Лучше поздно, чем никогда: К 25-летию создания алгоритма криптографической защиты информации ГОСТ 28147-89

    I. Предисловие


    Всё началось с того, что 26 января 2021 года в одноклассниках мне пришло сообщение от Валерия Иванова:
    Владимир, в ВА им. Дзержинского вы когда учились и в какой группе?

    Я написал Валерию:
    1971-1976 г.г. 25 кафедра, НК-25 — Захаров В.Н., начальник курса — п-к Григорьев, курсовой — Кузнецов Ю.М. 1979-1982 г.г. адъюнктура 25 кафедры

    И от него пришёл ответ:
    Володя, я Иванов Валерий Петрович, сверхсрочник, 23 группа....
    Да, я помнил его. Он был единственным сверхсрочником на нашем курсе в Военной Академии им. Ф.Э. Дзержинского (сокращённо ВАД).
    В те годы Академия им. Ф.Э. Дзержинского располагалась в столице нашей Родины Городе-Герое Москве на набережной Москвы- реки в Китай-городе:



    Между академией и Красной площадью в годы нашей учёбы стояла гостиница Россия, на месте которой сегодня стоит парк «Зарядье». Последний раз я был в Академии в Китайгородском проезде в 2002 году:



    Но Военная Академия им. Ф.Э. Дзержинского перестала существовать ещё раньше. Указом президента Российской Федерации от 25 августа 1997 года академия, в целях возрождения исторических традиций российских вооруженных сил и учитывая исключительные заслуги Петра I в создании регулярной армии, переименована в Военную академию Ракетных Войск Стратегического Назначения имени Петра Великого:



    К сожалению, в 2015 году «Дзержинка», как её называют по старинке, переехала из центра Москвы в подмосковную Балашиху.
    Но я немного отвлёкся. Спустя две недели пришло новое сообщение от Валерия Иванова:
    Володя, нас хорошо учили. Я в погонах решал важные и интересные задачи. По увольнении участвовал в создании установки по лечении злокачественных опухолей вихревым магнитным поле. Наша установка лечит людей в Краснодарском диагностическом центре, в Краснодарский мед академии, в Новороссийске, в Армавире,… Работал и в лазерной технике., для систем радиотехники… В составе другой организации участвовал в тендере по разработке системы защиты информации а интересах МВД России… Имею свой взгляд на проблему защиты информации, разработал свою теорию на уровне современного видения с позиции современной эпохи науки.

    Володя, мои поиски привели меня к фундаментальным основаниям науки и к основаниям защиты информации как области науки, к её аксиомам и её следствиям. Есть моя математическая оценка защищённости информации при применении криптографических средств защиты информации для предельного случая. Пришли мне адрес твоей электронной почты. Мне интересно твоё мнение.

    Я преподавал в ВУ им. Штеменко, сейчас преподаю в ИМСИТ г. Краснодар… Я преподаю предметы: операционные системы, мат. аппарат при разработке компьютерных сетей, архитектура компьютерных систем...:




    Сказать, что нас учили хорошо, — это ничего не сказать. Учили нас по высшему разряду!
    Меня заинтриговали его слова «моя математическая оценка защищённости информации при применении криптографических средств защиты информации для предельного случая».
    Спустя месяц он прислал мне статью со следующим названием:
    К ДВАДЦАТИПЯТИЛЕТИЮ СОЗДАНИЯ АЛГОРИТМА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ГОСТ 28147-89

    Прочитав статью (особенно не вдаваясь в её название, а именно к двадцатипятилетию), я ответил ему:
    В письме от среда, 24 марта 2021 г. 16:50:19 MSK Вы написали:
    > — > Валерий Иванов
    Очень красиво, Валера! Правда!
    Цифры и формулы на твоей совести.
    Теперь по существу:
    Руководящие документы ФСТЭК России требуют использовать в системах защиты информации алгоритм криптографической защиты информации, определенный ГОСТ 28147-89.
    ФСТЭК от криптографии ничего не может требовать — не его епархия. Это ФСБ.
    Второе, на смену ГОСТ 28147-89 пришли Magma и Kuznyechik (Магма и Кузнечик).
    Хотя магма это практически тот же ГОСТ 28147-89.
    Хотя ГОСТ 28147-89 в отличии от ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94 еще живет. 
    Красиво. Можно на Хабр забросить. Разнесут, но ведь это и надо.

    И только отправив это письмо, я сообразил, что статья-то написана 7 (семь) лет назад и юбилей был аж в 2014 году. С другой стороны, сам подход очень красив, с моей точки зрения, и его можно применить и к Магме и Кузнечику. И я решил ещё раз уточнить позицию автора по опубликованию статьи на Хабре. И автор ответил:
    Валерий Иванов
    5 апр в 21:37
    Володя, я тебе доверяю….
    Володя, на твое усмотрение!….

