Очередные странности в алгоритмах ГОСТ Кузнечик и Стрибог

    Привет, %username%!

    Криптографические алгоритмы в России не проходят через открытые конкурсы, их просто спускают нам свыше. И рано или поздно это сильно нам аукнется. Эта статья об очередном исследовании наших ГОСТов.


    В 2016м году исследователи показали, что таблица перестановки в российских алгоритмах хеширования и шифрования Кузнечик и Стрибог имеет структуру, сильно далёкую от случайной. Это уже после того, как в Стрибоге была найдена тривиальная ошибка, уменьшающая его стойкость с 2512 до 2266.

    29 января 2019 года была опубликовано новое исследование «Partitions in the S-Box of Streebog and Kuznyechik», которое недвусмысленно намекает на теоретическую возможность бекдора в этих алгоритмах.

    Итак, S-Box — или таблица замены, является ключевым элементом безопасности во многих алгоритмах симметричного шифрования и хеширования. Пример такой таблицы приведен на рисунке.



    В общем случае эта таблица сопоставляет одной последовательности бит другую. А вот по какому принципу — всегда большой вопрос.

    Государственные структуры нередко ограничиваются их публикацией без какого либо рационального объяснения. В случае с DES АНБ предложило изменить S-Box до того как алгоритм стал стандартом. Только через много лет выяснилось, что это изменение на самом деле повышало стойкость DES к дифференциальному криптоанализу.

    В случае с новыми ГОСТами не всё так радужно. Авторы декларировали, что таблица замен выбрана случайным образом. Вот слайд из презентации алгоритма, на котором указано, что авторы выбирали таблицу случайным образом. Так, чтобы у неё не было явной структуры, которая помогла бы произвести эффективный криптоанализ. (Красным — то, что выбрали)



    Вот эта таблица



    Но, во-первых, как оказалось, она сгенерирована не случайным образом, а с помощью хитрого алгоритма, который расковыряли еще в 2015м.



    Во-вторых, авторы не оставили попыток выяснить причину такого подхода к конструированию S-Box и натолкнулись на очень интересные результаты.

    Оказалось, что алгоритмов, которые формируют таблицу замены, больше чем один. Разные группы исследователей описали абсолютно разные алгоритмы, которые не имеют почти ничего общего, но приходят к одной и той же таблице.

    Это навело авторов оригинального исследования на мысль покопаться в структуре этих алгоритмов поглубже и найти общие элементы, что им с успехом удалось.

    TKlog


    TKlog — конструкция перестановки, которую авторы криптоанализа назвали в честь российской конторы ТК-26, где и были созданы Кузнечик со Стрибогом. Её описание сильно выходит за рамки данной статьи, желающие могут обратиться к оригиналу. Если в двух словах, то её ключевым свойством является использование дискретного логарифмирования, прям как в асимметричной криптографии.

    Что важно, так это тот факт, что оба варианта функции замены из ГОСТовских алгоритмов являются частным случаем конструкции TKlog. Как и еще одна функция замены из белорусского алгоритма BelT. Функции разные, но сводятся к одной.

    Скрытый текст



    Тот факт, что разных вариантов преобразования TKlog крайне мало, говорит о преднамеренном использовании именно этой, нерандомизированной структуры вместо случайной, показанной нам на слайде.

    Разбиения на смежные классы


    Ключевым свойством преобразования TKlog является то, что оно работает с так называемыми смежными классами (cosets). И сопоставляет одни другим.

    Проблема в том, что эти смежные классы бывают мультипликативными, как во всех обычных алгоритмах. А бывают аддитивными.

    Так вот, единственный известный случай, когда аддитивные смежные классы использовались в функции замены блочных шифров — специальное создание бекдора. Информация об этом находится в работе 2016 года.

    Такие бекдоры называются NOBUS, сокр. от «NObody But US», это уязвимости, которые могут эксплуатировать только сами авторы алгоритмов.

    Вместо заключения


    Авторы криптоанализа не представили новых атак на существующие алгоритмы ГОСТ, но задались справедливым вопросом целесообразности всего этого цирка с якобы случайной таблицей перестановки.

    АНБ не так давно попыталось протолкнуть в стандарты свои легковесные симметричные алгоритмы Simon и Speck. И самого факта наличия таблиц замены с дизайном, описания которого предоставлено не было, хватило чтобы их отовсюду прогнали ссаными тряпками.

    У нас такой возможности нет.

    P.S. не забываем, что Стрибог использовался для генерации параметров новых ГОСТовских эллиптических кривых. С помощью него хэшировали мистическую константу W.
    Virgil Security, Inc.
    260,00
    Мы превращаем программистов в криптографов.
    Поделиться публикацией

    Похожие публикации

    Комментарии 228

      +17
      Картинка:)
      image
        –12

        Это вы про AES, который входит в NSA Suite B, но гос.органы использую закрытые шифры из NSA Suite A?

        0
        Для чего вы хотите использовать ГОСТовые алгоритмы?
          +41
          Национальные алгоритмы не используют «потому что хотят». Это требование при работе с различными организациями
            +6
            Это понятно, про не используют «потому что хотят».
            Вопрос в том, а есть ли в этом реальная проблема.
            Вот есть два субъекта, один гос, второй не гос.
            Обмениваются они между собой шифрованной информацией по ГОСТу.
            Ну допустим у спецслужб есть доступ к этой информации. И что? Спецслужбы итак с любой госконторой сотрудничают.
              0
              Зачем тогда такие сложности, почему просто не заставлять законом шифровать всё на еще один ключ?
                +9
                Это слишком явно и заставит многих людей искать иные способы защитить информацию.

                А бэкдор — это тихо, уютно, лампово.
                  0
                  Явно, но это возвращает нас к предыдущему комментарию. «И что?» Это ведь гос сектор, где спецслужбы и так имеют ко всему доступ.
                    +1
                    Почему обязательно госсектор?

                    Никто не запрещает использовать ГОСТовые шифры в любых других областях, в которых на вопрос «зачем?» ответ «а почему нет?». Мало ли почему. Да хоть чтобы тендеры выигрывать, внося в требования поддержку Кузнечика.
                      +6
                      Разница есть, бэкдор позволяет получать информацию «анонимно», то есть агенты не будут знать, что информация может попасть в третьи руки.

                      И еще немного нубский вопрос: позволяет ли такой бэкдор в алгоритме подменять данные (не просто слушать, а еще и фальсифицировать передаваемые данные)?
                        +1
                        Вероятнее всего, подменить данные не получится, но это как повезёт. Но в любой нормальной системе, где используется любой код подтверждения (начиная с алгоритма Луна и заканчивая sha-хэшами), это уже не прокатит.
                          0

                          В (условно) нормальной системе вместо SHA вполне может использоваться как раз Стрибог, в котором может быть "недостаток" (как, впрочем, и в SHA).

                            0
                            sha-хэш сам по себе не может быть кодом подтверждения.
                            Вспомню историю с git и sha-коллизиями.
                      0
                      Для того чтобы абы кто не получал доступ к информации.
                      Если бы с одним ключом был реалистичный сценарий, то использовали бы его. Но увы.
                        –2
                        Смысл в том, что бекдор для «своих» спец служб. Будете шифровать RSA — будут американцы слушать.
                        Тут скорее бекдор «на всякий случай».
                        0
                        Сотрудничать-то сотрудничают, но спецслужбы на то и спец, что бы работать не привлекая к себе лишнего внимания, и вопросами автоматизации своей работы они занимаются с незапамятных времен…
                        … не нужно думать что механизм под названием государство, есть нечто целостное, и единомысленное, жесткость и вертикальность любой власти, она сильно преувеличена ибо у людей всегда есть личные интересы…
                          +3
                          Если там есть NOBUS, то на его разработку было потрачено усилий и средств сильно больше, чем позволяют какие-то ни было личные интересы. Очевидно, что никто в здравом смысле по собственному желанию не будет использовать ГОСТы. Так зачем тратить столько усилий? Как может окупиться работающий бекдор в ГОСТовском алгоритме?
                            +1
                            А кто сказал, что «окупиться» должно только в экономическом смысле?
                              +4
                              Очевидно, что никто в здравом смысле по собственному желанию не будет использовать ГОСТы.
                              Почему нет? Чем алгоритмы ГОСТ плохи, помимо отсутствия настолько же скоростных реализаций, по сравнению с более популярными алгоритмами? orignal по собственному желанию добавил поддержку подписи и хеширования по ГОСТ Стрибог в ПО анонимной оверлейной сети I2P i2pd.
                                –1
                                Почему нет?

                                В вопросах шифрования данных нет доверия всему российскому. Про остальные ГОСТы, не относящиеся к шифрованию, речи не идет, конечно.
                                  –1
                                  В вопросах шифрования данных нет доверия всему российскому.

                                  Как говорил один хороший человек: «Очень сильное утверждение… проверять я его, пожалуй, не стану.»
                            +8
                            Ну проблема бэкдоров в том, что они могут использоваться и кем-то помимо того, кто этот бэкдор внедрил. Но как всегда подразумевается, что о бэкдоре никто не узнает. Мышление «security through obscurity» никуда не делось.
                              0
                              Основная проблема в том, что наличие бэкдора снижает стойкость шифрования по определению. К нему могут получить доступ третьи лица, не относящиеся к спецслужбам (в результате утечки/слива или грамотного анализа), и тогда скомпрометированной станет вся система шифрования, а не один ключ, который можно заменить… Причем не факт, что о доступе третьих лиц (например спецслужб, но других ;) ) станет известно хоть сколько-нибудь оперативно.

                              Беда всех подобных кейсов со спецслужбами, что они считают себя самыми умными, а это далеко не всегда так. Можно быть честным гражданином и скрепя сердцем соглашаться с тем, что кто надо имеет доступ к чему-то такому, что составляет личную либо коммерческую (а то и страшно подумать — государственную!) тайну. Но вот доверия к их непогрешимости, а главное — компетентности что-то нет… В том числе из-за вот таких вот казусов. (
                                0
                                проблема в том, что в нашем государстве испокон веку «принадлежащее госконторе = общедоступное», разнообразнейшие базы с любыми данными физических и юридических лиц тому подтверждение
                                а используется криптография внезапно в том числе для ЭЦП, то есть подтверждения отправителя
                                плюс всех в принудительном порядке перевели в цифру во всех областях
                                в итоге мы получаем бескрайний простор для злоупотреблений, подтасовок, подстав, вымогательств и прочая и прочая
                                  0
                                  Такая проблема (утечка данных) есть, и не только в гос секторе.
                                  Но причем здесь ГОСТ и предположение о том, что возможно в ГОСТе есть закладка?
                                  И причем здесь возможная закладка в ГОСТовом алгоритме шифрования, и алгоритм хеширования, который используется при подписании. Давайте не будем смешивать разные проблемы.
                                    0
                                    нормальный алгоритм шифрования не должен бояться утечек данных, потому что он должен быть открытым
                                    ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования» — действующий российский криптографический стандарт, определяющий алгоритм и процедуру вычисления хеш-функции
                                    Название хеш-функции — «Стрибог», по имени славянского божества, — часто используется вместо официального названия стандарта, хотя в его тексте явно не упоминается

                                    вики
                                    там и про S-box есть
                              –1
                              Как вариант, если их протолкнуть в стандарты, то везде где их требуют в приказном порядке, они будут просто работать, без адовой кучи геморроя с покупкой, установкой, настройкой и «поддерживается только на WinXP SP1».
                                0
                                Так эту ГОСТовую криптографию потому и не включают ни в стандарты, ни в реализации библиотек.
                                +6
                                ФСБ требует, чтобы для работы с персональными данными использовались «сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства».
                                  +6
                                  Если Вы не поленились разобраться с этими доками — может, скажете, возбраняется ли ими шифровать «в два слоя» — скажем, AES, а поверх ГОСТ (понимаю, что электричества сожрём больше, но если кому надо и требованиям удовлетворить, и не думать, есть ли бэкдор — выглядит выходом)
                                    0
                                    Кто-то говорил, что с точки зрения нормативки, западные алгоритмами шифрованием не считаются.
                                    Поэтому второй слой, это будет просто математическое преобразование по определенному алгоритму (наверно).
                                      +2
                                      Расскажите это тем, кто требует наличие нотификации от ФСБ для ввоза к нам BLE модулей, у которых AES 128 аппаратно унутре сидит.
                                        +1
                                        Причем тут нотификация? Импорт шифровальных средств, это отдельная нормативка.
                                        Речь же шла о реализации некого преобразования поверх шифрования ГОСТ.
                                          0
                                          Наверное при том, что если бы западные алгоритмы не считались шифрованием, то и разрешений на ввоз девайсов, их содержащих, не требовалось бы.
                                            +1
                                            Требуется, но по другой причине.
                                            Неужели не видно разницы, когда ты ввозишь чужое устройство, и когда предоставляешь свое устройства для изучения вместе с исходниками?
                                              0
                                              с точки зрения нормативки, западные алгоритмами шифрованием не считаются

                                              это будет просто математическое преобразование по определенному алгоритму


                                              Это ваши слова? AES разработан у нас?

                                              Я всего лишь хотел сказать, что ваша формулировка в реальности не применима.
                                              Какая разница, как именно реализовано шифрование — аппаратным блоком или программно. Шифрованием оно от этого не перестает быть.
                                                +3
                                                Давайте попробуем на примерах:
                                                Представим, что нужно выполнить требование: «обеспечить криптографическую защиту канала связи»

                                                Это требование вы не закроете ни одним западным алгоритмом, т. к. что бы пройти наших регуляторов, им требуется шифрование ГОСТ. Поэтому я и написал, что западный алгоритм за шифрование не считается (за сертифицируемое шифрование).

                                                Но что вы накрутите сверх этого, зависит от вас. Сможете обосновать необходимость дополнительного преобразования, например эквивалентного AES, значит сертификацию пройдете (конечно, если ГОСТ будет правильно реализован).

                                                Какая разница, как именно реализовано шифрование — аппаратным блоком или программно. Шифрованием оно от этого не перестает быть.

                                                Я специально выделил ключевые места. Чужое устройство или свое с исходниками. В данном контексте, возможность задействования аппаратных блоков роли не играет.
                                                  0
                                                  > (конечно, если ГОСТ будет правильно реализован)

                                                  Вы в какие-то дебри ушли и рискуете запутаться и запутать читателей. Тезисно:
                                                  1) Абы кто не имеет права реализовывать ГОСТ с целью его использования как СКЗИ, ибо разработка СКЗИ является лиценизруемой деятельностью
                                                  2) Никто из лицензиатов не будет внедрять схему двойного шифрования дополнительным западным алгоритмом. По разным причинам, от экономических, до нормативно-правовых.
                                                  3) А вот как пользователю, который приобрел сертифицированное СКЗИ, вам не запрещается шифровать внутри ещё и AES'ом, или чем-нибудь ещё.
                                                  4) Не понятно пока, где это возможно применить. Очевидно, что поддержка двойного шифрования должна быть реализована с двух сторон, при этом в текущей ситуации второй стороной является какой-нибудь госорган, который явно это не будет поддерживать. Использовать же ГОСТ между частными структурами и при этом передавать какие-то важные вам данные — тоже странно. Есть, например, сценарий передачи банком вашей кредитной в БКИ. Но в этой истории единственный интересант, которому важна конфиденциальность данной информации — это субъект кредитной истории, то есть заёмщик, но он просто напросто исключен из этого обмена ) Таким образом, мы видим, что у сторон, обменивающихся данными, шифрованными ГОСТом нет никакой заинтересованности в том, чтобы данные сведения были конфиденциальны. Либо же данная информация предназначается государству.
                                                    +1
                                                    Пожалуйста, не путайте кислое с мягким.
                                                    1) Абы кто не имеет права реализовывать ГОСТ…
                                                    Реализация алгоритма != разработка СКЗИ.
                                                    Но мы же говорим про гипотетическую возможность реализации AES поверх ГОСТ в рамках честного СКЗИ, значит у честного разработчика эта лицензия должна быть.
                                                    2) Никто из лицензиатов не будет внедрять…
                                                    Вам не кажется, что это дело самих лицензиатов?

                                                    3) А вот как пользователю, который приобрел сертифицированное СКЗИ...
                                                    Пользователю вообще запрещено что либо модифицировать внутри СКЗИ, тем более, если этот функционал не закладывался разработчиком.

                                                    4) Не понятно пока, где это возможно применить...
                                                    На вскидку могу предложить следующие варианты:
                                                    • реализация единого решения как для продажи внутри России, так и для экспортого варианта
                                                    • всякие шлюзы, для подключение зарубежных представительств российских компаний к головному офису в России (у них западное оборудование, а у нас ГОСТ)
                                                    • удовлетворение академического интереса (ну прям как сейчас ;-) )

                                                      0
                                                      > Вам не кажется, что это дело самих лицензиатов?

                                                      Не кажется.

                                                      > Реализация алгоритма != разработка СКЗИ.
                                                      Но мы же говорим про гипотетическую возможность реализации AES поверх ГОСТ в рамках честного СКЗИ, значит у честного разработчика эта лицензия должна быть.

                                                      > Пользователю вообще запрещено что либо модифицировать внутри СКЗИ, тем более, если этот функционал не закладывался разработчиком.

                                                      Вы занимаетесь в этих абзацах словоблудием. С одной стороны вы приравниваете пользователя СКЗИ к юзеру, тыкающему кнопки в браузере. Однако это не так. Пользователь СКЗИ может спокойно себе разрабатывать свою информационную систему, которая использовует сертифицированное СКЗИ для шифрования трафика. Между тем, как разработчику этой ИС, ему ничто не мешает подавать на вход СКЗИ уже шифрованный AES'ом или другим алгоритмом трафик. Правда ведь?

                                                      Так вот, пользователю СКЗИ с одной стороны нужно сертифицированное СКЗИ, чтобы закрыть нормативно-правовой аспект работы своей информационной системы. И здесь он не имеет права разрабатывать свою имплементацию ГОСТа в общем случае. С другой стороны ничто не мешает ему подавать на вход СКЗИ уже шифрованный другим алгоритом трафик, и тут нету нужды влезать внутрь СКЗИ и производить там какие-либо модификации.
                                                        +1
                                                        Вам не кажется, что это дело самих лицензиатов?
                                                        Не кажется.
                                                        Ну раз так, тогда ОК. Может поделитесь статистикой, сколько разработчиков СКЗИ у вас уже консультировались?

                                                        А насчет словоблудия, перечитайте пожалуйста исходный тезис. Я уже несколько раз вам пояснял, что речь идет о вопросе с точки зрения разработчика СЗКИ.
                                                          0
                                                          >Может поделитесь статистикой, сколько разработчиков СКЗИ у вас уже консультировались?

                                                          Батенька, давайте вернемся к тому вопросу, где вы можете из себя хоть что-нибудь представлять в этой дискуссии, а именно к теоретическим фантазиям реализации и комбинирования схем шифрования. А то уж как-то больно резко вы скатываетесь в говнодоводы. Консультироваться у меня — не консультировались. Но профессионально общался на подобные темы с несколькими работниками нескольких различных вендоров СКЗИ (в частности ЛИССИ и Инфотекс, а так же ещё пары, которые кажется уже почили в бозе). Не буду утверждать, что высказанные мне мнения являются официальной позицией каждого конкретного вендора, тем не менее мотивация была ясна. И, в отличии от вашего опыта общения с разработчиками СКЗИ, похоже, что мой опыт в бесконечное количество раз больше. Так что повторяю — не кажется. Впрочем, к нашей дискуссии это не имеет совершенно никакого отношения.

                                                          > Я уже несколько раз вам пояснял

                                                          Как вы могли мне пояснить несколько раз, если до этого камента вы мне ответили только один единственный раз? Что-то вы путаетесь в показаниях, милейший.

                                                          > что речь идет о вопросе с точки зрения разработчика СЗКИ.

                                                          Читаю ваш камент, на который я оставил свой первый камент. Цитирую:

                                                          Давайте попробуем на примерах:
                                                          Представим, что нужно выполнить требование: «обеспечить криптографическую защиту канала связи»


                                                          То есть вы априори не рассматриваете задачу разработки СКЗИ, а рассматриваете задачу его применения. Разработчик СКЗИ не занимается тем, что обеспечивает защиту канала связи. Разработчик СКЗИ занимается тем, что разрабатывает СКЗИ, которое может быть использовано для этих целей. Так что вы сформулировали задачу прикладного применения СКЗИ с большим желанием применить схему двойного шифрования.

                                                          При этом я с вами полностью согласен — применение зарубежных алгоритмов шифрования не считается криптографической защитой. И поэтому не входит в состав СКЗИ и не может туда входить.

                                                          Если же вы по прежнему хотите рассматривать эту задачу с т.з. разработчика СКЗИ (хотя я в душе не понимаю для чего), то попробую вам аналогию подыскать: вы хотите найти (для себя) первоклассного нейрохирурга, но в перечне ваших требований к кандидату имеется требование, чтобы данный врач производил лечение гомеопатией в востановительный период после операции.
                                                            +1
                                                            Ок, значит мы остались каждый при своем мнении, тем более, что у меня нет задачи вас в чем-то убедить.

                                                            Кстати, раз уж вы так гордитесь общением с
                                                            работниками нескольких различных вендоров СКЗИ
                                                            то ставьте себе еще +1.
                                                              0
                                                              > Ок, значит мы остались каждый при своем мнении, тем более, что у меня нет задачи вас в чем-то убедить.

                                                              А как же «в интернете кто-то неправ»? )))

                                                              > Кстати, раз уж вы так гордитесь общением с

                                                              Какой-то вы странный. Почему вы решили, что я этим горжусь? Вы гордитесь тем, что вам приходится общаться с коллегами? Или разрабы СКЗИ у вас где-то между богами и Фредди Меркьюри? ))) Или всё дело в том, что вы решили меня спросить о «статистике», будучи уверены в том, что такой «статистики» у меня нет, но испытали облом? Ну что… бывает. Но не вижу в этом повода для гордости.

                                                              > то ставьте себе еще +1.

                                                              Ещё один к чему? И зачем мне эти ваши плюсы? Вы тут из-за плюсов сидите и всё это пишете? Давайте я вам поставлю сейчас пачечку.
                                                    0
                                                    Сможете обосновать необходимость дополнительного преобразования, например эквивалентного AES, значит сертификацию пройдете (конечно, если ГОСТ будет правильно реализован)


                                                    Даже обосновывать не надо, если ГОСТ реализован.
                                        +4
                                        Если говорить об электричестве, то AES сейчас практически бесплатный, во многих процессорах, т.к. реализован аппаратно.
                                          0
                                          если к вам придут из ФСБ и скажут, что вы используете несертифицированное криптосредство для работы с ПД?
                                            +1
                                            Вот об этом я и спрашиваю. Пока из информации — только коммент выше от rsashka, но информация из третьих рук не годится. Вы, я так понял, тоже не выясняли и не разбирались.
                                              0
                                              Обсуждалось предположение:
                                              возбраняется ли ими шифровать «в два слоя» — скажем, AES, а поверх ГОСТ
                                              А за несертифицированное криптосредство естественно по башке настучат.
                                                0
                                                А я покажу сетификат СКЗИ на какой-нибудь Крипто-Про и спрошу: «Какие ваши доказательства?»
                                                0
                                                Не возбраняется, но сертификат не получите :)
                                                  0

                                                  Вы разобрались (если да — то было бы здорово увидеть, где нормативные документы указывают на недопустимость второго слоя, а не на необходимость использования ГОСТ) или это предположение?

                                                    +2

                                                    Коап ст. 13.12 ч.2 предусматривает ответственность на использование несертифицированных средств защиты информации.

                                                      0
                                                      Это не совсем то: если вы просто реализуете ГОСТ — у вас тоже будет «несертифицированное средство». Вопрос, по сути, в том, мешает ли лишний слой шифрования пройти сертификацию.
                                                        +1
                                                        Лишний слой не мешает, только не надо его называть шифрованием (иначе придется обосновывать его). Вы можете делать любые преобразования данных для соответствия формату хранения/передачи, а потому уже полученный данные защищать сертифицированным средством. Можно и наоборот, защищать исходные документы сертифицированным средством, а потом проводить преобразования для соответствия формату передачи, например, IPsec с AES. Только зачем? Любые лишние преобразования тратят ресурсы системы.
                                                      0
                                                      Формально не возбраняется.
                                                      А они запускают тест, который например пытается используя уязвимость взломать шифрованное сообщение и получает отрицательный результат. Вам сообщают «Программа не прошла внутреннее тестирование. Отказать.»
                                                      0
                                                      Важно не смешивать абсолютно разные понятия:
                                                      1. «сертификат» на средство криптографической защиты информации (СКЗИ)
                                                      2. «аттестат» на систему защиты персональных данных
                                                      По п.1, разумеется, никакие зарубежные криптоалгоритмы и СКЗИ, их использующие, у нас сертифицированы как СКЗИ не могут быть.
                                                      По п.2.
                                                      Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
                                                      — если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
                                                      — если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
                                                      (см. методические рекомендации ФСБ от 31.03.2015 № 149/7/2/6-432; и да, «рекомендации ФСБ» в области крипты никто не оспаривает)
                                                      И именно эти СКЗИ, упомянутые выше, должны быть сертифицированы ФСБ, т.е. по нашим ГОСТам.

                                                      Использовать для собственных нужд (не для декларируемой защиты ПДн) зарубежные криптоалгоритмы никто не запрещает. И, соответственно, на аттестацию системы защиты ПДн это не влияет. Главное, чтобы в необходимых случаях использовались сертифицированные СКЗИ.
                                                      p.s. это в части защиты сведений, не составляющих государственную тайну.
                                                      p.p.s. Вопрос ввоза устройств с зарубежными криптоалгоритмами к этой теме вообще никак не относится, совершенно иные задачи.
                                                      +1
                                                      Судя по действующему законодательству, не возбраняется.
                                                      Есть ФЗ «О персональных данных», дающий право Правительству право разрабатывать правила обработки ПД. Есть постановление Правительства «Об обеспечении безопасности персональных данных...», дающее право ФСБ устанавливать методы и способы защиты. Есть изданные ФСБ «Типовые требования...», устанавливающие, что операторы ПД должны соблюдать «Положение о разработке... и »Методические рекомендации...". И вот уже в «Методических рекомендациях...» сказано буквально следующее:
                                                      Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные...
                                                      То есть присутствует требование наличия как минимум одного сертифицированного СКЗИ, иначе было бы написано «должны использоваться исключительно сертифицированные».
                                                        0
                                                        Хм, и есть коап 13.12 ч.2, наказывающий за использование несертифицированных СКЗИ там, где нужно использовать сертифицированные. Это можно трактовать достаточно широко.
                                                          +1
                                                          Так никто не заставляет шифровалку AES'ом называть СКЗИ. Главное, чтобы как минимум одним сертифицированным СКЗИ данные закрывались. По определению из методических рекомендаций,
                                                          «Криптосредство — шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) — шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

                                                          Так что создайте преобразователь данных, пишущий в своём формате, внутри которого зачем-то есть некая функция преобразования с непонятной вам логикой работы, подозрительно похожей на шифрование AES. Главное, что он предназначен не для шифрования данных, я для их преобразования в удобный вид — напиример, XML с блобом внутри.
                                                          Риск невелик, штраф в КоАП для организации смешной.
                                                            0
                                                            а средства дл защиты информации, содержащей сведения, составляющие государственную тайну как называются? не криптографические?
                                                              0
                                                              Программно-технические средства криптографической и стенографической (sic!) защиты информации.
                                                                0
                                                                стенографической или стеганографической?
                                                                  0
                                                                  Так я и отметил, что почему-то «стенографической». Фигли, 1999 год, ФСБ, набор по объявлениям в бесплатных газетах.
                                                        +1

                                                        Можно. По крайней мере так делают именно для того, чтобы шифрование было "православным", при этом не трогая родной слой шифрования, который не всегда есть возможность убрать.

                                                    +5
                                                    Всегда интересовал вопрос, что будет, если опубликованная информация (в шутку, как пример или как результат изучения), будет в точности соответствовать реальной, а автор публикации в действительно не имеет доступа к первоисточнику (например, источник имеет гриф секретности).
                                                      +7
                                                      Т.к. объективно доказать, что человек не имел доступа к чему-либо, невозможно, даже в идеальном случае суд будет исходить из правдоподобности заявлений защиты и обвинения.

                                                      То есть, если в статье на хабре в коде комментарии такие же, как в совсекретном документе, сданном в архив десять лет назад, то посадят, а если просто «схожесть до степени смешения» и опрошенный эксперт говорит, что выводы сделаны достаточно очевидные для того, чтобы без посторонней помощи до них дойти — то отпустят.

                                                      Хотя на самом деле такие процессы во всём мире в меньшей степени правосудие и в большей степени — публичная демонстрация государством границ, за которые его гражданам залезать не рекомендуется.
                                                        +4
                                                        Вот только у нас правосудие почти не работает. И полностью не работает, если обвинитель государство.
                                                          +4
                                                          Оно нигде не работает, если службы госбезопасности всерьёз решили сделать вас своим врагом.
                                                            +5
                                                            Почему так упорно пропагандируется эта мысль? Посмотрите как боролся с системой Мохаммед Али, когда не захотел воевать во Вьетнаме. И таких примеров много (за исключением советского и постсоветского пространства)
                                                              –3
                                                              Расскажите как он боролся?
                                                              как он все потерял в самой важной для себя области?
                                                              как у него жизнь сразу наладилась после известных высказываний?
                                                                +3
                                                                Википедия говорит нам следующее:
                                                                On April 28, 1967, Ali appeared in Houston for his scheduled induction into the U.S. Armed Forces, but he refused three times to step forward when his name was called. An officer warned him that he was committing a felony punishable by five years in prison and a fine of $10,000. Once more, Ali refused to budge when his name was called, and he was arrested. Later that same day, the New York State Athletic Commission suspended his boxing license and stripped him of his title. Other boxing commissions followed suit. Ali remained unable to obtain a license to box in any state for over three years.[157][page needed]

                                                                At the trial on June 20, 1967, the jury found Ali guilty after only 21 minutes of deliberation of the criminal offence of violating the Selective Service laws by refusing to be drafted.[22] After a Court of Appeals upheld the conviction, the case was reviewed by the U.S. Supreme Court in 1971.[158]


                                                                In a secret operation code-named «Minaret», the National Security Agency (NSA) intercepted the communications of leading Americans, including Ali, Senators Frank Church and Howard Baker, Dr. Martin Luther King Jr., prominent U.S. journalists, and others who criticized the U.S. war in Vietnam.[169][170] A review by the NSA of the Minaret program concluded that it was «disreputable if not outright illegal.»[170]

                                                                In 1971, his Fight of the Century with Frazier provided cover for an activist group, the Citizens' Commission to Investigate the FBI, to successfully pull off a burglary at an FBI office in Pennsylvania, which exposed the COINTELPRO operations that included illegal spying on activists involved with the civil rights and anti-war movements.
                                                                +9
                                                                А вы посмотрите лучше на Ассанжа. Как только краешком задел интересы спецслужб (не постсовка) так тут же и изнасиловал кого-то там. Удобно как.
                                                                  +2
                                                                  Как только краешком задел интересы спецслужб

                                                                  Ассанж отправил в Аль-Джазира, The Guardian, Der Spiegel и The New York Times около 100 тыс. секретных документов о ходе войны в Афганистане, а также десятки тысяч документов о войне в Ираке. Часть документов касается расстрела мирных жителей. После публикации некоторых свидетельств, особенно видеоинформации, разразился международный скандал.
                                                                  Ассанж также заявлял, что в его распоряжении находится ещё около 15 тыс. секретных документов Пентагона.
                                                                  В июле 2012 года Ассанж сообщил, что Wikileaks опубликует около 2,4 млн документов, связанных с конфликтом в Сирии.
                                                                  Что тогда по вашему не краешком?

                                                                  так тут же и изнасиловал кого-то там. Удобно как.

                                                                  Я верю Шведской прокуратуре, судебным органам и Верховному суду. Тем более есть конкретные истцы (хоть имена и не разглашаются СМИ). И он обвиняется в том, что совершил половой акт с без презерватива.
                                                                    0

                                                                    Я тоже верю шведской прокуратуре, но я не верю в ТАКИЕ совпадения.
                                                                    Считая себя рационалистом, я рассматриваю конспирологические версии в самую последнюю очередь. Но прослеживается определённый паттерн ситуаций и реакций. Даже без учёта "казуса Стросс-Кана" вам не кажется ли, что секс без резинки спустя хрен знает сколько месяцев — явно недостаточный повод для угрозы штурмовать полицейским спецназом посольство иностранного государства и постоянного дежурства около него? Подобные меры выглядели бы вполне логично и понятно для Сноудена, например, или будь Ассанж обвинён конкретно в том, что он натворил — раскрыл какие-то там секреты, а так это выглядит как плохо прикрытый фарс под указку американцев :(

                                                          0
                                                          Если вы знаете что-то секретное, и не может никому об этом сказать, напишите художественное произведение. Где все в точности опишите что знаете, и еще насочиняйте по разными темам. Если что — это все «художественный вымысел автора».

                                                          По непроверенным данным, такое делал Виктор Суворов (Резун) «Контроль», «Выбор».
                                                            +5
                                                            Суворов/Резун — мимо. На момент открытия литературного таланта он не был связан подпиской/присягой и мог писать правду в открытую, если бы было о чем писать. Цирк с литературой связан именно с тем, что сухие факты не шокировали бы публику и не обличили власть от слова совсем. Всех шокируют именно «литературные преувеличения» Резуна, а не факты, которые несомненно присутствуют в тексте.
                                                            +6
                                                            Информация?

                                                            Можно за тезисы доклада, опубликованные в открытой печати, срок получить.
                                                            Или если резюме не туда послали.
                                                            Или не дай бог корабль военный увидите и решите поделится с кем-нибудь
                                                              0
                                                              Корабль мимо — там не гос тайна, а гос измена, судя по вашей ссылке. А стучать погранцам чужого государства (всего через год после 888) это точно измена.
                                                                +1
                                                                Если уж судить по ссылке: "… передала сведения, составляющие государственную тайну"
                                                                  –1
                                                                  Я «полное описание» не читал, в кратком тайны нет. Но в любом случае, перемещение военнослужащих является гос тайной. Даже если оно происходит по дорогам общего пользования.
                                                                0
                                                                Если вы его публикуете в РФ, то нельзя. Если что, срок получит дедушка из отдела «защиты информации». Ибо вы ни слова никогда и нигде в РФ даже в занюханном местячковом институтском журнальчике не опубликуете без «экспертного заключения». С одной стороны, из-за этой реально никому не нужной бумажки часто проще за бугром опубликоваться. А, с другой, если что, можно успешно прикрыться. В бумажёнке написано, что «не содержит сведений»? Всё, идити лесом, ребята!
                                                                  +1
                                                                  Вообще интересно, а как они узнали про резюме в радиотехнический центр министерства обороны Швеции, у них что там, свой шпион в отделе кадров?
                                                                  0
                                                                  Придут и начнут задавать вопросы. Реально был такой случай, когда в какой-то статье нашего физика обнаружились формулы, точно совпадающие с украденными из Манхэттенского проекта.
                                                                    0
                                                                    В России это ненаказуемо; секретные сведения должны быть стать известны разгласившему по работе, службе или переданы иным предусмотренным законодательством способом для наступления уголовной ответственности. Исключение — сбор с целью передачи другому государству (т. е. шпионаж).
                                                                      0
                                                                      Ну т.е. если у Вы расписывались в получении секретных данных, то сразу пойдете по госизмене, а если нет, то сначала пойдете в разработку за шпионаж (ну и год-два-десять будете гулять на свободе, под пристальным присмотром) и только потом сядете.
                                                                      Не, это нормально, защита государства — дело важное. Но хотелось бы, чтобы иногда включали мозг и не доводили дело до ломки человеческих судеб, когда гостайной является «секрет Полишинеля».
                                                                        0
                                                                        Статья УК РФ 276 «Шпионаж» отличается от 275 «Государственная измена» лишь тем, что 276 применяется к иностранным гражданам или лицам без гражданства.
                                                                          0
                                                                          Извиняюсь, был не прав. Буду точнее в формулировках.
                                                                          С другой стороны, вчитаясь в 275 УК РФ: "… сведений, составляющих государственную тайну,… или в иных случаях, предусмотренных законодательством Российской Федерации, либо оказание… консультационной… помощи… в деятельности, направленной против безопасности Российской Федерации,..."
                                                                          Т.е. навредил стране — изменил. Другой вопрос, является ли раскрытие уязвимости шифра вредом? И не является ли вредом внедрение (умышленное и/или случайное) уязвимости в шифр.
                                                                      0
                                                                      Тогда мы узнаем в авторе Дирка Джентли.
                                                                      +5
                                                                      Автор исследования Partitions in the S-Box of Streebog and Kuznyechik вчера вынес его на обсуждение в мейллисте CFRG. Проследить за обсуждением можно здесь.
                                                                        +4
                                                                        Кузнечик и Стрибог

                                                                        Боже
                                                                          +37
                                                                          WIKI: Стрибо́г (др.-рус. Стрибогъ[1]) — божество древнерусского пантеона с неустановленными функциями
                                                                          Символичненько, не находите? :)
                                                                            +9
                                                                            Ничего нового: Огонёк (7ствольный гранатомёт), Нежность( наручники), Тюльпан ( САУ), Диагноз( топосферная станция), Зоопарк (комплекс артразведки и управления огнём), Колибри (противолодочная торпеда), Балеринка (авиапушка).
                                                                            А ещё есть Кузнечики — мобильный роботехнический комплекс МРК-02.
                                                                              +4
                                                                              И резиновая дубинка «Аргумент».
                                                                                +1
                                                                                Там много всякой артиллерии с именем цветов: «Тюльпан», «Акация», «Пион».

                                                                                Но самое странное название — миномёт «Поднос» (а брат у него — «Василёк»). Больше кухонной утвари в армии, вроде, нет.
                                                                                  +3
                                                                                  Тяжелая огнеметная система «Буратино», и её наследник «Солнцепек»
                                                                                    0

                                                                                    Чую, знатно от "солнцепека" у противника припекает. )

                                                                                    +5
                                                                                    С артиллерией всё просто: когда прилетает — в месте приземления появляется цветочек ( смотреть издали, ни в коем случае не изнутри). В некоторых случаях — грибочек ( смотреть своими глазами не рекомендуется вовсе).
                                                                                    +10
                                                                                    Думаю, вас заинтересует перевод этих названий: Microsoft, Apple, PayPal, Facebook =)
                                                                                      –7
                                                                                      Это аккордеон. Мелкий мягкий товар, яблоко, ПлатитДруган и Лицокнига. Забавно для незнающих почему так образовалось. Название же отечественных военных разработок несколько забавны сколько приводят к когнитивному диссонансу. Почему Кузнечик, Хризантема, Тополь, Акация, Тюльпан.
                                                                                        +4
                                                                                        Чтоб никто не догадался
                                                                                          –1
                                                                                          (С)
                                                                                            0
                                                                                            цитата

                                                                                            просто текст
                                                                                        0
                                                                                        Телевизоры Горизонт (Гори, зонт!) и Nissan Skyline.
                                                                                        +1
                                                                                        У британцев были похожие названия: Yellow Sun, Green Grass, правда Red Snow несколько выбивался: https://en.wikipedia.org/wiki/Yellow_Sun_(nuclear_weapon)
                                                                                          +1
                                                                                          Комплекс лазерного оружия «Пересве́т».
                                                                                          Принцип работы основан на засвечивании лазерным лучом оптических разведывательных систем.
                                                                                          :)
                                                                                        +8
                                                                                        Ну, и где многочисленные апологеты местечковой криптографии? Неужели никто не заступится за родное, сермяжно-посконное, импортозамещённое? На святое же покусились, любители AES`а бездуховные…
                                                                                          +2
                                                                                          Апологеты отечественной криптографии будут катить на то, что в AES'е якобы свои закладки, от АНБ, а на просьбу предоставить пруфы и материалы исследований, будут говорить что «да есть они там, есть, просто не нашли еще...»
                                                                                            0
                                                                                            Это довольно слабый аргумент, потому что в рассматриваемом случае проводился аудит и есть какие-никакие, но соображения математического плана. По крайней мере, даже если какие-то недостатки в AES`е и есть — недопущение их эксплуатации в интересах слишком большого количества организаций, в отличие от российской криптографии, где всё завязано на ФСБ и компанию…
                                                                                          0
                                                                                          Вообще-то ситуация немного обратная, чем «Родина слышит».
                                                                                          Как резонно заметили выше — родина и так слышит, что ей пишут, а с другими контрагентами спокойно можно будет шифровать\подписывать и другими алгоритмами.
                                                                                          Да, есть момент, если родина запретит использовать другие алгоритмы — и тогда «возможно большой брат нас всех услышит» (и это еще нужно будет преодолеть эффект «Неуловимого Джо»)

                                                                                          Однако, главная мина заложена не там, а там где «Авторы криптоанализа не представили новых атак на существующие алгоритмы ГОСТ». Авторы-то не представили. Однако, есть очень много других ребят, которые не пишут статей (которые то предложили «изменить S-Box до того как алгоритм стал стандартом», то пытались «протолкнуть в стандарты свои легковесные симметричные алгоритмы Simon и Speck» ).
                                                                                          Да, это потенциальная уязвимость типа NOBUS, но астрономически маловерятно — это все же не невозможно, в то же время у них есть и профильные знания и вычислительные мощности и большая заинтересованность (т.е. «Джо которых они не против половить»).
                                                                                            –2
                                                                                            Бог Кузя
                                                                                              0

                                                                                              Одному из алгоритмов 30 лет, вбросов вида "вот-вот и он падёт", "там точно бэкдор" с разной степенью аргументами — не мало. И до сих пор это всё разговоры в пользу бедных.
                                                                                              Гос.органы страны-работодателя АНБ (два раза было пойман на внедрении бэкдоров в стандарты) не используют AES, всеми силами и весьма успешно продвигая его в качестве международного.
                                                                                              ГОСТы гос.сектор использует во всех сферах, что самоубийственно при заведомом наличии бэкдор.

                                                                                                +2
                                                                                                Судя по списку ваших публикаций, вы вполне осознаете, что госсектор использует СКЗИ, построенные на ГОСТ, не потому, что хочет, а потому, что его к этому принуждают регуляторы. Там, где нет требования к сертифицированным СКЗИ, используют что угодно.
                                                                                                  +1

                                                                                                  А какие он должен использовать? В США госы используется закрытый NSA Suite A, хотя AES входит в NSA Suite B.
                                                                                                  Если нет регулирования, никто независимо от страны и не будет применять криптографию и прочие СЗИ, это усложняет работу.

                                                                                                    0
                                                                                                    Тогда к чему эта фраза?
                                                                                                    ГОСТы гос.сектор использует во всех сферах, что самоубийственно при заведомом наличии бэкдор.
                                                                                                    ФСБ сказало «Надо», госсектор использует. А есть там бэкдор или нет, госсектору уже все равно. И после таких статей надо задавать вопросы, почему сертифицируются средства, построенные на возможно уязвимом алгоритме.
                                                                                                      +2
                                                                                                      Добавлю.
                                                                                                      Если нет регулирования, никто независимо от страны и не будет применять криптографию и прочие СЗИ, это усложняет работу.
                                                                                                      Абсурдное утверждение. Как частные компании сейчас используют VPN, антивирусы, шифрованные хранилища без принуждения, так и госы использовали бы.
                                                                                                        –1
                                                                                                        McDermott, частные компании во всем мире достаточно сильно зарегулированы — PCI DSS, GDPR и др., и часто вынуждены применять те СЗИ/крипту, которую им укажут и совершенно не добровольно.
                                                                                                        Применять антивирусы из «принуждают» вирусописатели, шифрование дисков/соединений — конкуренты.
                                                                                                        Если информация не представляет ценности, а стоимость восстановления ниже СЗИ и простоя — никакие частные компании добровольно не будут применять СЗИ/крипту.
                                                                                                          +3
                                                                                                          Ну вот вы и пришли от «Если нет регулирования, то никто не будет использовать СЗИ» к «Если нет регулирования, и информация, обрабатываемая в компании, ничего не стоит, то никто не будет использовать СЗИ». С этим, по крайней мере, я могу согласиться :)
                                                                                                    +3
                                                                                                    А какой алгоритм используют гос.органы страны-работодателя АНБ?
                                                                                                      +3
                                                                                                      BATON и Firefly. И это понятно. AES придуман коммандой коммандой из Бельгии, которая хоть и член блока НАТО, но мало ли решит пошпионить :)
                                                                                                        0
                                                                                                        Для чего-то используют NSA Suite A, где сами алгоритмы секретны. Хотя Suite B с AES тоже подходит для SECRET и TOP SECRET.
                                                                                                          –1

                                                                                                          Посмотрите NSA Suite B и NSA Suite A.
                                                                                                          Последний предназначен для "внутреннего" использования гос.органами США и не публикуется.
                                                                                                          NSA Suite B включает AES, не включение и отсутствие формальной сертификации было бы слишком странным.

                                                                                                            0
                                                                                                            А у нас коды для «мёртвой руки» чем шифруются?
                                                                                                        –19

                                                                                                        Часть вбросов появляется строго в периоды перед обсуждением включения ГОСТ в перечень ISO, качество "исследований" и их неверифицируемость никого не смущает.
                                                                                                        Если ГОСТ плохой, слабый, с бэкдорами — не используйте. Не всё просто и открыто в продвижении "своих" стандартов, честной конкуренции здесь нет.

                                                                                                          +18
                                                                                                          Вы нашли ошибку в работе чтобы так говорить?
                                                                                                            +3
                                                                                                            Если бы можно было не использовать — никто слово бы не сказал, пусть ковыряются в своей песочнице как хотят. Но поскольку порядок добровольно-принудительный — отсюда и недовольство. Это я про сертификации ПАК и прочие радости, идущие комплектом.
                                                                                                              +2

                                                                                                              Делать этому шифру там нечего, совершенно не нужно что бы шифры с подозрением на слабый алгоритм были по дефолту в системах.


                                                                                                              Наоборот от старых (SSL например) отказываемся, а вы предлагаете заведомо слабый шифр добавить, зачем?

                                                                                                                0
                                                                                                                Слабый по сравнению с чем? По открытым источникам AES имеет более низкую стойкость, чем ГОСТ.
                                                                                                                  +4
                                                                                                                  «низкая стойкость» и «обоснованное подозрение на установленный разработчиками бэкдор» все же разные вещи.
                                                                                                              0
                                                                                                              Если известно, что бэкдор есть и известен примерный алгоритм его формирования, не облегчит ли это анб взлом этих алгоритмов шифрования?
                                                                                                              Получается, что наши спецслужбы сами себя высекли и слили остальным иностранным спецслужбам всю зашифрованную этими гостами переписку, которую они теперь будут щёлкать, как белка- орешки.
                                                                                                                +1
                                                                                                                Я думаю, для государственной и прочей переписки которую они сами хотят засекретить, они используют шифрование без бэкдоров:)
                                                                                                                  +2

                                                                                                                  Тут вопрос кто это — ОНИ. Очевидно, что алгоритм бэкдора в руках одной конкретной организации. Например, ФСО. Все остальные силовики: ФСБ, военные, Росгвардия, проч вынуждены пользоваться этой системой без доступа к супер ключу. А в это время одна организация, например, ФСО, может свободно читать переписку не утруждая серия сложностями типа ордеров. Мне кажется более вероятным что этот бэкдор нужен в основном для аппаратной борьбы.
                                                                                                                  Но, разумеется, безопасность страны при этом скомпрометирована. Но кого это волнует

                                                                                                                    0

                                                                                                                    Там мало где именно шифрование с целью защиты от чужих глаз. Там больше электронная подпись с целью неотрекаемости и подтверждения аторства, при межведомственном обмене. Как уже писали выше, хули толку ее шифровать, если конторские запросят — всё отдадут в открытом виде.

                                                                                                                  –2
                                                                                                                  Может быть еще смешнее — как в той совсекретной системе шифрования в «Похождениях Швейка», которая оказалась дословной копипастой с довоенной популярной брошюры.
                                                                                                                  Так и тут, константы и таблицы могли быть неподумавши скопипащены с чьей-нить малоизвестной публикации, если не с учебника.

                                                                                                                    0
                                                                                                                    Почитал тред и у меня сложилось впечатление, что над вами стоит ФСБешник и прям заставляет пользоваться алгоритмами ГОСТ.

                                                                                                                    Это же алгоритмы для использования в софте госкомпаний типа госуслуг или в софте МО. Я не знаю, что там сейчас используется, но задумка изначально такая.

                                                                                                                    Обычных пользователей это не очень качается.

                                                                                                                    А то что там нашли явные дыры — так это не закладка ФСБ, так как основные пользователи этих алгоритмов защищаются не от ФСБ, а от служб других стран по требованию ФСБ. Это банальное раздолбайство или некомпетентность.
                                                                                                                      +2
                                                                                                                      Это сейчас. Потом обяжут все шифрование пускать через эти алгоритмы.
                                                                                                                        0
                                                                                                                        Вопрос не в том кто кого и как заставляет. Вопрос в том, что организации с достаточно чувствительной и секретной информацией обязывают использовать уязвимыми решениями. И потенциальные противник знает об этой уязвимости. Хорошо если информация передается по закрытым каналам и огороженные физически от интернета, а если не так? Что если секретная информация передается в зашифрованном виде по общим каналам связи, а шифр имеет не то что уязвимость, а у противника есть копия секрета с помощью которого он может читать все секретные сообщения из данных источников? Зачем тогда применять такое решение?
                                                                                                                          –1

                                                                                                                          Сравните стойкость ГОСТ и AES, по открытым публикацим стойкость последнего ниже.

                                                                                                                            +3
                                                                                                                            Ссылка будет?
                                                                                                                            –1
                                                                                                                            Судя по материалам исследования, бэкдор, если он есть вообще, внедрен был точно не потенциальным противником…
                                                                                                                            Интересно, почему никто из собравшихся не задумался, не деза ли это? Я не про исследование, а про «подозрительную, без явной рандомизации» выработку оных S-блоков. Сколько денег и сил должен потратить потенциальный противник, клюнувший на исследования, подобные вышеприведенному, чтобы докопаться до истины? Я, конечно, в ТК-26 не состою, но не стал бы исключать и такой вариант…
                                                                                                                              0
                                                                                                                              Возможно и целенаправленная деза с целью компрометации алгоритмов в общественном сознании. Нагоняемый информационный шум с целью породить сомнения. Найденная зацепка с искаженной интерпретацией фактов позволит в головах поселиться разным не совсем здоровым идеям. К сожалению даже в ИБ не все и не всё проверяют на собственном опыте, частенько полагаются на опыт других.
                                                                                                                          0
                                                                                                                          В 2016м году исследователи показали

                                                                                                                          В 2015 году судя по ссылкам (1 и 2) из википедии. В 2016 публике представили полную версию исследования.
                                                                                                                            +1
                                                                                                                            Авторы декларировали, что таблица замен выбрана случайным образом. Вот слайд из презентации алгоритма, на котором указано, что авторы выбирали таблицу случайным образом.

                                                                                                                            Я понимаю, что не тяну на звание светилы отечественной криптографии и возможно не замечаю скрытый смысл сего изречения. Или не умею читать между строк… Но не могли бы Вы, Scratch, мне ткнуть носом в место (обвести красненьким контуром на картинке), где на приведённом Вами слайде говорится о случайном характере выбора таблиц? В упор не вижу… И так смотрел, и сяк… и под лупой, и в монохроме… На наличие стего-контейнеров с указанным Вами текстом тоже проверил — не нашёл.
                                                                                                                            подсказка:
                                                                                                                            Там этого нет! А сказано обратное: мы не использовали случайные, потому что… и 2 пункта в красной рамке. Эээх видимо наши крЕптографы настолько суровые, что им даже текст открытый нужно отдельно расшифровывать для понимания.

                                                                                                                            Ах да! Ещё воодушевила заметка про «уменьшающая его стойкость с 2^512 до 2^266». Совсем ни о чём… какой-то 2 в 266, на свалку — в уме и на пальцах можно на лету считать. Считай в открытую информацию передаёшь.
                                                                                                                            p.s. Сколько за свою жизнь Вы синтезировали новых криптоалгоритмов, или хотя бы каких-то криптопримитивов, что так уверенно рассуждаете кого и за что
                                                                                                                            отовсюду прогнали ссаными тряпками
                                                                                                                            ?
                                                                                                                              0
                                                                                                                              Если бы вы посмотрели всю презентацию целиком, то поняли бы, что, то о чем вы спрашиваете и так обведено красным. Все вопросы к дизайнерам
                                                                                                                                +5
                                                                                                                                Так и Вы не говорили про ВСЮ презентацию. Я специально сделал цитату
                                                                                                                                Вот слайд из презентации алгоритма, на котором указано, что авторы выбирали таблицу случайным образом.

                                                                                                                                Вот покажите мне непонятливому где там ИМЕННО ЭТО написано? (если Вы не ощущаете наводящих вопросов, прочтите подсказку под спойлером...)
                                                                                                                                  –4
                                                                                                                                  Переход на личности, ура-поцреотизм… Вы почти выиграли в булшит-бинго, если бы в него тут играли. Постарайтесь еще немного
                                                                                                                                    +2
                                                                                                                                    Переход на личности

                                                                                                                                    и буквально сразу же


                                                                                                                                    , ура-поцреотизм

                                                                                                                                    Я, конечно, нисколько не сомневаюсь, кто является основной местной аудиторией, но вы хотя бы чуть-чуть постарались.

                                                                                                                                    0
                                                                                                                                    Так в презе красным обводится то что они выбрали как раз.

                                                                                                                                    Вот преза: www.ruscrypto.ru/resource/archive/rc2013/files/03_shishkin.pdf
                                                                                                                                      +1
                                                                                                                                      Не тратьте время
                                                                                                                                        +1
                                                                                                                                        Ещё раз повторю вопрос: «В статье сказано, якобы, именно на этом слайде говорится, что мы выбрали именно случайные...». Не нужно ссылаться на контекст, на явно подразумеваемое, или доподлинно известное. На учебник по криптографии, на кулуарные разговоры во время презентации, на мысли автора при написании, на другие слайды и презентации. Сухие факты — в каком месте на этом слайде именно эти слова?
                                                                                                                                        p.s. презентацию видел кучу раз и вне хабра — могли не приводить.
                                                                                                                                          +1
                                                                                                                                          ‾\_(ツ)_/‾
                                                                                                                                            +3
                                                                                                                                            Понять, откуда взялся тезис о «случайности» таблицы замен можно, проследив ссылочную структуру публикаций.

                                                                                                                                            В статье на него указывает только прямая цитата из другой статьи: "...a strong algebraic structure hardly compatible with the claims of randomness of the designers". Источник — «Léo Perrin and Aleksei Udovenko. Exponential s-boxes: a link between the s-boxes of BelT and Kuznyechik/Streebog. IACR Transactions on Symmetric Cryptology, 2016(2):99–124, 2016.» tosc.iacr.org/index.php/ToSC/article/view/567.

                                                                                                                                            Читая полный текст второй статьи, доступный по URL, видим эту цитату со ссылкой на источник, в следующем контексте: «These decompositions improve previous results by Biryukov et al.[BPU16] and strengthen the idea that π has a strong algebraic structure hardly compatible with the claims of randomness of the designers. »

                                                                                                                                            Источник BPU16 доступен, например, здесь: orbilu.uni.lu/bitstream/10993/23895/1/GOST_reverse_engineering_eprint.pdf

                                                                                                                                            Открыв его, читаем: «We had brief informal discussions with some members of the Streebog and Kuznyechik design team at the CTCrypt’14 workshop (05-06 June 2014, Moscow RU). Their recollection was that the aim was to choose a “randomized” S-Box that meets the basic differential, linear, and algebraic requirements. Randomization using various building blocks was simply iterated until a “good enough” permutation was found. This was seen as an effective countermeasure against yet-unknown attacks [as well as algebraic attacks].»

                                                                                                                                            Вопрос об уместности ссылки на «неформальные дискуссии» в научной статье и о способах прохода рецензирования такой статьёй оставим за скобками. Остаётся понять, что означает «randomized» в кавычках (!): «случайный» или «псевдослучайный». По-моему, из контекста напрашивается второе. Хотя полностью вопрос не закрыт.
                                                                                                                                        –9
                                                                                                                                        В целом-то статья очень полезная, важная и актуальная! А главное указывает на явные недостатки, на которые следует обратить внимание будущим криптоаналитикам и создателям криптоалгоритмов. Но вот этот желчный подход «Всё у них — хорошее, всё у нас — гавно!», да ещё и якобы нарочно… уводит от главной мысли и не даёт её прочувствовать и осознать.
                                                                                                                                        Люди не идеальный, все ошибаются и на этих ошибках надо учиться, а не перетягивать их из проекта в проект, тем более всему миру на показ. Нужно развивать фундаментальную математическую школу, инвестировать в исследования, стимулировать инициативы синтеза новых нелинейных преобразований или даже целых новых подходов, делать этот механизм более открытым и прозрачным. А не вот это всё: «Навязали! Приказали! Указали! Мы страдаем!». Интересно, если в шутку опросить прохожих: «Как сильно на Вашей жизни сказалось существование Кузнечика и Стрибога? Вы переживаете из-за потенциальной возможности понижения стойкости в n раз?! А как следствие не включение их в международные стандарты!». Сколько сразу пошлёт, а сколько посмеётся? )))
                                                                                                                                        Почему-то когда падают иностранные ракетоносители, взрываются на испытаниях новые (и не очень) образцы оружия и т.п. не появляется пестрящих заголовков «Очередной бэкдор НАСА/Мин.Обороны для умышленного уничтожения армии/космонавтики»
                                                                                                                                          +6
                                                                                                                                          этот желчный подход «Всё у них — хорошее, всё у нас — гавно!», да ещё и якобы нарочно…
                                                                                                                                          Эта коннотация имеет вполне объективные предпосылки. Открытый конкурс криптоалгоритмов он ведь и предназначен для того, чтобы силами общественности отсеивать говно от хорошего. Если технология насаждается в приказном порядке, то и говна там будет больше. И предлагаемое вами повышение надоев на инновационный кубометр этому никак не помешает, потому что причина подобного подхода вовсе не в отсутствии фундаментальных математических школ. Когда иностранные ракетоносители падают, то распилы и откаты «почему-то» стоят на последнем месте в списке возможных причин там, в отличие от здесь.
                                                                                                                                            –7
                                                                                                                                            Не хочу показаться снобом… но после утверждения
                                                                                                                                            Когда иностранные ракетоносители падают, то распилы и откаты «почему-то» стоят на последнем месте в списке возможных причин там, в отличие от здесь.

                                                                                                                                            напрашивается вопрос: Вы там были? откуда такая точная информация? Вы член комиссии НАСА? Вы видели закрытые протоколы и расследования? Если не секрет, что стоит на первом месте? На каком месте стоит «распил» и «откат» у них?
                                                                                                                                            Честно, не убедили… с таким же успехом я могу утверждать, что при падении метеоритов на территорию России влияние Луны стоит на последнем месте в отличии падения метеоритов на Аляске… Докажите обратное! Очень красивое отверждение. Но смысла ноль, как и пруфов.
                                                                                                                                              +1
                                                                                                                                              Когда иностранные ракетоносители падают, то распилы и откаты «почему-то» стоят на последнем месте в списке возможных причин там, в отличие от здесь.

                                                                                                                                              Может быть потому что в этой части света априори меньше известно о распилах и откатах там?
                                                                                                                                              Сюда же все разговоры о доверии к спецслужбам.
                                                                                                                                              Просто повод к рассуждению, ни на что не намекаю.
                                                                                                                                                +2
                                                                                                                                                Отвечаю сразу и вам и Beowulf
                                                                                                                                                Нет, не поэтому.
                                                                                                                                                А потому, что самая благодатная почва для распилов и откатов — госструктуры с высокой степенью горизонтальной интеграции (госконцерны).
                                                                                                                                                Там же, где РН и бустеры клепают частные лавочки, деловая репутация всегда приоритетнее, чем сиюминутная выгода с высокими рисками. Ничего личного, просто бизнес рынок.
                                                                                                                                                –1
                                                                                                                                                Хочу напомнить, что у нас криптография не закрытая область, как здесь пытаются преподнести. Хотя и контролируемая (вернее сказать лицензируемая). Если у Вас есть успехи в криптосинтезе, если позволяют образование и природные задатки, если Ваш научный анализ основан не на высокоинтеллектуальном методе «ссаных тряпок», а на чём-то более стройном и математически строгом — создавайте более стойкие шифры, патентуйте, представляйте научному сообществу. Ни кто не запретит, ещё и спасибо скажут! Да, не без нотки бюрократии, но где сейчас без неё?.. Алгоритмы не берутся из воздуха или всеобъемлющего кармана спецслужб — их делают такие же ученые, как и везде. (Хочется вставить мем «Эй, Мент! Алгоритм дырявый мне запили!», но не умею рисовать)).
                                                                                                                                                А из обсуждения складывается картина, как будто в представлении сообщества отечественные шифры это: собрались мент, гаишник и пьяный федерал со стволом и решили «ЩА ЗАПИЛИМ!!!». Да так увлеклись, что все возможные ошибки, косяки и уязвимости впихнули разом и назвали новым алгоритмом, чтоб мало ни кому не показалось! И так это всем наверху понравилось, что каждого лично заставили пользоваться только этим и ни чем иным. А весь мир, кроме нас, умеет это всё анализировать и весело хохочет вскрывая наши шифры на пальцах, пока мы, считая всё надёжным, шлём кругом открытый текст.
                                                                                                                                                  +3
                                                                                                                                                  как будто в представлении сообщества отечественные шифры это: собрались мент, гаишник и пьяный федерал со стволом и решили «ЩА ЗАПИЛИМ!!!». Да так увлеклись, что все возможные ошибки, косяки и уязвимости впихнули разом и назвали новым алгоритмом, чтоб мало ни кому не показалось
                                                                                                                                                  Имея многолетний опыт работы с госбюджетными НИОКР я могу сказать, что почти так всё и происходит, как вы описали. За исключением того, что мент, гаишник и федерал даже не вникают в проблематику работы, а реально выполняют её, в лучшем случае, пара эсэнэсов с аспирантами за сумму в 5% от оставшегося после распила.
                                                                                                                                                    0
                                                                                                                                                    Указанные Вами проблемы, возможно, имеют место быть (не обладаю столь богатым опытом, чтобы опровергнуть или поддержать), НО! На протяжении уже нескольких комментариев я не могу уловить, как мы так ловко соскочили с вопроса про «намеренный бэкдор», умышленное ухудшение в чьих-то интересах, на обсуждение проблем распила и не целевого расходования бюджетных средств? Я спрашивал исключительно за первое, второе, меня, как не участника этого процесса, мало интересует. Это темы совершенно разные… Надо как-то отделять мух от котлет.
                                                                                                                                                +4
                                                                                                                                                Люди не идеальный, все ошибаются и на этих ошибках надо учиться...
                                                                                                                                                Совершенно верно. И некоторые люди это поняли и приняли участие в конкурсе AES, а другие идут своим путём, что тоже их право.

                                                                                                                                                Поймите одну простую вещь. Только шифр Вернама имеет абсолютную математически доказанную криптографическую стойкость, но им крайне неудобно пользоваться. Поэтому разработки поточных и блочных шифров продолжаются. Однако для них крайне сложно строго доказать криптостойкость. Именно из-за этого досконально изучают все примитивы.

                                                                                                                                                К кузнечику вопрос только один. Если S-блоки выбраны случайно, почему исследователи обнаружили закономерность? Не повезло, когда кубик кидали? Это не серьёзно. А если S-блоки всё таки были выбраны неслучайно, то почему принципов, которыми руководствовались при их создании нет в описании?

                                                                                                                                                Принцип «Nothing up my sleeve number» очень важен. Посмотрите структуру некоторых хэшей SHA1/2/3, алгоритмы расширения ключей конкурсантов AES. Там можно увидеть в качестве констант и цифры из числа пи, и простые последовательности (1234...4321) и т.д. А ведь можно было использовать совершенно любое другое рандомное число и качество хэша или шифра не изменилось бы. Но явно объяснить выбор такой константы было бы крайне трудно.
                                                                                                                                                  –6
                                                                                                                                                  Об этом же и речь!
                                                                                                                                                  К кузнечику вопрос только один. Если S-блоки выбраны случайно, почему исследователи обнаружили закономерность? Не повезло, когда кубик кидали? Это не серьёзно. А если S-блоки всё таки были выбраны неслучайно, то почему принципов, которыми руководствовались при их создании нет в описании?

                                                                                                                                                  Конструктивно и по сути! Повод для обсуждения. Ни кто не говорит, что он идеален, просто потому что НАШ. Но и обратное не верно, что он дырявый потому что НАШ. Есть поле для размышлений, есть гипотезы, есть доказанные утверждения. Например можно вспомнить, что любая случайность не случайна и не даром генераторы называют псевдослучайными. И это не первый в истории случай когда аналитики находили закономерности в считающихся ранее случайными системах.
                                                                                                                                                  В статье же абсолютно здравые и важные мысли пересекаются с «Ой! Ай! Всё отстой! Всё сыпется и валится! Всё ни о чём. И это неспроста! Хотя чему же удивляться — этож НАШЕ!».
                                                                                                                                                  Не знаю как других, но лично меня уводит несколько от сути.
                                                                                                                                                    0
                                                                                                                                                    {irony} Очевидно что кубик кидал засланный шпиён НАТО! {/irony}
                                                                                                                                                    Если нужна серьёзная крипта, то можно просто наложить несколько алгоритмов друг на друга. Хоть тот же ГОСТ на AES, а потом ещё и через Blowfish пропустить, потешить свою параноечку. Например в TrueCrypt такие опции были при шифровании дисков.
                                                                                                                                                    А если это требование на серт/лицензию от госслужб, то вам не всё ли равно как у них там и что зашифровано? Если это гостайны, то это их же головная боль. Если это личные данные граждан РФ, то простите, эти данные сливают целыми базами и торгуют ими в даркнетах. Так что всё серо и уныло.
                                                                                                                                                    0
                                                                                                                                                    В аннотации к статье есть гипотетическое объяснение: возможность намного более эффективной реализации в железе. Вместо полной таблицы замен можно обойтись более компактной структурой, которая поместится в регистры. То, что это вынесено в аннотацию, как бы намекает. Документированных заявлений разработчиков о случайности таблицы замен ни мне, ни ни кому-то другому на этом форуме найти не удалось. Хочеться надеяться, что они отреагируют на статью.
                                                                                                                                                +2
                                                                                                                                                отовсюду прогнали ссаными тряпками

                                                                                                                                                Ну, вообще говоря, ни кого особо не прогнали:
                                                                                                                                                Simon
                                                                                                                                                Speck

                                                                                                                                                А в целом, для Стрибога с самого начала придумывают различные страшилки: сначала константами пугали, потом подстановками, теперь вот разбиениями. Но пока это не более чем страшилки. С точки зрения современной криптографии, полученные в работах результаты при таком пристальном внимании наоборот говорят достоинствах схемы, сейчас слабые алгоритмы долго не живут.
                                                                                                                                                  +1

                                                                                                                                                  Ну только если данный слабый алгоритм — не неуловимый Джо.

                                                                                                                                                    0

                                                                                                                                                    Сейчас такое количество криптографов, что на любой алгоритм набрасываются стаей голодных волков. Особенно на новые. Стрибог с Кузнечиком уже вдоль и поперек изъездили.

                                                                                                                                                    0
                                                                                                                                                    Да, им в итоге отдали RFID, что больше выглядит как отмазка, ведь они же в IOT целились. А вот в ядро линукса им обратно точно не попасть
                                                                                                                                                      0
                                                                                                                                                      Вообще Simon и Speck позиционировались как легковесные. RFID для них — самое то.
                                                                                                                                                      +1

                                                                                                                                                      Добавлю: в Speck нет никаких таблиц замены. Это Xor-Add-Rotate алгоритм в чистом виде. И настолько простой, что экспертам трудно было поверить в его надежность. Хотя с моей точки зрения, простота является признаком надежности. Но я не эксперт.


                                                                                                                                                      Ну и, да, конструкция напрягает тем, что для шедулинга ключа и перемешивания текста используется одинакрвфй блок операций.


                                                                                                                                                      Однако, полноценный Speck пока что не взломан, хотя есть теоретическая (читай, практически не применимая) атака на 18 раундов из 32.

                                                                                                                                                        0
                                                                                                                                                        Хмм, похоже, взломаны уже 24 раунда.
                                                                                                                                                      0
                                                                                                                                                      Ещё воодушевила заметка про «уменьшающая его стойкость с 2^512 до 2^266». Совсем ни о чём… какой-то 2 в 266, на свалку — в уме и на пальцах можно на лету считать.

                                                                                                                                                      Не тем она Вас воодушевила ;) Атака дней рождений применённая к любой хэш функции длины 512 бит имеет сложность 2²⁵⁶. Так что результат «уменьшения стойкости до 2²⁶⁶» можно назвать иными словами: в 1000 раз сложнее прямого перебора (атака дней рождения) ;)

                                                                                                                                                      Нормальный результат, возможно даже, имеющий непреходящую научную ценность: «Работаем. Что-то вот находим. Мы не дурни и не лентяи. Продолжайте финансирование далее». Ну, или иной, но понятный уже только математикам и криптографам.
                                                                                                                                                        0
                                                                                                                                                        Под
                                                                                                                                                        Атака дней рождений
                                                                                                                                                        Вы имели ввиду «Парадокс дней рождения»? Снова не хочу показаться занудой, но нельзя ли ссылочку на материал? К какой любой хеш-функции? Криптографической или просто любой? Что за длина? Кто имеет сложность 2 в 256 — атака или так понижается сложность? Если сложность, то чего? поиска коллизии? или поиска прообразов? в 1000 раз сложнее прямого (или всё же полного?) перебора или атаки? Ведь если атака, то это уже не прямой. Видимо из-за разницы в терминологии с трудом что-то понял в Вашем изложении. Да и парадокс вроде другие показатели давал… В общем вопросов больше чем ответов, но Вы меня заинтриговали )))
                                                                                                                                                      +7
                                                                                                                                                      29 января 2019 года была опубликовано новое исследование «Partitions in the S-Box of Streebog and Kuznyechik», которое недвусмысленно намекает на теоретическую возможность бекдора в этих алгоритмах.
                                                                                                                                                      Посмотрел статью, ни каких особых намеков нет. Собственно результат явно описан в Abstract к статье.
                                                                                                                                                      Они нашли что в основе обоих алгоритмов лежит одна и та же определённая алгебраическая структура преобразований. Это было известно из более ранних работ, сейчас показана именно общность того как можно представить различные алгоритмы декомпозиции таблицы замен.
                                                                                                                                                      Вопрос как этот факт соотносится с заявлением о случайном выборе таблицы замен задавали и раньше, и он, как отмечается, остаётся открытым. Как и вопрос о том, как новая информация может быть использована для атаки на алгоритм. Не понятно, вы хотите чтоб S-Box был сгенерирован с помощью подбрасывания монетки что ли?

                                                                                                                                                      Ключевым свойством преобразования TKlog является то, что оно работает с так называемыми смежными классами (cosets). И сопоставляет одни другим.

                                                                                                                                                      Проблема в том, что эти смежные классы бывают мультипликативными, как во всех обычных алгоритмах. А бывают аддитивными.

                                                                                                                                                      Так вот, единственный известный случай, когда аддитивные смежные классы использовались в функции замены блочных шифров — специальное создание бекдора. Информация об этом находится в работе 2016 года.
                                                                                                                                                      Если выражаться более точно, то в статье лишь показано, что перестановки TKlog отображают мультипликативные классы смежности на аддитивные. Это как раз и есть то самое алгебраическое свойство, о котором говорилось ранее. Всё, больше ничего. Если вы утверждаете о чем-то большем, значит наверное, вам известно что-то большее.
                                                                                                                                                        +3

                                                                                                                                                        Тоже пролистал статью, пока вроде ничего криминального в плане стойкости; только обобщение устройства узла замены с вытекающей алгеброй. Но генератор этих узлов сотрудникам ТК-26, наверное, придется придумывать новый.

                                                                                                                                                          0
                                                                                                                                                          Мне кажется что для любой достаточно короткой случайной таблицы чисел S-Box найдутся умные люди, которые найдут детерминированный алгоритм её генерации. И далеко не факт, что после анализа его свойств общий алгоритм шифрования с помощью этой таблицы замен окажется крптоустойчивым. Поэтому разработчики алгоритма шифрования должны знать и понимать свойства генерации S-Box.
                                                                                                                                                          В исследовательской статье сказано, что ранее уже были найдены два различных метода декомпозиции S-Box. Один из них основан на дискретных логарифмах. Они нашли третий — более простой способ, также связанный с логарифмами над конечными полями. Что собственно, я так предполагаю, и определяет алгебраическое свойство отображения мультипликативных классов в аддитивные, log (a*b) = log a + log b.
                                                                                                                                                          Возможно для специалистов раскрытие свойств способа генерации S-Box для ГОСТовского шифрования даст понимание его надёжности.
                                                                                                                                                            0
                                                                                                                                                            И да, и нет. Строго говоря, любую таблицу можно преобразовать в алгоритм создания этой таблицы.

                                                                                                                                                            Но если алгоритм можно представить компактнее самой таблицы, то это форма сжатия данных. Т.к. истинно случайные данные несжимаемы, сэкономить элементы на их хранении можно только для неслучайных данных (иначе алгоритм сам станет более эффективной памятью).
                                                                                                                                                        +4
                                                                                                                                                        Независимо подтвердить, что конкретные значения S-box вероятно являются закладкой, можно было бы нахождением и демонстрацией таких значений S-box, при которых возникнет «мастер-ключ», т.е. NOBUS-уязвимость.

                                                                                                                                                        Демонстрация нескольких алгоритмов формирования S-box, приводящих к тем же результатам, что в 2012 ГОСТе, напротив, свидетельствует об отсутствии закладок.

                                                                                                                                                        Закладка предполагает наличие второго секрета (закрытого мастер-ключа), к которому S-box представлял бы аналог открытого ключа. В противном случае взлом алгоритма представлял бы собой математическую задачу, доступную независимым исследователям в той же степени, что оригинальным разработчикам. Поэтому секрет должен иметь высокую энтропию, т.е. быть случайным. Любой практический алгоритм сам по себе имеет крайне низкую энтропию, поэтому секретом не является.

                                                                                                                                                        В таком случае существует большое множество возможных мастер-ключей, а значит и соответствующих им открытых ключей. Т.к. закрытый ключ не может быть получен из открытого, возможен только обратный вариант, при котором открытый ключ является функцией закрытого. Возможность воспроизвести референсный S-box без знания секрета свидетельствует о том, что он такой функцией не является.

                                                                                                                                                        Иными словами, низкая энтропия таблицы преобразований — косвенное свидетельство отсутствия закладок. Возможность уязвимости алгоритма это никак не исключает, только возможность привязки такой уязвимости к мастер-ключу с высокой энтропией.
                                                                                                                                                          +1

                                                                                                                                                          Прежде всего, какой мастер-ключ, о чем вы? Это же блочный шифр. Выбор "плохих" узлов замены может ослабить всю суперпозицию преобразований и, в простейшем, например, случае, облегчить нахождение секретного ключа по паре текстов. Знание о том, чем именно плохи эти узлы, и является той самой лазейкой, или, как вы ее называете, "закрытым мастер-ключом".

                                                                                                                                                            +2
                                                                                                                                                            Знание уязвимостей в алгоритме некриптостойко. Если его смог приобрести разработчик шифра, то его может независимо приобрести и другой специалист сравнимой квалификации. Если у нас нет гарантий, что создатель шифра — уникальный и навсегда непревзойденный гений криптографии, то «закладка» такого типа — это отложенная передача всей зашифрованной информации в руки потенциальному противнику.

                                                                                                                                                            Не то чтобы я не верил в принципиальную невозможность столь непревзойденной глупости (или измены) в России, но… зачем?

                                                                                                                                                            Сертифицированными УСКЗИ шифруются в основном или ПДн, которые ФСБ выдаются по первой писульке, или гостайна, сохранение которой не в общедоступности явно приоритетнее прослушки случаем пролетающей через всякие Континенты переписки. Пример намеренно некриптостойкого RC4 обратен, т.к. он делался как раз для гражданских.

