Комментарии 7
ГОСТ 28147-89 - российский стандарт шифрования, введенный в 1990 году, также является стандартом СНГ. Шифр основан на 32-раундовой сети Фейстеля c 256-битным ключом. .
"Магму" уже давно заменил "Кузнечик" (ГОСТ 34.12-2018, ГОСТ Р 34.12-2015) https://ru.wikipedia.org/wiki/%D0%9A%D1%83%D0%B7%D0%BD%D0%B5%D1%87%D0%B8%D0%BA_(%D1%88%D0%B8%D1%84%D1%80)
Вопрос о безопасности ГОСТа остается открытым
Довольно странное утверждение
А вопрос о безопасности AES "закрытый"?
Да, сегодня AES вполне стойкий (как и наши ГОСТы), но есть всякие предположения о возможной XSL-атаке в будущем.
Что касается ГОСТов, то в основном старый критикуют за отсутствие криетериев выбора S-блоков (есть их слабое подможножество), а новый за как раз некую "алгоритмичность" выбора предложенных S-блоков)) типа "а вдруг в S-блоках бэкдор спецслужбы?"
Я бы не говорил об "открытости" вопроса с его безопасностью. В целом же сопоставимо с AES
если генератор основывается на выводе двоичного представления числа π с какой-то неизвестной точки, он не является криптографически устойчивым – при определении текущего бита числа π аналитик может вычислить и все предшествующие биты
Каким же образом?
Примеры безопасных блочных шифров
Des
Дальше можно не читать. Два за реферат
По состоянию на 2011 год трехключевая система сохраняет свою безопасность
Ничоси актуальность.
поддержу комментарий про "Магму".
если учесть, что таблица замен в ГОСТЕ м.б. секретной, то длина ключа вырастает за 600 бит, что не облегчает жизнь атакующего. кроме того сложность построения таблицы замен преувеличена - еще в 90-е Александр Мальчик и Вайтфельд Диффи предложили строить ее из таблицы DES. таких таблиц может быть значительно больше одной.
а вот собствено откуда ноги растут об открытости вопроса по стойкости ГОСТа. (на период написания цитируемой работы AES еще не был принят - это 2003 год)
Шнайдеровский вариант на стандарт AES, кстати, не прошел отбор...
"Брюс Шнайдер, анализируя в своей книге ГОСТ, в частности отмечает:
- процедура генерации подключей из основного ключа в ГОСТе значительно проще, чем в DES;
- сам алгоритм проще, поскольку P-блоки в DES являются нерегулярными перестановками, а в ГОСТ используется обычный циклический 11-битный левый сдвиг;
- узлы замен (S-блоки) в ГОСТ имеют размерность 4х4, против 6х4 в DES, что требует в DES дополнительных (программных) усилий при разворачивании входных значений с 4 до 6 бит;
- длина ключа увеличена до 256 бит, а, если все же, как того требует стандарт, принять узлы замены как секретные (что существенно увеличивает стойкость алгоритма к линейному и дифференциальному криптоанализу), то общий объем секретной информации достигает 610 бит (отсюда понятно, почему никто не собирается данный ГОСТ заменять);
- количество раундов шифра увеличено вдвое - 32 против 16 (только это увеличение делает и линейный и дифференциальный методы криптоанализа ГОСТа затрудненными до полной невозможности, поскольку они оба крайне чувствительны к количеству итераций);
- использование в ГОСТе сложений по mod (232) и mod (232 -1) против mod (2) в DES, по крайней мере не ослабляет алгоритм (но облегчает программную реализацию);
- ГОСТ изначально «заточен» для программной реализации, поскольку в нем отсутствуют перестановки (эффективные именно при аппаратной реализации) и разрядность приведена к разрядности 32-битного слова.
И тут же, фактически противореча сам себе, Шнайер делает, тем не менее, весьма странный вывод: "Whether their efforts have resulted in an algorithm more secure than DES remains to be seen." - Вопрос о том, привели ли их (разработчиков ГОСТа) усилия к созданию алгоритма более надежному, чем DES, остается открытым.
Тут надо отметить, что практически все, кто занимался криптоанализом ГОСТа, отмечают его высокую стойкость и удобство для программной реализации по сравнению с DES. Надо признать, что «запас прочности» ГОСТа исключительно высок. И даже AES, в объявленных NIST конкурсных требованиях, не достигает его стойкости."
Весьма странной получилась обзорная статья по ГПСЧ, в которой под заголовком "Примеры безопасных хеш функций" видим это:
MD4 и MD5 – в данный момент не рекомендуются для применения в реальных приложениях из-за найденных уязвимостей.
Обзорная экскурсия в криптографически стойкие генераторы псевдослучайных чисел