Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.01.2008(UTC) Сообщений: 40  Откуда: Москва Поблагодарили: 3 раз в 2 постах
|
enum написал:Уважаемые разработчики, просьба прокомментировать статью Security Evaluation of GOST 28147-89 In View Of International Standardisation (http://eprint.iacr.org/2011/211), Относительно этой статьи можно сказать, что, либо автор не слишком понимает ГОСТ 28147-89, либо статья писалась в авральном порядке (возможно к какому-либо заседанию ISO). Поясню на её "финальном" предложении: ...is for 2^64 known P/C pairs. GOST is broken.Как известно, ключ ГОСТ 28147-89 это, грубо говоря, взаимо-однозначная функция {C} = K({P}), где |C| = |P| = 2^64. Таким образом получается, что если нам уже известна эта функция (2^64 know P/C), то мы можем её узнать. :) Удивительно, кто бы только мог подумать :) Ну, не знаю, быть может в самом тексте будущего доклада будут какие-либо красивые математические построения, кто знает, будем ждать. enum написал: а также труд Takanori Isobe: A Single-Key Attack on the Full GOST Block Cipher, In FSE 2011, Fast Software Ecnryption, Springer LNCS, 2011 Этот труд лично мне был доступен только в виде презентации (если у Вас уже есть статья, вышлите её, пожалуйста), поэтому трудно высказать относительно него достаточно определённое мнение. Единственно, что на ней заметно - это требуется 2^32 know plaintext (KP), что для шифра c размером блока 64-бит даже теоретически невозможно. enum написал:Касательно стойкости нашего блочного шифра, авторы утверждают "A new attack which also uses refection, and finally breaks GOST..." что-то как-то очень смело хотелось бы ваших желательно аргументированных коментариев Можно процитировать Шнайера (правда относительно AES-256, но и в данном случае будет к месту): "...описанный авторами исследования метод представляет интерес для специалистов [в данном случае, возможно представляет] , однако не несет немедленной практической угрозы, поскольку для взлома алгоритма необходимы такие вычислительные мощности, которые появятся еще очень нескоро...". Кроме того следует заметить, что: Как известно, в приложениях PKI (CMS, TLS, IPsec и т.п.), симметричные ключи порождают на основе асимметричных ключей в группе ГОСТ 34.10-2001, которые имеют стойкость не выше 2^128 (в результате применения "парадокса" дней рождения для задач дискертного логарифмирования);
Датчиков случайных чисел (ДСЧ), которые могли бы иметь качество хотя бы приближающееся к 2^-200, нет (точнее они доступны только для очень "крутых". А может им так кажется, кто знает);
Любые приложения ГОСТ 28147-89 должны менять ключи задолго до достижения границы 2^32 блоков (32 Гб) по причине того же "парадокса" дней рождения. В частности, во многих продуктах уровней КС1-КС3 они используются не более чем для 4 Мб (2^19 блоков).
P.S.
Как известно за одного битого двух небитых дают :( Тут, конечно, AES-256, типа крутой, нашему ГОСТ 28147-89 может фору дать :( Т.к. его добили с 2^256 до 2^119 - 2^96 по трудоёмкости, нашему же пока:
Цитата:Nicolas Courtois: Algebraic Complexity Reduction and Cryptanalysis of GOST, 17
February 2011, 28 pages, original preprint submitted to Crypto 2011. MD5 Hash
is d1e272a75601405d156618176cf98218. SHA-1 Hash is 6C16C46E 00AFD74B
3ED4949B 7766D5BF 6EC7DDBB. The fastest attack on full-round 256-bit GOST
presented in this paper has a time complexity of 2^216. The paper also contained one
nearly-practical attack on a well-known practical variant of GOST which allows
to break some keys in practice. Many more important attacks were added later,
current version has 54 pages, to be published soon, probably wil be split in several
pieces.
P.P.S.
Если быть точным, то это, в некотором смысле, не самый лучший результат, но до AES-256 ещё далеко. :)Отредактировано пользователем 14 мая 2011 г. 2:01:31(UTC)
| Причина: Не указана |
