информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 С наступающим 
 Серьезная уязвимость в Apache Log4j 
 Крупный взлом GoDaddy 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / theory
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
ГОСТ 28147-89 21.10.02 10:59  Число просмотров: 2374
Автор: vp016 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Если ли оценка стойкости ГОСТ’а если известен открытый
> текст (не зашифрованный) и зашифрованный. Интересует, с
> какой вероятностью и за какое время (если это вообще
> реально) подобрать ключ, если только известен открытый
> текст и зашифрованный. Методы “тупого” полного перебора не
> предлагать.
В описании алгоритма гаммирования (с обратной связью или без тактовой) есть дыра. Если есть данные о первых восьми байтах (текст или есть сигнатура) то вскрыть оставшиеся данные не такая уж сложная задача (прямо скажем, менее трудоемкая чем представлено в описании госта).
<theory>
ГОСТ 28147-89 15.10.02 13:58  
Автор: FreeHermit Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Если ли оценка стойкости ГОСТ’а если известен открытый текст (не зашифрованный) и зашифрованный. Интересует, с какой вероятностью и за какое время (если это вообще реально) подобрать ключ, если только известен открытый текст и зашифрованный. Методы “тупого” полного перебора не предлагать.
ГОСТ 28147-89 21.10.02 10:59  
Автор: vp016 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Если ли оценка стойкости ГОСТ’а если известен открытый
> текст (не зашифрованный) и зашифрованный. Интересует, с
> какой вероятностью и за какое время (если это вообще
> реально) подобрать ключ, если только известен открытый
> текст и зашифрованный. Методы “тупого” полного перебора не
> предлагать.
В описании алгоритма гаммирования (с обратной связью или без тактовой) есть дыра. Если есть данные о первых восьми байтах (текст или есть сигнатура) то вскрыть оставшиеся данные не такая уж сложная задача (прямо скажем, менее трудоемкая чем представлено в описании госта).
ГОСТ 28147-89 21.10.02 15:56  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> В описании алгоритма гаммирования (с обратной связью или
> без тактовой) есть дыра. Если есть данные о первых восьми
> байтах (текст или есть сигнатура) то вскрыть оставшиеся
> данные не такая уж сложная задача (прямо скажем, менее
> трудоемкая чем представлено в описании госта).
Да ну?
А если головой подумать? Даже если ты будешь знать шифруемый текст, то максимум, чтот восстановишь это соответствующий синхропосылке шифртекст. и чтот дальше? known plaitext attack для 8 байт? ну-ну...
ГОСТ 28147-89 22.10.02 17:37  
Автор: vp016 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Да ну?
> А если головой подумать? Даже если ты будешь знать
> шифруемый текст, то максимум, чтот восстановишь это
> соответствующий синхропосылке шифртекст. и чтот дальше?
> known plaitext attack для 8 байт? ну-ну...
Давай по порядку.
Без обратной связи - тут я ошибся (никогда не думал по поводу гаммирования без обратной связи).
По поводу гаммирования с обратной связью, ты можешь процитировать с ГОСТа каким образом шифруется первый блок данных и последующие? Как получается гамма шифра для первого блока и последующих блоков?
Вот давай и подумаем, что будет если ты знаешь 1-е 8 байтов открытого теста и гамму шифра для первого блока днных (тривиально получиш xor'oм). Каким образом строится гамма шифра для второго блока данных?
ГОСТ 28147-89 23.10.02 11:30  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Давай по порядку.
Давай
> Без обратной связи - тут я ошибся (никогда не думал по
> поводу гаммирования без обратной связи).
Переведи свою мысль. Мы что все-таки обсуждаем? Режим гаммирования с обратнной связью или без?

> По поводу гаммирования с обратной связью, ты можешь
> процитировать с ГОСТа каким образом шифруется первый блок
> данных и последующие? Как получается гамма шифра для
И первый, и последующие шифрубтся одинаково - путем XOR с гаммой шифра. Гамма образуется тривиально: берут синхропосылку, шифруют ее в режиме простой замены - это первый кусок гаммы. Потом его снова шифруют в режиме простой замены - это следующий кусок гаммы. И.т.д.

