> менее "тупым" методом этой атаки является дифференциальный > криптоанализ. но, насколько мне известно, применительно к > ГОСТу им никто не занимался, ибо таблица замен (s-boxes) в > стандарте нефиксированы, а ломать ьголову над частным > случаем никому неохота.
И именно частные случаи таблиц замен и представляют основной интерес, а точнее некоторые классы таких таблиц редуцирующие группу шифра...
Кстати, насколько мне известно, при сертификации крипты основанной на ГОСТ' е таблицы замен выдаются именно сертифицирующим органом (догадайтесь каким)...
Если ли оценка стойкости ГОСТ’а если известен открытый текст (не зашифрованный) и зашифрованный. Интересует, с какой вероятностью и за какое время (если это вообще реально) подобрать ключ, если только известен открытый текст и зашифрованный. Методы “тупого” полного перебора не предлагать.
> Если ли оценка стойкости ГОСТ’а если известен открытый > текст (не зашифрованный) и зашифрованный. Интересует, с > какой вероятностью и за какое время (если это вообще > реально) подобрать ключ, если только известен открытый > текст и зашифрованный. Методы “тупого” полного перебора не > предлагать. В описании алгоритма гаммирования (с обратной связью или без тактовой) есть дыра. Если есть данные о первых восьми байтах (текст или есть сигнатура) то вскрыть оставшиеся данные не такая уж сложная задача (прямо скажем, менее трудоемкая чем представлено в описании госта).
> В описании алгоритма гаммирования (с обратной связью или > без тактовой) есть дыра. Если есть данные о первых восьми > байтах (текст или есть сигнатура) то вскрыть оставшиеся > данные не такая уж сложная задача (прямо скажем, менее > трудоемкая чем представлено в описании госта). Да ну?
А если головой подумать? Даже если ты будешь знать шифруемый текст, то максимум, чтот восстановишь это соответствующий синхропосылке шифртекст. и чтот дальше? known plaitext attack для 8 байт? ну-ну...
> Да ну? > А если головой подумать? Даже если ты будешь знать > шифруемый текст, то максимум, чтот восстановишь это > соответствующий синхропосылке шифртекст. и чтот дальше? > known plaitext attack для 8 байт? ну-ну... Давай по порядку.
Без обратной связи - тут я ошибся (никогда не думал по поводу гаммирования без обратной связи).
По поводу гаммирования с обратной связью, ты можешь процитировать с ГОСТа каким образом шифруется первый блок данных и последующие? Как получается гамма шифра для первого блока и последующих блоков?
Вот давай и подумаем, что будет если ты знаешь 1-е 8 байтов открытого теста и гамму шифра для первого блока днных (тривиально получиш xor'oм). Каким образом строится гамма шифра для второго блока данных?
> Давай по порядку. Давай
> Без обратной связи - тут я ошибся (никогда не думал по > поводу гаммирования без обратной связи). Переведи свою мысль. Мы что все-таки обсуждаем? Режим гаммирования с обратнной связью или без?
> По поводу гаммирования с обратной связью, ты можешь > процитировать с ГОСТа каким образом шифруется первый блок > данных и последующие? Как получается гамма шифра для И первый, и последующие шифрубтся одинаково - путем XOR с гаммой шифра. Гамма образуется тривиально: берут синхропосылку, шифруют ее в режиме простой замены - это первый кусок гаммы. Потом его снова шифруют в режиме простой замены - это следующий кусок гаммы. И.т.д.
> Вот давай и подумаем, что будет если ты знаешь 1-е 8 байтов > открытого теста и гамму шифра для первого блока днных > (тривиально получиш xor'oм). Каким образом строится гамма > шифра для второго блока данных? Вот и подумай сам. Ничего тебе это не даст. Потому как чтобы получить следующий блок гаммы, тебе надо предыдущий зашифровать в режиме простой замены. А ключа ты не знаешь... Дальше понятно?
Вобщем, читайте доки, они рулез. Режим гаммирования с обратной связью называется на зарубежноом языке CFB (Cipher Feedback Mode) и реализуется на любом блочном шифре.
См. "Часто задаваемые вопросы конференции RU.CRYPT", там прямо вопрос такой есть "Что такое ECB, CBC, OFB, CFB?"
> Если ли оценка стойкости ГОСТ’а если известен открытый > текст (не зашифрованный) и зашифрованный. Интересует, с это называется "known plaintext attack". оценка - "обломайся" ;) в смысле, алгоритм спроектирован с защитой от этотй атаки в том числе...