    После этого я окончательно принял решение написать этот материал.
    Ниже приводится статья Валерия Иванова (на фотографии справа) без купюр.



    II. Оригинал статьи


    Создателям алгоритма криптографической защиты информации ГОСТ 28147-89 посвящается.

    К ДВАДЦАТИПЯТИЛЕТИЮ СОЗДАНИЯ АЛГОРИТМА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ГОСТ 28147-89

    ВВЕДЕНИЕ


    Руководящие документы ФСТЭК России требуют использовать в системах защиты информации алгоритм криптографической защиты информации, определенный ГОСТ 28147-89. В этом году исполняется двадцать пять лет с начала эксплуатации данного алгоритма, он перешел из второго в третье тысячелетие. Это время сопровождалось ростом вычислительной мощи средств вычислительной техники, которую может привлечь злоумышленная сторона. В силу этого актуальной является задача оценки перспективы использования данного алгоритма взглядом из третьего тысячелетия.
    Целью данной статьи является оценка перспективы данного алгоритма с помощью введения в рассмотрение современных представлений физики введением в рассмотрение абстрактного компьютера с предельными техническими характеристиками.

    1. Математическая модель оценки защищенности информации криптографическим алгоритмом ГОСТ 28147-89

    В нашем случае имеет место процесс взаимодействия объектов – носителей фундаментальных понятий:
    — подлежащая защите информация (в зашифрованном виде перехвачена злоумышленниками);
    — среда существования информации, включает:
    • объект – злоумышленники, расшифровывают перехваченное сообщение;
    • объект – зашифрованное согласно ГОСТ 28147-89 сообщение, заставившее злоумышленников производить расшифровку текста путем перебора ключей, определяется количеством операций по перебору всех ключей.
    • время, как часы.

    Пусть злоумышленники получили возможность использовать средства вычислительной техники максимальной производительности, которые возможны в условиях планеты Земля.
    Исследование процесса взаимодействия указанных объектов позволяет обнаружить следующую цепь с конечным множеством состояний:



    S0 — состояние, когда подлежащую защите информацию в период, когда она сохраняла ценность расшифровать не удалось (отрицательный результат для злоумышленников).
    S1 — состояние расшифровки подлежащей защите информации.
    S2 — состояние, когда злоумышленникам удалось расшифровать перехваченную информацию в период времени, когда она сохраняла ценность (положительный результат для ).
    Пусть время старения информации характеризуется функцией распределения её старения B(t) с интенсивностью старения — β.
    Переход из состояния S1 в состояние S2 определяется интенсивностью расшифровки подлежащей защите информации, определяется функцией распределения расшифровки информации – S(t) с интенсивностью расшифровки — S.
    Тогда интервал времени старения перехваченной информация на некотором интервале времени сохраняет ценность составит:


    .
    Тогда, в случаях экспоненциального распределения как времени старения перехваченной злоумышленником информации, так и времени расшифровки перехваченной информации, вероятность того, что злоумышленникам не удастся расшифровать подлежащую защите информацию до момента, когда информация потеряет ценность, будет определяться следующим математическим выражением:



    Численное значение параметра времени старения β определяет владелец информации, а параметр расшифровки S – производительностью вычислительных средств, которые сумел привлечь злоумышленник.
    Перейдем к рассмотрению вычислительного средства, которое может привлечь злоумышленник.

    2. Оценка защищенности информации криптографическими средствами защиты информации ГОСТ 28147-89

    Введем в рассмотрение некое структурированное материальное образование – абстрактный компьютер, рассмотренный М. Х. Бреммерманном [1,4]. Для решения задачи дешифрирования перехваченного злоумышленником текста компьютер должен обработать N бит. Под «обработкой N бит» будем понимать пересылку N бит по одному или нескольким каналам рассматриваемой вычислительной системы.
    Очевидно, что для работы информация должна быть определенным образом физически закодирована. Предположим, что она закодирована в виде энергетических уровней определенного типа энергии в интервале [0, E], где Е – количество энергии, которой мы располагаем для этой цели. Предположим далее, что энергетические уровни измеряются с точностью ∆Е.
    При этом весь интервал можно разделить максимум на N = E / ∆Е равных подинтервалов, причем каждому из них будет соответствовать энергия, равная ∆Е.
    В случае, когда всегда будет занято не более одного уровня, то максимальное число битов, представимых с помощью энергии Е, будет равно
    image
    Для того, чтобы представить большой объем информации при том же количестве энергии, необходимо сократить ∆Е. Это возможно только до некоторого предела, так как нужно различать полученные уровни с помощью некоторой измерительной процедуры, которая независимо от ее сути всегда имеет ограниченную точность. Максимальная точность определяется принципом неопределенности Гейзенберга, известного из курса физики: энергия может быть измерена с точностью до ∆Е, если выполняется неравенство

