта в красной рамке. Эээх видимо наши крЕптографы настолько суровые, что им даже текст открытый нужно отдельно расшифровывать для понимания.

Ах да! Ещё воодушевила заметка про «уменьшающая его стойкость с 2^512 до 2^266». Совсем ни о чём… какой-то 2 в 266, на свалку — в уме и на пальцах можно на лету считать. Считай в открытую информацию передаёшь.
p.s. Сколько за свою жизнь Вы синтезировали новых криптоалгоритмов, или хотя бы каких-то криптопримитивов, что так уверенно рассуждаете кого и за что
отовсюду прогнали ссаными тряпками
?
Если бы вы посмотрели всю презентацию целиком, то поняли бы, что, то о чем вы спрашиваете и так обведено красным. Все вопросы к дизайнерам
Так и Вы не говорили про ВСЮ презентацию. Я специально сделал цитату
Вот слайд из презентации алгоритма, на котором указано, что авторы выбирали таблицу случайным образом.

Вот покажите мне непонятливому где там ИМЕННО ЭТО написано? (если Вы не ощущаете наводящих вопросов, прочтите подсказку под спойлером...)
Переход на личности, ура-поцреотизм… Вы почти выиграли в булшит-бинго, если бы в него тут играли. Постарайтесь еще немного
Переход на личности

и буквально сразу же


, ура-поцреотизм

Я, конечно, нисколько не сомневаюсь, кто является основной местной аудиторией, но вы хотя бы чуть-чуть постарались.

Ещё раз повторю вопрос: «В статье сказано, якобы, именно на этом слайде говорится, что мы выбрали именно случайные...». Не нужно ссылаться на контекст, на явно подразумеваемое, или доподлинно известное. На учебник по криптографии, на кулуарные разговоры во время презентации, на мысли автора при написании, на другие слайды и презентации. Сухие факты — в каком месте на этом слайде именно эти слова?
p.s. презентацию видел кучу раз и вне хабра — могли не приводить.
Понять, откуда взялся тезис о «случайности» таблицы замен можно, проследив ссылочную структуру публикаций.

В статье на него указывает только прямая цитата из другой статьи: "...a strong algebraic structure hardly compatible with the claims of randomness of the designers". Источник — «Léo Perrin and Aleksei Udovenko. Exponential s-boxes: a link between the s-boxes of BelT and Kuznyechik/Streebog. IACR Transactions on Symmetric Cryptology, 2016(2):99–124, 2016.» tosc.iacr.org/index.php/ToSC/article/view/567.

Читая полный текст второй статьи, доступный по URL, видим эту цитату со ссылкой на источник, в следующем контексте: «These decompositions improve previous results by Biryukov et al.[BPU16] and strengthen the idea that π has a strong algebraic structure hardly compatible with the claims of randomness of the designers. »

Источник BPU16 доступен, например, здесь: orbilu.uni.lu/bitstream/10993/23895/1/GOST_reverse_engineering_eprint.pdf

Открыв его, читаем: «We had brief informal discussions with some members of the Streebog and Kuznyechik design team at the CTCrypt’14 workshop (05-06 June 2014, Moscow RU). Their recollection was that the aim was to choose a “randomized” S-Box that meets the basic differential, linear, and algebraic requirements. Randomization using various building blocks was simply iterated until a “good enough” permutation was found. This was seen as an effective countermeasure against yet-unknown attacks [as well as algebraic attacks].»

Вопрос об уместности ссылки на «неформальные дискуссии» в научной статье и о способах прохода рецензирования такой статьёй оставим за скобками. Остаётся понять, что означает «randomized» в кавычках (!): «случайный» или «псевдослучайный». По-моему, из контекста напрашивается второе. Хотя полностью вопрос не закрыт.
Вообще, «building blocks» вместе с кавычками вокруг «randomized» оставляют только один вариант: перебор преобразований определённых видов, а не полный перебор всех возможных вариантов. Вполне могли первым проверить выдачу когда-то давно написанного генератора S-блоков.
Спасибо, вы поймали Scratch и прочих (включая меня) на неумении или нежелании проверять факты, а авторов исследований — на незнании английского.
Полный перебор всех вариантов невозможен в принципе (256!). Поэтому авторы и использовали «случайный поиск с ограничением на параметры» (см. слайд), а смысл научного исследования в том, что структура таблицы замен не соответствует этому утверждению.

Так там однозначно написано, что действовали они как написано в синем блоке. Вы ломитесь в открытую настежь дверь.

То есть, на остальных слайдах они действовали так, как написано в красном блоке, а на этом — как на синем? Еще раз посмотрите презентацию
www.ruscrypto.ru/resource/archive/rc2013/files/03_shishkin.pdf

Слайд 8 — ГОСТ — SP-сеть (красное)
Слайд 9 Преобразование — V8 (красное)
и т. д.

То есть по-вашему, на этом слайде они честно выбрали плохой вариант, с «неоптимальными основными характеристиками» и за 6 лет никто их не спросил «зачем?»?

А кто решил, что это вариант плохой, вы?
Вообще, разработчики по и словам выбрали именно «неоптимальный» как вы говорите вариант, чтобы защититься от алгебраических и потенциально неизвестных атак.

Есть несколько источников, подтверждающих этот конкретный выбор.
1) Презентация с доклада
2) Факт личного общения исследователей с разработчиками этого ГОСТа, где они подтвердили цели использования именно этого рандомизированного подхода как «защиту от алгебраических и потенциально неизвестных атак», что звучит более-менее логично.
3) Упоминание этого факта не только в зарубежных, но и наших исследованиях pnu.edu.ru/media/ejournal/articles-2016/TGU_7_300.pdf

Они все сговорились? Или все-таки вы принимаете желаемое за действительное?

1) Чтобы процитировать слайд нужна компетенция в криптоанализе?
На слайде, на который вы вечно ссылаетесь, следующий текст: «Случайный поиск с заданным ограничением на параметры
… не оптимальны по совокупности значений основных криптографических характеристик».
1а) Кроме странной раскраски, презентация может похвастаться потерянными словами и мешаниной в аббревиатурах. Правило «блок с заголовком на красном фоне находится ниже» работает не хуже вашего «красным выделен выбранный вариант».
3) Я уже писал — один неправильно понял, остальные подхватили, такое вот воплощение анекдота «учёный изнасиловал журналиста».
Выше приведённая цитата rotarepo ваши слова опровергает, но это тоже не слова авторов, а их пересказ.
4) Они где-то обещали раскрыть эти классы? Вам достаточно лишь этого? Почему бы не хотеть полный набор тестов?


Но ладно, я понял, что вы выдумали себе какую-то ахинею и от неё уже не отступитесь, иначе такая теория заговора «шифр специально делают с дыркой, галактеко в апасносте» рухнет.

Авторы нарушили принцип «в секрете должен быть только ключ». Есть такой принцип, знаете? Принцип Керкгоффса называется. Всё остальное авторы любого алгоритма обязаны раскрыть.
Но опять же, это в цивилизованном обществе.
В банановых республиках где пипл хавает всё, что спускают сверху, это не является нормой. Что и доказывают все ваши комментарии, лишенные даже намёков на критическое мышление. Хорошего вечера
?! Обязаны ?! Кергофф этого не говорил. Тем более, узел замены опубликован.
Сразу видно, что вы и близко не работаете с информационной безопасностью, а всего лишь очередной представитель диванных военов-патриотов. В этом ваша беда. Можете только неаргументированно тявкать. Пользуйтесь гостами, кушайте блины с лопаты. Подрастите немного, подучите матчасть, потом, может поговорим.
Окститесь, уважаемый, пока Вы вешали лапшу по поводу Кузнечика и Стрибога, я так думал, что Вы более менее компетентный товарищ, просто работа такая.