> какой вероятностью и за какое время (если это вообще > реально) подобрать ключ, если только известен открытый > текст и зашифрованный. Методы “тупого” полного перебора не > предлагать. менее "тупым" методом этой атаки является дифференциальный криптоанализ. но, насколько мне известно, применительно к ГОСТу им никто не занимался, ибо таблица замен (s-boxes) в стандарте нефиксированы, а ломать ьголову над частным случаем никому неохота.
p.s. поищи на яндексе/гугле про дифф. криптоанализ...
> менее "тупым" методом этой атаки является дифференциальный > криптоанализ. но, насколько мне известно, ... Я почитал в свое время немало литературы про криптографию, в т.ч. и про дифф. криптоанализ и про ГОСТ... Дифф. криптоанализом для ГОСТа кое-кто занимался, рассатривая таблицу замен как чать ключа. Самое интересное, что практически ничего из этого не получилось.
ГОСТ 28147-8915.10.02 18:33 Автор: SerpentFly <Vadim Smirnov> Статус: Member
> менее "тупым" методом этой атаки является дифференциальный > криптоанализ. но, насколько мне известно, применительно к > ГОСТу им никто не занимался, ибо таблица замен (s-boxes) в > стандарте нефиксированы, а ломать ьголову над частным > случаем никому неохота.
И именно частные случаи таблиц замен и представляют основной интерес, а точнее некоторые классы таких таблиц редуцирующие группу шифра...
Кстати, насколько мне известно, при сертификации крипты основанной на ГОСТ' е таблицы замен выдаются именно сертифицирующим органом (догадайтесь каким)...
> Кстати, насколько мне известно, при сертификации крипты > основанной на ГОСТ' е таблицы замен выдаются именно > сертифицирующим органом (догадайтесь каким)... а к чему эта загадочность? можно подумать, что в России есть более одного органа по сертификации СКЗИ. это просто замечательно, что эти таблицы выдаются ФАПСИ, а не разработчиком - хоть какая-то гарантия отсутствия сговора. я уже не говорю про самостоятельную их генерацию пользователем на коленке...
параноикам, антиглобалистам и прочим считающим, что ФАПСИ очень хочет их слушать, могу сказать одно: у них есть более простые (и законные) методы получения информации, чем уловки с ослаблением алгоритма. посему таблице замен от ФАПСИ я доверяю больше, чем какой-либо другой...
ГОСТ 28147-8916.10.02 12:36 Автор: SerpentFly <Vadim Smirnov> Статус: Member
> параноикам, антиглобалистам и прочим считающим, что ФАПСИ > очень хочет их слушать, могу сказать одно: у них есть более > простые (и законные) методы получения информации, чем > уловки с ослаблением алгоритма.
Одно другому не мешает ;-)
> посему таблице замен от ФАПСИ я доверяю больше, чем какой-либо >другой...
"Блажен кто верует..."(Copyright Новый Завет)
Оставим тот маловероятный вариант, что какой-нить 14-15 летний мальчишка-гений опишет классы таблиц замены ослабляющие сложность алгоритма. Не буду напоминать и о том, что еще пока готовят криптографов-профессионалов и не многие из них в дальнейшем остаются на службе (не многие и не лучшие). Но при тех деньгах, которые офицер получает в ФАПСИ и подобных структурах (оговорюсь, что верю в то есть люди заколачивающие немало и не совсем законными путями) вероятность утечки информации значительно возрастает... Доверять или не доверять, каждый решает этот вопрос для себя по-своему... Все определяется ценностью защищаемой информации.
> > простые (и законные) методы получения информации, чем > > уловки с ослаблением алгоритма. > > Одно другому не мешает ;-) думаешь, они из тех, кто не ищет легких путей? ;)
путем произнесения волшебных слов и демонстрации волшебных предметов можно любого человека убедить отдать информацию. для особо упорных может понадобиться применение волшебных предметов ;)
> > посему таблице замен от ФАПСИ я доверяю больше, чем > какой-либо >другой... > > "Блажен кто верует..."(Copyright Новый Завет) я не верую, а имею вески основания доверятьт этому источнику больше, чем другим. устроит?
> Оставим тот маловероятный вариант, что какой-нить 14-15 > летний мальчишка-гений опишет классы таблиц замены > ослабляющие сложность алгоритма. Не буду напоминать и о Оставим. И даже то, что это будет не 15-летний отрок. Иначе давно бы уже описали...
> том, что еще пока готовят криптографов-профессионалов и не > многие из них в дальнейшем остаются на службе (не многие и > не лучшие). Но при тех деньгах, которые офицер получает в > ФАПСИ и подобных структурах (оговорюсь, что верю в то есть > люди заколачивающие немало и не совсем законными путями) > вероятность утечки информации значительно возрастает... А теперь расшифруй свой пассаж.