    где: ∆t — длительность времени измерения, h=6,625x10-27 эрг/сек – постоянная Планка, а ∆Е — определяется как среднее отклонение от ожидаемого значения энергии.
    Это означает, что количество бит, которые сможет обработать абстрактная ЭВМ на интервале времени ∆t составит:

    Представим теперь имеющуюся энергию Е соответствующим количеством массы. Тогда, согласно формуле Эйнштейна получаем

    где: с = 3x1010 см/с – скорость света в вакууме.
    Таким образом, верхняя, наиболее оптимистическая граница для количества бит – N, которые может обработать СВТ любой природы массой m на интервале времени может быть найдена из выражения:

    Подставив значения для с и h и массы m = 1 г, интервала времени, равного 1 с, имеем скорость обработки информации абстрактной ЭВМ массой 1 г:

    Отсюда Ханс Бреммерманн сформулировал вывод: Не существует системы обработки данных, искусственной или естественной, которая могла бы обрабатывать более чем 2x1047 бит в секунду на грамм своей массы. Данное численное значение можно рассматривать как быстродействие абстрактной вычислительной системы массой 1 г.
    В нашем случае под битом будем понимать расшифровываемый текст некоторой длины плюс предполагаемый ключ, на котором зашифрован перехваченный текст. А под обработкой одного бита – операцию расшифровки перехваченного текста с использованием предполагаемого ключа, принятие решения о результатах расшифровки и выбор следующего ключа. Очевидно, что нами злоумышленник поставлен в исключительно комфортные условия.
    Известно, что стойкость алгоритма криптографической защиты определяется количеством операций Q, требуемых для перебора ключей. Для рассматриваемого алгоритма Q = 1070.
    Тогда среднее время перебора всех ключей для абстрактной ЭВМ массой m составит:

    а интенсивность дешифрирования:

    Для функций дешифрирования и старения, распределенных по экспоненциальному закону, вероятность того, что подлежащая защите информация будет дешифрирована после того момента, когда информация потеряет ценность (после старения информации) будет определяться в соответствии с теорией катастроф, как:

    Пусть время старения перехваченной злоумышленником информации определено 30 лет, тогда при условии, что год равен 3.14x107 сек., интенсивность старения перехваченной информации составит:

    Пусть требуется обеспечить вероятность исключения дешифрации подлежащего защите текста за время старения, равным 30 лет с вероятностью Р = 0.9999.
    Тогда массу вычислительной системы, обеспечивающей соблюдение заданного требования можно определить, из выражения

    Подставим в него вычисленные значения β, а также известное значение Q, получим граничное значение массы абстрактной ЭВМ, ниже которой обеспечивается заданное значение защищенности зашифрованной информации.
    В нашем случае image тонн, что составляет величину, «неподъемную» не только в настоящее время, но и в отдаленном будущем, поскольку на сегодняшний день самая мощная супер-эвм, эксплуатируемая на Земле, имеет производительность порядка 1000 террафлопс, ее производительность значительно уступает производительности вычислительной системы массой 1г высокоорганизованной материи по Бреммерманну.
    Отсюда следует, что рекомендуемый ФСТЭК России алгоритм криптографической защиты информации ГОСТ 28147-89, построенный в опоре на длину ключа, равную 256 бит обеспечивает требуемой уровень защищенности подлежащей защите информации.
    При тех же условиях определено требования к стойкости алгоритма шифрования для случая, когда злоумышленная сторона располагает ЭВМ, равной массе планеты Земля: image. Определено, что длина ключа в этом случае должна составить не менее 293 бита.

    Заключение


    Автору неизвестны случаи взлома рассмотренного алгоритма, отсюда он полагает, что изложенное выше позволяет сделать вывод о том, что в настоящее время эксплуатируется весьма надежный алгоритм криптографической защиты информации ГОСТ 28147-89, опирающийся на ключ, длина которого обеспечивает необходимую стойкость. Автор также полагает, что данному алгоритму уготована долгая и достойная судьба и в третьем тысячелетии, а его создатели заслуживают большого уважения и признательности их потомков.

