Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline enum  
#1 Оставлено : 12 мая 2011 г. 19:11:22(UTC)
enum

Статус: Участник

Группы: Участники
Зарегистрирован: 16.04.2009(UTC)
Сообщений: 26

Уважаемые разработчики, просьба прокомментировать статью Security Evaluation of GOST 28147-89 In View Of International Standardisation (http://eprint.iacr.org/2011/211), а также труд Takanori Isobe: A Single-Key Attack on the Full GOST Block Cipher, In FSE 2011, Fast Software Ecnryption, Springer LNCS, 2011

Касательно стойкости нашего блочного шифра, авторы утверждают "A new attack which also uses refection, and finally breaks GOST..." что-то как-то очень смело хотелось бы ваших желательно аргументированных коментариев
Offline Serge3leo  
#2 Оставлено : 13 мая 2011 г. 6:09:07(UTC)
Serge3leo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.01.2008(UTC)
Сообщений: 40
Мужчина
Откуда: Москва

Поблагодарили: 3 раз в 2 постах
enum написал:
Уважаемые разработчики, просьба прокомментировать статью Security Evaluation of GOST 28147-89 In View Of International Standardisation (http://eprint.iacr.org/2011/211),


Относительно этой статьи можно сказать, что, либо автор не слишком понимает ГОСТ 28147-89, либо статья писалась в авральном порядке (возможно к какому-либо заседанию ISO). Поясню на её "финальном" предложении:

...is for 2^64 known P/C pairs. GOST is broken.

Как известно, ключ ГОСТ 28147-89 это, грубо говоря, взаимо-однозначная функция {C} = K({P}), где |C| = |P| = 2^64. Таким образом получается, что если нам уже известна эта функция (2^64 know P/C), то мы можем её узнать. :) Удивительно, кто бы только мог подумать :)

Ну, не знаю, быть может в самом тексте будущего доклада будут какие-либо красивые математические построения, кто знает, будем ждать.

enum написал:
а также труд Takanori Isobe: A Single-Key Attack on the Full GOST Block Cipher, In FSE 2011, Fast Software Ecnryption, Springer LNCS, 2011


Этот труд лично мне был доступен только в виде презентации (если у Вас уже есть статья, вышлите её, пожалуйста), поэтому трудно высказать относительно него достаточно определённое мнение. Единственно, что на ней заметно - это требуется 2^32 know plaintext (KP), что для шифра c размером блока 64-бит даже теоретически невозможно.

enum написал:
Касательно стойкости нашего блочного шифра, авторы утверждают "A new attack which also uses refection, and finally breaks GOST..." что-то как-то очень смело хотелось бы ваших желательно аргументированных коментариев


Можно процитировать Шнайера (правда относительно AES-256, но и в данном случае будет к месту): "...описанный авторами исследования метод представляет интерес для специалистов [в данном случае, возможно представляет] , однако не несет немедленной практической угрозы, поскольку для взлома алгоритма необходимы такие вычислительные мощности, которые появятся еще очень нескоро...". Кроме того следует заметить, что:

  • Как известно, в приложениях PKI (CMS, TLS, IPsec и т.п.), симметричные ключи порождают на основе асимметричных ключей в группе ГОСТ 34.10-2001, которые имеют стойкость не выше 2^128 (в результате применения "парадокса" дней рождения для задач дискертного логарифмирования);
  • Датчиков случайных чисел (ДСЧ), которые могли бы иметь качество хотя бы приближающееся к 2^-200, нет (точнее они доступны только для очень "крутых". А может им так кажется, кто знает);

    Любые приложения ГОСТ 28147-89 должны менять ключи задолго до достижения границы 2^32 блоков (32 Гб) по причине того же "парадокса" дней рождения. В частности, во многих продуктах уровней КС1-КС3 они используются не более чем для 4 Мб (2^19 блоков).

    P.S.

    Как известно за одного битого двух небитых дают :( Тут, конечно, AES-256, типа крутой, нашему ГОСТ 28147-89 может фору дать :( Т.к. его добили с 2^256 до 2^119 - 2^96 по трудоёмкости, нашему же пока:

    Цитата:
    Nicolas Courtois: Algebraic Complexity Reduction and Cryptanalysis of GOST, 17
    February 2011, 28 pages, original preprint submitted to Crypto 2011. MD5 Hash
    is d1e272a75601405d156618176cf98218. SHA-1 Hash is 6C16C46E 00AFD74B
    3ED4949B 7766D5BF 6EC7DDBB. The fastest attack on full-round 256-bit GOST
    presented in this paper has a time complexity of 2^216. The paper also contained one
    nearly-practical attack on a well-known practical variant of GOST which allows
    to break some keys in practice. Many more important attacks were added later,
    current version has 54 pages, to be published soon, probably wil be split in several
    pieces.


    P.P.S.

    Если быть точным, то это, в некотором смысле, не самый лучший результат, но до AES-256 ещё далеко. :)

    Отредактировано пользователем 14 мая 2011 г. 2:01:31(UTC)  | Причина: Не указана

  • Offline enum  
    #3 Оставлено : 23 мая 2011 г. 21:49:59(UTC)
    enum

    Статус: Участник

    Группы: Участники
    Зарегистрирован: 16.04.2009(UTC)
    Сообщений: 26

    Прочитав отзыв и разобравшись в статьях пришел к следующим выводам:

    1. Указанные атаки - несут больше теоретический характер, на практике их реализовать весьма затруднительно, хотя ботнет с миллионом хостов я думаю осилит.

    2. Автор статьи прав (если математические выводы верны), если для алгоритма существуют атаки работающие быстрее прямого перебора - алгоритм взломан.

    3. Надеюсь ИКСИ и 8-й центр уже работают над латанием дыры, поскольку взлом связи, а ее сейчас стараниями ФСБ усиленно навяливают всем может нести последствия суровее ядерного удара.

    4. Ну и как заявляет автор возможно это только первые ласточка.
    Offline Serge3leo  
    #4 Оставлено : 24 мая 2011 г. 18:56:32(UTC)
    Serge3leo

    Статус: Активный участник

    Группы: Участники
    Зарегистрирован: 28.01.2008(UTC)
    Сообщений: 40
    Мужчина
    Откуда: Москва

    Поблагодарили: 3 раз в 2 постах
    enum написал:
    1. Указанные атаки - несут больше теоретический характер

    Насчёт, "... View Of International Standardisation" есть некоторые сомнения в этом, возможно, целевая аудитория этой статьи - комитет ISO, и характер её - политический (т.к. там даже "взлома"-то не было изложено, то ли автор не заметил, что ГОСТ 28147-89 имеет блок 64 бита, то ли намеренно проигнорировал сей факт).

    enum написал:
    , на практике их реализовать весьма затруднительно, хотя ботнет с миллионом хостов я думаю осилит.

    Есть идеи, как выполнить хотя бы 2^216 операций?

    enum написал:
    2. Автор статьи прав (если математические выводы верны), если для алгоритма существуют атаки работающие быстрее прямого перебора - алгоритм взломан.

    Для всех практически используемых алгоритмов уже многие годы известны "атаки, работающие быстрее прямого перебора", это нормальный процесс криптографического анализа, я так думаю.

    IMHO, если поднять литературу, то "ГОСТ взломан" встречается раз в 3-4 года, а "AES взломан" встречается раз в 2-3 года (в той или иной формулировке).

    enum написал:
    3. Надеюсь ИКСИ и 8-й центр уже работают над латанием дыры, поскольку взлом связи, а ее сейчас стараниями ФСБ усиленно навяливают всем может нести последствия суровее ядерного удара.

    Ну, работают, конечно, но вряд ли над этим. :)

    enum написал:
    4. Ну и как заявляет автор возможно это только первые ласточка.

    Научный прогресс остановить нельзя, без вопросов :)

    Отредактировано пользователем 24 мая 2011 г. 19:02:27(UTC)  | Причина: Не указана

    Offline enum  
    #5 Оставлено : 24 мая 2011 г. 21:23:02(UTC)
    enum

    Статус: Участник

    Группы: Участники
    Зарегистрирован: 16.04.2009(UTC)
    Сообщений: 26

    Спасибо за ответ.

    Хотелось также узнать, приняли ГОСТ 28147-89 как ISO или нет? И если примут, то какие S-блоки будут использоваться (ведь это всегда основное направление критики стандарта).
    Offline Serge3leo  
    #6 Оставлено : 25 мая 2011 г. 6:11:14(UTC)
    Serge3leo

    Статус: Активный участник

    Группы: Участники
    Зарегистрирован: 28.01.2008(UTC)
    Сообщений: 40
    Мужчина
    Откуда: Москва

    Поблагодарили: 3 раз в 2 постах
    enum написал:
    Хотелось также узнать, приняли ГОСТ 28147-89 как ISO или нет?

    Смотри на сайте ISO: ISO/IEC 18033-3:2010/WD Amd 1.
    2011-03-31 перешёл на стадию 20.60, и это не первоапрельская шутка :(

    Отредактировано пользователем 25 мая 2011 г. 9:57:46(UTC)  | Причина: Не указана

    Offline Samael  
    #7 Оставлено : 21 ноября 2011 г. 19:09:46(UTC)
    Samael

    Статус: Новичок

    Группы: Участники
    Зарегистрирован: 21.11.2011(UTC)
    Сообщений: 1
    Откуда: Москва

    Offline Serge3leo  
    #8 Оставлено : 1 декабря 2011 г. 9:13:26(UTC)
    Serge3leo

    Статус: Активный участник

    Группы: Участники
    Зарегистрирован: 28.01.2008(UTC)
    Сообщений: 40
    Мужчина
    Откуда: Москва

    Поблагодарили: 3 раз в 2 постах

    Мда, печально,
    Цитата:
    набор узлов замены, рассматриваемый в работе Куртуа, полностью отличается от набора узлов замены, определенного в 1-м рабочем проекте Дополнения 1 к стандарту ISO/IEC 18033-3

    И эти эксперты пытались продвинуть ГОСТ 28147-89 в ISO, жаль :)

    Нет, ну конечно, например, узлы замены приведённые у Шнайера или "id-GostR3411-94-CryptoProParamSet" не являются параметрами для ГОСТ 28147-89, но с такой аргументацией, однако, как видим, политическую ангажированость преодолеть не удалось.

    Отредактировано пользователем 1 декабря 2011 г. 9:29:19(UTC)  | Причина: Не указана

    Offline ssashas  
    #9 Оставлено : 21 февраля 2013 г. 13:43:33(UTC)
    ssashas

    Статус: Новичок

    Группы: Участники
    Зарегистрирован: 21.02.2013(UTC)
    Сообщений: 2

    Здравствуйте, поясните пожалуйста новичку, почему
    Цитата:

    Любые приложения ГОСТ 28147-89 должны менять ключи задолго до достижения границы 2^32 блоков (32 Гб) по причине того же "парадокса" дней рождения. В частности, во многих продуктах уровней КС1-КС3 они используются не более чем для 4 Мб (2^19 блоков).

    И определяют ли какие-либо госты время жизни ключей и метод их распространения. Заранее спасибо.
    RSS Лента  Atom Лента
    Пользователи, просматривающие эту тему
    Guest
    Быстрый переход  
    Вы не можете создавать новые темы в этом форуме.
    Вы не можете отвечать в этом форуме.
    Вы не можете удалять Ваши сообщения в этом форуме.
    Вы не можете редактировать Ваши сообщения в этом форуме.
    Вы не можете создавать опросы в этом форуме.
    Вы не можете голосовать в этом форуме.