1. Ты хочешь сказать, что оставшиеся на службе не самые лучшие специалисты из-за своей низкой квалификации сделают заведомо плохие таблицы (формальноого описания которых, как мы выше договорились пока нет), а их более удачливые однокашники "на воле" это просекут и воспользуются?
2. Ты хочешь сказать, что бедно живущие "генераторы" за взятку умышленно сделают такие таблицы и сообщат инфу об упрощении взлома подельникам?
3. Ты хочешь сказать, что таблица замен, которую ты сделаешь сам однозначно не будет слабой и ее не просчитают злые упыри?
Оставим, кстати, за бортом выигрыш от плохой таблицы без знания ключа который 256 бит ;)
> Доверять или не доверять, каждый решает этот вопрос для > себя по-своему... Все определяется ценностью защищаемой > информации. Вот именно. На моей практике не попадалось еще коммерческой информации, обрабатываемой в электрорнном виде, которая бы стоила таких денег, что ее будут добывать ТАКИМ способом ;) А прор ГТ мне бы говорить не хотелось, дабы не сказать чего лишнего ;)
ГОСТ 28147-8916.10.02 14:07 Автор: SerpentFly <Vadim Smirnov> Статус: Member
Все что я хочу сказать, это то что уверен, что существую и весьма вероятно кем-то описаны классы таблиц ослабляющих группу шифра. И что весьма вероятно, что таблицы выдаваемые сертифицирующим органом принадлежат этому классу. Можно попробовать найти этот класс или получить описание каким-нибудь способом (в наше время это даже проще). Все остальное каждый решает для себя... А подслушать часто гораздо эффективней чем ту же информацию попытаться выбить...
> Все что я хочу сказать, это то что уверен, что существую и > весьма вероятно кем-то описаны классы таблиц ослабляющих > группу шифра. И что весьма вероятно, что таблицы выдаваемые > сертифицирующим органом принадлежат этому классу. Можно > попробовать найти этот класс или получить описание > каким-нибудь способом (в наше время это даже проще). Все > остальное каждый решает для себя... А подслушать часто > гораздо эффективней чем ту же информацию попытаться > выбить... На самом деле все гораздо проще. Во первых ГОСТ стоек и при тривиальных блоках заменах (т.е. с единичными подстановками), можно + на xor заменить все равно потянте, хотя и похуже. Во вторых все подстановки 4-битные, для знакомы хс линейным анализом сразу становится ясно какое может быть максимальное преобладание "дельта" для линейного аналога блока замены. Подстановки с такими "дельтами" и дают нам нужные блоки замены.
Дополнительно подстановки из ГОСТа на хеш этому требованию не удовлетворяют - следовательно онои плохие. Вероятность попасть на плохие подстановки при случайном выборе блоков замены близка к единице.
Алексей.
ГОСТ 28147-8917.10.02 12:11 Автор: SerpentFly <Vadim Smirnov> Статус: Member
Можно сколько угодно спорить, ну не верю я, что нет в ГОСТ'е скрытых лазеек. Все о чем можно говорить это о стойкости к определенным видам криптоанализа, не более...
> Можно сколько угодно спорить, ну не верю я, что нет в > ГОСТ'е скрытых лазеек. Все о чем можно говорить это о > стойкости к определенным видам криптоанализа, не более...
Всегда предпочитаю слово ЗНАЮ слову ВЕРЮ. Так вот в ГОСТе НЕТ скрытых лазеек. По многим причинам это было бы делать туповато. А вот в конкретных реализациях есть, и весьма нетривиальные. Поскольку гораздо интереснее добираться до ключа не по открытому и шифрованному тексту, а при дополнительном знании. При этом вся нестойкость укрывается не в реализации алгоритма, а в процедуре генерации разового ключа, которая лицензиатами ФАПСИ нигде и никогда не описывается и никем не сертифицируется.
ГОСТ 28147-8917.10.02 18:19 Автор: SerpentFly <Vadim Smirnov> Статус: Member
> Всегда предпочитаю слово ЗНАЮ слову ВЕРЮ. Так вот в ГОСТе > НЕТ скрытых лазеек.
Докажите ;-). Докажите его устойчивость не только к существующим (опубликованным) методам криптоанализа, но и к непридуманным (неопубликованным). А так ваши утверждения основаны ТОЛЬКО НА ИЗВЕСТНОЙ вам теории... Можно вспомнить задачку о перекрытиях, когда задача полного перебора заменяется на мгновенное просвечивание пачки перфокарт. Так что я не был бы столь категоричен, ГОСТ это все-таки не гаммирование случайной равновероятной гаммой с длиной ключа равной длине шифтекста.
