информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / theory
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
ГОСТ 28147-89 16.10.02 07:13  Число просмотров: 2401
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Кстати, насколько мне известно, при сертификации крипты
> основанной на ГОСТ' е таблицы замен выдаются именно
> сертифицирующим органом (догадайтесь каким)...
а к чему эта загадочность? можно подумать, что в России есть более одного органа по сертификации СКЗИ. это просто замечательно, что эти таблицы выдаются ФАПСИ, а не разработчиком - хоть какая-то гарантия отсутствия сговора. я уже не говорю про самостоятельную их генерацию пользователем на коленке...
параноикам, антиглобалистам и прочим считающим, что ФАПСИ очень хочет их слушать, могу сказать одно: у них есть более простые (и законные) методы получения информации, чем уловки с ослаблением алгоритма. посему таблице замен от ФАПСИ я доверяю больше, чем какой-либо другой...
<theory>
ГОСТ 28147-89 15.10.02 13:58  
Автор: FreeHermit Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Если ли оценка стойкости ГОСТ’а если известен открытый текст (не зашифрованный) и зашифрованный. Интересует, с какой вероятностью и за какое время (если это вообще реально) подобрать ключ, если только известен открытый текст и зашифрованный. Методы “тупого” полного перебора не предлагать.
ГОСТ 28147-89 21.10.02 10:59  
Автор: vp016 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Если ли оценка стойкости ГОСТ’а если известен открытый
> текст (не зашифрованный) и зашифрованный. Интересует, с
> какой вероятностью и за какое время (если это вообще
> реально) подобрать ключ, если только известен открытый
> текст и зашифрованный. Методы “тупого” полного перебора не
> предлагать.
В описании алгоритма гаммирования (с обратной связью или без тактовой) есть дыра. Если есть данные о первых восьми байтах (текст или есть сигнатура) то вскрыть оставшиеся данные не такая уж сложная задача (прямо скажем, менее трудоемкая чем представлено в описании госта).
ГОСТ 28147-89 21.10.02 15:56  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> В описании алгоритма гаммирования (с обратной связью или
> без тактовой) есть дыра. Если есть данные о первых восьми
> байтах (текст или есть сигнатура) то вскрыть оставшиеся
> данные не такая уж сложная задача (прямо скажем, менее
> трудоемкая чем представлено в описании госта).
Да ну?
А если головой подумать? Даже если ты будешь знать шифруемый текст, то максимум, чтот восстановишь это соответствующий синхропосылке шифртекст. и чтот дальше? known plaitext attack для 8 байт? ну-ну...
ГОСТ 28147-89 22.10.02 17:37  
Автор: vp016 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Да ну?
> А если головой подумать? Даже если ты будешь знать
> шифруемый текст, то максимум, чтот восстановишь это
> соответствующий синхропосылке шифртекст. и чтот дальше?
> known plaitext attack для 8 байт? ну-ну...
Давай по порядку.
Без обратной связи - тут я ошибся (никогда не думал по поводу гаммирования без обратной связи).
По поводу гаммирования с обратной связью, ты можешь процитировать с ГОСТа каким образом шифруется первый блок данных и последующие? Как получается гамма шифра для первого блока и последующих блоков?
Вот давай и подумаем, что будет если ты знаешь 1-е 8 байтов открытого теста и гамму шифра для первого блока днных (тривиально получиш xor'oм). Каким образом строится гамма шифра для второго блока данных?
ГОСТ 28147-89 23.10.02 11:30  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Давай по порядку.
Давай
> Без обратной связи - тут я ошибся (никогда не думал по
> поводу гаммирования без обратной связи).
Переведи свою мысль. Мы что все-таки обсуждаем? Режим гаммирования с обратнной связью или без?