> Вот давай и подумаем, что будет если ты знаешь 1-е 8 байтов
> открытого теста и гамму шифра для первого блока днных
> (тривиально получиш xor'oм). Каким образом строится гамма
> шифра для второго блока данных?
Вот и подумай сам. Ничего тебе это не даст. Потому как чтобы получить следующий блок гаммы, тебе надо предыдущий зашифровать в режиме простой замены. А ключа ты не знаешь... Дальше понятно?

Вобщем, читайте доки, они рулез. Режим гаммирования с обратной связью называется на зарубежноом языке CFB (Cipher Feedback Mode) и реализуется на любом блочном шифре.
См. "Часто задаваемые вопросы конференции RU.CRYPT", там прямо вопрос такой есть "Что такое ECB, CBC, OFB, CFB?"



Часто задаваемые вопросы конференции RU.CRYPT
ГОСТ 28147-89 15.10.02 17:12  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Если ли оценка стойкости ГОСТ’а если известен открытый
> текст (не зашифрованный) и зашифрованный. Интересует, с
это называется "known plaintext attack". оценка - "обломайся" ;) в смысле, алгоритм спроектирован с защитой от этотй атаки в том числе...

> какой вероятностью и за какое время (если это вообще
> реально) подобрать ключ, если только известен открытый
> текст и зашифрованный. Методы “тупого” полного перебора не
> предлагать.
менее "тупым" методом этой атаки является дифференциальный криптоанализ. но, насколько мне известно, применительно к ГОСТу им никто не занимался, ибо таблица замен (s-boxes) в стандарте нефиксированы, а ломать ьголову над частным случаем никому неохота.

p.s. поищи на яндексе/гугле про дифф. криптоанализ...
ГОСТ 28147-89 22.10.02 10:50  
Автор: Portnov Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> менее "тупым" методом этой атаки является дифференциальный
> криптоанализ. но, насколько мне известно, ...
Я почитал в свое время немало литературы про криптографию, в т.ч. и про дифф. криптоанализ и про ГОСТ... Дифф. криптоанализом для ГОСТа кое-кто занимался, рассатривая таблицу замен как чать ключа. Самое интересное, что практически ничего из этого не получилось.
ГОСТ 28147-89 15.10.02 18:33  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
> менее "тупым" методом этой атаки является дифференциальный
> криптоанализ. но, насколько мне известно, применительно к
> ГОСТу им никто не занимался, ибо таблица замен (s-boxes) в
> стандарте нефиксированы, а ломать ьголову над частным
> случаем никому неохота.

И именно частные случаи таблиц замен и представляют основной интерес, а точнее некоторые классы таких таблиц редуцирующие группу шифра...

Кстати, насколько мне известно, при сертификации крипты основанной на ГОСТ' е таблицы замен выдаются именно сертифицирующим органом (догадайтесь каким)...
ГОСТ 28147-89 16.10.02 07:13  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Кстати, насколько мне известно, при сертификации крипты
> основанной на ГОСТ' е таблицы замен выдаются именно
> сертифицирующим органом (догадайтесь каким)...
а к чему эта загадочность? можно подумать, что в России есть более одного органа по сертификации СКЗИ. это просто замечательно, что эти таблицы выдаются ФАПСИ, а не разработчиком - хоть какая-то гарантия отсутствия сговора. я уже не говорю про самостоятельную их генерацию пользователем на коленке...
параноикам, антиглобалистам и прочим считающим, что ФАПСИ очень хочет их слушать, могу сказать одно: у них есть более простые (и законные) методы получения информации, чем уловки с ослаблением алгоритма. посему таблице замен от ФАПСИ я доверяю больше, чем какой-либо другой...
ГОСТ 28147-89 16.10.02 12:36  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
> параноикам, антиглобалистам и прочим считающим, что ФАПСИ
> очень хочет их слушать, могу сказать одно: у них есть более
> простые (и законные) методы получения информации, чем
> уловки с ослаблением алгоритма.

Одно другому не мешает ;-)

> посему таблице замен от ФАПСИ я доверяю больше, чем какой-либо >другой...

"Блажен кто верует..."(Copyright Новый Завет)
Оставим тот маловероятный вариант, что какой-нить 14-15 летний мальчишка-гений опишет классы таблиц замены ослабляющие сложность алгоритма. Не буду напоминать и о том, что еще пока готовят криптографов-профессионалов и не многие из них в дальнейшем остаются на службе (не многие и не лучшие). Но при тех деньгах, которые офицер получает в ФАПСИ и подобных структурах (оговорюсь, что верю в то есть люди заколачивающие немало и не совсем законными путями) вероятность утечки информации значительно возрастает... Доверять или не доверять, каждый решает этот вопрос для себя по-своему... Все определяется ценностью защищаемой информации.
ГОСТ 28147-89 16.10.02 12:51  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> > простые (и законные) методы получения информации, чем
> > уловки с ослаблением алгоритма.
>
> Одно другому не мешает ;-)
думаешь, они из тех, кто не ищет легких путей? ;)
путем произнесения волшебных слов и демонстрации волшебных предметов можно любого человека убедить отдать информацию. для особо упорных может понадобиться применение волшебных предметов ;)

> > посему таблице замен от ФАПСИ я доверяю больше, чем
> какой-либо >другой...
>
> "Блажен кто верует..."(Copyright Новый Завет)
я не верую, а имею вески основания доверятьт этому источнику больше, чем другим. устроит?

> Оставим тот маловероятный вариант, что какой-нить 14-15
> летний мальчишка-гений опишет классы таблиц замены
> ослабляющие сложность алгоритма. Не буду напоминать и о
Оставим. И даже то, что это будет не 15-летний отрок. Иначе давно бы уже описали...

> том, что еще пока готовят криптографов-профессионалов и не
> многие из них в дальнейшем остаются на службе (не многие и
> не лучшие). Но при тех деньгах, которые офицер получает в
> ФАПСИ и подобных структурах (оговорюсь, что верю в то есть
> люди заколачивающие немало и не совсем законными путями)
> вероятность утечки информации значительно возрастает...
А теперь расшифруй свой пассаж.
1. Ты хочешь сказать, что оставшиеся на службе не самые лучшие специалисты из-за своей низкой квалификации сделают заведомо плохие таблицы (формальноого описания которых, как мы выше договорились пока нет), а их более удачливые однокашники "на воле" это просекут и воспользуются?
2. Ты хочешь сказать, что бедно живущие "генераторы" за взятку умышленно сделают такие таблицы и сообщат инфу об упрощении взлома подельникам?
3. Ты хочешь сказать, что таблица замен, которую ты сделаешь сам однозначно не будет слабой и ее не просчитают злые упыри?

Оставим, кстати, за бортом выигрыш от плохой таблицы без знания ключа который 256 бит ;)

> Доверять или не доверять, каждый решает этот вопрос для
> себя по-своему... Все определяется ценностью защищаемой
> информации.
Вот именно. На моей практике не попадалось еще коммерческой информации, обрабатываемой в электрорнном виде, которая бы стоила таких денег, что ее будут добывать ТАКИМ способом ;) А прор ГТ мне бы говорить не хотелось, дабы не сказать чего лишнего ;)
ГОСТ 28147-89 16.10.02 14:07  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
Все что я хочу сказать, это то что уверен, что существую и весьма вероятно кем-то описаны классы таблиц ослабляющих группу шифра. И что весьма вероятно, что таблицы выдаваемые сертифицирующим органом принадлежат этому классу. Можно попробовать найти этот класс или получить описание каким-нибудь способом (в наше время это даже проще). Все остальное каждый решает для себя... А подслушать часто гораздо эффективней чем ту же информацию попытаться выбить...
ГОСТ 28147-89 16.10.02 16:16  
Автор: Alexei Volchkov Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Все что я хочу сказать, это то что уверен, что существую и
> весьма вероятно кем-то описаны классы таблиц ослабляющих
> группу шифра. И что весьма вероятно, что таблицы выдаваемые
> сертифицирующим органом принадлежат этому классу. Можно
> попробовать найти этот класс или получить описание
> каким-нибудь способом (в наше время это даже проще). Все
> остальное каждый решает для себя... А подслушать часто
> гораздо эффективней чем ту же информацию попытаться
> выбить...
На самом деле все гораздо проще. Во первых ГОСТ стоек и при тривиальных блоках заменах (т.е. с единичными подстановками), можно + на xor заменить все равно потянте, хотя и похуже. Во вторых все подстановки 4-битные, для знакомы хс линейным анализом сразу становится ясно какое может быть максимальное преобладание "дельта" для линейного аналога блока замены. Подстановки с такими "дельтами" и дают нам нужные блоки замены.
Дополнительно подстановки из ГОСТа на хеш этому требованию не удовлетворяют - следовательно онои плохие. Вероятность попасть на плохие подстановки при случайном выборе блоков замены близка к единице.

Алексей.
ГОСТ 28147-89 17.10.02 12:11  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
Можно сколько угодно спорить, ну не верю я, что нет в ГОСТ'е скрытых лазеек. Все о чем можно говорить это о стойкости к определенным видам криптоанализа, не более...
ГОСТ 28147-89 17.10.02 16:14  
Автор: Alexei Volchkov Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Можно сколько угодно спорить, ну не верю я, что нет в
> ГОСТ'е скрытых лазеек. Все о чем можно говорить это о
> стойкости к определенным видам криптоанализа, не более...

Всегда предпочитаю слово ЗНАЮ слову ВЕРЮ. Так вот в ГОСТе НЕТ скрытых лазеек. По многим причинам это было бы делать туповато. А вот в конкретных реализациях есть, и весьма нетривиальные. Поскольку гораздо интереснее добираться до ключа не по открытому и шифрованному тексту, а при дополнительном знании. При этом вся нестойкость укрывается не в реализации алгоритма, а в процедуре генерации разового ключа, которая лицензиатами ФАПСИ нигде и никогда не описывается и никем не сертифицируется.
ГОСТ 28147-89 17.10.02 18:19  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
> Всегда предпочитаю слово ЗНАЮ слову ВЕРЮ. Так вот в ГОСТе
> НЕТ скрытых лазеек.

Докажите ;-). Докажите его устойчивость не только к существующим (опубликованным) методам криптоанализа, но и к непридуманным (неопубликованным). А так ваши утверждения основаны ТОЛЬКО НА ИЗВЕСТНОЙ вам теории... Можно вспомнить задачку о перекрытиях, когда задача полного перебора заменяется на мгновенное просвечивание пачки перфокарт. Так что я не был бы столь категоричен, ГОСТ это все-таки не гаммирование случайной равновероятной гаммой с длиной ключа равной длине шифтекста.

Вера конечно не доказательство, но если публиковать действительно стойкий алгоритм, то какой смысл вообще секретить исследования в области криптографии? Раз нашли панацею, дальнейшие исследования теряют всякий смысл... Какие там многочлены максимального периода, кому они теперь нужны... Оставим работать субатомные генераторы случайных чисел (ключи ГОСТ'у все же нужны), а все остальное бессмыслица... А всякие там папуасы вообще чайники, какие-то исследования ведут, собственные шифрсистемы строят... А тут шифр с гарантированной стойкостью бесплатно раздают ;-)

> По многим причинам это было бы делать
> туповато. А вот в конкретных реализациях есть, и весьма
> нетривиальные.

С этим не поспоришь, электронную криптографию и грамотную генерацию ключей никто не отменял, но все это несравнимо по трудоемкости с созданием шифрсистемы.

> Поскольку гораздо интереснее добираться до
> ключа не по открытому и шифрованному тексту, а при
> дополнительном знании. При этом вся нестойкость укрывается
> не в реализации алгоритма, а в процедуре генерации разового
> ключа, которая лицензиатами ФАПСИ нигде и никогда не
> описывается и никем не сертифицируется.

А если нет дополнительного знания? Нет реализации, до концов канала добраться нереально, есть только линия(посторонние шумы отфильтрованы)... Все, канава? ;-)
ГОСТ 28147-89 18.10.02 08:40  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> > Всегда предпочитаю слово ЗНАЮ слову ВЕРЮ. Так вот в
> ГОСТе
> > НЕТ скрытых лазеек.
>
> Докажите ;-). Докажите его устойчивость не только к
Доказатьь отсуствие чего-либо невозмножно в принципе. Наличие - да (путем демонстрации).
Так что я бы обернул вопрос: уважаемый Вадим! ДОКАЖИТЕ, что ов ГОСТе есть лазейки, иначе Ваше заявление отдает бездоказательной паранойей ;)

p.s. Уж если даже Алексей .Волчков говорит, что там нет специально заложенных дыр - этому стоит верить ;)
p.s.s. Стандарт разрабаотывался для использования в гос. целях. Какой кретин будет закладывать уязвимости в средство защиты, делаемое для себя?
ГОСТ 28147-89 18.10.02 13:15  
Автор: SerpentFly <Vadim Smirnov> Статус: Member
<"чистая" ссылка>
> Так что я бы обернул вопрос: уважаемый Вадим! ДОКАЖИТЕ, что
> ов ГОСТе есть лазейки, иначе Ваше заявление отдает
> бездоказательной паранойей ;)

Я ничего и не доказываю, если вы потрудитесь прочитать предыдущие постинги, то там написано что лично я не верю в стойкость ГОСТ'а и что каждый этот вопрос пусть решает для себя. Это уже дальше пошли споры на тему что значит верить и знать. Так что ситуация патовая, невозможно доказать стойкость, но и никто пока не нашел слабостей. А криптоанализ подобных блочных шифров слишком дорогое удовольствие, разве что АНБ может себе это позволить, только боюсь результаты оно не опубликует ;-)

Если у Вас нет паранойи, то это еще значит что за Вами никто не следит :-)

> p.s. Уж если даже Алексей .Волчков говорит, что там нет
> специально заложенных дыр - этому стоит верить ;)

Опять же обсуждаем вопросы веры и неверия ;-))

> p.s.s. Стандарт разрабаотывался для использования в гос.
> целях. Какой кретин будет закладывать уязвимости в средство
> защиты, делаемое для себя?

Когда-то на заре криптографии папуасам тоже поставляли железные шифраторы разработанные для себя, только одна платка там была немного перепаяна...
ГОСТ 28147-89 21.10.02 10:24  
Автор: Alexei Volchkov Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> я не верю в
> стойкость ГОСТ'а и что каждый этот вопрос пусть решает для
> себя. Это уже дальше пошли споры на тему что значит верить
> и знать. Так что ситуация патовая, невозможно доказать
> стойкость, но и никто пока не нашел слабостей. А
> криптоанализ подобных блочных шифров слишком дорогое
> удовольствие, разве что АНБ может себе это позволить,
> только боюсь результаты оно не опубликует ;-)

В общем все основное сказано. Действительно вопрос доверия тому или иному алгоритму шифрования это вопрос сугубо личный. И хотя в ГОСТе как я сказал принципиальных слабостей нету (разме только что малый размер блока), дловерия этому алгоритму гораздо меньше, чем скажем Rijndael, поскольку отчеты по анализу и синтезу последнего опубликованы, а по ГОСТу нет.
Согласен также, что анализ шифра это задача сложная, но не такая уж дорогая, как это часто озвучивается представителяммя ФАПСИ. С примерами анализов можно ознакомиться на www.cryptonessie.org.

Алексей.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach