Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | | | | | | |
ГОСТ 28147-89 18.10.02 13:15 Число просмотров: 2309
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
> Так что я бы обернул вопрос: уважаемый Вадим! ДОКАЖИТЕ, что
> ов ГОСТе есть лазейки, иначе Ваше заявление отдает
> бездоказательной паранойей ;)
Я ничего и не доказываю, если вы потрудитесь прочитать предыдущие постинги, то там написано что лично я не верю в стойкость ГОСТ'а и что каждый этот вопрос пусть решает для себя. Это уже дальше пошли споры на тему что значит верить и знать. Так что ситуация патовая, невозможно доказать стойкость, но и никто пока не нашел слабостей. А криптоанализ подобных блочных шифров слишком дорогое удовольствие, разве что АНБ может себе это позволить, только боюсь результаты оно не опубликует ;-)
Если у Вас нет паранойи, то это еще значит что за Вами никто не следит :-)
> p.s. Уж если даже Алексей .Волчков говорит, что там нет
> специально заложенных дыр - этому стоит верить ;)
Опять же обсуждаем вопросы веры и неверия ;-))
> p.s.s. Стандарт разрабаотывался для использования в гос.
> целях. Какой кретин будет закладывать уязвимости в средство
> защиты, делаемое для себя?
Когда-то на заре криптографии папуасам тоже поставляли железные шифраторы разработанные для себя, только одна платка там была немного перепаяна...
|
|
<theory>
|
ГОСТ 28147-89 15.10.02 13:58
Автор: FreeHermit Статус: Незарегистрированный пользователь
|
|
Если ли оценка стойкости ГОСТ’а если известен открытый текст (не зашифрованный) и зашифрованный. Интересует, с какой вероятностью и за какое время (если это вообще реально) подобрать ключ, если только известен открытый текст и зашифрованный. Методы “тупого” полного перебора не предлагать.
|
|
ГОСТ 28147-89 21.10.02 10:59
Автор: vp016 Статус: Незарегистрированный пользователь
|
> Если ли оценка стойкости ГОСТ’а если известен открытый
> текст (не зашифрованный) и зашифрованный. Интересует, с
> какой вероятностью и за какое время (если это вообще
> реально) подобрать ключ, если только известен открытый
> текст и зашифрованный. Методы “тупого” полного перебора не
> предлагать.
В описании алгоритма гаммирования (с обратной связью или без тактовой) есть дыра. Если есть данные о первых восьми байтах (текст или есть сигнатура) то вскрыть оставшиеся данные не такая уж сложная задача (прямо скажем, менее трудоемкая чем представлено в описании госта).
|
| |
ГОСТ 28147-89 21.10.02 15:56
Автор: cybervlad <cybervlad> Статус: Elderman
|
> В описании алгоритма гаммирования (с обратной связью или
> без тактовой) есть дыра. Если есть данные о первых восьми
> байтах (текст или есть сигнатура) то вскрыть оставшиеся
> данные не такая уж сложная задача (прямо скажем, менее
> трудоемкая чем представлено в описании госта).
Да ну?
А если головой подумать? Даже если ты будешь знать шифруемый текст, то максимум, чтот восстановишь это соответствующий синхропосылке шифртекст. и чтот дальше? known plaitext attack для 8 байт? ну-ну...
|
| | |
ГОСТ 28147-89 22.10.02 17:37
Автор: vp016 Статус: Незарегистрированный пользователь
|
> Да ну?
> А если головой подумать? Даже если ты будешь знать
> шифруемый текст, то максимум, чтот восстановишь это
> соответствующий синхропосылке шифртекст. и чтот дальше?
> known plaitext attack для 8 байт? ну-ну...
Давай по порядку.
Без обратной связи - тут я ошибся (никогда не думал по поводу гаммирования без обратной связи).
По поводу гаммирования с обратной связью, ты можешь процитировать с ГОСТа каким образом шифруется первый блок данных и последующие? Как получается гамма шифра для первого блока и последующих блоков?
Вот давай и подумаем, что будет если ты знаешь 1-е 8 байтов открытого теста и гамму шифра для первого блока днных (тривиально получиш xor'oм). Каким образом строится гамма шифра для второго блока данных?
|
| | | |
ГОСТ 28147-89 23.10.02 11:30
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Давай по порядку.
Давай
> Без обратной связи - тут я ошибся (никогда не думал по
> поводу гаммирования без обратной связи).
Переведи свою мысль. Мы что все-таки обсуждаем? Режим гаммирования с обратнной связью или без?
> По поводу гаммирования с обратной связью, ты можешь
> процитировать с ГОСТа каким образом шифруется первый блок
> данных и последующие? Как получается гамма шифра для
И первый, и последующие шифрубтся одинаково - путем XOR с гаммой шифра. Гамма образуется тривиально: берут синхропосылку, шифруют ее в режиме простой замены - это первый кусок гаммы. Потом его снова шифруют в режиме простой замены - это следующий кусок гаммы. И.т.д.
> Вот давай и подумаем, что будет если ты знаешь 1-е 8 байтов
> открытого теста и гамму шифра для первого блока днных
> (тривиально получиш xor'oм). Каким образом строится гамма
> шифра для второго блока данных?
Вот и подумай сам. Ничего тебе это не даст. Потому как чтобы получить следующий блок гаммы, тебе надо предыдущий зашифровать в режиме простой замены. А ключа ты не знаешь... Дальше понятно?
Вобщем, читайте доки, они рулез. Режим гаммирования с обратной связью называется на зарубежноом языке CFB (Cipher Feedback Mode) и реализуется на любом блочном шифре.
См. "Часто задаваемые вопросы конференции RU.CRYPT", там прямо вопрос такой есть "Что такое ECB, CBC, OFB, CFB?"
Часто задаваемые вопросы конференции RU.CRYPT
|
|
ГОСТ 28147-89 15.10.02 17:12
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Если ли оценка стойкости ГОСТ’а если известен открытый
> текст (не зашифрованный) и зашифрованный. Интересует, с
это называется "known plaintext attack". оценка - "обломайся" ;) в смысле, алгоритм спроектирован с защитой от этотй атаки в том числе...
> какой вероятностью и за какое время (если это вообще
> реально) подобрать ключ, если только известен открытый
> текст и зашифрованный. Методы “тупого” полного перебора не
> предлагать.
менее "тупым" методом этой атаки является дифференциальный криптоанализ. но, насколько мне известно, применительно к ГОСТу им никто не занимался, ибо таблица замен (s-boxes) в стандарте нефиксированы, а ломать ьголову над частным случаем никому неохота.
p.s. поищи на яндексе/гугле про дифф. криптоанализ...
|
| |
ГОСТ 28147-89 22.10.02 10:50
Автор: Portnov Статус: Незарегистрированный пользователь
|
> менее "тупым" методом этой атаки является дифференциальный
> криптоанализ. но, насколько мне известно, ...
Я почитал в свое время немало литературы про криптографию, в т.ч. и про дифф. криптоанализ и про ГОСТ... Дифф. криптоанализом для ГОСТа кое-кто занимался, рассатривая таблицу замен как чать ключа. Самое интересное, что практически ничего из этого не получилось.
|
| |
ГОСТ 28147-89 15.10.02 18:33
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
> менее "тупым" методом этой атаки является дифференциальный
> криптоанализ. но, насколько мне известно, применительно к
> ГОСТу им никто не занимался, ибо таблица замен (s-boxes) в
> стандарте нефиксированы, а ломать ьголову над частным
> случаем никому неохота.
И именно частные случаи таблиц замен и представляют основной интерес, а точнее некоторые классы таких таблиц редуцирующие группу шифра...
Кстати, насколько мне известно, при сертификации крипты основанной на ГОСТ' е таблицы замен выдаются именно сертифицирующим органом (догадайтесь каким)...
|
| | |
ГОСТ 28147-89 16.10.02 07:13
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Кстати, насколько мне известно, при сертификации крипты
> основанной на ГОСТ' е таблицы замен выдаются именно
> сертифицирующим органом (догадайтесь каким)...
а к чему эта загадочность? можно подумать, что в России есть более одного органа по сертификации СКЗИ. это просто замечательно, что эти таблицы выдаются ФАПСИ, а не разработчиком - хоть какая-то гарантия отсутствия сговора. я уже не говорю про самостоятельную их генерацию пользователем на коленке...
параноикам, антиглобалистам и прочим считающим, что ФАПСИ очень хочет их слушать, могу сказать одно: у них есть более простые (и законные) методы получения информации, чем уловки с ослаблением алгоритма. посему таблице замен от ФАПСИ я доверяю больше, чем какой-либо другой...
|
| | | |
ГОСТ 28147-89 16.10.02 12:36
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
> параноикам, антиглобалистам и прочим считающим, что ФАПСИ
> очень хочет их слушать, могу сказать одно: у них есть более
> простые (и законные) методы получения информации, чем
> уловки с ослаблением алгоритма.
Одно другому не мешает ;-)
> посему таблице замен от ФАПСИ я доверяю больше, чем какой-либо >другой...
"Блажен кто верует..."(Copyright Новый Завет)
Оставим тот маловероятный вариант, что какой-нить 14-15 летний мальчишка-гений опишет классы таблиц замены ослабляющие сложность алгоритма. Не буду напоминать и о том, что еще пока готовят криптографов-профессионалов и не многие из них в дальнейшем остаются на службе (не многие и не лучшие). Но при тех деньгах, которые офицер получает в ФАПСИ и подобных структурах (оговорюсь, что верю в то есть люди заколачивающие немало и не совсем законными путями) вероятность утечки информации значительно возрастает... Доверять или не доверять, каждый решает этот вопрос для себя по-своему... Все определяется ценностью защищаемой информации.
|
| | | | |
ГОСТ 28147-89 16.10.02 12:51
Автор: cybervlad <cybervlad> Статус: Elderman
|
> > простые (и законные) методы получения информации, чем
> > уловки с ослаблением алгоритма.
>
> Одно другому не мешает ;-)
думаешь, они из тех, кто не ищет легких путей? ;)
путем произнесения волшебных слов и демонстрации волшебных предметов можно любого человека убедить отдать информацию. для особо упорных может понадобиться применение волшебных предметов ;)
> > посему таблице замен от ФАПСИ я доверяю больше, чем
> какой-либо >другой...
>
> "Блажен кто верует..."(Copyright Новый Завет)
я не верую, а имею вески основания доверятьт этому источнику больше, чем другим. устроит?
> Оставим тот маловероятный вариант, что какой-нить 14-15
> летний мальчишка-гений опишет классы таблиц замены
> ослабляющие сложность алгоритма. Не буду напоминать и о
Оставим. И даже то, что это будет не 15-летний отрок. Иначе давно бы уже описали...
> том, что еще пока готовят криптографов-профессионалов и не
> многие из них в дальнейшем остаются на службе (не многие и
> не лучшие). Но при тех деньгах, которые офицер получает в
> ФАПСИ и подобных структурах (оговорюсь, что верю в то есть
> люди заколачивающие немало и не совсем законными путями)
> вероятность утечки информации значительно возрастает...
А теперь расшифруй свой пассаж.
1. Ты хочешь сказать, что оставшиеся на службе не самые лучшие специалисты из-за своей низкой квалификации сделают заведомо плохие таблицы (формальноого описания которых, как мы выше договорились пока нет), а их более удачливые однокашники "на воле" это просекут и воспользуются?
2. Ты хочешь сказать, что бедно живущие "генераторы" за взятку умышленно сделают такие таблицы и сообщат инфу об упрощении взлома подельникам?
3. Ты хочешь сказать, что таблица замен, которую ты сделаешь сам однозначно не будет слабой и ее не просчитают злые упыри?
Оставим, кстати, за бортом выигрыш от плохой таблицы без знания ключа который 256 бит ;)
> Доверять или не доверять, каждый решает этот вопрос для
> себя по-своему... Все определяется ценностью защищаемой
> информации.
Вот именно. На моей практике не попадалось еще коммерческой информации, обрабатываемой в электрорнном виде, которая бы стоила таких денег, что ее будут добывать ТАКИМ способом ;) А прор ГТ мне бы говорить не хотелось, дабы не сказать чего лишнего ;)
|
| | | | | |
ГОСТ 28147-89 16.10.02 14:07
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
|
Все что я хочу сказать, это то что уверен, что существую и весьма вероятно кем-то описаны классы таблиц ослабляющих группу шифра. И что весьма вероятно, что таблицы выдаваемые сертифицирующим органом принадлежат этому классу. Можно попробовать найти этот класс или получить описание каким-нибудь способом (в наше время это даже проще). Все остальное каждый решает для себя... А подслушать часто гораздо эффективней чем ту же информацию попытаться выбить...
|
| | | | | | |
ГОСТ 28147-89 16.10.02 16:16
Автор: Alexei Volchkov Статус: Незарегистрированный пользователь
|
> Все что я хочу сказать, это то что уверен, что существую и
> весьма вероятно кем-то описаны классы таблиц ослабляющих
> группу шифра. И что весьма вероятно, что таблицы выдаваемые
> сертифицирующим органом принадлежат этому классу. Можно
> попробовать найти этот класс или получить описание
> каким-нибудь способом (в наше время это даже проще). Все
> остальное каждый решает для себя... А подслушать часто
> гораздо эффективней чем ту же информацию попытаться
> выбить...
На самом деле все гораздо проще. Во первых ГОСТ стоек и при тривиальных блоках заменах (т.е. с единичными подстановками), можно + на xor заменить все равно потянте, хотя и похуже. Во вторых все подстановки 4-битные, для знакомы хс линейным анализом сразу становится ясно какое может быть максимальное преобладание "дельта" для линейного аналога блока замены. Подстановки с такими "дельтами" и дают нам нужные блоки замены.
Дополнительно подстановки из ГОСТа на хеш этому требованию не удовлетворяют - следовательно онои плохие. Вероятность попасть на плохие подстановки при случайном выборе блоков замены близка к единице.
Алексей.
|
| | | | | | | |
ГОСТ 28147-89 17.10.02 12:11
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
Можно сколько угодно спорить, ну не верю я, что нет в ГОСТ'е скрытых лазеек. Все о чем можно говорить это о стойкости к определенным видам криптоанализа, не более...
|
| | | | | | | | |
ГОСТ 28147-89 17.10.02 16:14
Автор: Alexei Volchkov Статус: Незарегистрированный пользователь
|
> Можно сколько угодно спорить, ну не верю я, что нет в
> ГОСТ'е скрытых лазеек. Все о чем можно говорить это о
> стойкости к определенным видам криптоанализа, не более...
Всегда предпочитаю слово ЗНАЮ слову ВЕРЮ. Так вот в ГОСТе НЕТ скрытых лазеек. По многим причинам это было бы делать туповато. А вот в конкретных реализациях есть, и весьма нетривиальные. Поскольку гораздо интереснее добираться до ключа не по открытому и шифрованному тексту, а при дополнительном знании. При этом вся нестойкость укрывается не в реализации алгоритма, а в процедуре генерации разового ключа, которая лицензиатами ФАПСИ нигде и никогда не описывается и никем не сертифицируется.
|
| | | | | | | | | |
ГОСТ 28147-89 17.10.02 18:19
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
> Всегда предпочитаю слово ЗНАЮ слову ВЕРЮ. Так вот в ГОСТе
> НЕТ скрытых лазеек.
Докажите ;-). Докажите его устойчивость не только к существующим (опубликованным) методам криптоанализа, но и к непридуманным (неопубликованным). А так ваши утверждения основаны ТОЛЬКО НА ИЗВЕСТНОЙ вам теории... Можно вспомнить задачку о перекрытиях, когда задача полного перебора заменяется на мгновенное просвечивание пачки перфокарт. Так что я не был бы столь категоричен, ГОСТ это все-таки не гаммирование случайной равновероятной гаммой с длиной ключа равной длине шифтекста.
Вера конечно не доказательство, но если публиковать действительно стойкий алгоритм, то какой смысл вообще секретить исследования в области криптографии? Раз нашли панацею, дальнейшие исследования теряют всякий смысл... Какие там многочлены максимального периода, кому они теперь нужны... Оставим работать субатомные генераторы случайных чисел (ключи ГОСТ'у все же нужны), а все остальное бессмыслица... А всякие там папуасы вообще чайники, какие-то исследования ведут, собственные шифрсистемы строят... А тут шифр с гарантированной стойкостью бесплатно раздают ;-)
> По многим причинам это было бы делать
> туповато. А вот в конкретных реализациях есть, и весьма
> нетривиальные.
С этим не поспоришь, электронную криптографию и грамотную генерацию ключей никто не отменял, но все это несравнимо по трудоемкости с созданием шифрсистемы.
> Поскольку гораздо интереснее добираться до
> ключа не по открытому и шифрованному тексту, а при
> дополнительном знании. При этом вся нестойкость укрывается
> не в реализации алгоритма, а в процедуре генерации разового
> ключа, которая лицензиатами ФАПСИ нигде и никогда не
> описывается и никем не сертифицируется.
А если нет дополнительного знания? Нет реализации, до концов канала добраться нереально, есть только линия(посторонние шумы отфильтрованы)... Все, канава? ;-)
|
| | | | | | | | | | |
ГОСТ 28147-89 18.10.02 08:40
Автор: cybervlad <cybervlad> Статус: Elderman
|
> > Всегда предпочитаю слово ЗНАЮ слову ВЕРЮ. Так вот в
> ГОСТе
> > НЕТ скрытых лазеек.
>
> Докажите ;-). Докажите его устойчивость не только к
Доказатьь отсуствие чего-либо невозмножно в принципе. Наличие - да (путем демонстрации).
Так что я бы обернул вопрос: уважаемый Вадим! ДОКАЖИТЕ, что ов ГОСТе есть лазейки, иначе Ваше заявление отдает бездоказательной паранойей ;)
p.s. Уж если даже Алексей .Волчков говорит, что там нет специально заложенных дыр - этому стоит верить ;)
p.s.s. Стандарт разрабаотывался для использования в гос. целях. Какой кретин будет закладывать уязвимости в средство защиты, делаемое для себя?
|
| | | | | | | | | | | |
ГОСТ 28147-89 18.10.02 13:15
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
> Так что я бы обернул вопрос: уважаемый Вадим! ДОКАЖИТЕ, что
> ов ГОСТе есть лазейки, иначе Ваше заявление отдает
> бездоказательной паранойей ;)
Я ничего и не доказываю, если вы потрудитесь прочитать предыдущие постинги, то там написано что лично я не верю в стойкость ГОСТ'а и что каждый этот вопрос пусть решает для себя. Это уже дальше пошли споры на тему что значит верить и знать. Так что ситуация патовая, невозможно доказать стойкость, но и никто пока не нашел слабостей. А криптоанализ подобных блочных шифров слишком дорогое удовольствие, разве что АНБ может себе это позволить, только боюсь результаты оно не опубликует ;-)
Если у Вас нет паранойи, то это еще значит что за Вами никто не следит :-)
> p.s. Уж если даже Алексей .Волчков говорит, что там нет
> специально заложенных дыр - этому стоит верить ;)
Опять же обсуждаем вопросы веры и неверия ;-))
> p.s.s. Стандарт разрабаотывался для использования в гос.
> целях. Какой кретин будет закладывать уязвимости в средство
> защиты, делаемое для себя?
Когда-то на заре криптографии папуасам тоже поставляли железные шифраторы разработанные для себя, только одна платка там была немного перепаяна...
|
| | | | | | | | | | | | |
ГОСТ 28147-89 21.10.02 10:24
Автор: Alexei Volchkov Статус: Незарегистрированный пользователь
|
> я не верю в
> стойкость ГОСТ'а и что каждый этот вопрос пусть решает для
> себя. Это уже дальше пошли споры на тему что значит верить
> и знать. Так что ситуация патовая, невозможно доказать
> стойкость, но и никто пока не нашел слабостей. А
> криптоанализ подобных блочных шифров слишком дорогое
> удовольствие, разве что АНБ может себе это позволить,
> только боюсь результаты оно не опубликует ;-)
В общем все основное сказано. Действительно вопрос доверия тому или иному алгоритму шифрования это вопрос сугубо личный. И хотя в ГОСТе как я сказал принципиальных слабостей нету (разме только что малый размер блока), дловерия этому алгоритму гораздо меньше, чем скажем Rijndael, поскольку отчеты по анализу и синтезу последнего опубликованы, а по ГОСТу нет.
Согласен также, что анализ шифра это задача сложная, но не такая уж дорогая, как это часто озвучивается представителяммя ФАПСИ. С примерами анализов можно ознакомиться на www.cryptonessie.org.
Алексей.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