> По поводу гаммирования с обратной связью, ты можешь
> процитировать с ГОСТа каким образом шифруется первый блок
> данных и последующие? Как получается гамма шифра для
И первый, и последующие шифрубтся одинаково - путем XOR с гаммой шифра. Гамма образуется тривиально: берут синхропосылку, шифруют ее в режиме простой замены - это первый кусок гаммы. Потом его снова шифруют в режиме простой замены - это следующий кусок гаммы. И.т.д.

> Вот давай и подумаем, что будет если ты знаешь 1-е 8 байтов
> открытого теста и гамму шифра для первого блока днных
> (тривиально получиш xor'oм). Каким образом строится гамма
> шифра для второго блока данных?
Вот и подумай сам. Ничего тебе это не даст. Потому как чтобы получить следующий блок гаммы, тебе надо предыдущий зашифровать в режиме простой замены. А ключа ты не знаешь... Дальше понятно?

Вобщем, читайте доки, они рулез. Режим гаммирования с обратной связью называется на зарубежноом языке CFB (Cipher Feedback Mode) и реализуется на любом блочном шифре.
См. "Часто задаваемые вопросы конференции RU.CRYPT", там прямо вопрос такой есть "Что такое ECB, CBC, OFB, CFB?"



Часто задаваемые вопросы конференции RU.CRYPT
ГОСТ 28147-89 15.10.02 17:12  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Если ли оценка стойкости ГОСТ’а если известен открытый
> текст (не зашифрованный) и зашифрованный. Интересует, с
это называется "known plaintext attack". оценка - "обломайся" ;) в смысле, алгоритм спроектирован с защитой от этотй атаки в том числе...

> какой вероятностью и за какое время (если это вообще
> реально) подобрать ключ, если только известен открытый
> текст и зашифрованный. Методы “тупого” полного перебора не
> предлагать.
менее "тупым" методом этой атаки является дифференциальный криптоанализ. но, насколько мне известно, применительно к ГОСТу им никто не занимался, ибо таблица замен (s-boxes) в стандарте нефиксированы, а ломать ьголову над частным случаем никому неохота.

p.s. поищи на яндексе/гугле про дифф. криптоанализ...
ГОСТ 28147-89 22.10.02 10:50  
Автор: Portnov Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> менее "тупым" методом этой атаки является дифференциальный
> криптоанализ. но, насколько мне известно, ...
Я почитал в свое время немало литературы про криптографию, в т.ч. и про дифф. криптоанализ и про ГОСТ... Дифф. криптоанализом для ГОСТа кое-кто занимался, рассатривая таблицу замен как чать ключа. Самое интересное, что практически ничего из этого не получилось.
ГОСТ 28147-89 15.10.02 18:33  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
> менее "тупым" методом этой атаки является дифференциальный
> криптоанализ. но, насколько мне известно, применительно к
> ГОСТу им никто не занимался, ибо таблица замен (s-boxes) в
> стандарте нефиксированы, а ломать ьголову над частным
> случаем никому неохота.

И именно частные случаи таблиц замен и представляют основной интерес, а точнее некоторые классы таких таблиц редуцирующие группу шифра...

Кстати, насколько мне известно, при сертификации крипты основанной на ГОСТ' е таблицы замен выдаются именно сертифицирующим органом (догадайтесь каким)...
ГОСТ 28147-89 16.10.02 07:13  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Кстати, насколько мне известно, при сертификации крипты
> основанной на ГОСТ' е таблицы замен выдаются именно
> сертифицирующим органом (догадайтесь каким)...
а к чему эта загадочность? можно подумать, что в России есть более одного органа по сертификации СКЗИ. это просто замечательно, что эти таблицы выдаются ФАПСИ, а не разработчиком - хоть какая-то гарантия отсутствия сговора. я уже не говорю про самостоятельную их генерацию пользователем на коленке...
параноикам, антиглобалистам и прочим считающим, что ФАПСИ очень хочет их слушать, могу сказать одно: у них есть более простые (и законные) методы получения информации, чем уловки с ослаблением алгоритма. посему таблице замен от ФАПСИ я доверяю больше, чем какой-либо другой...
ГОСТ 28147-89 16.10.02 12:36  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
> параноикам, антиглобалистам и прочим считающим, что ФАПСИ
> очень хочет их слушать, могу сказать одно: у них есть более
> простые (и законные) методы получения информации, чем
> уловки с ослаблением алгоритма.

