<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<br>
А вот я как раз сварщик, и реальную цену всем этим сведениям к
NP-полным задачам, нулевому разглашению и прочим красивым словам
очень хорошо себе представляю. Все существующие доказательства
стойкости всех шифров (ну кроме абсолютно стойкого шифра Шеннона)
сводятся к "мы вот тут попробовали, ничего у нас не вышло, наверное,
стойкий". Как следствие, чем больше людей пробовало, тем сильнее
наша вера, что наверное таки да, стойкий. AES перед принятием 2 года
терзал весь мир, и после этого уже 19 лет в покое не оставляют, и
ничего выдающегося не нашли, а на Кузнечик смотрят всего 4 года (а
до принятия его в качестве государственного стандарта его анализом
занимались вообще полтора землекопа исключительно в недрах Конторы),
и вот уже нарыли что-то странное и непонятное, а разработчики в
ответ невнятно бормочут про случайное попадание. Памятуя, что
разработчики служат в организации, гордо провозглашающей себя
наследницей КГБ, а у этой организации репутация в мире вполне
определенная, нужно быть ну очень благодушным, чтобы не начать
сомневаться в их искренности. А в криптографии и вообще в
информационной безопасности благодушие - не самая распространенная
черта характера.<br>
В общем, если к вы подошли к человеку в тёмной подворотне с ножом в
руке и вежливо попросили закурить, не стоит удивляться и
оскорбляться, что он испугался.<br>
<br>
<br>
On 27.06.2019 11:29, Wartan Hachaturow wrote:<br>
<blockquote type="cite"
cite="mid:CADGvw_fxGKan1-ZboMZ29GmoB+O=HhSB=G07Hb22cipyOnR_Xw@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="ltr">
<div>Игорь, ну это же не совсем так. <br>
</div>
<div>Я конечно не настоящий сварщик, но для шифров показывают и
семантическую стойкость при заданных ограничениях, и сведение
к NP-полным задачам.<br>
</div>
<div>Если бы все шифры принимались только на веру, у нас была бы
куча проблем :)</div>
</div>
</blockquote>
<blockquote type="cite"
cite="mid:CADGvw_fxGKan1-ZboMZ29GmoB+O=HhSB=G07Hb22cipyOnR_Xw@mail.gmail.com">
<div dir="ltr">
<div>В случае Кузнечика авторы много раз говорили в кулуарах,
что поиск был действительно случайным перебором с проверкой
алгебраических параметров получаемых перестановок: понятно,
что в таком случае шансы наткнуться на эту перестановку так же
велики, как и на любую другую. Просто этот процесс был
выполнен один раз, довольно давно, и даже код, при помощи
которого искалось, давно утрачен. Я предлагал собственно взять
какой-то из суперкомпьютеров и запустить на нем такой же поиск
еще раз чтобы показать, что она найдется. Но это может занять
много времени :))</div>
</div>
</blockquote>
<blockquote type="cite"
cite="mid:CADGvw_fxGKan1-ZboMZ29GmoB+O=HhSB=G07Hb22cipyOnR_Xw@mail.gmail.com">
<div dir="ltr">
<div>Я согласен, что наследие "закрытой криптографии" нам
мешает, но в данном конкретном случае это уж слишком
возмутительный наезд, потому что по сути совершенно
необоснованный.</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">On Wed, Jun 26, 2019 at 11:58
AM Igor Ustinov <<a href="mailto:igus@cryptocom.ru"
moz-do-not-send="true">igus@cryptocom.ru</a>> wrote:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px
0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div bgcolor="#FFFFFF"> Вартан, вот не соглашусь. Криптография
- наука "гуманитарная" от начала и до конца, не существует
ни одного научного обоснования стойкости ни одного шифра (ну
кроме абсолютно стойкого шифра Шеннона), стойкий шифр - этот
тот, в стойкость которого мы <b>верим</b>, и не более того,
так что никаких аргументов, кроме "гуманитарных", в
криптографии нет и быть не может. И поскольку стойкость -
это вопрос веры, то дело не в том, закладывалась структура
сознательно или "сама выросла", а в том, можно ли доверять
"этим русским".<br>
NIST вот накушался заявлений, что наверное NSA знает что-то
такое про структуру S-блоков DESа, и для AESа пошёл по пути
полной прозрачности. И если вдруг сейчас в AESе нароют
что-то этакое странное, они спокойно ответят, что бог его
знает, как так вышло, но вы же все в этом участвовали, и
крыть будет нечем. Что мешало 8 Центру пойти по этому же
пути, а не наступать на давно известные грабли? Да ничего не
мешало! Но нет, мы же сами с усами, нам мировые тенденции не
указ, мы такие крутые, великая криптографическая держава, мы
по старинке разработаем алгоритм силами кучки никому не
известных (потому что жутко засекреченных) криптографов и
никому не покажем вплоть до момента принятия в качестве
государственного стандарта. Так что в дерьмо мы вляпались
вполне закономерно, и никто, кроме нас самих, в этом дерьме
не виноват.<br>
В общем, если мы хотим, чтобы наши стандарты нормально
принимались международным сообществом, надо разрабатывать их
так, как это нынче принято в международном сообществе. А
пока мы демонстрируем, что международное сообщество нам не
указ, мы и получаем в ответ вполне логичную реакцию.<br>
<br>
<pre class="gmail-m_-1383171322876402086moz-signature" cols="72">С уважением,
Игорь Устинов
зам.ген.директора
ООО "Криптоком"
</pre>
<div class="gmail-m_-1383171322876402086moz-cite-prefix">On
26.06.2019 0:30, Wartan Hachaturow wrote:<br>
</div>
<blockquote type="cite">
<div dir="ltr">
<div>Коллегия математиков забывает тебе сказать, что все
то, что "проделывалось" с перестановками -- было
выявлено путем предъявления атаки.</div>
<div>Слабых групп ключей, trapdoor'ов, черта в ступе. В
данном случае нет даже на намека на то, что структура
понижает сложность атаки, не то что не выявлена
закладка.</div>
<div>Говорю же -- гуманитарщина, никакого научного
обоснования вывода "уберите стандарт" нет.</div>
<div><br>
</div>
<div>Аргументы Перрина -- это его оценка степени
простоты найденной им структуры.</div>
<div>Даже если бы среди всех матриц перестановок была
всего одна с простой структурой, то при абсолютно
случайном поиске ты бы наткнулся на нее с той же
вероятностью, что и на все остальные (если поиск
действительно случайный, как говорят авторы). И
требование "обосновать" появилось уже *после того*,
как появился Кузнечик.<br>
</div>
<div><br>
</div>
<div>Реально, гадать на кофейной гуще с "а вдруг эти
русские что-то задумали" -- это "хайли-лайкли"
рассуждения, подходит для хабра, но не подходит для
серьезной дискуссии.</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">On Tue, Jun 25, 2019
at 10:17 PM Paul Wolneykien <<a
href="mailto:manowar@altlinux.org" target="_blank"
moz-do-not-send="true">manowar@altlinux.org</a>>
wrote:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px
0px 0.8ex;border-left:1px solid
rgb(204,204,204);padding-left:1ex">25.06.2019 22:09,
Wartan Hachaturow пишет:<br>
> <br>
> И да -- нет атаки, нет повода для наброса.<br>
<br>
А вот знаешь, мне тут коллегия математиков
подсказывает, что это<br>
неправда. Что, мол, на протяжении истории шифров с
s-box'ами чего только<br>
не вытворяли, и чего в них только не встраивали — как
бэкдоры, так и<br>
защиты от атак — и что поэтому и существует в новое
время требование<br>
обосновать S-box.<br>
<br>
<br>
> On Tue, Jun 25, 2019, 21:57 Paul Wolneykien <<a
href="mailto:manowar@altlinux.org" target="_blank"
moz-do-not-send="true">manowar@altlinux.org</a><br>
> <mailto:<a href="mailto:manowar@altlinux.org"
target="_blank" moz-do-not-send="true">manowar@altlinux.org</a>>>
wrote:<br>
> <br>
> 25.06.2019 20:17, Wartan Hachaturow пишет:<br>
> > Паш, вопрос того, есть там такая
структура или нет -- безусловно можно<br>
> > обсуждать, и он даже важен с точки
зрения создания эффективных<br>
> > железных реализаций (потому что как вот
это место традиционно самое<br>
> > сложное для реализации примитивами).
Более того, наличие таких<br>
> > структур показано для перестановок кучи
шифров, и для них это<br>
> считается<br>
> > даже достоинством.<br>
> ><br>
> > Просто его не надо связывать с вопросом
наличия атаки.<br>
> <br>
> А я пока и не связываю. Но мне
категорически не нравится, что авторы<br>
> шифра заявляют "No secret structure was
enforced during construction of<br>
> the S-box", а потом некую структуру находят.
Точнее даже не так:<br>
> заявление о структуре было сделано в 2015
году, а цитата из документа,<br>
> датированного 2018 годом. Что это означает?
