Комментарии 287
Вопрос в том, а есть ли в этом реальная проблема.
Вот есть два субъекта, один гос, второй не гос.
Обмениваются они между собой шифрованной информацией по ГОСТу.
Ну допустим у спецслужб есть доступ к этой информации. И что? Спецслужбы итак с любой госконторой сотрудничают.
А бэкдор — это тихо, уютно, лампово.
Никто не запрещает использовать ГОСТовые шифры в любых других областях, в которых на вопрос «зачем?» ответ «а почему нет?». Мало ли почему. Да хоть чтобы тендеры выигрывать, внося в требования поддержку Кузнечика.
И еще немного нубский вопрос: позволяет ли такой бэкдор в алгоритме подменять данные (не просто слушать, а еще и фальсифицировать передаваемые данные)?
В (условно) нормальной системе вместо SHA вполне может использоваться как раз Стрибог, в котором может быть "недостаток" (как, впрочем, и в SHA).
Вспомню историю с git и sha-коллизиями.
Если бы с одним ключом был реалистичный сценарий, то использовали бы его. Но увы.
… не нужно думать что механизм под названием государство, есть нечто целостное, и единомысленное, жесткость и вертикальность любой власти, она сильно преувеличена ибо у людей всегда есть личные интересы…
Очевидно, что никто в здравом смысле по собственному желанию не будет использовать ГОСТы.Почему нет? Чем алгоритмы ГОСТ плохи, помимо отсутствия настолько же скоростных реализаций, по сравнению с более популярными алгоритмами? orignal по собственному желанию добавил поддержку подписи и хеширования по ГОСТ Стрибог в ПО анонимной оверлейной сети I2P i2pd.
Почему нет?
В вопросах шифрования данных нет доверия всему российскому. Про остальные ГОСТы, не относящиеся к шифрованию, речи не идет, конечно.
Это мое частное мнение.
Беда всех подобных кейсов со спецслужбами, что они считают себя самыми умными, а это далеко не всегда так. Можно быть честным гражданином и скрепя сердцем соглашаться с тем, что кто надо имеет доступ к чему-то такому, что составляет личную либо коммерческую (а то и страшно подумать — государственную!) тайну. Но вот доверия к их непогрешимости, а главное — компетентности что-то нет… В том числе из-за вот таких вот казусов. (
а используется криптография внезапно в том числе для ЭЦП, то есть подтверждения отправителя
плюс всех в принудительном порядке перевели в цифру во всех областях
в итоге мы получаем бескрайний простор для злоупотреблений, подтасовок, подстав, вымогательств и прочая и прочая
Но причем здесь ГОСТ и предположение о том, что возможно в ГОСТе есть закладка?
И причем здесь возможная закладка в ГОСТовом алгоритме шифрования, и алгоритм хеширования, который используется при подписании. Давайте не будем смешивать разные проблемы.
ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования» — действующий российский криптографический стандарт, определяющий алгоритм и процедуру вычисления хеш-функции
Название хеш-функции — «Стрибог», по имени славянского божества, — часто используется вместо официального названия стандарта, хотя в его тексте явно не упоминается
вики
там и про S-box есть
Вообще, если честно, не понимаю из-за чего весь сыр-бор по поводу Кузнечика, когда на деле все еще (по крайней мере в СКЗИ, с которыми я сталкивался) используется ГОСТ 28147-89, да и в новом ГОСТе Магму оставили, только таблицу замен зафиксировали.
Поэтому второй слой, это будет просто математическое преобразование по определенному алгоритму (наверно).
Речь же шла о реализации некого преобразования поверх шифрования ГОСТ.
Неужели не видно разницы, когда ты ввозишь чужое устройство, и когда предоставляешь свое устройства для изучения вместе с исходниками?
с точки зрения нормативки, западные алгоритмами шифрованием не считаются
это будет просто математическое преобразование по определенному алгоритму
Это ваши слова? AES разработан у нас?
Я всего лишь хотел сказать, что ваша формулировка в реальности не применима.
Какая разница, как именно реализовано шифрование — аппаратным блоком или программно. Шифрованием оно от этого не перестает быть.
Представим, что нужно выполнить требование: «обеспечить криптографическую защиту канала связи»
Это требование вы не закроете ни одним западным алгоритмом, т. к. что бы пройти наших регуляторов, им требуется шифрование ГОСТ. Поэтому я и написал, что западный алгоритм за шифрование не считается (за сертифицируемое шифрование).
Но что вы накрутите сверх этого, зависит от вас. Сможете обосновать необходимость дополнительного преобразования, например эквивалентного AES, значит сертификацию пройдете (конечно, если ГОСТ будет правильно реализован).
Какая разница, как именно реализовано шифрование — аппаратным блоком или программно. Шифрованием оно от этого не перестает быть.
Я специально выделил ключевые места. Чужое устройство или свое с исходниками. В данном контексте, возможность задействования аппаратных блоков роли не играет.
Вы в какие-то дебри ушли и рискуете запутаться и запутать читателей. Тезисно:
1) Абы кто не имеет права реализовывать ГОСТ с целью его использования как СКЗИ, ибо разработка СКЗИ является лиценизруемой деятельностью
2) Никто из лицензиатов не будет внедрять схему двойного шифрования дополнительным западным алгоритмом. По разным причинам, от экономических, до нормативно-правовых.
3) А вот как пользователю, который приобрел сертифицированное СКЗИ, вам не запрещается шифровать внутри ещё и AES'ом, или чем-нибудь ещё.
4) Не понятно пока, где это возможно применить. Очевидно, что поддержка двойного шифрования должна быть реализована с двух сторон, при этом в текущей ситуации второй стороной является какой-нибудь госорган, который явно это не будет поддерживать. Использовать же ГОСТ между частными структурами и при этом передавать какие-то важные вам данные — тоже странно. Есть, например, сценарий передачи банком вашей кредитной в БКИ. Но в этой истории единственный интересант, которому важна конфиденциальность данной информации — это субъект кредитной истории, то есть заёмщик, но он просто напросто исключен из этого обмена ) Таким образом, мы видим, что у сторон, обменивающихся данными, шифрованными ГОСТом нет никакой заинтересованности в том, чтобы данные сведения были конфиденциальны. Либо же данная информация предназначается государству.
1) Абы кто не имеет права реализовывать ГОСТ…Реализация алгоритма != разработка СКЗИ.
Но мы же говорим про гипотетическую возможность реализации AES поверх ГОСТ в рамках честного СКЗИ, значит у честного разработчика эта лицензия должна быть.
2) Никто из лицензиатов не будет внедрять…Вам не кажется, что это дело самих лицензиатов?
3) А вот как пользователю, который приобрел сертифицированное СКЗИ...Пользователю вообще запрещено что либо модифицировать внутри СКЗИ, тем более, если этот функционал не закладывался разработчиком.
4) Не понятно пока, где это возможно применить...На вскидку могу предложить следующие варианты:
- реализация единого решения как для продажи внутри России, так и для экспортого варианта
- всякие шлюзы, для подключение зарубежных представительств российских компаний к головному офису в России (у них западное оборудование, а у нас ГОСТ)
- удовлетворение академического интереса (ну прям как сейчас ;-) )
Не кажется.
> Реализация алгоритма != разработка СКЗИ.
Но мы же говорим про гипотетическую возможность реализации AES поверх ГОСТ в рамках честного СКЗИ, значит у честного разработчика эта лицензия должна быть.
> Пользователю вообще запрещено что либо модифицировать внутри СКЗИ, тем более, если этот функционал не закладывался разработчиком.
Вы занимаетесь в этих абзацах словоблудием. С одной стороны вы приравниваете пользователя СКЗИ к юзеру, тыкающему кнопки в браузере. Однако это не так. Пользователь СКЗИ может спокойно себе разрабатывать свою информационную систему, которая использовует сертифицированное СКЗИ для шифрования трафика. Между тем, как разработчику этой ИС, ему ничто не мешает подавать на вход СКЗИ уже шифрованный AES'ом или другим алгоритмом трафик. Правда ведь?
Так вот, пользователю СКЗИ с одной стороны нужно сертифицированное СКЗИ, чтобы закрыть нормативно-правовой аспект работы своей информационной системы. И здесь он не имеет права разрабатывать свою имплементацию ГОСТа в общем случае. С другой стороны ничто не мешает ему подавать на вход СКЗИ уже шифрованный другим алгоритом трафик, и тут нету нужды влезать внутрь СКЗИ и производить там какие-либо модификации.
