<div dir="ltr"><div>Паш, вопрос того, есть там такая структура или нет -- безусловно можно обсуждать, и он даже важен с точки зрения создания эффективных</div><div>железных реализаций (потому что как вот это место традиционно самое сложное для реализации примитивами). Более того, наличие таких</div><div>структур показано для перестановок кучи шифров, и для них это считается даже достоинством.</div><div><br></div><div>Просто его не надо связывать с вопросом наличия атаки. <br></div><div>Они не связаны ни прямо (атаки Перрин не показал), ни теоретически (из наличия структуры не следует наличие атаки).</div><div>Вот эта связка им проводится исключительно гуманитарными аргументами ("nothing up my sleeve" и вот это всё), и делается она явно ради</div><div>вывода "а давайте уберем из стандартов". <br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jun 25, 2019 at 2:12 PM Paul Wolneykien <<a href="mailto:manowar@altlinux.org">manowar@altlinux.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">14.06.2019 08:14, Vitaly Chikunov пишет:<br>
> JFYI<br>
> <br>
> Очередные news про sbox Кузнечика.<br>
> <br>
> <a href="https://habr.com/ru/company/virgilsecurity/blog/453254/" rel="noreferrer" target="_blank">https://habr.com/ru/company/virgilsecurity/blog/453254/</a><br>
> Про ГОСТовский шифр Кузнечик, его SBox и потерянные сиды<br>
> <br>
> Scratch вчера в 09:01<br>
> Блог компании Virgil Security, Inc., Информационная безопасность, Криптография<br>
<br>
Всем привет. А насколько, всё-таки, правомерен данный аргумент?<br>
<br>
"Но и структура, в 4 раза меньшая чем Sbox, не может попасть в SBox<br>
случайно, что бы там ни говорили авторы и защитники Кузнечика."<br>
<br>
Лично мне он кажется правомерным, но может быть я что-то упускаю из<br>
виду? Аналогично вот с этим:<br>
<br>
"Основная проблема в том, что структура есть, а авторы Стрибог/Кузнечник<br>
утверждали обратное."<br>
<br>
Из цитат, которые приводятся в статье, следует, что есть некое<br>
начальное "пи", которое обязано быть (псевдо)случайным, но, кажется, не<br>
следует, что весь S-Box целиком обязан быть таким же (псевдо)случайным<br>
как "пи". (Иначе к чему вообще разделение на "пи" и S-Box?) Или я неправ?<br>
Далее, в исошном документе<br>
(<a href="https://cdn.virgilsecurity.com/assets/docs/memo-on-kuznyechik-s-box.pdf" rel="noreferrer" target="_blank">https://cdn.virgilsecurity.com/assets/docs/memo-on-kuznyechik-s-box.pdf</a>)<br>
авторы шифра описывают набор условий, которым должен удовлетворять<br>
S-Box, полученный на основе определённого "пи" (но конкретные<br>
преобразования из "пи" в S-Box, там, насколько я понял, не указываются).<br>
Не следует ли, однако, из данного набора условий (набора отношений между<br>
"пи" и S-Box) как раз то, что может (должна?) существовать "структура,<br>
в 4 раза меньшая, чем S-Box", которая полностью его описывает?<br>
_______________________________________________<br>
oss-gost-crypto mailing list<br>
<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
<a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature">Regards, Wartan.</div>