Что найденная структура не<br>
> "секретная" (было очевидно из описания, да вы
не заметили) или что она<br>
> не была "enforced" (само выросло)? Или же то,
что это заявление было<br>
> сделано по политическим соображениям? Но
тогда это заведомая глупость,<br>
> раз её так быстро обнаружили.<br>
> Просто мы тут пытаемся продвигать патчи в
свободные проекты, для чего<br>
> волей-неволей приходится защищать позицию
надёжности ГОСТов. Возникает<br>
> вопрос: если известной атаки действительно
нет, то для чего было<br>
> защищать позицию "нет структуры"? Может быть
авторы Кузнечика хотели<br>
> скрыть не атаку, а что-то другое. Но что
именно и почему?<br>
> То, что ты написал выше вполне согласуется
с ответом из документа:<br>
> "Results of [1] (Biryukov, Perrin, Udovenko
2015) solved a great<br>
> optimization problem". Очень иронично, но и
очень похоже на полный<br>
> игнор: мол, пока скрытой атаки не найдёте, мы
все остальные обвинения<br>
> будем пропускать мимо ушей. Они, конечно,
могут пропускать сколько<br>
> угодно, но совершенно непонятно, почему на
эти обвинения за них должен<br>
> отвечать кто-то другой.<br>
> <br>
> <br>
> > Они не связаны ни прямо (атаки Перрин не
показал), ни теоретически (из<br>
> > наличия структуры не следует наличие
атаки).<br>
> > Вот эта связка им проводится
исключительно гуманитарными аргументами<br>
> > ("nothing up my sleeve" и вот это всё),
и делается она явно ради<br>
> > вывода "а давайте уберем из стандартов".<br>
> ><br>
> ><br>
> > On Tue, Jun 25, 2019 at 2:12 PM Paul
Wolneykien<br>
> <<a href="mailto:manowar@altlinux.org"
target="_blank" moz-do-not-send="true">manowar@altlinux.org</a>
<mailto:<a href="mailto:manowar@altlinux.org"
target="_blank" moz-do-not-send="true">manowar@altlinux.org</a>><br>
> > <mailto:<a
href="mailto:manowar@altlinux.org" target="_blank"
moz-do-not-send="true">manowar@altlinux.org</a>
<mailto:<a href="mailto:manowar@altlinux.org"
target="_blank" moz-do-not-send="true">manowar@altlinux.org</a>>>>
wrote:<br>
> ><br>
> > 14.06.2019 08:14, Vitaly Chikunov
пишет:<br>
> > > JFYI<br>
> > ><br>
> > > Очередные news про sbox
Кузнечика.<br>
> > ><br>
> > > <a
href="https://habr.com/ru/company/virgilsecurity/blog/453254/"
rel="noreferrer" target="_blank"
moz-do-not-send="true">https://habr.com/ru/company/virgilsecurity/blog/453254/</a><br>
> > > Про ГОСТовский шифр Кузнечик,
его SBox и потерянные сиды<br>
> > ><br>
> > > Scratch вчера в 09:01<br>
> > > Блог компании Virgil
Security, Inc., Информационная<br>
> > безопасность, Криптография<br>
> ><br>
> > Всем привет. А насколько,
всё-таки, правомерен данный аргумент?<br>
> ><br>
> > "Но и структура, в 4 раза меньшая
чем Sbox, не может попасть в<br>
> SBox<br>
> > случайно, что бы там ни говорили
авторы и защитники Кузнечика."<br>
> ><br>
> > Лично мне он кажется правомерным,
но может быть я что-то<br>
> упускаю из<br>
> > виду? Аналогично вот с этим:<br>
> ><br>
> > "Основная проблема в том, что
структура есть, а авторы<br>
> Стрибог/Кузнечник<br>
> > утверждали обратное."<br>
> ><br>
> > Из цитат, которые приводятся в
статье, следует, что есть некое<br>
> > начальное "пи", которое обязано быть
(псевдо)случайным, но,<br>
> кажется, не<br>
> > следует, что весь S-Box целиком
обязан быть таким же<br>
> (псевдо)случайным<br>
> > как "пи". (Иначе к чему вообще
разделение на "пи" и S-Box?) Или я<br>
> > неправ?<br>
> > Далее, в исошном документе<br>
> > <br>
> (<a
href="https://cdn.virgilsecurity.com/assets/docs/memo-on-kuznyechik-s-box.pdf"
rel="noreferrer" target="_blank"
moz-do-not-send="true">https://cdn.virgilsecurity.com/assets/docs/memo-on-kuznyechik-s-box.pdf</a>)<br>
> > авторы шифра описывают набор
условий, которым должен удовлетворять<br>
> > S-Box, полученный на основе
определённого "пи" (но конкретные<br>
> > преобразования из "пи" в S-Box, там,
насколько я понял, не<br>
> указываются).<br>
> > Не следует ли, однако, из данного
набора условий (набора<br>
> отношений между<br>
> > "пи" и S-Box) как раз то, что может
(должна?) существовать<br>
> "структура,<br>
> > в 4 раза меньшая, чем S-Box",
которая полностью его описывает?<br>
> >
_______________________________________________<br>
> > oss-gost-crypto mailing list<br>
> > <a
href="mailto:oss-gost-crypto@lists.altlinux.org"
target="_blank" moz-do-not-send="true">oss-gost-crypto@lists.altlinux.org</a><br>
> <mailto:<a
href="mailto:oss-gost-crypto@lists.altlinux.org"
target="_blank" moz-do-not-send="true">oss-gost-crypto@lists.altlinux.org</a>><br>
> > <mailto:<a
href="mailto:oss-gost-crypto@lists.altlinux.org"
target="_blank" moz-do-not-send="true">oss-gost-crypto@lists.altlinux.org</a><br>
> <mailto:<a
href="mailto:oss-gost-crypto@lists.altlinux.org"
target="_blank" moz-do-not-send="true">oss-gost-crypto@lists.altlinux.org</a>>><br>
> > <a
href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto"
rel="noreferrer" target="_blank"
moz-do-not-send="true">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
> ><br>
> ><br>
> ><br>
> > --<br>
> > Regards, Wartan.<br>
> ><br>
> ><br>
> >
_______________________________________________<br>
> > oss-gost-crypto mailing list<br>
> > <a
href="mailto:oss-gost-crypto@lists.altlinux.org"
target="_blank" moz-do-not-send="true">oss-gost-crypto@lists.altlinux.org</a><br>
> <mailto:<a
href="mailto:oss-gost-crypto@lists.altlinux.org"
target="_blank" moz-do-not-send="true">oss-gost-crypto@lists.altlinux.org</a>><br>
> > <a
href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto"
rel="noreferrer" target="_blank"
moz-do-not-send="true">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
> ><br>
> <br>
>
_______________________________________________<br>
> oss-gost-crypto mailing list<br>
> <a
href="mailto:oss-gost-crypto@lists.altlinux.org"
target="_blank" moz-do-not-send="true">oss-gost-crypto@lists.altlinux.org</a><br>
> <mailto:<a
href="mailto:oss-gost-crypto@lists.altlinux.org"
target="_blank" moz-do-not-send="true">oss-gost-crypto@lists.altlinux.org</a>><br>
> <a
href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto"
rel="noreferrer" target="_blank"
moz-do-not-send="true">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
> <br>
> <br>
> <br>
> _______________________________________________<br>
> oss-gost-crypto mailing list<br>
> <a
href="mailto:oss-gost-crypto@lists.altlinux.org"
target="_blank" moz-do-not-send="true">oss-gost-crypto@lists.altlinux.org</a><br>
> <a
href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto"
rel="noreferrer" target="_blank"
moz-do-not-send="true">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
> <br>
<br>
_______________________________________________<br>
oss-gost-crypto mailing list<br>
<a href="mailto:oss-gost-crypto@lists.altlinux.org"
target="_blank" moz-do-not-send="true">oss-gost-crypto@lists.altlinux.org</a><br>
<a
href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto"
rel="noreferrer" target="_blank"
moz-do-not-send="true">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
</blockquote>
</div>
<br clear="all">
<br>
-- <br>
<div dir="ltr"
class="gmail-m_-1383171322876402086gmail_signature">Regards,
Wartan.</div>
<br>
<fieldset
class="gmail-m_-1383171322876402086mimeAttachmentHeader"></fieldset>
<pre class="gmail-m_-1383171322876402086moz-quote-pre">_______________________________________________
oss-gost-crypto mailing list
<a class="gmail-m_-1383171322876402086moz-txt-link-abbreviated" href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank" moz-do-not-send="true">oss-gost-crypto@lists.altlinux.org</a>
<a class="gmail-m_-1383171322876402086moz-txt-link-freetext" href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" target="_blank" moz-do-not-send="true">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a>
</pre>
</blockquote>
<br>
</div>
_______________________________________________<br>
oss-gost-crypto mailing list<br>
<a href="mailto:oss-gost-crypto@lists.altlinux.org"
target="_blank" moz-do-not-send="true">oss-gost-crypto@lists.altlinux.org</a><br>
<a
href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto"
rel="noreferrer" target="_blank" moz-do-not-send="true">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
</blockquote>
</div>
<br clear="all">
<br>
-- <br>
<div dir="ltr" class="gmail_signature">Regards, Wartan.</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<pre class="moz-quote-pre" wrap="">_______________________________________________
oss-gost-crypto mailing list
<a class="moz-txt-link-abbreviated" href="mailto:oss-gost-crypto@lists.altlinux.org">oss-gost-crypto@lists.altlinux.org</a>
<a class="moz-txt-link-freetext" href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a>
</pre>
</blockquote>
<br>
</body>
</html>