Но когда Вы начинаете лапшу вешать относительно личностей, эта оговорка перестаёт работать.
Да ладно, топик превратился в треш после первого же ололо-комментария, дальше можно было не читать. Ну выскажете вы тут все свои теории обо мне, что изменится?
Я вам серьезно советую скооперироваться с остальными полутора калеками и написать тут на хабре большую разоблачающую статью обо мне. Ведь все факты на лицо! А то всё гав-гав-гав да гав-гав-гав
Хм. А Вы достойны разоблачения на Хабр? Так и в чём, если не секрет?

P.S. Я так полагал, что указания на фактические или методологические ошибки будут Вам полезны. Вроде как «Мы превращаем программистов в криптографов» серьёзный лозунг. Но если нет, то извиняйте.
Именно программистов. Ошибки тут никакой нет. Людей, которые не видят очевидных вещей мы превратить в криптографов не сможем, сорян.
Поэтому мне и казалось что Вам важно узнавать о собственных фактических и методологических ошибках. Например, в части того же «Керкгоффса», nistp256 и т.п. Но если Вам на свои собственные ошибки накласть, то ещё раз извиняйте.
Банановые республики ни одного стандарта криптографии не разработали, ознакомтесь со значением термина. Цивилизованное — это не Россия, правильно? Все понятно.
Банановые республики ни одного стандарта криптографии не разработали, ознакомтесь со значением термина.
Знаете ли, при всём уважении к разработчикам, в кузнечике фактически нет инновационных решений. Структурно это тот же AES. Такой же по размерности S-box 8x8, тот же XOR c раундовым ключом, линейное преобразование, основанное на умножении в поле GF256. Только вот оно у кузнечика намного и намного сложнее, чем у AES. По моему личному мнению — неоправданно сложное.

Среди финалистов конкурса AES действительно инновационным выглядел Twofish, но к сожалению (или к счастью), это и отпугнуло, много малоизученных подходов.
Так кузнечик разрабатывался, чтобы в ISO его протолкнуть. Естественно, что ничего инновационного там не было :)
При всём уважении к Вам, я криптографию в ВУЗе изучал в достаточном количестве, даже по прошествии лет помню, что AES не основан на методе сети Фейстеля, в отличии от нашего ГОСТ 28147-89 и всяких там Кузнечиков, так что сравнивать Рэндал с симметричными алгоритмами блочного шифрования, типа «структурно это тот же AES» не корректно. А так, из вашей логики все симметричные шифры почти идентичны, ключи и блоки одной длины, везде таблицы замен, сдвиги и xor…
При всём уважении к Вам, я криптографию в ВУЗе изучал в достаточном количестве, даже по прошествии лет помню, что AES не основан на методе сети Фейстеля, в отличии от нашего ГОСТ 28147-89 и всяких там Кузнечиков...
Имеет смысл освежить память. ГОСТ 28147-89 или «Магма» действительно — сеть Фейстеля. Но ГОСТ Р 34.12-2015 или «Кузнечик» не основан на сети Фейстеля от слова совсем. AES и Кузнечик это SP-сеть. Сеть Фейстеля в упрощённом виде используется в Кузнечике только для генерации раундовых ключей.
Возможно, это новый стандарт, видимо неправильно запомнил. Однако, это не отменяет того факта, что в симметричных шифрах ещё с семидесятых годов используются принципы, заложенные Фейстелем, какие тут инновации и при чем здесь банановые республики неясно.
Россия — не банановая республика (пока ещё). Думаю, что суметь создать свой блочный шифр на основе известных криптографических примитивов — это само собой разумеющееся для любого современного цивилизованного государства. Просто как-то странно получается, что Магма очень похожа на DES, а теперь вот кузнечик очень похож на AES. Может быть я не прав, но хочется чего-то большего в плане развития криптографии как науки.

Почитайте на досуге про Twofish, очень интересная структура, хотя в основе — сеть Фейстеля. Чего только стоят Sbox-ы, зависящие от ключа!
Хм, «намного и намного сложнее, чем у AES»? Ну, ну, может быть, может быть, как считать, но при реализации не очень заметно ;) Впрочем, насчёт «неоправданно сложное», можно вспомнить, что на момент выхода Кузнечика, Бирюков и компания уже свели AES 256-бит к сложности не превышающей 2100, так что простой «клон» AES в 2012/2015 годах был бы явно нежизнеспособен.
Хм, «намного и намного сложнее, чем у AES»? Ну, ну, может быть, может быть, как считать, но при реализации не очень заметно ;)
Имелась ввиду вычислительная сложность или требовательность по памяти в случай использования предвычисленных таблиц. Вообще говоря, сложно это не заметить. Посмотрите реализацию в исходниках Veracrypt. Там полностью табличный метод, размеры исходников впечатляют.
Бирюков и компания уже свели AES 256-бит к сложности не превышающей 2^100...
Поделитесь, откуда такая информация?
Хм, Veracrypt, можно конечно взглянуть, но не верю я в эффективность предвычисленных таблиц для современных процессоров. Правильный учёт структуры алгоритма — наше всё. Как результат, эффективные реализации на современных процессорах (векторные регистры и все дела) с производительностью не меньшей чем у AES-256, их не требуют же.

Как бы если спросить у Яндекса, но он тут же даёт ссылки на Википедию, которая ссылается на Biryukov, Khovratovich, 2009, p. 10. Ясен перец, это всё пока, больше, умствования криптографов, чем практический инструмент. Но авторы Стрибога/Кузнечика должны были их учитывать, так сказать, по долгу службы.
Хм, Veracrypt, можно конечно взглянуть, но не верю я в эффективность предвычисленных таблиц для современных процессоров.
Если таблица помещается в Լ3 кэш, то почему нет? Всё равно, без предвычислений и при прочих равных в линейном преобразовании у Кузнечика в 16 раз больше умножений в поле, чем у AES.
"Լ3 кэш, то почему нет? " — всё равно медленно выходит. Для современных коммуникаций нужно ж 10..20 Гбит/с ;)

"… в 16 раз больше умножений в поле, чем у AES..." — узлы замены AES Вы считали как выражения или как таблицы? Впрочем не суть.
… узлы замены AES Вы считали как выражения или как таблицы?
При чём здесь узлы замены? Речь идёт о сравнении двух процедур, mix_column у AES и Լ-преобразования у Кузнечика.
Как бы самая тяжелая часть — узлы замены, остальное летает же.

P.S.
Точнее даже не так, самая тяжёлая часть — имитозащита. Если бы что-нибудь типа PMAC или GCM удалось бы обосновать по нашим требованиям, вообще бы гонщика Спиди бы обгоняли бы.
На ТК-26 в закрытом разделе опубликовали практически готовый к принятию проект AEAD. Так что не долго ждать осталось.
Есть такое, Улита едет, когда-то будет. Типа, рабочее название: «Режимы работы блочных шифров, реализующие аутентифицированное шифрование» или MGM (Multilinear Galois Mode). И ничего закрытого. Яндекс, вполне себе, кое-что находит, и на русском, и на английском.

Его ж и на РусКрипто докладывали, и в IETF черновик имеется https://tools.ietf.org/html/draft-smyshlyaev-mgm-09.