Одно другому не мешает ;-)

> посему таблице замен от ФАПСИ я доверяю больше, чем какой-либо >другой...

"Блажен кто верует..."(Copyright Новый Завет)
Оставим тот маловероятный вариант, что какой-нить 14-15 летний мальчишка-гений опишет классы таблиц замены ослабляющие сложность алгоритма. Не буду напоминать и о том, что еще пока готовят криптографов-профессионалов и не многие из них в дальнейшем остаются на службе (не многие и не лучшие). Но при тех деньгах, которые офицер получает в ФАПСИ и подобных структурах (оговорюсь, что верю в то есть люди заколачивающие немало и не совсем законными путями) вероятность утечки информации значительно возрастает... Доверять или не доверять, каждый решает этот вопрос для себя по-своему... Все определяется ценностью защищаемой информации.
ГОСТ 28147-89 16.10.02 12:51  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> > простые (и законные) методы получения информации, чем
> > уловки с ослаблением алгоритма.
>
> Одно другому не мешает ;-)
думаешь, они из тех, кто не ищет легких путей? ;)
путем произнесения волшебных слов и демонстрации волшебных предметов можно любого человека убедить отдать информацию. для особо упорных может понадобиться применение волшебных предметов ;)

> > посему таблице замен от ФАПСИ я доверяю больше, чем
> какой-либо >другой...
>
> "Блажен кто верует..."(Copyright Новый Завет)
я не верую, а имею вески основания доверятьт этому источнику больше, чем другим. устроит?

> Оставим тот маловероятный вариант, что какой-нить 14-15
> летний мальчишка-гений опишет классы таблиц замены
> ослабляющие сложность алгоритма. Не буду напоминать и о
Оставим. И даже то, что это будет не 15-летний отрок. Иначе давно бы уже описали...

> том, что еще пока готовят криптографов-профессионалов и не
> многие из них в дальнейшем остаются на службе (не многие и
> не лучшие). Но при тех деньгах, которые офицер получает в
> ФАПСИ и подобных структурах (оговорюсь, что верю в то есть
> люди заколачивающие немало и не совсем законными путями)
> вероятность утечки информации значительно возрастает...
А теперь расшифруй свой пассаж.
1. Ты хочешь сказать, что оставшиеся на службе не самые лучшие специалисты из-за своей низкой квалификации сделают заведомо плохие таблицы (формальноого описания которых, как мы выше договорились пока нет), а их более удачливые однокашники "на воле" это просекут и воспользуются?
2. Ты хочешь сказать, что бедно живущие "генераторы" за взятку умышленно сделают такие таблицы и сообщат инфу об упрощении взлома подельникам?
3. Ты хочешь сказать, что таблица замен, которую ты сделаешь сам однозначно не будет слабой и ее не просчитают злые упыри?

Оставим, кстати, за бортом выигрыш от плохой таблицы без знания ключа который 256 бит ;)