Ну раз так, тогда ОК. Может поделитесь статистикой, сколько разработчиков СКЗИ у вас уже консультировались?Вам не кажется, что это дело самих лицензиатов?Не кажется.
А насчет словоблудия, перечитайте пожалуйста исходный тезис. Я уже несколько раз вам пояснял, что речь идет о вопросе с точки зрения разработчика СЗКИ.
Батенька, давайте вернемся к тому вопросу, где вы можете из себя хоть что-нибудь представлять в этой дискуссии, а именно к теоретическим фантазиям реализации и комбинирования схем шифрования. А то уж как-то больно резко вы скатываетесь в говнодоводы. Консультироваться у меня — не консультировались. Но профессионально общался на подобные темы с несколькими работниками нескольких различных вендоров СКЗИ (в частности ЛИССИ и Инфотекс, а так же ещё пары, которые кажется уже почили в бозе). Не буду утверждать, что высказанные мне мнения являются официальной позицией каждого конкретного вендора, тем не менее мотивация была ясна. И, в отличии от вашего опыта общения с разработчиками СКЗИ, похоже, что мой опыт в бесконечное количество раз больше. Так что повторяю — не кажется. Впрочем, к нашей дискуссии это не имеет совершенно никакого отношения.
> Я уже несколько раз вам пояснял
Как вы могли мне пояснить несколько раз, если до этого камента вы мне ответили только один единственный раз? Что-то вы путаетесь в показаниях, милейший.
> что речь идет о вопросе с точки зрения разработчика СЗКИ.
Читаю ваш камент, на который я оставил свой первый камент. Цитирую:
Давайте попробуем на примерах:
Представим, что нужно выполнить требование: «обеспечить криптографическую защиту канала связи»
То есть вы априори не рассматриваете задачу разработки СКЗИ, а рассматриваете задачу его применения. Разработчик СКЗИ не занимается тем, что обеспечивает защиту канала связи. Разработчик СКЗИ занимается тем, что разрабатывает СКЗИ, которое может быть использовано для этих целей. Так что вы сформулировали задачу прикладного применения СКЗИ с большим желанием применить схему двойного шифрования.
При этом я с вами полностью согласен — применение зарубежных алгоритмов шифрования не считается криптографической защитой. И поэтому не входит в состав СКЗИ и не может туда входить.
Если же вы по прежнему хотите рассматривать эту задачу с т.з. разработчика СКЗИ (хотя я в душе не понимаю для чего), то попробую вам аналогию подыскать: вы хотите найти (для себя) первоклассного нейрохирурга, но в перечне ваших требований к кандидату имеется требование, чтобы данный врач производил лечение гомеопатией в востановительный период после операции.
Кстати, раз уж вы так гордитесь общением с
работниками нескольких различных вендоров СКЗИто ставьте себе еще +1.
А как же «в интернете кто-то неправ»? )))
> Кстати, раз уж вы так гордитесь общением с
Какой-то вы странный. Почему вы решили, что я этим горжусь? Вы гордитесь тем, что вам приходится общаться с коллегами? Или разрабы СКЗИ у вас где-то между богами и Фредди Меркьюри? ))) Или всё дело в том, что вы решили меня спросить о «статистике», будучи уверены в том, что такой «статистики» у меня нет, но испытали облом? Ну что… бывает. Но не вижу в этом повода для гордости.
> то ставьте себе еще +1.
Ещё один к чему? И зачем мне эти ваши плюсы? Вы тут из-за плюсов сидите и всё это пишете? Давайте я вам поставлю сейчас пачечку.
Сможете обосновать необходимость дополнительного преобразования, например эквивалентного AES, значит сертификацию пройдете (конечно, если ГОСТ будет правильно реализован)
Даже обосновывать не надо, если ГОСТ реализован.
возбраняется ли ими шифровать «в два слоя» — скажем, AES, а поверх ГОСТА за несертифицированное криптосредство естественно по башке настучат.
Вы разобрались (если да — то было бы здорово увидеть, где нормативные документы указывают на недопустимость второго слоя, а не на необходимость использования ГОСТ) или это предположение?
Коап ст. 13.12 ч.2 предусматривает ответственность на использование несертифицированных средств защиты информации.
А они запускают тест, который например пытается используя уязвимость взломать шифрованное сообщение и получает отрицательный результат. Вам сообщают «Программа не прошла внутреннее тестирование. Отказать.»
1. «сертификат» на средство криптографической защиты информации (СКЗИ)
2. «аттестат» на систему защиты персональных данных
По п.1, разумеется, никакие зарубежные криптоалгоритмы и СКЗИ, их использующие, у нас сертифицированы как СКЗИ не могут быть.
По п.2.
Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
— если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
— если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
(см. методические рекомендации ФСБ от 31.03.2015 № 149/7/2/6-432; и да, «рекомендации ФСБ» в области крипты никто не оспаривает)
И именно эти СКЗИ, упомянутые выше, должны быть сертифицированы ФСБ, т.е. по нашим ГОСТам.
Использовать для собственных нужд (не для декларируемой защиты ПДн) зарубежные криптоалгоритмы никто не запрещает. И, соответственно, на аттестацию системы защиты ПДн это не влияет. Главное, чтобы в необходимых случаях использовались сертифицированные СКЗИ.
p.s. это в части защиты сведений, не составляющих государственную тайну.
p.p.s. Вопрос ввоза устройств с зарубежными криптоалгоритмами к этой теме вообще никак не относится, совершенно иные задачи.
Есть ФЗ «О персональных данных», дающий право Правительству право разрабатывать правила обработки ПД. Есть постановление Правительства «Об обеспечении безопасности персональных данных...», дающее право ФСБ устанавливать методы и способы защиты. Есть изданные ФСБ «Типовые требования...», устанавливающие, что операторы ПД должны соблюдать «Положение о разработке... и »Методические рекомендации...". И вот уже в «Методических рекомендациях...» сказано буквально следующее:
Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные...То есть присутствует требование наличия как минимум одного сертифицированного СКЗИ, иначе было бы написано «должны использоваться исключительно сертифицированные».
«Криптосредство — шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) — шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
Так что создайте преобразователь данных, пишущий в своём формате, внутри которого зачем-то есть некая функция преобразования с непонятной вам логикой работы, подозрительно похожей на шифрование AES. Главное, что он предназначен не для шифрования данных, я для их преобразования в удобный вид — напиример, XML с блобом внутри.
Риск невелик, штраф в КоАП для организации смешной.
Можно. По крайней мере так делают именно для того, чтобы шифрование было "православным", при этом не трогая родной слой шифрования, который не всегда есть возможность убрать.
То есть, если в статье на хабре в коде комментарии такие же, как в совсекретном документе, сданном в архив десять лет назад, то посадят, а если просто «схожесть до степени смешения» и опрошенный эксперт говорит, что выводы сделаны достаточно очевидные для того, чтобы без посторонней помощи до них дойти — то отпустят.
Хотя на самом деле такие процессы во всём мире в меньшей степени правосудие и в большей степени — публичная демонстрация государством границ, за которые его гражданам залезать не рекомендуется.
как он все потерял в самой важной для себя области?
как у него жизнь сразу наладилась после известных высказываний?
On April 28, 1967, Ali appeared in Houston for his scheduled induction into the U.S. Armed Forces, but he refused three times to step forward when his name was called. An officer warned him that he was committing a felony punishable by five years in prison and a fine of $10,000. Once more, Ali refused to budge when his name was called, and he was arrested. Later that same day, the New York State Athletic Commission suspended his boxing license and stripped him of his title. Other boxing commissions followed suit. Ali remained unable to obtain a license to box in any state for over three years.[157][page needed]
At the trial on June 20, 1967, the jury found Ali guilty after only 21 minutes of deliberation of the criminal offence of violating the Selective Service laws by refusing to be drafted.[22] After a Court of Appeals upheld the conviction, the case was reviewed by the U.S. Supreme Court in 1971.[158]
In a secret operation code-named «Minaret», the National Security Agency (NSA) intercepted the communications of leading Americans, including Ali, Senators Frank Church and Howard Baker, Dr. Martin Luther King Jr., prominent U.S. journalists, and others who criticized the U.S. war in Vietnam.[169][170] A review by the NSA of the Minaret program concluded that it was «disreputable if not outright illegal.»[170]
In 1971, his Fight of the Century with Frazier provided cover for an activist group, the Citizens' Commission to Investigate the FBI, to successfully pull off a burglary at an FBI office in Pennsylvania, which exposed the COINTELPRO operations that included illegal spying on activists involved with the civil rights and anti-war movements.
Как только краешком задел интересы спецслужб
Ассанж отправил в Аль-Джазира, The Guardian, Der Spiegel и The New York Times около 100 тыс. секретных документов о ходе войны в Афганистане, а также десятки тысяч документов о войне в Ираке. Часть документов касается расстрела мирных жителей. После публикации некоторых свидетельств, особенно видеоинформации, разразился международный скандал.
Ассанж также заявлял, что в его распоряжении находится ещё около 15 тыс. секретных документов Пентагона.
В июле 2012 года Ассанж сообщил, что Wikileaks опубликует около 2,4 млн документов, связанных с конфликтом в Сирии.
Что тогда по вашему не краешком?
так тут же и изнасиловал кого-то там. Удобно как.
Я верю Шведской прокуратуре, судебным органам и Верховному суду. Тем более есть конкретные истцы (хоть имена и не разглашаются СМИ). И он обвиняется в том, что совершил половой акт с без презерватива.
Я тоже верю шведской прокуратуре, но я не верю в ТАКИЕ совпадения.
Считая себя рационалистом, я рассматриваю конспирологические версии в самую последнюю очередь. Но прослеживается определённый паттерн ситуаций и реакций. Даже без учёта "казуса Стросс-Кана" вам не кажется ли, что секс без резинки спустя хрен знает сколько месяцев — явно недостаточный повод для угрозы штурмовать полицейским спецназом посольство иностранного государства и постоянного дежурства около него? Подобные меры выглядели бы вполне логично и понятно для Сноудена, например, или будь Ассанж обвинён конкретно в том, что он натворил — раскрыл какие-то там секреты, а так это выглядит как плохо прикрытый фарс под указку американцев :(
По непроверенным данным, такое делал Виктор Суворов (Резун) «Контроль», «Выбор».
Можно за тезисы доклада, опубликованные в открытой печати, срок получить.
Или если резюме не туда послали.
Или не дай бог корабль военный увидите и решите поделится с кем-нибудь…
Не, это нормально, защита государства — дело важное. Но хотелось бы, чтобы иногда включали мозг и не доводили дело до ломки человеческих судеб, когда гостайной является «секрет Полишинеля».
С другой стороны, вчитаясь в 275 УК РФ: "… сведений, составляющих государственную тайну,… или в иных случаях, предусмотренных законодательством Российской Федерации, либо оказание… консультационной… помощи… в деятельности, направленной против безопасности Российской Федерации,..."
Т.е. навредил стране — изменил. Другой вопрос, является ли раскрытие уязвимости шифра вредом? И не является ли вредом внедрение (умышленное и/или случайное) уязвимости в шифр.
Кузнечик и Стрибог
Боже
WIKI: Стрибо́г (др.-рус. Стрибогъ[1]) — божество древнерусского пантеона с неустановленными функциямиСимволичненько, не находите? :)
А ещё есть Кузнечики — мобильный роботехнический комплекс МРК-02.
Но самое странное название — миномёт «Поднос» (а брат у него — «Василёк»). Больше кухонной утвари в армии, вроде, нет.
Принцип работы основан на засвечивании лазерным лучом оптических разведывательных систем.
:)
Как резонно заметили выше — родина и так слышит, что ей пишут, а с другими контрагентами спокойно можно будет шифровать\подписывать и другими алгоритмами.
Да, есть момент, если родина запретит использовать другие алгоритмы — и тогда «возможно большой брат нас всех услышит» (и это еще нужно будет преодолеть эффект «Неуловимого Джо»)
Однако, главная мина заложена не там, а там где «Авторы криптоанализа не представили новых атак на существующие алгоритмы ГОСТ». Авторы-то не представили. Однако, есть очень много других ребят, которые не пишут статей (которые то предложили «изменить S-Box до того как алгоритм стал стандартом», то пытались «протолкнуть в стандарты свои легковесные симметричные алгоритмы Simon и Speck» ).
Да, это потенциальная уязвимость типа NOBUS, но астрономически маловерятно — это все же не невозможно, в то же время у них есть и профильные знания и вычислительные мощности и большая заинтересованность (т.е. «Джо которых они не против половить»).
Одному из алгоритмов 30 лет, вбросов вида "вот-вот и он падёт", "там точно бэкдор" с разной степенью аргументами — не мало. И до сих пор это всё разговоры в пользу бедных.
Гос.органы страны-работодателя АНБ (два раза было пойман на внедрении бэкдоров в стандарты) не используют AES, всеми силами и весьма успешно продвигая его в качестве международного.
ГОСТы гос.сектор использует во всех сферах, что самоубийственно при заведомом наличии бэкдор.
А какие он должен использовать? В США госы используется закрытый NSA Suite A, хотя AES входит в NSA Suite B.
Если нет регулирования, никто независимо от страны и не будет применять криптографию и прочие СЗИ, это усложняет работу.
ГОСТы гос.сектор использует во всех сферах, что самоубийственно при заведомом наличии бэкдор.ФСБ сказало «Надо», госсектор использует. А есть там бэкдор или нет, госсектору уже все равно. И после таких статей надо задавать вопросы, почему сертифицируются средства, построенные на возможно уязвимом алгоритме.
Если нет регулирования, никто независимо от страны и не будет применять криптографию и прочие СЗИ, это усложняет работу.Абсурдное утверждение. Как частные компании сейчас используют VPN, антивирусы, шифрованные хранилища без принуждения, так и госы использовали бы.
Применять антивирусы из «принуждают» вирусописатели, шифрование дисков/соединений — конкуренты.
Если информация не представляет ценности, а стоимость восстановления ниже СЗИ и простоя — никакие частные компании добровольно не будут применять СЗИ/крипту.
Посмотрите NSA Suite B и NSA Suite A.
Последний предназначен для "внутреннего" использования гос.органами США и не публикуется.
NSA Suite B включает AES, не включение и отсутствие формальной сертификации было бы слишком странным.
Часть вбросов появляется строго в периоды перед обсуждением включения ГОСТ в перечень ISO, качество "исследований" и их неверифицируемость никого не смущает.
Если ГОСТ плохой, слабый, с бэкдорами — не используйте. Не всё просто и открыто в продвижении "своих" стандартов, честной конкуренции здесь нет.
Делать этому шифру там нечего, совершенно не нужно что бы шифры с подозрением на слабый алгоритм были по дефолту в системах.
Наоборот от старых (SSL например) отказываемся, а вы предлагаете заведомо слабый шифр добавить, зачем?
Получается, что наши спецслужбы сами себя высекли и слили остальным иностранным спецслужбам всю зашифрованную этими гостами переписку, которую они теперь будут щёлкать, как белка- орешки.
Тут вопрос кто это — ОНИ. Очевидно, что алгоритм бэкдора в руках одной конкретной организации. Например, ФСО. Все остальные силовики: ФСБ, военные, Росгвардия, проч вынуждены пользоваться этой системой без доступа к супер ключу. А в это время одна организация, например, ФСО, может свободно читать переписку не утруждая серия сложностями типа ордеров. Мне кажется более вероятным что этот бэкдор нужен в основном для аппаратной борьбы.
Но, разумеется, безопасность страны при этом скомпрометирована. Но кого это волнует
Так и тут, константы и таблицы могли быть неподумавши скопипащены с чьей-нить малоизвестной публикации, если не с учебника.
Это же алгоритмы для использования в софте госкомпаний типа госуслуг или в софте МО. Я не знаю, что там сейчас используется, но задумка изначально такая.
Обычных пользователей это не очень качается.
А то что там нашли явные дыры — так это не закладка ФСБ, так как основные пользователи этих алгоритмов защищаются не от ФСБ, а от служб других стран по требованию ФСБ. Это банальное раздолбайство или некомпетентность.
Сравните стойкость ГОСТ и AES, по открытым публикацим стойкость последнего ниже.
Интересно, почему никто из собравшихся не задумался, не деза ли это? Я не про исследование, а про «подозрительную, без явной рандомизации» выработку оных S-блоков. Сколько денег и сил должен потратить потенциальный противник, клюнувший на исследования, подобные вышеприведенному, чтобы докопаться до истины? Я, конечно, в ТК-26 не состою, но не стал бы исключать и такой вариант…
Авторы декларировали, что таблица замен выбрана случайным образом. Вот слайд из презентации алгоритма, на котором указано, что авторы выбирали таблицу случайным образом.
Я понимаю, что не тяну на звание светилы отечественной криптографии и возможно не замечаю скрытый смысл сего изречения. Или не умею читать между строк… Но не могли бы Вы, Scratch, мне ткнуть носом в место (обвести красненьким контуром на картинке), где на приведённом Вами слайде говорится о случайном характере выбора таблиц? В упор не вижу… И так смотрел, и сяк… и под лупой, и в монохроме… На наличие стего-контейнеров с указанным Вами текстом тоже проверил — не нашёл.
Ах да! Ещё воодушевила заметка про «уменьшающая его стойкость с 2^512 до 2^266». Совсем ни о чём… какой-то 2 в 266, на свалку — в уме и на пальцах можно на лету считать. Считай в открытую информацию передаёшь.
p.s. Сколько за свою жизнь Вы синтезировали новых криптоалгоритмов, или хотя бы каких-то криптопримитивов, что так уверенно рассуждаете кого и за что
отовсюду прогнали ссаными тряпками?
Вот слайд из презентации алгоритма, на котором указано, что авторы выбирали таблицу случайным образом.
Вот покажите мне непонятливому где там ИМЕННО ЭТО написано? (если Вы не ощущаете наводящих вопросов, прочтите подсказку под спойлером...)
Вот преза: www.ruscrypto.ru/resource/archive/rc2013/files/03_shishkin.pdf
p.s. презентацию видел кучу раз и вне хабра — могли не приводить.
В статье на него указывает только прямая цитата из другой статьи: "...a strong algebraic structure hardly compatible with the claims of randomness of the designers". Источник — «Léo Perrin and Aleksei Udovenko. Exponential s-boxes: a link between the s-boxes of BelT and Kuznyechik/Streebog. IACR Transactions on Symmetric Cryptology, 2016(2):99–124, 2016.» tosc.iacr.org/index.php/ToSC/article/view/567.
Читая полный текст второй статьи, доступный по URL, видим эту цитату со ссылкой на источник, в следующем контексте: «These decompositions improve previous results by Biryukov et al.[BPU16] and strengthen the idea that π has a strong algebraic structure hardly compatible with the claims of randomness of the designers. »
Источник BPU16 доступен, например, здесь: orbilu.uni.lu/bitstream/10993/23895/1/GOST_reverse_engineering_eprint.pdf
Открыв его, читаем: «We had brief informal discussions with some members of the Streebog and Kuznyechik design team at the CTCrypt’14 workshop (05-06 June 2014, Moscow RU). Their recollection was that the aim was to choose a “randomized” S-Box that meets the basic differential, linear, and algebraic requirements. Randomization using various building blocks was simply iterated until a “good enough” permutation was found. This was seen as an effective countermeasure against yet-unknown attacks [as well as algebraic attacks].»
Вопрос об уместности ссылки на «неформальные дискуссии» в научной статье и о способах прохода рецензирования такой статьёй оставим за скобками. Остаётся понять, что означает «randomized» в кавычках (!): «случайный» или «псевдослучайный». По-моему, из контекста напрашивается второе. Хотя полностью вопрос не закрыт.
Спасибо, вы поймали Scratch и прочих (включая меня) на неумении или нежелании проверять факты, а авторов исследований — на незнании английского.
Так там однозначно написано, что действовали они как написано в синем блоке. Вы ломитесь в открытую настежь дверь.
www.ruscrypto.ru/resource/archive/rc2013/files/03_shishkin.pdf
Слайд 8 — ГОСТ — SP-сеть (красное)
Слайд 9 Преобразование — V8 (красное)
и т. д.
То есть по-вашему, на этом слайде они честно выбрали плохой вариант, с «неоптимальными основными характеристиками» и за 6 лет никто их не спросил «зачем?»?
Вообще, разработчики по и словам выбрали именно «неоптимальный» как вы говорите вариант, чтобы защититься от алгебраических и потенциально неизвестных атак.
Есть несколько источников, подтверждающих этот конкретный выбор.
1) Презентация с доклада
2) Факт личного общения исследователей с разработчиками этого ГОСТа, где они подтвердили цели использования именно этого рандомизированного подхода как «защиту от алгебраических и потенциально неизвестных атак», что звучит более-менее логично.
3) Упоминание этого факта не только в зарубежных, но и наших исследованиях pnu.edu.ru/media/ejournal/articles-2016/TGU_7_300.pdf
Они все сговорились? Или все-таки вы принимаете желаемое за действительное?
1) Чтобы процитировать слайд нужна компетенция в криптоанализе?
На слайде, на который вы вечно ссылаетесь, следующий текст: «Случайный поиск с заданным ограничением на параметры
… не оптимальны по совокупности значений основных криптографических характеристик».
1а) Кроме странной раскраски, презентация может похвастаться потерянными словами и мешаниной в аббревиатурах. Правило «блок с заголовком на красном фоне находится ниже» работает не хуже вашего «красным выделен выбранный вариант».
3) Я уже писал — один неправильно понял, остальные подхватили, такое вот воплощение анекдота «учёный изнасиловал журналиста».
Выше приведённая цитата rotarepo ваши слова опровергает, но это тоже не слова авторов, а их пересказ.
4) Они где-то обещали раскрыть эти классы? Вам достаточно лишь этого? Почему бы не хотеть полный набор тестов?
Но ладно, я понял, что вы выдумали себе какую-то ахинею и от неё уже не отступитесь, иначе такая теория заговора «шифр специально делают с дыркой, галактеко в апасносте» рухнет.
Но опять же, это в цивилизованном обществе.
В банановых республиках где пипл хавает всё, что спускают сверху, это не является нормой. Что и доказывают все ваши комментарии, лишенные даже намёков на критическое мышление. Хорошего вечера
Но когда Вы начинаете лапшу вешать относительно личностей, эта оговорка перестаёт работать.
Я вам серьезно советую скооперироваться с остальными полутора калеками и написать тут на хабре большую разоблачающую статью обо мне. Ведь все факты на лицо! А то всё гав-гав-гав да гав-гав-гав
P.S. Я так полагал, что указания на фактические или методологические ошибки будут Вам полезны. Вроде как «Мы превращаем программистов в криптографов» серьёзный лозунг. Но если нет, то извиняйте.
Банановые республики ни одного стандарта криптографии не разработали, ознакомтесь со значением термина.Знаете ли, при всём уважении к разработчикам, в кузнечике фактически нет инновационных решений. Структурно это тот же AES. Такой же по размерности S-box 8x8, тот же XOR c раундовым ключом, линейное преобразование, основанное на умножении в поле GF256. Только вот оно у кузнечика намного и намного сложнее, чем у AES. По моему личному мнению — неоправданно сложное.
Среди финалистов конкурса AES действительно инновационным выглядел Twofish, но к сожалению (или к счастью), это и отпугнуло, много малоизученных подходов.
При всём уважении к Вам, я криптографию в ВУЗе изучал в достаточном количестве, даже по прошествии лет помню, что AES не основан на методе сети Фейстеля, в отличии от нашего ГОСТ 28147-89 и всяких там Кузнечиков...Имеет смысл освежить память. ГОСТ 28147-89 или «Магма» действительно — сеть Фейстеля. Но ГОСТ Р 34.12-2015 или «Кузнечик» не основан на сети Фейстеля от слова совсем. AES и Кузнечик это SP-сеть. Сеть Фейстеля в упрощённом виде используется в Кузнечике только для генерации раундовых ключей.
Почитайте на досуге про Twofish, очень интересная структура, хотя в основе — сеть Фейстеля. Чего только стоят Sbox-ы, зависящие от ключа!
Хм, «намного и намного сложнее, чем у AES»? Ну, ну, может быть, может быть, как считать, но при реализации не очень заметно ;)Имелась ввиду вычислительная сложность или требовательность по памяти в случай использования предвычисленных таблиц. Вообще говоря, сложно это не заметить. Посмотрите реализацию в исходниках Veracrypt. Там полностью табличный метод, размеры исходников впечатляют.
Бирюков и компания уже свели AES 256-бит к сложности не превышающей 2^100...Поделитесь, откуда такая информация?
Как бы если спросить у Яндекса, но он тут же даёт ссылки на Википедию, которая ссылается на Biryukov, Khovratovich, 2009, p. 10. Ясен перец, это всё пока, больше, умствования криптографов, чем практический инструмент. Но авторы Стрибога/Кузнечика должны были их учитывать, так сказать, по долгу службы.
Хм, Veracrypt, можно конечно взглянуть, но не верю я в эффективность предвычисленных таблиц для современных процессоров.Если таблица помещается в Լ3 кэш, то почему нет? Всё равно, без предвычислений и при прочих равных в линейном преобразовании у Кузнечика в 16 раз больше умножений в поле, чем у AES.
"… в 16 раз больше умножений в поле, чем у AES..." — узлы замены AES Вы считали как выражения или как таблицы? Впрочем не суть.
… узлы замены AES Вы считали как выражения или как таблицы?При чём здесь узлы замены? Речь идёт о сравнении двух процедур, mix_column у AES и Լ-преобразования у Кузнечика.
P.S.
Точнее даже не так, самая тяжёлая часть — имитозащита. Если бы что-нибудь типа PMAC или GCM удалось бы обосновать по нашим требованиям, вообще бы гонщика Спиди бы обгоняли бы.
Его ж и на РусКрипто докладывали, и в IETF черновик имеется https://tools.ietf.org/html/draft-smyshlyaev-mgm-09.
Но кто ж знает, все под Богом ходим, не каждый проект становится рекомендацией или стандартом (и не каждый draft — RFC).
Как бы самая тяжелая часть — узлы замены, остальное летает же.Sbox 8x8 требует 256 байт. Для полного вектора в 128 бит потребуется 4 КБ (в обе стороны). В то же время табличный вариант Լ-преобразования, как уже ниже сказали, требует 64 КБ только в одну сторону. Т.е. Լ-преобразование в варианте работы шифра в обе стороны требует в 32 раза больше памяти чем узлы замен. Если считать узлы замен самой тяжелой частью, то картина налицо.
Отсюда вопрос к разработчикам. Насколько оправданна сложность этого преобразования? Вопросов к стойкости нет, только к эффективности. Это как ставить стальную дверь в деревянный сарай.
Sbox 8x8 требует 256 байт. Для полного вектора в 128 бит потребуется 4096 байт (в обе стороны)...
Как бы это не совсем так. Во-первых, Sbox один. Во-вторых, разработчики, и AES, и Кузнечика, предусматривали возможность эффективной реализации, как минимум, в железе, поэтому он не совсем тупо 8х8. Чего, собственно, автор обсуждаемой статьи (Scratch) не заметил и чему, так сказать, удивляется как на новые ворота. ;)
Как бы это не совсем так. Во-первых, Sbox один.Речь идёт как раз об аппаратных реализациях, т.е. ASIC, а не только ПО. Чтобы получить высокую производительность шифра в железе, требуется организовать конвейерную параллельную обработку. В варианте полностью развёрнутого конвейера работа будет осуществляться со 128 битным словом, для которого потребуется 16шт Sbox 8x8, и это только для одного раунда.
Чего, собственно, автор обсуждаемой статьи не заметил и чему, так сказать, удивляется как на новые ворота. ;)Да вопрос не к автору, конечно, к разработчикам шифра.
… аппаратных реализациях, т.е. ASIC… для которого потребуется 16шт Sbox 8x8
Sbox 8x8 общего вида это достаточно дорого, однако, и в AES, и в Кузнечике, он не требуется.
Можно в GE (gate equivalent) посчитать.Да, взять хороший оптимизатор и посчитать. Что было бы хорошей иллюстрацией к этой статье.
И всё равно раунд Кузнечика будет требовательнее по ресурсам, чем раунд AES
Да, немного требовательнее, по-моему, менее чем в два раза, но раундов меньше, 10 против 14, это два.
Так что, возвращаясь к вашему утверждению «Только вот оно у кузнечика намного и намного сложнее, чем у AES», мы не находим под него оснований. Ну мне так кажется.
Оценка Sbox Кузнечика как 256 байт — сильно завышенная оценка, это раз.Вы издеваетесь?) Sbox 8x8 схемотехнически это память с шиной данных 8 бит и размером слова тоже 8 бит. 2^8 8-битных слов, итого 256 байт.
Так что, возвращаясь к вашему утверждению «Только вот оно у кузнечика намного и намного сложнее, чем у AES», мы не находим под него оснований. Ну мне так кажется.Я говорил только о линейном преобразовании.
Вы издеваетесь?) Sbox 8x8 схемотехнически это память с шиной данных 8 бит и размером слова тоже 8 бит. 2^8 8-битных слов, итого 256 байт.
Sbox это преобразование 8 бит в 8 бит, которое имеет определённую структуру. И в случае, AES, и в случае Кузнечика, она задана. Мало того, она реализуется многократно эффективнее, чем память с шиной 8 бит.
Рекомендую, либо вглядеться в сам ГОСТ Р 34.12-2015, либо, на худой конец, ещё раз перечитать обсуждаемую статью (точнее пройтись по ссылкам из статьи).
… аппаратных реализациях, т.е. ASIC… Я говорил только о линейном преобразовании.Вот встретилось, что б не забылось.
О глубине аппаратной реализации блочного шифра Кузнечик
Е. А. Курганов
Для полного вектора в 128 бит потребуется 4 КБ (в обе стороны).Ошибся слегка, 4КБ — в одну сторону, т.к. для расшифрования нужны обратные Sbox-ы.
Т.е. Լ-преобразование в варианте работы шифра в обе стороны требует в 32 раза больше памяти чем узлы замен.Соответственно и тут, в 16 раз больше…
Соответственно и тут, в 16 раз больше…Есть такой вариант сведения к умножению на матрицу, причём часто Кузнечик сводят к заполненной матрице, но…
Но, по сути, и там, и там, эти матрицы собой представляют комбинацию умножений, у AES из 16*16 GF(28), у Кузнечика из 16*8 GF(216), так что если считать в ваших GE (gate equivalent), разница ~1.5 раза ;)
Serge3leo Использование предвычисленных таблиц для Кузнечика позволяет ускорить его производительность на порядки, описание и результаты я уже публиковал, потому что позволяет не вычислять S-слой и упростить вычисление L-слоя. Таблица для преобразования в каждую сторону при этом занимает 64 кБ.
При этом использование SSE2 в дополнение к таблицам повышает его производительность чуть больше, чем в полтора раза. Эффективные реализации AES (в отсутствие AES-NI) тоже используют таблицы.
А в режимах гаммирования (CTR), простой замены (ECB), а так же в потенциальном аутентифицированном шифровании (MGM), свободы для оптимизации гораздо, гораздо, больше, т.к. можно обрабатывать не один блок за раз.
Несмотря на то, что оптимизация шифрования одного блока в каком-то смысле универсальна и позволяет ускорить все режимы шифрования, согласен с вами в том, что режимы, допускающие параллельную обработку блоков, предоставляют большую свободу.
Я привел ссылку на свою статью о Кузнечике в надежде переубедить вас в вопросе эффективности предвычисленых таблиц ;)
Поэтому при использовании таблиц и обработке нескольких блоков производительность можно будет увеличить всего в 1.5..3 раза путём совмещения обращений к памяти с вычислениями. Что, как бы немного.
Каким бы не был ответ, факт остаётся фактом — разработчики скрыли и так до сих пор и не открыли принцип построения важнейшей части алгоритма. И этого факта в цивилизованном мире достаточно, чтобы уничтожить доверие к алгоритму.
Но мы же все патриоты, у нас же все вокруг враги, очерняют всё отечественное.
Голову просто иногда надо включать, а не первый канал
Люди не идеальный, все ошибаются и на этих ошибках надо учиться, а не перетягивать их из проекта в проект, тем более всему миру на показ. Нужно развивать фундаментальную математическую школу, инвестировать в исследования, стимулировать инициативы синтеза новых нелинейных преобразований или даже целых новых подходов, делать этот механизм более открытым и прозрачным. А не вот это всё: «Навязали! Приказали! Указали! Мы страдаем!». Интересно, если в шутку опросить прохожих: «Как сильно на Вашей жизни сказалось существование Кузнечика и Стрибога? Вы переживаете из-за потенциальной возможности понижения стойкости в n раз?! А как следствие не включение их в международные стандарты!». Сколько сразу пошлёт, а сколько посмеётся? )))
Почему-то когда падают иностранные ракетоносители, взрываются на испытаниях новые (и не очень) образцы оружия и т.п. не появляется пестрящих заголовков «Очередной бэкдор НАСА/Мин.Обороны для умышленного уничтожения армии/космонавтики»
этот желчный подход «Всё у них — хорошее, всё у нас — гавно!», да ещё и якобы нарочно…Эта коннотация имеет вполне объективные предпосылки. Открытый конкурс криптоалгоритмов он ведь и предназначен для того, чтобы силами общественности отсеивать говно от хорошего. Если технология насаждается в приказном порядке, то и говна там будет больше. И предлагаемое вами повышение надоев на инновационный кубометр этому никак не помешает, потому что причина подобного подхода вовсе не в отсутствии фундаментальных математических школ. Когда иностранные ракетоносители падают, то распилы и откаты «почему-то» стоят на последнем месте в списке возможных причин там, в отличие от здесь.
Когда иностранные ракетоносители падают, то распилы и откаты «почему-то» стоят на последнем месте в списке возможных причин там, в отличие от здесь.
напрашивается вопрос: Вы там были? откуда такая точная информация? Вы член комиссии НАСА? Вы видели закрытые протоколы и расследования? Если не секрет, что стоит на первом месте? На каком месте стоит «распил» и «откат» у них?
Честно, не убедили… с таким же успехом я могу утверждать, что при падении метеоритов на территорию России влияние Луны стоит на последнем месте в отличии падения метеоритов на Аляске… Докажите обратное! Очень красивое отверждение. Но смысла ноль, как и пруфов.
Когда иностранные ракетоносители падают, то распилы и откаты «почему-то» стоят на последнем месте в списке возможных причин там, в отличие от здесь.
Может быть потому что в этой части света априори меньше известно о распилах и откатах там?
Сюда же все разговоры о доверии к спецслужбам.
Просто повод к рассуждению, ни на что не намекаю.
Нет, не поэтому.
А потому, что самая благодатная почва для распилов и откатов — госструктуры с высокой степенью горизонтальной интеграции (госконцерны).
Там же, где РН и бустеры клепают частные лавочки, деловая репутация всегда приоритетнее, чем сиюминутная выгода с высокими рисками. Ничего личного, просто
А из обсуждения складывается картина, как будто в представлении сообщества отечественные шифры это: собрались мент, гаишник и пьяный федерал со стволом и решили «ЩА ЗАПИЛИМ!!!». Да так увлеклись, что все возможные ошибки, косяки и уязвимости впихнули разом и назвали новым алгоритмом, чтоб мало ни кому не показалось! И так это всем наверху понравилось, что каждого лично заставили пользоваться только этим и ни чем иным. А весь мир, кроме нас, умеет это всё анализировать и весело хохочет вскрывая наши шифры на пальцах, пока мы, считая всё надёжным, шлём кругом открытый текст.
как будто в представлении сообщества отечественные шифры это: собрались мент, гаишник и пьяный федерал со стволом и решили «ЩА ЗАПИЛИМ!!!». Да так увлеклись, что все возможные ошибки, косяки и уязвимости впихнули разом и назвали новым алгоритмом, чтоб мало ни кому не показалосьИмея многолетний опыт работы с госбюджетными НИОКР я могу сказать, что почти так всё и происходит, как вы описали. За исключением того, что мент, гаишник и федерал даже не вникают в проблематику работы, а реально выполняют её, в лучшем случае, пара эсэнэсов с аспирантами за сумму в 5% от оставшегося после распила.
Люди не идеальный, все ошибаются и на этих ошибках надо учиться...Совершенно верно. И некоторые люди это поняли и приняли участие в конкурсе AES, а другие идут своим путём, что тоже их право.
Поймите одну простую вещь. Только шифр Вернама имеет абсолютную математически доказанную криптографическую стойкость, но им крайне неудобно пользоваться. Поэтому разработки поточных и блочных шифров продолжаются. Однако для них крайне сложно строго доказать криптостойкость. Именно из-за этого досконально изучают все примитивы.
К кузнечику вопрос только один. Если S-блоки выбраны случайно, почему исследователи обнаружили закономерность? Не повезло, когда кубик кидали? Это не серьёзно. А если S-блоки всё таки были выбраны неслучайно, то почему принципов, которыми руководствовались при их создании нет в описании?
Принцип «Nothing up my sleeve number» очень важен. Посмотрите структуру некоторых хэшей SHA1/2/3, алгоритмы расширения ключей конкурсантов AES. Там можно увидеть в качестве констант и цифры из числа пи, и простые последовательности (1234...4321) и т.д. А ведь можно было использовать совершенно любое другое рандомное число и качество хэша или шифра не изменилось бы. Но явно объяснить выбор такой константы было бы крайне трудно.
К кузнечику вопрос только один. Если S-блоки выбраны случайно, почему исследователи обнаружили закономерность? Не повезло, когда кубик кидали? Это не серьёзно. А если S-блоки всё таки были выбраны неслучайно, то почему принципов, которыми руководствовались при их создании нет в описании?
Конструктивно и по сути! Повод для обсуждения. Ни кто не говорит, что он идеален, просто потому что НАШ. Но и обратное не верно, что он дырявый потому что НАШ. Есть поле для размышлений, есть гипотезы, есть доказанные утверждения. Например можно вспомнить, что любая случайность не случайна и не даром генераторы называют псевдослучайными. И это не первый в истории случай когда аналитики находили закономерности в считающихся ранее случайными системах.
В статье же абсолютно здравые и важные мысли пересекаются с «Ой! Ай! Всё отстой! Всё сыпется и валится! Всё ни о чём. И это неспроста! Хотя чему же удивляться — этож НАШЕ!».
Не знаю как других, но лично меня уводит несколько от сути.
Если нужна серьёзная крипта, то можно просто наложить несколько алгоритмов друг на друга. Хоть тот же ГОСТ на AES, а потом ещё и через Blowfish пропустить, потешить свою параноечку. Например в TrueCrypt такие опции были при шифровании дисков.
А если это требование на серт/лицензию от госслужб, то вам не всё ли равно как у них там и что зашифровано? Если это гостайны, то это их же головная боль. Если это личные данные граждан РФ, то простите, эти данные сливают целыми базами и торгуют ими в даркнетах. Так что всё серо и уныло.
отовсюду прогнали ссаными тряпками
Ну, вообще говоря, ни кого особо не прогнали:
Simon
Speck
А в целом, для Стрибога с самого начала придумывают различные страшилки: сначала константами пугали, потом подстановками, теперь вот разбиениями. Но пока это не более чем страшилки. С точки зрения современной криптографии, полученные в работах результаты при таком пристальном внимании наоборот говорят достоинствах схемы, сейчас слабые алгоритмы долго не живут.
Ну только если данный слабый алгоритм — не неуловимый Джо.
Добавлю: в Speck нет никаких таблиц замены. Это Xor-Add-Rotate алгоритм в чистом виде. И настолько простой, что экспертам трудно было поверить в его надежность. Хотя с моей точки зрения, простота является признаком надежности. Но я не эксперт.
Ну и, да, конструкция напрягает тем, что для шедулинга ключа и перемешивания текста используется одинакрвфй блок операций.
Однако, полноценный Speck пока что не взломан, хотя есть теоретическая (читай, практически не применимая) атака на 18 раундов из 32.
Ещё воодушевила заметка про «уменьшающая его стойкость с 2^512 до 2^266». Совсем ни о чём… какой-то 2 в 266, на свалку — в уме и на пальцах можно на лету считать.
Не тем она Вас воодушевила ;) Атака дней рождений применённая к любой хэш функции длины 512 бит имеет сложность 2²⁵⁶. Так что результат «уменьшения стойкости до 2²⁶⁶» можно назвать иными словами: в 1000 раз сложнее прямого перебора (атака дней рождения) ;)
Нормальный результат, возможно даже, имеющий непреходящую научную ценность: «Работаем. Что-то вот находим. Мы не дурни и не лентяи. Продолжайте финансирование далее». Ну, или иной, но понятный уже только математикам и криптографам.
Атака дней рожденийВы имели ввиду «Парадокс дней рождения»? Снова не хочу показаться занудой, но нельзя ли ссылочку на материал? К какой любой хеш-функции? Криптографической или просто любой? Что за длина? Кто имеет сложность 2 в 256 — атака или так понижается сложность? Если сложность, то чего? поиска коллизии? или поиска прообразов? в 1000 раз сложнее прямого (или всё же полного?) перебора или атаки? Ведь если атака, то это уже не прямой. Видимо из-за разницы в терминологии с трудом что-то понял в Вашем изложении. Да и парадокс вроде другие показатели давал… В общем вопросов больше чем ответов, но Вы меня заинтриговали )))
29 января 2019 года была опубликовано новое исследование «Partitions in the S-Box of Streebog and Kuznyechik», которое недвусмысленно намекает на теоретическую возможность бекдора в этих алгоритмах.Посмотрел статью, ни каких особых намеков нет. Собственно результат явно описан в Abstract к статье.
Они нашли что в основе обоих алгоритмов лежит одна и та же определённая алгебраическая структура преобразований. Это было известно из более ранних работ, сейчас показана именно общность того как можно представить различные алгоритмы декомпозиции таблицы замен.
Вопрос как этот факт соотносится с заявлением о случайном выборе таблицы замен задавали и раньше, и он, как отмечается, остаётся открытым. Как и вопрос о том, как новая информация может быть использована для атаки на алгоритм. Не понятно, вы хотите чтоб S-Box был сгенерирован с помощью подбрасывания монетки что ли?
Ключевым свойством преобразования TKlog является то, что оно работает с так называемыми смежными классами (cosets). И сопоставляет одни другим.Если выражаться более точно, то в статье лишь показано, что перестановки TKlog отображают мультипликативные классы смежности на аддитивные. Это как раз и есть то самое алгебраическое свойство, о котором говорилось ранее. Всё, больше ничего. Если вы утверждаете о чем-то большем, значит наверное, вам известно что-то большее.
Проблема в том, что эти смежные классы бывают мультипликативными, как во всех обычных алгоритмах. А бывают аддитивными.
Так вот, единственный известный случай, когда аддитивные смежные классы использовались в функции замены блочных шифров — специальное создание бекдора. Информация об этом находится в работе 2016 года.
Тоже пролистал статью, пока вроде ничего криминального в плане стойкости; только обобщение устройства узла замены с вытекающей алгеброй. Но генератор этих узлов сотрудникам ТК-26, наверное, придется придумывать новый.
В исследовательской статье сказано, что ранее уже были найдены два различных метода декомпозиции S-Box. Один из них основан на дискретных логарифмах. Они нашли третий — более простой способ, также связанный с логарифмами над конечными полями. Что собственно, я так предполагаю, и определяет алгебраическое свойство отображения мультипликативных классов в аддитивные, log (a*b) = log a + log b.
Возможно для специалистов раскрытие свойств способа генерации S-Box для ГОСТовского шифрования даст понимание его надёжности.
Но если алгоритм можно представить компактнее самой таблицы, то это форма сжатия данных. Т.к. истинно случайные данные несжимаемы, сэкономить элементы на их хранении можно только для неслучайных данных (иначе алгоритм сам станет более эффективной памятью).
Демонстрация нескольких алгоритмов формирования S-box, приводящих к тем же результатам, что в 2012 ГОСТе, напротив, свидетельствует об отсутствии закладок.
Закладка предполагает наличие второго секрета (закрытого мастер-ключа), к которому S-box представлял бы аналог открытого ключа. В противном случае взлом алгоритма представлял бы собой математическую задачу, доступную независимым исследователям в той же степени, что оригинальным разработчикам. Поэтому секрет должен иметь высокую энтропию, т.е. быть случайным. Любой практический алгоритм сам по себе имеет крайне низкую энтропию, поэтому секретом не является.
В таком случае существует большое множество возможных мастер-ключей, а значит и соответствующих им открытых ключей. Т.к. закрытый ключ не может быть получен из открытого, возможен только обратный вариант, при котором открытый ключ является функцией закрытого. Возможность воспроизвести референсный S-box без знания секрета свидетельствует о том, что он такой функцией не является.
Иными словами, низкая энтропия таблицы преобразований — косвенное свидетельство отсутствия закладок. Возможность уязвимости алгоритма это никак не исключает, только возможность привязки такой уязвимости к мастер-ключу с высокой энтропией.
Прежде всего, какой мастер-ключ, о чем вы? Это же блочный шифр. Выбор "плохих" узлов замены может ослабить всю суперпозицию преобразований и, в простейшем, например, случае, облегчить нахождение секретного ключа по паре текстов. Знание о том, чем именно плохи эти узлы, и является той самой лазейкой, или, как вы ее называете, "закрытым мастер-ключом".
Не то чтобы я не верил в принципиальную невозможность столь непревзойденной глупости (или измены) в России, но… зачем?
Сертифицированными УСКЗИ шифруются в основном или ПДн, которые ФСБ выдаются по первой писульке, или гостайна, сохранение которой не в общедоступности явно приоритетнее прослушки случаем пролетающей через всякие Континенты переписки. Пример намеренно некриптостойкого RC4 обратен, т.к. он делался как раз для гражданских.
Правильный, полезный для закладывающего бэкдор в алгоритме шифрования должен требовать секрета высокой энтропии для расшифровки. Схем шифрования с поддержкой второго ключа хватает и так, и обязать закладывать их в УСКЗИ куда проще, чем изобретать специальный алгоритм шифрования.
Иными словами, низкая энтропия таблицы преобразований — косвенное свидетельство отсутствия закладок. Возможность уязвимости алгоритма это никак не исключает, только возможность привязки такой уязвимости к мастер-ключу с высокой энтропией.
Как бы Вы правы, аргумент разумный. Но энтропия таблицы преобразований Кузнечика — вопрос философский. Сколько в ней бит? Раз-два и обчёлся. Т.е. для проповедников теории заговора математически не исключён вариант селекции «мастер-ключа» при создании, таким образом, что б создать видимость «небольшой» энтропии.
В теорию «раздолбаем» я бы больше поверил, но пока десятилетие исследований Стрибог и Кузнечик не дало хоть каких-нибудь результатов, которые бы её подтвердили бы.
Т.е. для проповедников теории заговора математически не исключён вариант селекции «мастер-ключа» при создании, таким образом, что б создать видимость «небольшой» энтропии.
Математически не исключен. Но подбор такого ключа под набор выходных данных с заранее предопределенной низкой энтропией будет равен по сложности собственно взлому алгоритма.
Точнее говоря, S.guess >= S.in-S.out, где:
S.guess — сложность подбора секрета
S.in — энтропия секрета (которой в свою очередь равна сложность его подбора)
S.out — энтропия выходных данных.
С чего Вы взяли, что то, что выделено красным — это то, что они взяли?! Судя по слайду, красным выделено то, что обладает явными недостатками. Наоборот, авторы хотели иметь сильный S-box с известной алгебраической структурой и свойствами. Именно такой они и выбрали. Другое дело, что они не афишировали его структуру, как это сделали разработчики белорусского стандарта BelT. Именно они исследовали экспоненциальные S-box-ы и их характеристики, что и послужило поводом (возможно) использовать аналогичные в Кузнечике. Напомню, что в том же AES используется инверсный S-box — тоже алгебраически заданный, с хорошими характеристиками. Случайные S-box-ы, как правило, не обладают такими свойствами.
А тот факт, что исследователям удалось вскрыть структуру и найти некоторые взаимосвязи, не доказывает наличие Бэкдора (как уже писали тут выше). Давайте тогда искать Бэкдор в AES или BelT, там ведь структура опубликована и общеизвестна?..
Слайд №8. Фейстель VS SP-сеть. Что выделено красным? (Кузнечик основан на SP сети)
Слайд №9 «Выбор нелинейного преобразования». Что выделено красным? (Кузнечик использует V8)
И так далее.
Мне искренне жаль вас с Beowulf. А студентам вашим я бы пожелал преподавателя, который умеет сопоставлять факты
- Бывают ли «плохие» SP-сети?
- Оценить вероятность того, что «случайная» SP-сеть «плоха», а также способы определения этого.
Мне кажется, Вы узнаете много нового. Быть может, и странности, внезапно, перестанут быть странными.
К счастью, вы в абсолютном меньшинстве
Нужна статья в рецензируемом журнале? Ссылка на неё есть в посте.
Я не виноват, что «Чукча не читатель» и до кучи ничего вам не должен.
и до кучи ничего вам не должен.
Ну кучу Вы тут уже большую наложили, спору нет…
По существу: Если слова «уважение к читателю» для Вас пустой звук, то нам конечно ни чего Вы не должны… Зато, очевидно, Вы должны «куратору» и очень не мало за возможность продолжать работать, что так из кожи вон лезете защищая свой около научный высер, который более того к Вам и вашей конторе ни какого отношения не имеет, как к субъектам находящимся вне правового поля ГОСТ и регуляторов вопросов ИБ России.
Прошу заметить, и я уже не первый — Вашу адекватность и иные качества ни кто тут не оценивал, хотя наверное стоило бы… и боюсь Вы оказались бы не в самом выгодном положении.
технических людей
WTF?! Переведите пожалуйста с Вашего на русский… Это роботы? Или шо это по мове?
Все остальные как-то смогли разобраться в чудовищной загадке нахождения оригинальной презентации
Ответьте сами себе на вопрос: если весь сокральный смысл в чтении оригинальной презентации, то зачем тут Вы? И Ваши «многа букаф» с явными оттенками желчи и предвзятости (где отсылки на Экспортный DES, урезанный до перебираемых характеристик службами одного известного всем государства, ослабленные реализации GSM и прочее? Хозяин запретил? В заказе не было указано?). Написали бы твит «Ура, Мама, научился читать по русски, рекомендую всем — вот кстати классная полная оригинальная презентация» и ссылочку) Вам только об этом и говорят, причём не смотря на Ваше поведение весьма сдержанно. Ясно было сказано «Вы указали на конкретный слайд, там так не сказано — объяснитесь», ни кого не унижая. Вы же только оскорбляете людей, Вам не знакомых и в Ваш адрес подобного не допускавших.
Да и про врагов вокруг говорите как-раз таки Вы (бэкдоры, закладки, тотальный контроль). Я пока локализовал только одного идеологического врага, но и к нему стараюсь проявлять какое-то уважение и снисхождение, не ставя диагнозы, ведь мы не знаем, что Вас довело до такой жизни.
p.s. Право определять кто читатель, а кто нет, к сожалению, не принадлежит автору после публикации… подумайте над этим на досуге
Вы верите, а не проверяете, ложное утверждение о случайности выбора.
Вы отвечаете не читая заданных вам вопросов.
Вы нагло врёте про «гнали ссаными тряпками».
После этого вы смеете кого-то, кроме себя, называть неадекватным?
Вам заплатили за «веру» авторам исследований, а не, например, авторам Кузнечика?
Мне кажется, что красным выделялся пункт, на который в данный момент докладчик обращал внимание слушателей. Следующий слайд про эксплуатационные характеристики нелинейного преобразования также наталкивает на мысль, что выбран был вариант с аналитической структурой, так как для случайного преобразования будет сложно минимизировать число операций для реализации подстановки.
Во-вторых, это уже будет другой шифр с другими характеристиками.
Я говорю о самой возможность использовать другую таблицу, где ее брать другой вопрос.
А тут, вот, панику подняли: странности!.. совпадения?!.. бэкдоры!.. нас всех обманули!..
Подобным в AES уже десять лет как пользуются:
www.shiftleft.org/papers/vector_aes
crypto.stanford.edu/vpaes
Зачем это делать с использованием уязвимости, которая может быть потенциально известна противнику, вместо того, что бы просто потребовать ключи шифрования?
Ну и собственно плохо не то, что их внедряют (защититься можно простым навешиванием aes/blowfish/etc), а то что гипотетически можно найти эту самую уязвимость не зная ее. Т.е. к секретным данным получит доступ «хакер Вася» или чужая разведка. А этим шифром закрыты не столько Ваши фотки, сколько действительно чувствительные для государства и населения данные. Например врачебная, банковская или военная тайна.
Для чего-то используют NSA Suite A, где сами алгоритмы секретны. Хотя Suite B с AES тоже подходит для SECRET и TOP SECRET.
А вот ФСБ имеет право потребовать любые ключи шифрования, не зависимо от алгоритма. И никакое навешивание дополнительных слоев от этого не спасает. Поэтому очень странно подозревать спецслужбы в таком сложном умышленном способе стрельбы в собственную ногу.
Мы говорим про случай, когда спецслужбы негласно получают информацию. А для гласного Вас могут просто допросить, возможно с применением «спецсредств», зачем с ключами заморачиваться? Вас спросят сразу о интересующей информации, а не о том, как она зашифрована.
В том, что потребовать ключи — не аргумент, согласен с Вами. Ключи могут и не существовать на момент, когда ФСБ захочет расшифровать данные.
Потому что вероятность независимого обнаружения бэкдора в опубликованном стандарте алгоритма стремится к единице.Совершенно необязательно. Как раз, если стандарт открыт, есть шанс, что бОльшее число исследователей сможет его изучить и подтвердить безопасность или обнаружить уязвимость.
Сноуденовские бэкдоры не в специфиакции алгоритма были, а были в закрытых реализациях отдельных вендоров.Давайте не путать теорию алгоритма с её реализацией. Не нужно проектировать алгоритм с математическим бэкдором, когда можно бэкдор внедрить в кремнии. И проще, и надёжнее.
Ну и кто сказал, что не может быть закладки в реализации ГОСТа в бинарниках конкретных вендоров?
Имея взломанную хэш-функцию, я могу подписывать запросы в СМЭВ от имени любого ведомства. От некоторых запросы идут с такого числа IP и так мусорно, что никто их кроме как на прохождение не мониторит, не то что контролировать. Теперь у меня есть доступ к подробным персональным и финансовым данным очень многих деловых людей.
Сами по себе они полезны хотя бы для инсайдерской торговли, т.к. я узнаю о многих сделках в момент заверения. Но это подготовка. Расшифровав росреестровские ключи, я могу начать корректировать статус недвижимости. Квартиру у бабушки отжимать, пожалуй, смысла нет — а вот поиграться со строителями и дольщиками можно. Главное вовремя выводить, суд это пока не пройдет.
Если хочется быть поближе к физикам, можно поработать с залогами. Досрочно погашаем ипотеки, освобождаем и продаем кредитные машины, изредка ценные бумаги. Хочется рискнуть как в нулевых — можно потрясти средний бизнес, блокируя их планы «техническими ошибками», разрешаемыми долгим судом.
Но вкуснее всего госзакупки. Как способный подписаться кем угодно, я могу валить заявки конкурентов и выиграть почти любой тендер на электронной площадке. Главное не наглеть, не перебивать дочек Нанонефтьпромов, а бить середняков. Контор, которые делают грязную работу по имитации выполнения контракта и выводу денег, полно, а хозяину шифра — процент от них.
Ну а если я представитель врага и вообще Джокер, который любит жечь деньги — то я обеспечу завал эфира столькими новостями о сбоях госсистем, что их придется закрыть и жить по бумажкам. Краха не будет, но хороший удар по экономике. Вдвое больше — когда мракобесы на этой волне победят и закроют интернет.
Да и все выше описанное возможно и в случае, если Вы случайным образом подберете «ключ» к бэкдору или получите его непосредственно от разработчика-саботажника.
На всякий случай: я за то, чтобы исходный код был открытым (и вообще за коммунизм)). Просто не считаю, что открытие исходников конкретно этого алгоритма дало бы выявить наличие или отсутствие бэкдора.
Открываем FIPS 186-4 смотрим оглавление в части «Prime Case» (P-256):
Appendix D: Recommended Elliptic Curves for Federal Government Use
D.1 NIST Recommended Elliptic Curves
D.1.2 Curves over Prime Fields
D.5 Generation of Pseudo-Random Curves (Prime Case)
D.6 Verification of Curve Pseudo-Randomness (Prime Case)
И как бы видна недостача пары разделов посвящённых базовой точке. Что как бы немного странно.
Очередные странности в алгоритмах ГОСТ Кузнечик и Стрибог