Но кто ж знает, все под Богом ходим, не каждый проект становится рекомендацией или стандартом (и не каждый draft — RFC).
Как бы самая тяжелая часть — узлы замены, остальное летает же.
Sbox 8x8 требует 256 байт. Для полного вектора в 128 бит потребуется 4 КБ (в обе стороны). В то же время табличный вариант Լ-преобразования, как уже ниже сказали, требует 64 КБ только в одну сторону. Т.е. Լ-преобразование в варианте работы шифра в обе стороны требует в 32 раза больше памяти чем узлы замен. Если считать узлы замен самой тяжелой частью, то картина налицо.
Отсюда вопрос к разработчикам. Насколько оправданна сложность этого преобразования? Вопросов к стойкости нет, только к эффективности. Это как ставить стальную дверь в деревянный сарай.
Sbox 8x8 требует 256 байт. Для полного вектора в 128 бит потребуется 4096 байт (в обе стороны)...

Как бы это не совсем так. Во-первых, Sbox один. Во-вторых, разработчики, и AES, и Кузнечика, предусматривали возможность эффективной реализации, как минимум, в железе, поэтому он не совсем тупо 8х8. Чего, собственно, автор обсуждаемой статьи (Scratch) не заметил и чему, так сказать, удивляется как на новые ворота. ;)
Как бы это не совсем так. Во-первых, Sbox один.
Речь идёт как раз об аппаратных реализациях, т.е. ASIC, а не только ПО. Чтобы получить высокую производительность шифра в железе, требуется организовать конвейерную параллельную обработку. В варианте полностью развёрнутого конвейера работа будет осуществляться со 128 битным словом, для которого потребуется 16шт Sbox 8x8, и это только для одного раунда.
Чего, собственно, автор обсуждаемой статьи не заметил и чему, так сказать, удивляется как на новые ворота. ;)
Да вопрос не к автору, конечно, к разработчикам шифра.
… аппаратных реализациях, т.е. ASIC… для которого потребуется 16шт Sbox 8x8

Sbox 8x8 общего вида это достаточно дорого, однако, и в AES, и в Кузнечике, он не требуется.
Суть не в этом. Реализации могут быть очень разными. Это просто такой вариант оценки сложности, через эквивалент требуемой памяти. Можно в GE (gate equivalent) посчитать. И всё равно раунд Кузнечика будет требовательнее по ресурсам, чем раунд AES.
Оценка Sbox Кузнечика как 256 байт — сильно завышенная оценка, это раз.
Можно в GE (gate equivalent) посчитать.
Да, взять хороший оптимизатор и посчитать. Что было бы хорошей иллюстрацией к этой статье.
И всё равно раунд Кузнечика будет требовательнее по ресурсам, чем раунд AES

Да, немного требовательнее, по-моему, менее чем в два раза, но раундов меньше, 10 против 14, это два.

Так что, возвращаясь к вашему утверждению «Только вот оно у кузнечика намного и намного сложнее, чем у AES», мы не находим под него оснований. Ну мне так кажется.
Оценка Sbox Кузнечика как 256 байт — сильно завышенная оценка, это раз.
Вы издеваетесь?) Sbox 8x8 схемотехнически это память с шиной данных 8 бит и размером слова тоже 8 бит. 2^8 8-битных слов, итого 256 байт.
Так что, возвращаясь к вашему утверждению «Только вот оно у кузнечика намного и намного сложнее, чем у AES», мы не находим под него оснований. Ну мне так кажется.
Я говорил только о линейном преобразовании.
Вы издеваетесь?) Sbox 8x8 схемотехнически это память с шиной данных 8 бит и размером слова тоже 8 бит. 2^8 8-битных слов, итого 256 байт.

Sbox это преобразование 8 бит в 8 бит, которое имеет определённую структуру. И в случае, AES, и в случае Кузнечика, она задана. Мало того, она реализуется многократно эффективнее, чем память с шиной 8 бит.

Рекомендую, либо вглядеться в сам ГОСТ Р 34.12-2015, либо, на худой конец, ещё раз перечитать обсуждаемую статью (точнее пройтись по ссылкам из статьи).
Для полного вектора в 128 бит потребуется 4 КБ (в обе стороны).
Ошибся слегка, 4КБ — в одну сторону, т.к. для расшифрования нужны обратные Sbox-ы.
Т.е. Լ-преобразование в варианте работы шифра в обе стороны требует в 32 раза больше памяти чем узлы замен.
Соответственно и тут, в 16 раз больше…
Соответственно и тут, в 16 раз больше…
Есть такой вариант сведения к умножению на матрицу, причём часто Кузнечик сводят к заполненной матрице, но…

Но, по сути, и там, и там, эти матрицы собой представляют комбинацию умножений, у AES из 16*16 GF(28), у Кузнечика из 16*8 GF(216), так что если считать в ваших GE (gate equivalent), разница ~1.5 раза ;)

Serge3leo Использование предвычисленных таблиц для Кузнечика позволяет ускорить его производительность на порядки, описание и результаты я уже публиковал, потому что позволяет не вычислять S-слой и упростить вычисление L-слоя. Таблица для преобразования в каждую сторону при этом занимает 64 кБ.


При этом использование SSE2 в дополнение к таблицам повышает его производительность чуть больше, чем в полтора раза. Эффективные реализации AES (в отсутствие AES-NI) тоже используют таблицы.

Если я правильно понял вашу статью, Вы оптимизировали шифрование одного блока, что больше подходит для режимов гаммирования с обратной связью (OFB) и выработки имитовтсавки (OMAC).

А в режимах гаммирования (CTR), простой замены (ECB), а так же в потенциальном аутентифицированном шифровании (MGM), свободы для оптимизации гораздо, гораздо, больше, т.к. можно обрабатывать не один блок за раз.

Несмотря на то, что оптимизация шифрования одного блока в каком-то смысле универсальна и позволяет ускорить все режимы шифрования, согласен с вами в том, что режимы, допускающие параллельную обработку блоков, предоставляют большую свободу.


Я привел ссылку на свою статью о Кузнечике в надежде переубедить вас в вопросе эффективности предвычисленых таблиц ;)

При работе с таблицами, Ваша скорость ограничена пропускной способностью канала до кэш памяти. Грубо говоря, на каждый байт, Вы забираете некоторое количество линий кэш памяти.

Поэтому при использовании таблиц и обработке нескольких блоков производительность можно будет увеличить всего в 1.5..3 раза путём совмещения обращений к памяти с вычислениями. Что, как бы немного.
В пункте 3 никаких аргументов, кроме ссылки на ту же самую статью Бирюкова и Перрина, нет. Так что пока в сухом остатке — цвет фона на слайде (без каких-либо пояснений) и неоднозначная цитата из неформальной беседы с неназванным участником команды. Почему бы прямо не обратиться за разъяснениями к разработчикам?
Ну и последний, как говорится, гвоздь. Если бы они выбрали, как вы говорите «оптимальный» вариант (у вас, кстати, есть компетенция говорить какой из них оптимальный?), построенный на «выборе из известных классов», то почему сразу и после всех этих публикаций не огласили, что это за известный класс?

Каким бы не был ответ, факт остаётся фактом — разработчики скрыли и так до сих пор и не открыли принцип построения важнейшей части алгоритма. И этого факта в цивилизованном мире достаточно, чтобы уничтожить доверие к алгоритму.

Но мы же все патриоты, у нас же все вокруг враги, очерняют всё отечественное.
Голову просто иногда надо включать, а не первый канал

Ну так и включите. Свою.
А то истерите, как американская пресса на фэйсбук.