                                                                                                                                                            Правильный, полезный для закладывающего бэкдор в алгоритме шифрования должен требовать секрета высокой энтропии для расшифровки. Схем шифрования с поддержкой второго ключа хватает и так, и обязать закладывать их в УСКЗИ куда проще, чем изобретать специальный алгоритм шифрования.
                                                                                                                                                            +1
                                                                                                                                                            Иными словами, низкая энтропия таблицы преобразований — косвенное свидетельство отсутствия закладок. Возможность уязвимости алгоритма это никак не исключает, только возможность привязки такой уязвимости к мастер-ключу с высокой энтропией.

                                                                                                                                                            Как бы Вы правы, аргумент разумный. Но энтропия таблицы преобразований Кузнечика — вопрос философский. Сколько в ней бит? Раз-два и обчёлся. Т.е. для проповедников теории заговора математически не исключён вариант селекции «мастер-ключа» при создании, таким образом, что б создать видимость «небольшой» энтропии.

                                                                                                                                                            В теорию «раздолбаем» я бы больше поверил, но пока десятилетие исследований Стрибог и Кузнечик не дало хоть каких-нибудь результатов, которые бы её подтвердили бы.
                                                                                                                                                              0
                                                                                                                                                              Т.е. для проповедников теории заговора математически не исключён вариант селекции «мастер-ключа» при создании, таким образом, что б создать видимость «небольшой» энтропии.

                                                                                                                                                              Математически не исключен. Но подбор такого ключа под набор выходных данных с заранее предопределенной низкой энтропией будет равен по сложности собственно взлому алгоритма.

                                                                                                                                                              Точнее говоря, S.guess >= S.in-S.out, где:
                                                                                                                                                              S.guess — сложность подбора секрета
                                                                                                                                                              S.in — энтропия секрета (которой в свою очередь равна сложность его подбора)
                                                                                                                                                              S.out — энтропия выходных данных.
                                                                                                                                                            –1
                                                                                                                                                            «Авторы декларировали, что таблица замен выбрана случайным образом. Вот слайд из презентации алгоритма, на котором указано, что авторы выбирали таблицу случайным образом. Так, чтобы у неё не было явной структуры, которая помогла бы произвести эффективный криптоанализ. (Красным — то, что выбрали)»

                                                                                                                                                            С чего Вы взяли, что то, что выделено красным — это то, что они взяли?! Судя по слайду, красным выделено то, что обладает явными недостатками. Наоборот, авторы хотели иметь сильный S-box с известной алгебраической структурой и свойствами. Именно такой они и выбрали. Другое дело, что они не афишировали его структуру, как это сделали разработчики белорусского стандарта BelT. Именно они исследовали экспоненциальные S-box-ы и их характеристики, что и послужило поводом (возможно) использовать аналогичные в Кузнечике. Напомню, что в том же AES используется инверсный S-box — тоже алгебраически заданный, с хорошими характеристиками. Случайные S-box-ы, как правило, не обладают такими свойствами.

                                                                                                                                                            А тот факт, что исследователям удалось вскрыть структуру и найти некоторые взаимосвязи, не доказывает наличие Бэкдора (как уже писали тут выше). Давайте тогда искать Бэкдор в AES или BelT, там ведь структура опубликована и общеизвестна?..
                                                                                                                                                              –1
                                                                                                                                                              Вы презентацию видели?
                                                                                                                                                                0
                                                                                                                                                                Всю презентацию не видел, но я разделяю точку зрения BeoWulf-а (см. комментарии выше). Я тут не один такой, кто заметил сей факт в Вашей статье — нет там на слайде нигде и слова о том, что красным — это то, что выбрано. А вот из того, что в этой самой красной рамочке указаны недостатки такого выбора, которые очевидны (я тоже самое рассказываю своим студентам на курсе КМЗИ!), наталкивает на мысль (лично меня), что скорее все наоборот, случайного выбора не было. Более того, тот факт, что они генерировали случайным образом, а получили отнюдь не случайный S-box, может наталкивать на мысль о том, что к заданным разработчиками критериям в большей мере относятся алгебраические S-блоки, а «безструктурных» среди аналогичных или небольшая доля, или, возможно, и вовсе нет. Это, кстати, интересная научная задача.
                                                                                                                                                                  0
                                                                                                                                                                  Вспоминаем как устроен кузнечик и смотрим в презентацию.

                                                                                                                                                                  Слайд №8. Фейстель VS SP-сеть. Что выделено красным? (Кузнечик основан на SP сети)
                                                                                                                                                                  Слайд №9 «Выбор нелинейного преобразования». Что выделено красным? (Кузнечик использует V8)

                                                                                                                                                                  И так далее.

                                                                                                                                                                  Мне искренне жаль вас с Beowulf. А студентам вашим я бы пожелал преподавателя, который умеет сопоставлять факты
                                                                                                                                                                    –1
                                                                                                                                                                    Хм. Ну если у Вас самого не получается, то поставьте своим программистам, которых Вы превращаете в «криптографов» два вопроса:
                                                                                                                                                                    1. Бывают ли «плохие» SP-сети?
                                                                                                                                                                    2. Оценить вероятность того, что «случайная» SP-сеть «плоха», а также способы определения этого.

                                                                                                                                                                    Мне кажется, Вы узнаете много нового. Быть может, и странности, внезапно, перестанут быть странными.
                                                                                                                                                                      0
                                                                                                                                                                      Я отвечал на вопрос о вранье авторов алгоритма, а не о плохих SP сетях
                                                                                                                                                                        0
                                                                                                                                                                        Авторы алгоритма во вранье не замечены. Кстати, ТК-26 не имеет отношения к созданию этих таблиц.
                                                                                                                                                                      –1
                                                                                                                                                                      Scratch, а мне искренне жаль вас, поскольку вы читать не умеете — в первом же предложении я написал, что не смотрел всю презентацию. Когда вы читаете чью-то статью, вы тоже лезете по каждой ссылке на источник, чтобы понять ее суть? Если да, то либо вы, действительно, маньяк, либо статья уж очень нужная и вам срочно надо все в ней выяснить до конца. Но все такие статьи я отношу к категории «плохо написанные», ибо в хорошей статье все должно быть ясно, понятно и прозрачно без каких-либо дополнительных ссылочных материалов. Так что не «я не умею сопоставлять факты», а вы не умеете писать качественные материалы. Вырвали слайд из контекста и что-то утверждаете — это равносильно отсылке читателя вашего труда к первоисточнику: «Вот вам один слайд, дорогие читатели, а хотите его понять — читайте всю презентацию».
                                                                                                                                                                        0
                                                                                                                                                                        Именно так! Статья рассчитана на адекватных людей, которые сами могут, если не верят пройти по ссылке и посмотреть. Вместо того, чтобы голословно обвинять автора в некомпетентности.
                                                                                                                                                                        К счастью, вы в абсолютном меньшинстве
                                                                                                                                                                          0
                                                                                                                                                                          Дело не в том, «верить или нет» автору. Дело в стиле написания статьи. Видимо, у вас небогатый опыт написания действительно хороших статей в реальных рецензируемых журналах. А именно такие статьи надо писать/читать. Хабр — это лишь песочница для получения новостей, откликов, завязывания контактов и т.п. И на этом я дискуссию с вами заканчиваю. Если вы не устали явно/неявно оскорблять неизвестного вам человека — то флаг вам в руки. Сначала научитесь понимать оппонента, признавать свои ошибки/неточности, принимать критику, а уже потом обвиняйте его в неадекватности, отсутствии банальной логики и т.п.
                                                                                                                                                                            0
                                                                                                                                                                            Дискуссию не стоило начинать. Этот пост для технических людей, у которых хватает ума выяснить недостающие для них детали самостоятельно. Вас неадекватных тут двое, максимум трое. Все остальные как-то смогли разобраться в чудовищной загадке нахождения оригинальной презентации прежде чем предъявлять мне за стиль и остальные смертные грехи.
                                                                                                                                                                            Нужна статья в рецензируемом журнале? Ссылка на неё есть в посте.
                                                                                                                                                                            Я не виноват, что «Чукча не читатель» и до кучи ничего вам не должен.
                                                                                                                                                                              0
                                                                                                                                                                              и до кучи ничего вам не должен.

                                                                                                                                                                              Ну кучу Вы тут уже большую наложили, спору нет…
                                                                                                                                                                              По существу: Если слова «уважение к читателю» для Вас пустой звук, то нам конечно ни чего Вы не должны… Зато, очевидно, Вы должны «куратору» и очень не мало за возможность продолжать работать, что так из кожи вон лезете защищая свой около научный высер, который более того к Вам и вашей конторе ни какого отношения не имеет, как к субъектам находящимся вне правового поля ГОСТ и регуляторов вопросов ИБ России.
                                                                                                                                                                              Прошу заметить, и я уже не первый — Вашу адекватность и иные качества ни кто тут не оценивал, хотя наверное стоило бы… и боюсь Вы оказались бы не в самом выгодном положении.
                                                                                                                                                                                0
                                                                                                                                                                                технических людей

                                                                                                                                                                                WTF?! Переведите пожалуйста с Вашего на русский… Это роботы? Или шо это по мове?
                                                                                                                                                                                Все остальные как-то смогли разобраться в чудовищной загадке нахождения оригинальной презентации

                                                                                                                                                                                Ответьте сами себе на вопрос: если весь сокральный смысл в чтении оригинальной презентации, то зачем тут Вы? И Ваши «многа букаф» с явными оттенками желчи и предвзятости (где отсылки на Экспортный DES, урезанный до перебираемых характеристик службами одного известного всем государства, ослабленные реализации GSM и прочее? Хозяин запретил? В заказе не было указано?). Написали бы твит «Ура, Мама, научился читать по русски, рекомендую всем — вот кстати классная полная оригинальная презентация» и ссылочку) Вам только об этом и говорят, причём не смотря на Ваше поведение весьма сдержанно. Ясно было сказано «Вы указали на конкретный слайд, там так не сказано — объяснитесь», ни кого не унижая. Вы же только оскорбляете людей, Вам не знакомых и в Ваш адрес подобного не допускавших.
                                                                                                                                                                                  0
                                                                                                                                                                                  Вы не читатель, а очередной неадекватный «мова кураторы вокруг враги». В личке вы уже высказались о том, что вы думаете о гражданах «укро-американских» государств. Повторите тут?
                                                                                                                                                                                    0
                                                                                                                                                                                    Я ни о каких гражданах не высказывался, ибо даже не считаю тех кого Вы перечислили гражданами (нельзя иметь гражданство в отсутствии государства). И я говорил в личке исключительно о Вас, как о ярком представителе негативной части, как Вы выразились «укро-американского» общества. Лень цитировать, но если имеете такое желание — даю Вам полное право вставить дословную цитату моих слов).
                                                                                                                                                                                    Да и про врагов вокруг говорите как-раз таки Вы (бэкдоры, закладки, тотальный контроль). Я пока локализовал только одного идеологического врага, но и к нему стараюсь проявлять какое-то уважение и снисхождение, не ставя диагнозы, ведь мы не знаем, что Вас довело до такой жизни.
                                                                                                                                                                                    p.s. Право определять кто читатель, а кто нет, к сожалению, не принадлежит автору после публикации… подумайте над этим на досуге