Вера конечно не доказательство, но если публиковать действительно стойкий алгоритм, то какой смысл вообще секретить исследования в области криптографии? Раз нашли панацею, дальнейшие исследования теряют всякий смысл... Какие там многочлены максимального периода, кому они теперь нужны... Оставим работать субатомные генераторы случайных чисел (ключи ГОСТ'у все же нужны), а все остальное бессмыслица... А всякие там папуасы вообще чайники, какие-то исследования ведут, собственные шифрсистемы строят... А тут шифр с гарантированной стойкостью бесплатно раздают ;-)
> По многим причинам это было бы делать > туповато. А вот в конкретных реализациях есть, и весьма > нетривиальные.
С этим не поспоришь, электронную криптографию и грамотную генерацию ключей никто не отменял, но все это несравнимо по трудоемкости с созданием шифрсистемы.
> Поскольку гораздо интереснее добираться до > ключа не по открытому и шифрованному тексту, а при > дополнительном знании. При этом вся нестойкость укрывается > не в реализации алгоритма, а в процедуре генерации разового > ключа, которая лицензиатами ФАПСИ нигде и никогда не > описывается и никем не сертифицируется.
А если нет дополнительного знания? Нет реализации, до концов канала добраться нереально, есть только линия(посторонние шумы отфильтрованы)... Все, канава? ;-)
> > Всегда предпочитаю слово ЗНАЮ слову ВЕРЮ. Так вот в > ГОСТе > > НЕТ скрытых лазеек. > > Докажите ;-). Докажите его устойчивость не только к Доказатьь отсуствие чего-либо невозмножно в принципе. Наличие - да (путем демонстрации).
Так что я бы обернул вопрос: уважаемый Вадим! ДОКАЖИТЕ, что ов ГОСТе есть лазейки, иначе Ваше заявление отдает бездоказательной паранойей ;)
p.s. Уж если даже Алексей .Волчков говорит, что там нет специально заложенных дыр - этому стоит верить ;)
p.s.s. Стандарт разрабаотывался для использования в гос. целях. Какой кретин будет закладывать уязвимости в средство защиты, делаемое для себя?
ГОСТ 28147-8918.10.02 13:15 Автор: SerpentFly <Vadim Smirnov> Статус: Member
> Так что я бы обернул вопрос: уважаемый Вадим! ДОКАЖИТЕ, что > ов ГОСТе есть лазейки, иначе Ваше заявление отдает > бездоказательной паранойей ;)
Я ничего и не доказываю, если вы потрудитесь прочитать предыдущие постинги, то там написано что лично я не верю в стойкость ГОСТ'а и что каждый этот вопрос пусть решает для себя. Это уже дальше пошли споры на тему что значит верить и знать. Так что ситуация патовая, невозможно доказать стойкость, но и никто пока не нашел слабостей. А криптоанализ подобных блочных шифров слишком дорогое удовольствие, разве что АНБ может себе это позволить, только боюсь результаты оно не опубликует ;-)
Если у Вас нет паранойи, то это еще значит что за Вами никто не следит :-)
> p.s. Уж если даже Алексей .Волчков говорит, что там нет > специально заложенных дыр - этому стоит верить ;)
Опять же обсуждаем вопросы веры и неверия ;-))
> p.s.s. Стандарт разрабаотывался для использования в гос. > целях. Какой кретин будет закладывать уязвимости в средство > защиты, делаемое для себя?
Когда-то на заре криптографии папуасам тоже поставляли железные шифраторы разработанные для себя, только одна платка там была немного перепаяна...
> я не верю в > стойкость ГОСТ'а и что каждый этот вопрос пусть решает для > себя. Это уже дальше пошли споры на тему что значит верить > и знать. Так что ситуация патовая, невозможно доказать > стойкость, но и никто пока не нашел слабостей. А > криптоанализ подобных блочных шифров слишком дорогое > удовольствие, разве что АНБ может себе это позволить, > только боюсь результаты оно не опубликует ;-)
В общем все основное сказано. Действительно вопрос доверия тому или иному алгоритму шифрования это вопрос сугубо личный. И хотя в ГОСТе как я сказал принципиальных слабостей нету (разме только что малый размер блока), дловерия этому алгоритму гораздо меньше, чем скажем Rijndael, поскольку отчеты по анализу и синтезу последнего опубликованы, а по ГОСТу нет.
Согласен также, что анализ шифра это задача сложная, но не такая уж дорогая, как это часто озвучивается представителяммя ФАПСИ. С примерами анализов можно ознакомиться на www.cryptonessie.org.