> Доверять или не доверять, каждый решает этот вопрос для
> себя по-своему... Все определяется ценностью защищаемой
> информации.
Вот именно. На моей практике не попадалось еще коммерческой информации, обрабатываемой в электрорнном виде, которая бы стоила таких денег, что ее будут добывать ТАКИМ способом ;) А прор ГТ мне бы говорить не хотелось, дабы не сказать чего лишнего ;)
ГОСТ 28147-89 16.10.02 14:07  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
Все что я хочу сказать, это то что уверен, что существую и весьма вероятно кем-то описаны классы таблиц ослабляющих группу шифра. И что весьма вероятно, что таблицы выдаваемые сертифицирующим органом принадлежат этому классу. Можно попробовать найти этот класс или получить описание каким-нибудь способом (в наше время это даже проще). Все остальное каждый решает для себя... А подслушать часто гораздо эффективней чем ту же информацию попытаться выбить...
ГОСТ 28147-89 16.10.02 16:16  
Автор: Alexei Volchkov Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Все что я хочу сказать, это то что уверен, что существую и
> весьма вероятно кем-то описаны классы таблиц ослабляющих
> группу шифра. И что весьма вероятно, что таблицы выдаваемые
> сертифицирующим органом принадлежат этому классу. Можно
> попробовать найти этот класс или получить описание
> каким-нибудь способом (в наше время это даже проще). Все
> остальное каждый решает для себя... А подслушать часто
> гораздо эффективней чем ту же информацию попытаться
> выбить...
На самом деле все гораздо проще. Во первых ГОСТ стоек и при тривиальных блоках заменах (т.е. с единичными подстановками), можно + на xor заменить все равно потянте, хотя и похуже. Во вторых все подстановки 4-битные, для знакомы хс линейным анализом сразу становится ясно какое может быть максимальное преобладание "дельта" для линейного аналога блока замены. Подстановки с такими "дельтами" и дают нам нужные блоки замены.
Дополнительно подстановки из ГОСТа на хеш этому требованию не удовлетворяют - следовательно онои плохие. Вероятность попасть на плохие подстановки при случайном выборе блоков замены близка к единице.

Алексей.
ГОСТ 28147-89 17.10.02 12:11  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
Можно сколько угодно спорить, ну не верю я, что нет в ГОСТ'е скрытых лазеек. Все о чем можно говорить это о стойкости к определенным видам криптоанализа, не более...
ГОСТ 28147-89 17.10.02 16:14  
Автор: Alexei Volchkov Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Можно сколько угодно спорить, ну не верю я, что нет в
> ГОСТ'е скрытых лазеек. Все о чем можно говорить это о
> стойкости к определенным видам криптоанализа, не более...

Всегда предпочитаю слово ЗНАЮ слову ВЕРЮ. Так вот в ГОСТе НЕТ скрытых лазеек. По многим причинам это было бы делать туповато. А вот в конкретных реализациях есть, и весьма нетривиальные. Поскольку гораздо интереснее добираться до ключа не по открытому и шифрованному тексту, а при дополнительном знании. При этом вся нестойкость укрывается не в реализации алгоритма, а в процедуре генерации разового ключа, которая лицензиатами ФАПСИ нигде и никогда не описывается и никем не сертифицируется.
ГОСТ 28147-89 17.10.02 18:19  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
> Всегда предпочитаю слово ЗНАЮ слову ВЕРЮ. Так вот в ГОСТе
> НЕТ скрытых лазеек.

Докажите ;-). Докажите его устойчивость не только к существующим (опубликованным) методам криптоанализа, но и к непридуманным (неопубликованным). А так ваши утверждения основаны ТОЛЬКО НА ИЗВЕСТНОЙ вам теории... Можно вспомнить задачку о перекрытиях, когда задача полного перебора заменяется на мгновенное просвечивание пачки перфокарт. Так что я не был бы столь категоричен, ГОСТ это все-таки не гаммирование случайной равновероятной гаммой с длиной ключа равной длине шифтекста.

Вера конечно не доказательство, но если публиковать действительно стойкий алгоритм, то какой смысл вообще секретить исследования в области криптографии? Раз нашли панацею, дальнейшие исследования теряют всякий смысл... Какие там многочлены максимального периода, кому они теперь нужны... Оставим работать субатомные генераторы случайных чисел (ключи ГОСТ'у все же нужны), а все остальное бессмыслица... А всякие там папуасы вообще чайники, какие-то исследования ведут, собственные шифрсистемы строят... А тут шифр с гарантированной стойкостью бесплатно раздают ;-)

> По многим причинам это было бы делать
> туповато. А вот в конкретных реализациях есть, и весьма
> нетривиальные.

С этим не поспоришь, электронную криптографию и грамотную генерацию ключей никто не отменял, но все это несравнимо по трудоемкости с созданием шифрсистемы.

> Поскольку гораздо интереснее добираться до
> ключа не по открытому и шифрованному тексту, а при
> дополнительном знании. При этом вся нестойкость укрывается
> не в реализации алгоритма, а в процедуре генерации разового
> ключа, которая лицензиатами ФАПСИ нигде и никогда не
> описывается и никем не сертифицируется.

А если нет дополнительного знания? Нет реализации, до концов канала добраться нереально, есть только линия(посторонние шумы отфильтрованы)... Все, канава? ;-)
ГОСТ 28147-89 18.10.02 08:40  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> > Всегда предпочитаю слово ЗНАЮ слову ВЕРЮ. Так вот в
> ГОСТе
> > НЕТ скрытых лазеек.
>
> Докажите ;-). Докажите его устойчивость не только к
Доказатьь отсуствие чего-либо невозмножно в принципе. Наличие - да (путем демонстрации).
Так что я бы обернул вопрос: уважаемый Вадим! ДОКАЖИТЕ, что ов ГОСТе есть лазейки, иначе Ваше заявление отдает бездоказательной паранойей ;)

p.s. Уж если даже Алексей .Волчков говорит, что там нет специально заложенных дыр - этому стоит верить ;)
p.s.s. Стандарт разрабаотывался для использования в гос. целях. Какой кретин будет закладывать уязвимости в средство защиты, делаемое для себя?
ГОСТ 28147-89 18.10.02 13:15  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
> Так что я бы обернул вопрос: уважаемый Вадим! ДОКАЖИТЕ, что
> ов ГОСТе есть лазейки, иначе Ваше заявление отдает
> бездоказательной паранойей ;)

Я ничего и не доказываю, если вы потрудитесь прочитать предыдущие постинги, то там написано что лично я не верю в стойкость ГОСТ'а и что каждый этот вопрос пусть решает для себя. Это уже дальше пошли споры на тему что значит верить и знать. Так что ситуация патовая, невозможно доказать стойкость, но и никто пока не нашел слабостей. А криптоанализ подобных блочных шифров слишком дорогое удовольствие, разве что АНБ может себе это позволить, только боюсь результаты оно не опубликует ;-)

Если у Вас нет паранойи, то это еще значит что за Вами никто не следит :-)

> p.s. Уж если даже Алексей .Волчков говорит, что там нет
> специально заложенных дыр - этому стоит верить ;)

Опять же обсуждаем вопросы веры и неверия ;-))

> p.s.s. Стандарт разрабаотывался для использования в гос.
> целях. Какой кретин будет закладывать уязвимости в средство
> защиты, делаемое для себя?

Когда-то на заре криптографии папуасам тоже поставляли железные шифраторы разработанные для себя, только одна платка там была немного перепаяна...
ГОСТ 28147-89 21.10.02 10:24  
Автор: Alexei Volchkov Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> я не верю в
> стойкость ГОСТ'а и что каждый этот вопрос пусть решает для
> себя. Это уже дальше пошли споры на тему что значит верить
> и знать. Так что ситуация патовая, невозможно доказать
> стойкость, но и никто пока не нашел слабостей. А
> криптоанализ подобных блочных шифров слишком дорогое
> удовольствие, разве что АНБ может себе это позволить,
> только боюсь результаты оно не опубликует ;-)

В общем все основное сказано. Действительно вопрос доверия тому или иному алгоритму шифрования это вопрос сугубо личный. И хотя в ГОСТе как я сказал принципиальных слабостей нету (разме только что малый размер блока), дловерия этому алгоритму гораздо меньше, чем скажем Rijndael, поскольку отчеты по анализу и синтезу последнего опубликованы, а по ГОСТу нет.
Согласен также, что анализ шифра это задача сложная, но не такая уж дорогая, как это часто озвучивается представителяммя ФАПСИ. С примерами анализов можно ознакомиться на www.cryptonessie.org.

Алексей.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach