Криптоанализ хэш-функции ГОСТ Р 34.11-2012

[shifttstas]

В посте я надеялся увидать результат о нахождении закладок от государства, их типов, и почему его не стоит использовать, либо утверждение что их тут нет.

[bolk]

А я котиков и совушек.

[shifttstas]

т.е вы не считаете что наличие/отсутствие закладок — один из важнейших критериев выбора алгоритма шифрования?

[Newbilius]

А я надеялся увидеть выводы для не находящихся в теме в стиле «лучше/хуже популярных методов, которые у всех на слуху». Не всем надеждам суждено сбыться…

[Timmmi]

Извините, но невозможно в криптографии однозначно утверждать о наличии/отсутствии закладок. Например, при создании ГОСТа скорее всего были наработки со множеством ключей, удовлетворяющих определенным условиям, при которых возможно авторам ГОСТа быстро получить доступ к открытому тексту, но выяснить эту закономерность не представляется возможным. Лет через 10, когда исследования такого рода приблизятся к изначально заложенной математической базе (под такой стандарт однозначно построены целые теории, множества, проведены исследования, естественно, закрытые), тогда выпустят новый ГОСТ, а этот уйдет в небытие.

[vasiatka]

Ну кроме ключей есть еще различные параметры алгоритма, которые могут различаться для «для своих» и «для чужих». То есть «для своих» алгоритм строиться немного по-другому.

[Timmmi]

При определенных параметрах алгоритма создается подмножество всего множества ключей, если говорить строго, так что это частный случай. Я Вам больше скажу, по статистической картине шифр-текста тоже, наверное, можно определить часть множества параметров.

[vasiatka]

Я более чем уверен, что со статистикой там все в порядке. Хэш равновероятен. Проверьте сами.

[Timmmi]

Это естественно, но скорее всего есть преобразование хеша, которое сужает множество параметров. Я это имел в виду.

[varrt]

А почему при создании алгоритма не были проведены такие исследования? Rebound-атака — это же не что-то инновационное, ещё в 2009-10 были эти работы. Это конечно не вскрытие, но снижение стойкости на порядки.

[SergeyPanasenko]

Думаю, что серьезные исследования проводились. Затронули ли они rebound-атаку — сложно сказать.
Да и расширение атаки до 9,5 раунда было уже после выхода стандарта.
Меня вот больше беспокоят мультиколлизии — это похоже на структурную проблему.

[varrt]

Кстати, хотел ещё спросить у Вас, как сведущего в теме, схожесть с вирлпул случайна или всё же наши схалявили и взяли за основу свободно распространяемую хеш-функцию?

[SergeyPanasenko]

Увы, подробности разработки ГОСТ Р 34.11-2012 мне неизвестны. Вполне возможно, что и случайна — AES-подобные преобразования есть во множестве хэш-функций.

[AlexanderS]

А содержимое статьи соответствует названию ) Ибо крипта — это сплошная математика на самом деле )))

[halyavin]

А сколько там всего раундов?

[SergeyPanasenko]

Всего 12 раундов плюс дополнительное наложение ключа.

[sudo-su]

Спасибо автору! Нашелся еще один человек, уважающий отечественные ГОСТы :) Меня заклевали сразу, как только опубликовал тут вот эту статейку про техзадания, упомянув в ней ГОСТы 34-й системы — habrahabr.ru/post/207708/
Теперь я не один во вселенной :)

[amarao]

tc;dr (too complicated; dr).

(Я не ругаюсь, а констатирую свой уровень).

[bypasser]

То есть ADHD-version будет «ГОСТ несколько уязвимее Whirpool, но не то чтобы прямо ужасно», так?

[SergeyPanasenko]

Очень похоже, что именно так.

[ruzzz]

Подскажите каким свободным реализациям (на ЯП) этого алгоритма стоит доверять?

[softh12]

Хочешь сделать что-то хорошо — сделай это сам!

[SergeyPanasenko]

Краткий опрос коллег показал, что мы пока таких не знаем. Если кто-то знает — поделитесь, пожалуйста, ссылочкой.

[vasiatka]

В госте написано все очень качественно. Я прошлой зимой реализовал примерно за день + день на тесты. И настоятельно советую начинать с тестов. Код не дам, оно не от меня зависит.

[sudo-su]

ИКСИ кривых ГОСТов не выпускал :)

[irony_iron]

гост в опенссл но я так понимаю оно не столь свеженькое, как описнное в статье

[vasiatka]

А по вашей ссылке не для старого госта код?

[OverQuantum]

NIST провёл конкурс, чтобы выбрать лучший алгоритм и сделать его стандартом.
Наши проводят конкурс через год после того, как алгоритм был утверждён стандартом.
Зато криптографический суверенитет.

[bypasser]

Если организовать честный конкурс, то как пилить?