Истерите тут вы и парочка таких же.
Это Вам следовало точно выяснить в первую очередь. А не строить своё «исследование» на цветах прямоуольников, не слышав самой презентации.
В целом-то статья очень полезная, важная и актуальная! А главное указывает на явные недостатки, на которые следует обратить внимание будущим криптоаналитикам и создателям криптоалгоритмов. Но вот этот желчный подход «Всё у них — хорошее, всё у нас — гавно!», да ещё и якобы нарочно… уводит от главной мысли и не даёт её прочувствовать и осознать.
Люди не идеальный, все ошибаются и на этих ошибках надо учиться, а не перетягивать их из проекта в проект, тем более всему миру на показ. Нужно развивать фундаментальную математическую школу, инвестировать в исследования, стимулировать инициативы синтеза новых нелинейных преобразований или даже целых новых подходов, делать этот механизм более открытым и прозрачным. А не вот это всё: «Навязали! Приказали! Указали! Мы страдаем!». Интересно, если в шутку опросить прохожих: «Как сильно на Вашей жизни сказалось существование Кузнечика и Стрибога? Вы переживаете из-за потенциальной возможности понижения стойкости в n раз?! А как следствие не включение их в международные стандарты!». Сколько сразу пошлёт, а сколько посмеётся? )))
Почему-то когда падают иностранные ракетоносители, взрываются на испытаниях новые (и не очень) образцы оружия и т.п. не появляется пестрящих заголовков «Очередной бэкдор НАСА/Мин.Обороны для умышленного уничтожения армии/космонавтики»
этот желчный подход «Всё у них — хорошее, всё у нас — гавно!», да ещё и якобы нарочно…
Эта коннотация имеет вполне объективные предпосылки. Открытый конкурс криптоалгоритмов он ведь и предназначен для того, чтобы силами общественности отсеивать говно от хорошего. Если технология насаждается в приказном порядке, то и говна там будет больше. И предлагаемое вами повышение надоев на инновационный кубометр этому никак не помешает, потому что причина подобного подхода вовсе не в отсутствии фундаментальных математических школ. Когда иностранные ракетоносители падают, то распилы и откаты «почему-то» стоят на последнем месте в списке возможных причин там, в отличие от здесь.
Не хочу показаться снобом… но после утверждения
Когда иностранные ракетоносители падают, то распилы и откаты «почему-то» стоят на последнем месте в списке возможных причин там, в отличие от здесь.

напрашивается вопрос: Вы там были? откуда такая точная информация? Вы член комиссии НАСА? Вы видели закрытые протоколы и расследования? Если не секрет, что стоит на первом месте? На каком месте стоит «распил» и «откат» у них?
Честно, не убедили… с таким же успехом я могу утверждать, что при падении метеоритов на территорию России влияние Луны стоит на последнем месте в отличии падения метеоритов на Аляске… Докажите обратное! Очень красивое отверждение. Но смысла ноль, как и пруфов.
Когда иностранные ракетоносители падают, то распилы и откаты «почему-то» стоят на последнем месте в списке возможных причин там, в отличие от здесь.

Может быть потому что в этой части света априори меньше известно о распилах и откатах там?
Сюда же все разговоры о доверии к спецслужбам.
Просто повод к рассуждению, ни на что не намекаю.
Отвечаю сразу и вам и Beowulf
Нет, не поэтому.
А потому, что самая благодатная почва для распилов и откатов — госструктуры с высокой степенью горизонтальной интеграции (госконцерны).
Там же, где РН и бустеры клепают частные лавочки, деловая репутация всегда приоритетнее, чем сиюминутная выгода с высокими рисками. Ничего личного, просто бизнес рынок.
Хочу напомнить, что у нас криптография не закрытая область, как здесь пытаются преподнести. Хотя и контролируемая (вернее сказать лицензируемая). Если у Вас есть успехи в криптосинтезе, если позволяют образование и природные задатки, если Ваш научный анализ основан не на высокоинтеллектуальном методе «ссаных тряпок», а на чём-то более стройном и математически строгом — создавайте более стойкие шифры, патентуйте, представляйте научному сообществу. Ни кто не запретит, ещё и спасибо скажут! Да, не без нотки бюрократии, но где сейчас без неё?.. Алгоритмы не берутся из воздуха или всеобъемлющего кармана спецслужб — их делают такие же ученые, как и везде. (Хочется вставить мем «Эй, Мент! Алгоритм дырявый мне запили!», но не умею рисовать)).
А из обсуждения складывается картина, как будто в представлении сообщества отечественные шифры это: собрались мент, гаишник и пьяный федерал со стволом и решили «ЩА ЗАПИЛИМ!!!». Да так увлеклись, что все возможные ошибки, косяки и уязвимости впихнули разом и назвали новым алгоритмом, чтоб мало ни кому не показалось! И так это всем наверху понравилось, что каждого лично заставили пользоваться только этим и ни чем иным. А весь мир, кроме нас, умеет это всё анализировать и весело хохочет вскрывая наши шифры на пальцах, пока мы, считая всё надёжным, шлём кругом открытый текст.
как будто в представлении сообщества отечественные шифры это: собрались мент, гаишник и пьяный федерал со стволом и решили «ЩА ЗАПИЛИМ!!!». Да так увлеклись, что все возможные ошибки, косяки и уязвимости впихнули разом и назвали новым алгоритмом, чтоб мало ни кому не показалось
Имея многолетний опыт работы с госбюджетными НИОКР я могу сказать, что почти так всё и происходит, как вы описали. За исключением того, что мент, гаишник и федерал даже не вникают в проблематику работы, а реально выполняют её, в лучшем случае, пара эсэнэсов с аспирантами за сумму в 5% от оставшегося после распила.
Указанные Вами проблемы, возможно, имеют место быть (не обладаю столь богатым опытом, чтобы опровергнуть или поддержать), НО! На протяжении уже нескольких комментариев я не могу уловить, как мы так ловко соскочили с вопроса про «намеренный бэкдор», умышленное ухудшение в чьих-то интересах, на обсуждение проблем распила и не целевого расходования бюджетных средств? Я спрашивал исключительно за первое, второе, меня, как не участника этого процесса, мало интересует. Это темы совершенно разные… Надо как-то отделять мух от котлет.
Люди не идеальный, все ошибаются и на этих ошибках надо учиться...
Совершенно верно. И некоторые люди это поняли и приняли участие в конкурсе AES, а другие идут своим путём, что тоже их право.

Поймите одну простую вещь. Только шифр Вернама имеет абсолютную математически доказанную криптографическую стойкость, но им крайне неудобно пользоваться. Поэтому разработки поточных и блочных шифров продолжаются. Однако для них крайне сложно строго доказать криптостойкость. Именно из-за этого досконально изучают все примитивы.

К кузнечику вопрос только один. Если S-блоки выбраны случайно, почему исследователи обнаружили закономерность? Не повезло, когда кубик кидали? Это не серьёзно. А если S-блоки всё таки были выбраны неслучайно, то почему принципов, которыми руководствовались при их создании нет в описании?

Принцип «Nothing up my sleeve number» очень важен. Посмотрите структуру некоторых хэшей SHA1/2/3, алгоритмы расширения ключей конкурсантов AES. Там можно увидеть в качестве констант и цифры из числа пи, и простые последовательности (1234...4321) и т.д. А ведь можно было использовать совершенно любое другое рандомное число и качество хэша или шифра не изменилось бы. Но явно объяснить выбор такой константы было бы крайне трудно.
Об этом же и речь!
К кузнечику вопрос только один. Если S-блоки выбраны случайно, почему исследователи обнаружили закономерность? Не повезло, когда кубик кидали? Это не серьёзно. А если S-блоки всё таки были выбраны неслучайно, то почему принципов, которыми руководствовались при их создании нет в описании?

Конструктивно и по сути! Повод для обсуждения. Ни кто не говорит, что он идеален, просто потому что НАШ. Но и обратное не верно, что он дырявый потому что НАШ. Есть поле для размышлений, есть гипотезы, есть доказанные утверждения. Например можно вспомнить, что любая случайность не случайна и не даром генераторы называют псевдослучайными. И это не первый в истории случай когда аналитики находили закономерности в считающихся ранее случайными системах.
В статье же абсолютно здравые и важные мысли пересекаются с «Ой! Ай! Всё отстой! Всё сыпется и валится! Всё ни о чём. И это неспроста! Хотя чему же удивляться — этож НАШЕ!».
Не знаю как других, но лично меня уводит несколько от сути.
{irony} Очевидно что кубик кидал засланный шпиён НАТО! {/irony}
Если нужна серьёзная крипта, то можно просто наложить несколько алгоритмов друг на друга. Хоть тот же ГОСТ на AES, а потом ещё и через Blowfish пропустить, потешить свою параноечку. Например в TrueCrypt такие опции были при шифровании дисков.
А если это требование на серт/лицензию от госслужб, то вам не всё ли равно как у них там и что зашифровано? Если это гостайны, то это их же головная боль. Если это личные данные граждан РФ, то простите, эти данные сливают целыми базами и торгуют ими в даркнетах. Так что всё серо и уныло.
В аннотации к статье есть гипотетическое объяснение: возможность намного более эффективной реализации в железе. Вместо полной таблицы замен можно обойтись более компактной структурой, которая поместится в регистры. То, что это вынесено в аннотацию, как бы намекает. Документированных заявлений разработчиков о случайности таблицы замен ни мне, ни ни кому-то другому на этом форуме найти не удалось. Хочеться надеяться, что они отреагируют на статью.
отовсюду прогнали ссаными тряпками

Ну, вообще говоря, ни кого особо не прогнали:
Simon
Speck

А в целом, для Стрибога с самого начала придумывают различные страшилки: сначала константами пугали, потом подстановками, теперь вот разбиениями. Но пока это не более чем страшилки. С точки зрения современной криптографии, полученные в работах результаты при таком пристальном внимании наоборот говорят достоинствах схемы, сейчас слабые алгоритмы долго не живут.

Ну только если данный слабый алгоритм — не неуловимый Джо.

Сейчас такое количество криптографов, что на любой алгоритм набрасываются стаей голодных волков. Особенно на новые. Стрибог с Кузнечиком уже вдоль и поперек изъездили.

Да, им в итоге отдали RFID, что больше выглядит как отмазка, ведь они же в IOT целились. А вот в ядро линукса им обратно точно не попасть
Вообще Simon и Speck позиционировались как легковесные. RFID для них — самое то.

Добавлю: в Speck нет никаких таблиц замены. Это Xor-Add-Rotate алгоритм в чистом виде. И настолько простой, что экспертам трудно было поверить в его надежность. Хотя с моей точки зрения, простота является признаком надежности. Но я не эксперт.


Ну и, да, конструкция напрягает тем, что для шедулинга ключа и перемешивания текста используется одинакрвфй блок операций.


Однако, полноценный Speck пока что не взломан, хотя есть теоретическая (читай, практически не применимая) атака на 18 раундов из 32.

Хмм, похоже, взломаны уже 24 раунда.
Ещё воодушевила заметка про «уменьшающая его стойкость с 2^512 до 2^266». Совсем ни о чём… какой-то 2 в 266, на свалку — в уме и на пальцах можно на лету считать.

Не тем она Вас воодушевила ;) Атака дней рождений применённая к любой хэш функции длины 512 бит имеет сложность 2²⁵⁶. Так что результат «уменьшения стойкости до 2²⁶⁶» можно назвать иными словами: в 1000 раз сложнее прямого перебора (атака дней рождения) ;)

Нормальный результат, возможно даже, имеющий непреходящую научную ценность: «Работаем. Что-то вот находим. Мы не дурни и не лентяи. Продолжайте финансирование далее». Ну, или иной, но понятный уже только математикам и криптографам.
Под
Атака дней рождений
Вы имели ввиду «Парадокс дней рождения»? Снова не хочу показаться занудой, но нельзя ли ссылочку на материал? К какой любой хеш-функции? Криптографической или просто любой? Что за длина? Кто имеет сложность 2 в 256 — атака или так понижается сложность? Если сложность, то чего? поиска коллизии? или поиска прообразов? в 1000 раз сложнее прямого (или всё же полного?) перебора или атаки? Ведь если атака, то это уже не прямой. Видимо из-за разницы в терминологии с трудом что-то понял в Вашем изложении. Да и парадокс вроде другие показатели давал… В общем вопросов больше чем ответов, но Вы меня заинтриговали )))
29 января 2019 года была опубликовано новое исследование «Partitions in the S-Box of Streebog and Kuznyechik», которое недвусмысленно намекает на теоретическую возможность бекдора в этих алгоритмах.
Посмотрел статью, ни каких особых намеков нет. Собственно результат явно описан в Abstract к статье.
Они нашли что в основе обоих алгоритмов лежит одна и та же определённая алгебраическая структура преобразований. Это было известно из более ранних работ, сейчас показана именно общность того как можно представить различные алгоритмы декомпозиции таблицы замен.
Вопрос как этот факт соотносится с заявлением о случайном выборе таблицы замен задавали и раньше, и он, как отмечается, остаётся открытым. Как и вопрос о том, как новая информация может быть использована для атаки на алгоритм. Не понятно, вы хотите чтоб S-Box был сгенерирован с помощью подбрасывания монетки что ли?

Ключевым свойством преобразования TKlog является то, что оно работает с так называемыми смежными классами (cosets). И сопоставляет одни другим.

Проблема в том, что эти смежные классы бывают мультипликативными, как во всех обычных алгоритмах. А бывают аддитивными.

Так вот, единственный известный случай, когда аддитивные смежные классы использовались в функции замены блочных шифров — специальное создание бекдора. Информация об этом находится в работе 2016 года.
Если выражаться более точно, то в статье лишь показано, что перестановки TKlog отображают мультипликативные классы смежности на аддитивные. Это как раз и есть то самое алгебраическое свойство, о котором говорилось ранее. Всё, больше ничего. Если вы утверждаете о чем-то большем, значит наверное, вам известно что-то большее.

Тоже пролистал статью, пока вроде ничего криминального в плане стойкости; только обобщение устройства узла замены с вытекающей алгеброй. Но генератор этих узлов сотрудникам ТК-26, наверное, придется придумывать новый.

Мне кажется что для любой достаточно короткой случайной таблицы чисел S-Box найдутся умные люди, которые найдут детерминированный алгоритм её генерации. И далеко не факт, что после анализа его свойств общий алгоритм шифрования с помощью этой таблицы замен окажется крптоустойчивым. Поэтому разработчики алгоритма шифрования должны знать и понимать свойства генерации S-Box.
В исследовательской статье сказано, что ранее уже были найдены два различных метода декомпозиции S-Box. Один из них основан на дискретных логарифмах. Они нашли третий — более простой способ, также связанный с логарифмами над конечными полями. Что собственно, я так предполагаю, и определяет алгебраическое свойство отображения мультипликативных классов в аддитивные, log (a*b) = log a + log b.
Возможно для специалистов раскрытие свойств способа генерации S-Box для ГОСТовского шифрования даст понимание его надёжности.
И да, и нет. Строго говоря, любую таблицу можно преобразовать в алгоритм создания этой таблицы.

Но если алгоритм можно представить компактнее самой таблицы, то это форма сжатия данных. Т.к. истинно случайные данные несжимаемы, сэкономить элементы на их хранении можно только для неслучайных данных (иначе алгоритм сам станет более эффективной памятью).
Независимо подтвердить, что конкретные значения S-box вероятно являются закладкой, можно было бы нахождением и демонстрацией таких значений S-box, при которых возникнет «мастер-ключ», т.е. NOBUS-уязвимость.

Демонстрация нескольких алгоритмов формирования S-box, приводящих к тем же результатам, что в 2012 ГОСТе, напротив, свидетельствует об отсутствии закладок.

Закладка предполагает наличие второго секрета (закрытого мастер-ключа), к которому S-box представлял бы аналог открытого ключа. В противном случае взлом алгоритма представлял бы собой математическую задачу, доступную независимым исследователям в той же степени, что оригинальным разработчикам. Поэтому секрет должен иметь высокую энтропию, т.е. быть случайным. Любой практический алгоритм сам по себе имеет крайне низкую энтропию, поэтому секретом не является.

В таком случае существует большое множество возможных мастер-ключей, а значит и соответствующих им открытых ключей. Т.к. закрытый ключ не может быть получен из открытого, возможен только обратный вариант, при котором открытый ключ является функцией закрытого. Возможность воспроизвести референсный S-box без знания секрета свидетельствует о том, что он такой функцией не является.

Иными словами, низкая энтропия таблицы преобразований — косвенное свидетельство отсутствия закладок. Возможность уязвимости алгоритма это никак не исключает, только возможность привязки такой уязвимости к мастер-ключу с высокой энтропией.

Прежде всего, какой мастер-ключ, о чем вы? Это же блочный шифр. Выбор "плохих" узлов замены может ослабить всю суперпозицию преобразований и, в простейшем, например, случае, облегчить нахождение секретного ключа по паре текстов. Знание о том, чем именно плохи эти узлы, и является той самой лазейкой, или, как вы ее называете, "закрытым мастер-ключом".

Знание уязвимостей в алгоритме некриптостойко. Если его смог приобрести разработчик шифра, то его может независимо приобрести и другой специалист сравнимой квалификации. Если у нас нет гарантий, что создатель шифра — уникальный и навсегда непревзойденный гений криптографии, то «закладка» такого типа — это отложенная передача всей зашифрованной информации в руки потенциальному противнику.

Не то чтобы я не верил в принципиальную невозможность столь непревзойденной глупости (или измены) в России, но… зачем?

Сертифицированными УСКЗИ шифруются в основном или ПДн, которые ФСБ выдаются по первой писульке, или гостайна, сохранение которой не в общедоступности явно приоритетнее прослушки случаем пролетающей через всякие Континенты переписки. Пример намеренно некриптостойкого RC4 обратен, т.к. он делался как раз для гражданских.

Правильный, полезный для закладывающего бэкдор в алгоритме шифрования должен требовать секрета высокой энтропии для расшифровки. Схем шифрования с поддержкой второго ключа хватает и так, и обязать закладывать их в УСКЗИ куда проще, чем изобретать специальный алгоритм шифрования.
Иными словами, низкая энтропия таблицы преобразований — косвенное свидетельство отсутствия закладок. Возможность уязвимости алгоритма это никак не исключает, только возможность привязки такой уязвимости к мастер-ключу с высокой энтропией.

Как бы Вы правы, аргумент разумный. Но энтропия таблицы преобразований Кузнечика — вопрос философский. Сколько в ней бит? Раз-два и обчёлся. Т.е. для проповедников теории заговора математически не исключён вариант селекции «мастер-ключа» при создании, таким образом, что б создать видимость «небольшой» энтропии.

В теорию «раздолбаем» я бы больше поверил, но пока десятилетие исследований Стрибог и Кузнечик не дало хоть каких-нибудь результатов, которые бы её подтвердили бы.
Т.е. для проповедников теории заговора математически не исключён вариант селекции «мастер-ключа» при создании, таким образом, что б создать видимость «небольшой» энтропии.

Математически не исключен. Но подбор такого ключа под набор выходных данных с заранее предопределенной низкой энтропией будет равен по сложности собственно взлому алгоритма.

Точнее говоря, S.guess >= S.in-S.out, где:
S.guess — сложность подбора секрета
S.in — энтропия секрета (которой в свою очередь равна сложность его подбора)
S.out — энтропия выходных данных.
«Авторы декларировали, что таблица замен выбрана случайным образом. Вот слайд из презентации алгоритма, на котором указано, что авторы выбирали таблицу случайным образом. Так, чтобы у неё не было явной структуры, которая помогла бы произвести эффективный криптоанализ. (Красным — то, что выбрали)»

С чего Вы взяли, что то, что выделено красным — это то, что они взяли?! Судя по слайду, красным выделено то, что обладает явными недостатками. Наоборот, авторы хотели иметь сильный S-box с известной алгебраической структурой и свойствами. Именно такой они и выбрали. Другое дело, что они не афишировали его структуру, как это сделали разработчики белорусского стандарта BelT. Именно они исследовали экспоненциальные S-box-ы и их характеристики, что и послужило поводом (возможно) использовать аналогичные в Кузнечике. Напомню, что в том же AES используется инверсный S-box — тоже алгебраически заданный, с хорошими характеристиками. Случайные S-box-ы, как правило, не обладают такими свойствами.

А тот факт, что исследователям удалось вскрыть структуру и найти некоторые взаимосвязи, не доказывает наличие Бэкдора (как уже писали тут выше). Давайте тогда искать Бэкдор в AES или BelT, там ведь структура опубликована и общеизвестна?..
Всю презентацию не видел, но я разделяю точку зрения BeoWulf-а (см. комментарии выше). Я тут не один такой, кто заметил сей факт в Вашей статье — нет там на слайде нигде и слова о том, что красным — это то, что выбрано. А вот из того, что в этой самой красной рамочке указаны недостатки такого выбора, которые очевидны (я тоже самое рассказываю своим студентам на курсе КМЗИ!), наталкивает на мысль (лично меня), что скорее все наоборот, случайного выбора не было. Более того, тот факт, что они генерировали случайным образом, а получили отнюдь не случайный S-box, может наталкивать на мысль о том, что к заданным разработчиками критериям в большей мере относятся алгебраические S-блоки, а «безструктурных» среди аналогичных или небольшая доля, или, возможно, и вовсе нет. Это, кстати, интересная научная задача.
Вспоминаем как устроен кузнечик и смотрим в презентацию.

Слайд №8. Фейстель VS SP-сеть. Что выделено красным? (Кузнечик основан на SP сети)
Слайд №9 «Выбор нелинейного преобразования». Что выделено красным? (Кузнечик использует V8)

И так далее.

Мне искренне жаль вас с Beowulf. А студентам вашим я бы пожелал преподавателя, который умеет сопоставлять факты
Хм. Ну если у Вас самого не получается, то поставьте своим программистам, которых Вы превращаете в «криптографов» два вопроса:
  1. Бывают ли «плохие» SP-сети?
  2. Оценить вероятность того, что «случайная» SP-сеть «плоха», а также способы определения этого.

Мне кажется, Вы узнаете много нового. Быть может, и странности, внезапно, перестанут быть странными.
Авторы алгоритма во вранье не замечены. Кстати, ТК-26 не имеет отношения к созданию этих таблиц.
Scratch, а мне искренне жаль вас, поскольку вы читать не умеете — в первом же предложении я написал, что не смотрел всю презентацию. Когда вы читаете чью-то статью, вы тоже лезете по каждой ссылке на источник, чтобы понять ее суть? Если да, то либо вы, действительно, маньяк, либо статья уж очень нужная и вам срочно надо все в ней выяснить до конца. Но все такие статьи я отношу к категории «плохо написанные», ибо в хорошей статье все должно быть ясно, понятно и прозрачно без каких-либо дополнительных ссылочных материалов. Так что не «я не умею сопоставлять факты», а вы не умеете писать качественные материалы. Вырвали слайд из контекста и что-то утверждаете — это равносильно отсылке читателя вашего труда к первоисточнику: «Вот вам один слайд, дорогие читатели, а хотите его понять — читайте всю презентацию».
Именно так! Статья рассчитана на адекватных людей, которые сами могут, если не верят пройти по ссылке и посмотреть. Вместо того, чтобы голословно обвинять автора в некомпетентности.
К счастью, вы в абсолютном меньшинстве
Дело не в том, «верить или нет» автору. Дело в стиле написания статьи. Видимо, у вас небогатый опыт написания действительно хороших статей в реальных рецензируемых журналах. А именно такие статьи надо писать/читать. Хабр — это лишь песочница для получения новостей, откликов, завязывания контактов и т.п. И на этом я дискуссию с вами заканчиваю. Если вы не устали явно/неявно оскорблять неизвестного вам человека — то флаг вам в руки. Сначала научитесь понимать оппонента, признавать свои ошибки/неточности, принимать критику, а уже потом обвиняйте его в неадекватности, отсутствии банальной логики и т.п.
Дискуссию не стоило начинать. Этот пост для технических людей, у которых хватает ума выяснить недостающие для них детали самостоятельно. Вас неадекватных тут двое, максимум трое. Все остальные как-то смогли разобраться в чудовищной загадке нахождения оригинальной презентации прежде чем предъявлять мне за стиль и остальные смертные грехи.
Нужна статья в рецензируемом журнале? Ссылка на неё есть в посте.
Я не виноват, что «Чукча не читатель» и до кучи ничего вам не должен.
и до кучи ничего вам не должен.

Ну кучу Вы тут уже большую наложили, спору нет…
По существу: Если слова «уважение к читателю» для Вас пустой звук, то нам конечно ни чего Вы не должны… Зато, очевидно, Вы должны «куратору» и очень не мало за возможность продолжать работать, что так из кожи вон лезете защищая свой около научный высер, который более того к Вам и вашей конторе ни какого отношения не имеет, как к субъектам находящимся вне правового поля ГОСТ и регуляторов вопросов ИБ России.
Прошу заметить, и я уже не первый — Вашу адекватность и иные качества ни кто тут не оценивал, хотя наверное стоило бы… и боюсь Вы оказались бы не в самом выгодном положении.
технических людей

WTF?! Переведите пожалуйста с Вашего на русский… Это роботы? Или шо это по мове?
Все остальные как-то смогли разобраться в чудовищной загадке нахождения оригинальной презентации

Ответьте сами себе на вопрос: если весь сокральный смысл в чтении оригинальной презентации, то зачем тут Вы? И Ваши «многа букаф» с явными оттенками желчи и предвзятости (где отсылки на Экспортный DES, урезанный до перебираемых характеристик службами одного известного всем государства, ослабленные реализации GSM и прочее? Хозяин запретил? В заказе не было указано?). Написали бы твит «Ура, Мама, научился читать по русски, рекомендую всем — вот кстати классная полная оригинальная презентация» и ссылочку) Вам только об этом и говорят, причём не смотря на Ваше поведение весьма сдержанно. Ясно было сказано «Вы указали на конкретный слайд, там так не сказано — объяснитесь», ни кого не унижая. Вы же только оскорбляете людей, Вам не знакомых и в Ваш адрес подобного не допускавших.
Вы не читатель, а очередной неадекватный «мова кураторы вокруг враги». В личке вы уже высказались о том, что вы думаете о гражданах «укро-американских» государств. Повторите тут?
Я ни о каких гражданах не высказывался, ибо даже не считаю тех кого Вы перечислили гражданами (нельзя иметь гражданство в отсутствии государства). И я говорил в личке исключительно о Вас, как о ярком представителе негативной части, как Вы выразились «укро-американского» общества. Лень цитировать, но если имеете такое желание — даю Вам полное право вставить дословную цитату моих слов).
Да и про врагов вокруг говорите как-раз таки Вы (бэкдоры, закладки, тотальный контроль). Я пока локализовал только одного идеологического врага, но и к нему стараюсь проявлять какое-то уважение и снисхождение, не ставя диагнозы, ведь мы не знаем, что Вас довело до такой жизни.
p.s. Право определять кто читатель, а кто нет, к сожалению, не принадлежит автору после публикации… подумайте над этим на досуге
Так заявите на меня, раз я враг. Заставьте понести заслуженное наказание. На словах-то все патриоты
Увы, я программист, а не юрист. Каждый должен заниматься своим делом. Если кому-то положено или нужно — пусть заявляют. Я же могу только проанализировать материал, задать интересующие меня вопросы по теме, чтобы разобраться — это заблуждение, случайность или умысел, и сделать соответствующие выводы. Для меня этого в принципе достаточно.
нельзя иметь гражданство в отсутствии государства

После этого можете называть себя хоть программистом, хоть богом хоть Иосифом Кобзоном. Вы сами себе поставили диагноз
Вы голословно обвинили авторов алгоритма во лжи.
Вы верите, а не проверяете, ложное утверждение о случайности выбора.
Вы отвечаете не читая заданных вам вопросов.
Вы нагло врёте про «гнали ссаными тряпками».
После этого вы смеете кого-то, кроме себя, называть неадекватным?

Вам заплатили за «веру» авторам исследований, а не, например, авторам Кузнечика?
А вы почитали комментарии, а не первоисточники и сделали очень выгодные для себя выводы. Закончите сначала школу, научитесь рассуждать логически. И всё у вас получится, у других же получилось )
Так Вы саму презентацию прослушали, или только слайды от неё нашли?
Если у вас ссылка на неё есть, то поделитесь, это многие вопросы снимет.
Из других слайдов очевидно, что красным выделено то, что они выбрали. Например, XSL схема вместо схемы Фейстеля в линейном преобразовании.
После чтения всех споров пришлось всё-таки просмотреть презентацию.
Мне кажется, что красным выделялся пункт, на который в данный момент докладчик обращал внимание слушателей. Следующий слайд про эксплуатационные характеристики нелинейного преобразования также наталкивает на мысль, что выбран был вариант с аналитической структурой, так как для случайного преобразования будет сложно минимизировать число операций для реализации подстановки.
Только я один сходу прочитал «NObody But US» и решил, что US — это Соединённые Штаты?
Поясните, почему нельзя выбрать свою таблицу замены, а необходимо использовать эту уязвимую?

Во-первых, вы уверены, что сгенерируете таблицу лучше?
Во-вторых, это уже будет другой шифр с другими характеристиками.
Лучше чем эту с бэкдором? Наверно да )
Я говорю о самой возможность использовать другую таблицу, где ее брать другой вопрос.
Исходники есть, берите да меняйте, кто мешает.
Потому что тогда ваше творение не пройдет сертификацию соответствующих органов. А использовать «Кузнечик» в иных случаях (если вы делаете что-то, что не предполагается сертифицировать) особого смысла нет, ведь есть AES, который аппаратно ускоряется на любом утюге, да и более популярен (следовательно, много примеров, справочных материалов, готовых библиотек, прошедших аудит и меньше вероятность налажать при его реализации).
Разработчики алгоритма позаботились о возможности создания эффективной аппаратной реализации (но возможно забыли об этом выпустить публичные разъяснения). За одно позаботились и о программной реализации, устойчивой к атакам по времени исполнения.
А тут, вот, панику подняли: странности!.. совпадения?!.. бэкдоры!.. нас всех обманули!..

Подобным в AES уже десять лет как пользуются:
www.shiftleft.org/papers/vector_aes
crypto.stanford.edu/vpaes
Неужели кто-то и в самом деле думает, что в алгоритм специально встроен бекдор, что бы ФСБ могло читать переписку?
Зачем это делать с использованием уязвимости, которая может быть потенциально известна противнику, вместо того, что бы просто потребовать ключи шифрования?
А почему нет? Если АНБ/ЦРУ/ФБР так делает (за доказательствами к Сноудену), то почему ФСБ должны быть святее?

Ну и собственно плохо не то, что их внедряют (защититься можно простым навешиванием aes/blowfish/etc), а то что гипотетически можно найти эту самую уязвимость не зная ее. Т.е. к секретным данным получит доступ «хакер Вася» или чужая разведка. А этим шифром закрыты не столько Ваши фотки, сколько действительно чувствительные для государства и населения данные. Например врачебная, банковская или военная тайна.
Выше уже писали, что АНБ/ЦРУ/ФБР встраивают бекдоры в публичные алгоритмы, но сами у себя используются другие способы шифрования
Для чего-то используют NSA Suite A, где сами алгоритмы секретны. Хотя Suite B с AES тоже подходит для SECRET и TOP SECRET.

А вот ФСБ имеет право потребовать любые ключи шифрования, не зависимо от алгоритма. И никакое навешивание дополнительных слоев от этого не спасает. Поэтому очень странно подозревать спецслужбы в таком сложном умышленном способе стрельбы в собственную ногу.
А если не отдам, то что? Терморектальная криптоаналитика?
Мы говорим про случай, когда спецслужбы негласно получают информацию. А для гласного Вас могут просто допросить, возможно с применением «спецсредств», зачем с ключами заморачиваться? Вас спросят сразу о интересующей информации, а не о том, как она зашифрована.
Для допроса вас надо взять живым.
Потому что вероятность независимого обнаружения бэкдора в опубликованном стандарте алгоритма стремится к единице. Сноуденовские бэкдоры не в специфиакции алгоритма были, а были в закрытых реализациях отдельных вендоров.

В том, что потребовать ключи — не аргумент, согласен с Вами. Ключи могут и не существовать на момент, когда ФСБ захочет расшифровать данные.
Потому что вероятность независимого обнаружения бэкдора в опубликованном стандарте алгоритма стремится к единице.
Совершенно необязательно. Как раз, если стандарт открыт, есть шанс, что бОльшее число исследователей сможет его изучить и подтвердить безопасность или обнаружить уязвимость.
Сноуденовские бэкдоры не в специфиакции алгоритма были, а были в закрытых реализациях отдельных вендоров.
Давайте не путать теорию алгоритма с её реализацией. Не нужно проектировать алгоритм с математическим бэкдором, когда можно бэкдор внедрить в кремнии. И проще, и надёжнее.
«Как раз, если стандарт открыт, есть шанс, что бОльшее число исследователей сможет его изучить и подтвердить безопасность или обнаружить уязвимость.»

Я об этом и говорю. Нет смысла делать бэкдор в этой таблице, когда алгоритм известен — его рано или поздно обнаружат.
Серьезно? Вероятность пропорциональна количеству нативноговорящих IT-специалистов. А рускоговорящих (ГОСТ таки на русском) сильно меньше чем англоязычных. Отсюда и вероятность сильно меньше 1. Он как «неуловимый Джо» — не нужен ни кому, чтобы анализ проводить.

Ну и кто сказал, что не может быть закладки в реализации ГОСТа в бинарниках конкретных вендоров?
Вы даже не представляете себе, насколько он «не нужен».

Имея взломанную хэш-функцию, я могу подписывать запросы в СМЭВ от имени любого ведомства. От некоторых запросы идут с такого числа IP и так мусорно, что никто их кроме как на прохождение не мониторит, не то что контролировать. Теперь у меня есть доступ к подробным персональным и финансовым данным очень многих деловых людей.

Сами по себе они полезны хотя бы для инсайдерской торговли, т.к. я узнаю о многих сделках в момент заверения. Но это подготовка. Расшифровав росреестровские ключи, я могу начать корректировать статус недвижимости. Квартиру у бабушки отжимать, пожалуй, смысла нет — а вот поиграться со строителями и дольщиками можно. Главное вовремя выводить, суд это пока не пройдет.

Если хочется быть поближе к физикам, можно поработать с залогами. Досрочно погашаем ипотеки, освобождаем и продаем кредитные машины, изредка ценные бумаги. Хочется рискнуть как в нулевых — можно потрясти средний бизнес, блокируя их планы «техническими ошибками», разрешаемыми долгим судом.

Но вкуснее всего госзакупки. Как способный подписаться кем угодно, я могу валить заявки конкурентов и выиграть почти любой тендер на электронной площадке. Главное не наглеть, не перебивать дочек Нанонефтьпромов, а бить середняков. Контор, которые делают грязную работу по имитации выполнения контракта и выводу денег, полно, а хозяину шифра — процент от них.

Ну а если я представитель врага и вообще Джокер, который любит жечь деньги — то я обеспечу завал эфира столькими новостями о сбоях госсистем, что их придется закрыть и жить по бумажкам. Краха не будет, но хороший удар по экономике. Вдвое больше — когда мракобесы на этой волне победят и закроют интернет.
Не вижу ни одной строки, из которой бы следовало, что нашелся бы специалист, готовый публично заявить о том что в алгоритме есть ошибка\бэкдор и который помог бы ее исправить. Это скорее аргумент к тому, чтобы не раскрывать исходники (а то вдруг, Вы квартиры у нестарушек начнете переписывать).

Да и все выше описанное возможно и в случае, если Вы случайным образом подберете «ключ» к бэкдору или получите его непосредственно от разработчика-саботажника.

На всякий случай: я за то, чтобы исходный код был открытым (и вообще за коммунизм)). Просто не считаю, что открытие исходников конкретно этого алгоритма дало бы выявить наличие или отсутствие бэкдора.
«Сноуденовыские бэкдоры» (формально в кавычках), в частности, были и есть в открытых спецификацих. Некоторые параметры эллиптических кривых в стандартах США получены неизвестным образом.
Это известная история, которая не имеет отношения к непосредственно используемым кривым. Она началась с бекдора в DUAL_EC_DRBG и инфой от сноудена о том, что NSA хочет поиметь NIST стандарты. На самом деле никакой связи между DUAL_EC_DRBG и используемыми сейчас NIST кривыми нет.
Если чисто формально и чисто конкретно, хотя и для примера, то в отношении любимой тем же OpenSSH кривой nistp256.

Открываем FIPS 186-4 смотрим оглавление в части «Prime Case» (P-256):
Appendix D: Recommended Elliptic Curves for Federal Government Use
D.1 NIST Recommended Elliptic Curves
D.1.2 Curves over Prime Fields
D.5 Generation of Pseudo-Random Curves (Prime Case)
D.6 Verification of Curve Pseudo-Randomness (Prime Case)

И как бы видна недостача пары разделов посвящённых базовой точке. Что как бы немного странно.
Подскажите, что требуется от базовой точки, кроме как принадлежать кривой? Я знаю, что их выбирают с учётом быстродействия, но про закладки в базовых точках слышу впервые
ANS X9.62 определяет получение базовой точки, как доказуемо случайной (псевдослучайной): SEED получаем так-то, кривую так-то, базовую точку так-то.

Однако, FIPS 186-4, с одной стороны, рекомендует, в случае самостоятельного получения параметров для приватного использования, ту же самую процедуру. Но, с другой стороны, для рекомендованных кривых, описана только процедура для кривой, и во всех подробностях описана.

А, вот, способы и порядок получения SEED и базовых точек для рекомендованных кривых, в частности для nistp256 из OpenSSH, в FIPS 186-4 не описаны. И это как бы немного странно.

Всё примерно аналогично ситуации с DUAL_EC_DRBG.
UFO just landed and posted this here
Вы путаете: брутфорс — это не 256!, а 2^256. Соответственно 2^56. А это очень маленькая величина по современным меркам.
Sign up to leave a comment.