Читал про trapdoor в S-Box, абсолютно согласен с Вашим мнением про «верю/не верю».
И всё таки, отталкиваюсь от того, что утечка информации о самой возможности генерировать дефектные S-Box-ы для ГОСТ-а стоит в денежном эквиваленте очень и очень дорого. Не вижу смысла именно рисковать такими вещами для какой-то коммерческой организации.
Как говорил мой учитель, даже если Вы знаете как взломать CAST/RC5/BlowFish/Rijndael, это можно будет сделать только один раз, а, значит, тратить знание на какую-то небольшую коммерческую сделку будет жалко, а крупная рыба может не прийти никогда.
Криптография в нашей стране на гос.уровне контролировалась ФАПСИ, функции которого в области шифрования после расформирования были переданы соответствующему Управлению ФСБ, что я и написал выше.
Откуда взялись в Вашем посте ФСО и ФСТЭК мне неясно.
В случае с ГОСТ-ом Вы как разработчик криптосистемы, если соберетесь пойти по правильному пути, должны будете получить в ФАПСИ/ФСБ узлы замен. А уж от того, какие Вам узлы замен выдадут, может зависеть ответ на Ваш вопрос.
Это в теории.
А на практике — я лично не верю, что соответствующему ведомству есть смысл выдавать узлы замен, заведомо ослабленные по какому-то известному только им принципу.
Явных бэкдоров, аналогичных СОРМ-у, или более близкая аналогия — SkipJack/Clipper-у — в ГОСТе нет. Если уж есть какая-то серьезная необходимость, по-моему проще обязать клиентов депонировать ключи после создания организационными мерами.
Их наличие/отсутствие зависит исключительно от стойкости узлов замен (S-Box-ов), а они не опубликованы, и более того выдаются для разных случаев разные.
Возьмите в качестве узлов замен S[i]=i и этот шифр будет взламываем на персоналке.
А что, другими блочными шифрами имитовставку не вычислить?
Это же совершенно не связанный с обеспечением основной задачи (конфиденциальности) алгоритм.
Позвольте добавить схематичное изображение описанного Вами материала в зарубежной нотации. Я очень уважаю отечественных математиков-криптографов, но для понимания графические схемы, используемые за рубежом, всё таки удобнее:
Материал ключа используется в следующей очередности
k[0]… k[31] = { K[0], K[1], ..., K[7], K[0], K[1], ..., K[7], K[0], K[1], ..., K[7], K[7], K[6], ..., K[0] }
т.е., последние 8 раундов ключ подается в обратном порядке,
K (большое) — 32-разрядные элементы исходного 256-битного ключа.
Функция F(k[i]) имеет вид:
Для впервые встречающихся с нотацией: плюс в кружке — это XOR, плюс в квадрате — сложение, три угловые скобки — циклический сдвиг влево, квадрат с буквой S — табличная подстановка (S-Box), косая черта уточняет разрядность потока данных в битах
Однажды моему знакомому повторно пришла SMS, отправленная мною ему примерно 25 дней назад. Я вроде и не параноик, но придумать иного объяснения кроме хранения у оператора не могу.
> Он переключается с одной БС на другую, общаясь с ними
Неверно.
Если бы все работало, как описываете Вы, то вся сеть была бы просто заполонена сообщениями о перерегистрациях. Чтобы этого не было, достаточно большие группы БС объединены в LAC-области. Телефон сообщает оператору свои новые координаты, только если он «переходит» с БС одного LAC на БС другого LAC. При этом термин «переходит» тоже не совсем верный — телефон контролирует 19 самых сильных БС и выбирает из них по определенному принципу «приоритетную», ничего не передавая в эфир при этом.
Поиск «золотой середины» размеров LAC весьма интересная задача. За уменьшение размеров LAC приходится платить слишком частыми перерегистрациями телефонов в сети. За увеличение размеров приходится платить тем, что при поступлении входящего вызова конкретному абоненту все БС текущего для абонента LAC обязаны выдать этот вызов в эфир, поскольку неизвестно на какую БС сейчас настроен абонент — до начала разговора известен только LAC, в котором «абонента видели в последний раз».
Либо у Вас есть подспудное желание построить формальную модель любой вещи, которую Вы видите (будь то расположение на стебле кочанчиков цветной капусты или расчет оптимального угла наклона лестницы) и тогда Вы — теоретик, либо его нет — и тогда Вы, вне зависимости от того какой путь выберете, — практик.
При этом в обоих случаях у Вас есть множество вариантов успешного развития (карьеры, самоутверждения, материального обеспечения и т.д.), не важно пойдете ли Вы в чистую науку, в прикладную науку или в практику. Некоторые из сочетаний-крайностей (например, чистая наука при практическом складе ума или наоборот — прикладная работа при чисто теоретическом мировоззрении) конечно не дадут Вам достичь верхних точек возможностей — где-то из-за банального отсутствия времени, где-то из-за других причин. Но в любом случае, если Вы — человек талантливый и целеустремленный, Вы найдете способ достичь результата. Если же нет — то увы выбор " теоретчиески правильного" пути Вам все равно не поможет.
И всё таки, отталкиваюсь от того, что утечка информации о самой возможности генерировать дефектные S-Box-ы для ГОСТ-а стоит в денежном эквиваленте очень и очень дорого. Не вижу смысла именно рисковать такими вещами для какой-то коммерческой организации.
Как говорил мой учитель, даже если Вы знаете как взломать CAST/RC5/BlowFish/Rijndael, это можно будет сделать только один раз, а, значит, тратить знание на какую-то небольшую коммерческую сделку будет жалко, а крупная рыба может не прийти никогда.
Откуда взялись в Вашем посте ФСО и ФСТЭК мне неясно.
Это в теории.
А на практике — я лично не верю, что соответствующему ведомству есть смысл выдавать узлы замен, заведомо ослабленные по какому-то известному только им принципу.
Явных бэкдоров, аналогичных СОРМ-у, или более близкая аналогия — SkipJack/Clipper-у — в ГОСТе нет. Если уж есть какая-то серьезная необходимость, по-моему проще обязать клиентов депонировать ключи после создания организационными мерами.
Возьмите в качестве узлов замен S[i]=i и этот шифр будет взламываем на персоналке.
Так что и да и нет…
Это же совершенно не связанный с обеспечением основной задачи (конфиденциальности) алгоритм.
Материал ключа используется в следующей очередности
k[0]… k[31] = { K[0], K[1], ..., K[7], K[0], K[1], ..., K[7], K[0], K[1], ..., K[7], K[7], K[6], ..., K[0] }
т.е., последние 8 раундов ключ подается в обратном порядке,
K (большое) — 32-разрядные элементы исходного 256-битного ключа.
Функция F(k[i]) имеет вид:
Для впервые встречающихся с нотацией: плюс в кружке — это XOR, плюс в квадрате — сложение, три угловые скобки — циклический сдвиг влево, квадрат с буквой S — табличная подстановка (S-Box), косая черта уточняет разрядность потока данных в битах
video.google.com/videoplay?docid=139523333240485714
Но как он плавает, я так и не понял
а) выбирать по умолчанию достаточно медленную реализацию
б) если обнаружена строка «GenuineIntel», менять код на улучшенный
Это явно «бездействие по отношению к другим производителям»+«улучшение по сравнению к себе», а, следовательно, вполне укладывается в термины договора.
Неверно.
Если бы все работало, как описываете Вы, то вся сеть была бы просто заполонена сообщениями о перерегистрациях. Чтобы этого не было, достаточно большие группы БС объединены в LAC-области. Телефон сообщает оператору свои новые координаты, только если он «переходит» с БС одного LAC на БС другого LAC. При этом термин «переходит» тоже не совсем верный — телефон контролирует 19 самых сильных БС и выбирает из них по определенному принципу «приоритетную», ничего не передавая в эфир при этом.
Поиск «золотой середины» размеров LAC весьма интересная задача. За уменьшение размеров LAC приходится платить слишком частыми перерегистрациями телефонов в сети. За увеличение размеров приходится платить тем, что при поступлении входящего вызова конкретному абоненту все БС текущего для абонента LAC обязаны выдать этот вызов в эфир, поскольку неизвестно на какую БС сейчас настроен абонент — до начала разговора известен только LAC, в котором «абонента видели в последний раз».
А если хочешь абстрактно от DNS, то вот такое есть: ping 4.2.2.2
Либо у Вас есть подспудное желание построить формальную модель любой вещи, которую Вы видите (будь то расположение на стебле кочанчиков цветной капусты или расчет оптимального угла наклона лестницы) и тогда Вы — теоретик, либо его нет — и тогда Вы, вне зависимости от того какой путь выберете, — практик.
При этом в обоих случаях у Вас есть множество вариантов успешного развития (карьеры, самоутверждения, материального обеспечения и т.д.), не важно пойдете ли Вы в чистую науку, в прикладную науку или в практику. Некоторые из сочетаний-крайностей (например, чистая наука при практическом складе ума или наоборот — прикладная работа при чисто теоретическом мировоззрении) конечно не дадут Вам достичь верхних точек возможностей — где-то из-за банального отсутствия времени, где-то из-за других причин. Но в любом случае, если Вы — человек талантливый и целеустремленный, Вы найдете способ достичь результата. Если же нет — то увы выбор " теоретчиески правильного" пути Вам все равно не поможет.