    Литература
    1. Дж. Клир. Системология. Автоматизация решения системных задач. М. Радио и связь. 1990 г.
    2. В.П. Иванов. Об основаниях теории защиты информации как внутренне совершенной и внешне оправданной научной теории. Специальная техника №3-4, 2008г.
    3. И. Г. Иванов, П.А. Кузнецов, В.И. Попов. Методические основы защиты информации в банковских автоматизированных комплексах. В журнале Конфидент №1, 1994 г.
    4. Bremmermann, H, J., Optimization through evolution and recombination. In: Self — Organizing Systems, edited by M.S. Vovits and S. Cameron, Spartan, Washington. D.C. ,1962, pp 93-106.


    III.Послесловие


    Надо отметить, что В. Иванов не остановился на этом. Вот цитата ещё из одного его письма:
    Володя, … я пишу теорию защиты информации на основе современных взглядов на науку. Прикладная наука пытается решить задачи сегодняшнего дня. Нужна теория защиты информации как фундаментальная научная область знаний. Науке наплевать на ФСБ или ФСТЭК. Важна доказательная база оценки стойкости защиты, и ты её увидел. Недавно я встретил своего сослуживца, он академик РАЕН, так он сказал, что наверху склоняются к моему видению (более 30 лет тупика, в котором барахтается защита информации, чему-то должна научить). Защита информации должна стать такой как достойной и результативной как теоретическая физика. Однажды Эйнштейна спросили как новое пробивает себя в науке, он сказал, что новое пробивает себя тогда, когда умирают носители старого! Я наблюдаю это! Основные идеи с философским обоснованием изложены, мне нужно только потерпеть...

    И В.Иванов написал очень интересную статью «Об основаниях защиты информации как научной области в современную эпоху науки». Но это тема отдельного разговора.

    Комментарии 29

      +6

      криптостойкость в килограммах... занятненько-с ;)

      ps: как тут не вспомнить Deep Thought и 42 ;)

        +1
        Степень совершенства ракетного двигателя в _секундах_ никогда не смущала?
          +4

          там-то все просто сокращается)))

          а вот когда я дочитал до криптостойкости ключа 256 бит в 5000тонн) тут то мой мозг и свернулся)))

          ps: с ужасом думаю про кубиты и квантовые компьютеры, они обещаются щелкать 256 бит криптование как орешки...

            +3
            ну, «тонны» там — как эквиваленты энергии, так что такое,
            зато внезапный переход от информации к энергии — это как-то вдруг.

            (еще у меня «звоночки» от статьи в «лечение опухолей вихревым магнитным полем» и «мой сослуживец — академик РАЕН» )
              +2
              …и «мой сослуживец — академик РАЕН»)

              Вот, кстати, да.
          +11
          Мда… Вот вам и уровень военных академий. Зато самомнения…

          По существу, каким боком это «доказательство» относится к ГОСТ 28147-89? Если я возьму любой дырявый говношифр, сделанный на коленке за 2 минуты, с кучей дыр, но с длиной ключа тоже 256 бит, и в этой статье везде заменю ГОСТ на «говношифр», в этом «доказательстве» ведь ничего не изменится…
            +2
            Браво :)
            Собственно, статья ничего полезного и нетривиального в себе не содержит.
            Нетривиально — это доказать, что взлом шифра не проще, чем выполнение C*2^длинаключа операций, но хрентам :)
              0
              А Q в семидесятой степени у тебя :)
            +1

            обработать СВТ любой природы...

            и квантовый?

              –2

              А почему бы и нет?!

              +3
              Попробуйте на dxdy.ru такое написать, там с вами более предметно пообщаются
                +4
                Если погуглить по словам Security Evaluation of GOST 28147-89, появляются интересные данны от 2010-2012 годов:
                Unhappily, it was recently discovered that GOST can be broken and is a deeply flawed cipher. There is a very considerable amount of recent not yet published work on cryptanalysis of GOST known to us, see [12]. One simple attack was already presented in February at FSE 2011, see [28]. In this short paper we describe another attack, to illustrate the fact that there are now attacks on GOST, which require much less memory, and don’t even require the reflection property [29] to hold, without which the recent attack from [28] wouldn’t work. We are also aware of many substantially faster attacks and of numerous special even weaker cases, see [12]. These will be published in appropriate peer-reviewed cryptography conferences but we must warn the ISO
                committees right now.

                Источник цитаты: eprint.iacr.org/2011/211.pdf
                  +3

                  емнип, в базовой работе, на которой основывались эти "уязвимости" позже была найдена ошибка. И потому крипкостойкость этих алгоритмов всё ещё не опровергнута. Сомнения имеются, но доказанных уязвимостей пока в публичном доступе нет.

                    0

                    И что за 10 (десять) лет с 2011 года так и ничего не накопали?! Это же фейк.

                  +7

                  "В те годы Академия им. Ф.Э. Дзержинского располагалась в столице нашей Родины Городе-Герое Москве на набережной Москвы- реки в Китай-городе" как на Пионерскую Правду подписался....

                    +6

                    РАЕН это шарашкина контора же. Странно видеть тут упоминание как отсылку к авторитету.

                      +4
                      Идейные люди. Государству очень хочется побольше таких. Чтобы слова о том где обучался от языка отлетали а рука сама тянулась заученным жестом к груди (как на фото).
                      Сразу вспоминается статья про хакеров КНДР. Эти люди — особые. Они гордятся службой стране и положили на неё жизнь. Верные псы тёмной и незаметной службы и её бесчисленной костлявой, но крепкой руке режима. Они будут выполнять поставленную задачу. Гордиться и служить. Но не народу своей страны, а своим хозяевам.
                        0
                        Хоть посмотрел, что в том, огороженном от простых смертных, правительственном квартале Москвы (((. Другие здания замазали ))
                          +1

                          Никто ничего не замазывал, это просто выделена территория академии. Это не правительственный квартал Москвы и не отгороженный (хотя сегодня заборы ставят везде где непопадя.). Если вы москвич или гость столицы выйдите на станции метро Китай-город и прогуляйтесь по Солянке, Китайгородскому проезду и Москворейкой набережной. Потом перейдите на другую сторону Москвы-реки и прогуляйтесь по Раушской набережной. Походите по кварталам старой Москвы. Административные здания вы увидите, но правительственного квартала не найдете:
                          image

                            0
                            Интересно было бы посмотреть, как работает такой метод оценки стойкости с алгоритмами, которые сегодня считаются ненадежными.
                              0

                              Ничто не мешает это сделать. А можете привести примеры ненадёжных алгоритмов, кто их считает ненадёжными и почему, а главное — где они используются?

                                0
                                Ну, например, из списка SSLv2 что нибудь выбрать.
                                  0

                                  А почему не TLSv1.2 или TLSv1.3? SSLv2 давно не используется. А так ещё можно вспомнить и Древний Рим.

                                    +3
                                    Так вы не поняли идею. Смысл в том, что вы возьмете и оцените заведомо нестойкий алгоритм с использованием изложенной в статье методики. Т.о. нам и нужен именно старый алгоритм. Т.е. в том, что вы получите для TLS1.3 необходимую массу компьютера для взлома превышающую массу темной материи во вселенной я не сомневаюсь и это не интересно;-).
                                    Мне интересно, как вы оцените массу необходимую для взлома алгоритма, который уже успешно ломается.
                                      0

                                      Спасибо. Теперь я понял вашу идею. Я переадресовал ваш вопрос непосредственно автору этой идеи с просьбой дать ответ либо через меня либо всё же присоединиться к дискуссии на Хабре.

                              +1

                              Фундаментальность вроде как глубже.
                              Автор статьи рассчитывает на банальный брут-форс, тогда надо будет вычитывать все биты ключа, все биты сообщения — и с этими допущениями работает вся формула.
                              За бортом остаются разные обходные пути:


                              • если формула шифрования слабая (ну или вообще поймали шифровальщика и применили ректальный криптоанализ).
                              • если сам способ вычисления ключей позволяет применить другой способ, не брут-форс. Например, нынешние (или будущие) вычисления на квантовых компьютерах, где вместо прямого перебора 2^N вариантов мы можем взять компьютер из N кубитов, который сразу, на основе суперпозиции, выдаст нам правильный вариант. Такой подход многое из экспоненциальной сложности сводит к линейной (надо перебрать вдвое больше вариантов? — добавляем один кубит). Была сложность 2^40 — устранили 32 бита с помощью квантов и перебрали брут-форсом оставшиеся 256 вариантов...
                                +2

                                Даже не знаю что сказать. Запахло псевдонаукой ... сильно так запахло. Хотя подход изящен, но по мне не фундаментален и совершенно бесполезен.

                                  0
                                  Запахло псевдонаукой… сильно так запахло. Хотя подход изящен,

                                  Тут я полностью солидарен с вами. Именно поэтому ещё до публикации 7 апреля 2021 года я написал автору:


                                  Красиво, но как это связано с материальным миром? Мой ответ — никак.

                                  Но поскольку "подход изяшен" или, как я написал, красиво. я и решился на огласку этого материала, честно предупредив автора:


                                  Красиво. Можно на Хабр забросить. Разнесут, но ведь это и надо.

                                  Сейчас он пожинает плоды.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое