<div dir="ltr">Привет!<div><br></div><div>Вартан, ты делаешь ту же ошибку, что и хабровчане :(<br><br>Насколько я понимаю, поиск был ПСЕВДОслучайным, и это важно.</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jun 27, 2019 at 11:29 AM Wartan Hachaturow &lt;<a href="mailto:wartan.hachaturow@gmail.com">wartan.hachaturow@gmail.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Игорь, ну это же не совсем так. <br></div><div>Я конечно не настоящий сварщик, но для шифров показывают и семантическую стойкость при заданных ограничениях, и сведение к NP-полным задачам.<br></div><div>Если бы все шифры принимались только на веру, у нас была бы куча проблем :)</div><div>В случае Кузнечика авторы много раз говорили в кулуарах, что поиск был действительно случайным перебором с проверкой алгебраических параметров получаемых перестановок: понятно, что в таком случае шансы наткнуться на эту перестановку так же велики, как и на любую другую. Просто этот процесс был выполнен один раз, довольно давно, и даже код, при помощи которого искалось, давно утрачен. Я предлагал собственно взять какой-то из суперкомпьютеров и запустить на нем такой же поиск еще раз чтобы показать, что она найдется. Но это может занять много времени :))</div><div>Я согласен, что наследие &quot;закрытой криптографии&quot; нам мешает, но в данном конкретном случае это уж слишком возмутительный наезд, потому что по сути совершенно необоснованный.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jun 26, 2019 at 11:58 AM Igor Ustinov &lt;<a href="mailto:igus@cryptocom.ru" target="_blank">igus@cryptocom.ru</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF">
    Вартан, вот не соглашусь. Криптография - наука &quot;гуманитарная&quot; от
    начала и до конца, не существует ни одного научного обоснования
    стойкости ни одного шифра (ну кроме абсолютно стойкого шифра
    Шеннона), стойкий шифр - этот тот, в стойкость которого мы <b>верим</b>,
    и не более того, так что никаких аргументов, кроме &quot;гуманитарных&quot;, в
    криптографии нет и быть не может. И поскольку стойкость - это вопрос
    веры, то дело не в том, закладывалась структура сознательно или
    &quot;сама выросла&quot;, а в том, можно ли доверять &quot;этим русским&quot;.<br>
    NIST вот накушался заявлений, что наверное NSA знает что-то такое
    про структуру S-блоков DESа, и для AESа пошёл по пути полной
    прозрачности. И если вдруг сейчас в AESе нароют что-то этакое
    странное, они спокойно ответят, что бог его знает, как так вышло, но
    вы же все в этом участвовали, и крыть будет нечем. Что мешало 8
    Центру пойти по этому же пути, а не наступать на давно известные
    грабли? Да ничего не мешало! Но нет, мы же сами с усами, нам мировые
    тенденции не указ, мы такие крутые, великая криптографическая
    держава, мы по старинке разработаем алгоритм силами кучки никому не
    известных (потому что жутко засекреченных) криптографов и никому не
    покажем вплоть до момента принятия в качестве государственного
    стандарта. Так что в дерьмо мы вляпались вполне закономерно, и
    никто, кроме нас самих, в этом дерьме не виноват.<br>
    В общем, если мы хотим, чтобы наши стандарты нормально принимались
    международным сообществом, надо разрабатывать их так, как это нынче
    принято в международном сообществе. А пока мы демонстрируем, что
    международное сообщество нам не указ, мы и получаем в ответ вполне
    логичную реакцию.<br>
    <br>
    <pre class="gmail-m_3449855552508469615gmail-m_-1383171322876402086moz-signature" cols="72">С уважением,
Игорь Устинов
зам.ген.директора 
ООО &quot;Криптоком&quot;
</pre>
    <div class="gmail-m_3449855552508469615gmail-m_-1383171322876402086moz-cite-prefix">On 26.06.2019 0:30, Wartan Hachaturow
      wrote:<br>
    </div>
    <blockquote type="cite">
      
      <div dir="ltr">
        <div>Коллегия математиков забывает тебе сказать, что все то, что
          &quot;проделывалось&quot; с перестановками -- было выявлено путем
          предъявления атаки.</div>
        <div>Слабых групп ключей, trapdoor&#39;ов, черта в ступе. В данном
          случае нет даже на намека на то, что структура понижает
          сложность атаки, не то что не выявлена закладка.</div>
        <div>Говорю же -- гуманитарщина, никакого научного обоснования
          вывода &quot;уберите стандарт&quot; нет.</div>
        <div><br>
        </div>
        <div>Аргументы Перрина -- это его оценка степени простоты
          найденной им структуры.</div>
        <div>Даже если бы среди всех матриц перестановок была всего одна
          с простой структурой, то при абсолютно случайном поиске ты бы
          наткнулся на нее с той же вероятностью, что и на все остальные
          (если поиск действительно случайный, как говорят авторы). И
          требование &quot;обосновать&quot; появилось уже *после того*, как
          появился Кузнечик.<br>
        </div>
        <div><br>
        </div>
        <div>Реально, гадать на кофейной гуще с &quot;а вдруг эти русские
          что-то задумали&quot; -- это &quot;хайли-лайкли&quot; рассуждения, подходит
          для хабра, но не подходит для серьезной дискуссии.</div>
      </div>
      <br>
      <div class="gmail_quote">
        <div dir="ltr" class="gmail_attr">On Tue, Jun 25, 2019 at 10:17
          PM Paul Wolneykien &lt;<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a>&gt; wrote:<br>
        </div>
        <blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">25.06.2019
          22:09, Wartan Hachaturow пишет:<br>
          &gt; <br>
          &gt; И да -- нет атаки, нет повода для наброса.<br>
          <br>
            А вот знаешь, мне тут коллегия математиков подсказывает, что
          это<br>
          неправда. Что, мол, на протяжении истории шифров с s-box&#39;ами
          чего только<br>
          не вытворяли, и чего в них только не встраивали — как бэкдоры,
          так и<br>
          защиты от атак — и что поэтому и существует в новое время
          требование<br>
          обосновать S-box.<br>
          <br>
          <br>
          &gt; On Tue, Jun 25, 2019, 21:57 Paul Wolneykien &lt;<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a><br>
          &gt; &lt;mailto:<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a>&gt;&gt;
          wrote:<br>
          &gt; <br>
          &gt;     25.06.2019 20:17, Wartan Hachaturow пишет:<br>
          &gt;     &gt; Паш, вопрос того, есть там такая структура или
          нет -- безусловно можно<br>
          &gt;     &gt; обсуждать, и он даже важен с точки зрения
          создания эффективных<br>
          &gt;     &gt; железных реализаций (потому что как вот это
          место традиционно самое<br>
          &gt;     &gt; сложное для реализации примитивами). Более того,
          наличие таких<br>
          &gt;     &gt; структур показано для перестановок кучи шифров,
          и для них это<br>
          &gt;     считается<br>
          &gt;     &gt; даже достоинством.<br>
          &gt;     &gt;<br>
          &gt;     &gt; Просто его не надо связывать с вопросом наличия
          атаки.<br>
          &gt; <br>
          &gt;       А я пока и не связываю. Но мне категорически не
          нравится, что авторы<br>
          &gt;     шифра заявляют &quot;No secret structure was enforced
          during construction of<br>
          &gt;     the S-box&quot;, а потом некую структуру находят. Точнее
          даже не так:<br>
          &gt;     заявление о структуре было сделано в 2015 году, а
          цитата из документа,<br>
          &gt;     датированного 2018 годом. Что это означает? Что
          найденная структура не<br>
          &gt;     &quot;секретная&quot; (было очевидно из описания, да вы не
          заметили) или что она<br>
          &gt;     не была &quot;enforced&quot; (само выросло)? Или же то, что это
          заявление было<br>
          &gt;     сделано по политическим соображениям? Но тогда это
          заведомая глупость,<br>
          &gt;     раз её так быстро обнаружили.<br>
          &gt;       Просто мы тут пытаемся продвигать патчи в свободные
          проекты, для чего<br>
          &gt;     волей-неволей приходится защищать позицию надёжности
          ГОСТов. Возникает<br>
          &gt;     вопрос: если известной атаки действительно нет, то
          для чего было<br>
          &gt;     защищать позицию &quot;нет структуры&quot;? Может быть авторы
          Кузнечика хотели<br>
          &gt;     скрыть не атаку, а что-то другое. Но что именно и
          почему?<br>
          &gt;       То, что ты написал выше вполне согласуется с
          ответом из документа:<br>
          &gt;     &quot;Results of [1] (Biryukov, Perrin, Udovenko 2015)
          solved a great<br>
          &gt;     optimization problem&quot;. Очень иронично, но и очень
          похоже на полный<br>
          &gt;     игнор: мол, пока скрытой атаки не найдёте, мы все
          остальные обвинения<br>
          &gt;     будем пропускать мимо ушей. Они, конечно, могут
          пропускать сколько<br>
          &gt;     угодно, но совершенно непонятно, почему на эти
          обвинения за них должен<br>
          &gt;     отвечать кто-то другой.<br>
          &gt; <br>
          &gt; <br>
          &gt;     &gt; Они не связаны ни прямо (атаки Перрин не
          показал), ни теоретически (из<br>
          &gt;     &gt; наличия структуры не следует наличие атаки).<br>
          &gt;     &gt; Вот эта связка им проводится исключительно
          гуманитарными аргументами<br>
          &gt;     &gt; (&quot;nothing up my sleeve&quot; и вот это всё), и
          делается она явно ради<br>
          &gt;     &gt; вывода &quot;а давайте уберем из стандартов&quot;.<br>
          &gt;     &gt;<br>
          &gt;     &gt;<br>
          &gt;     &gt; On Tue, Jun 25, 2019 at 2:12 PM Paul Wolneykien<br>
          &gt;     &lt;<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a>
          &lt;mailto:<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a>&gt;<br>
          &gt;     &gt; &lt;mailto:<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a>
          &lt;mailto:<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a>&gt;&gt;&gt;
          wrote:<br>
          &gt;     &gt;<br>
          &gt;     &gt;     14.06.2019 08:14, Vitaly Chikunov пишет:<br>
          &gt;     &gt;     &gt; JFYI<br>
          &gt;     &gt;     &gt;<br>
          &gt;     &gt;     &gt; Очередные news про sbox Кузнечика.<br>
          &gt;     &gt;     &gt;<br>
          &gt;     &gt;     &gt;   <a href="https://habr.com/ru/company/virgilsecurity/blog/453254/" rel="noreferrer" target="_blank">https://habr.com/ru/company/virgilsecurity/blog/453254/</a><br>
          &gt;     &gt;     &gt;   Про ГОСТовский шифр Кузнечик, его
          SBox и потерянные сиды<br>
          &gt;     &gt;     &gt;<br>
          &gt;     &gt;     &gt;   Scratch вчера в 09:01<br>
          &gt;     &gt;     &gt;   Блог компании Virgil Security, Inc.,
          Информационная<br>
          &gt;     &gt;     безопасность, Криптография<br>
          &gt;     &gt;<br>
          &gt;     &gt;       Всем привет. А насколько, всё-таки,
          правомерен данный аргумент?<br>
          &gt;     &gt;<br>
          &gt;     &gt;     &quot;Но и структура, в 4 раза меньшая чем Sbox,
          не может попасть в<br>
          &gt;     SBox<br>
          &gt;     &gt;     случайно, что бы там ни говорили авторы и
          защитники Кузнечика.&quot;<br>
          &gt;     &gt;<br>
          &gt;     &gt;       Лично мне он кажется правомерным, но может
          быть я что-то<br>
          &gt;     упускаю из<br>
          &gt;     &gt;     виду? Аналогично вот с этим:<br>
          &gt;     &gt;<br>
          &gt;     &gt;     &quot;Основная проблема в том, что структура
          есть, а авторы<br>
          &gt;     Стрибог/Кузнечник<br>
          &gt;     &gt;     утверждали обратное.&quot;<br>
          &gt;     &gt;<br>
          &gt;     &gt;       Из цитат, которые приводятся в статье,
          следует, что есть некое<br>
          &gt;     &gt;     начальное &quot;пи&quot;, которое обязано быть
          (псевдо)случайным, но,<br>
          &gt;     кажется, не<br>
          &gt;     &gt;     следует, что весь S-Box целиком обязан быть
          таким же<br>
          &gt;     (псевдо)случайным<br>
          &gt;     &gt;     как &quot;пи&quot;. (Иначе к чему вообще разделение на
          &quot;пи&quot; и S-Box?) Или я<br>
          &gt;     &gt;     неправ?<br>
          &gt;     &gt;       Далее, в исошном документе<br>
          &gt;     &gt;   <br>
          &gt;      (<a href="https://cdn.virgilsecurity.com/assets/docs/memo-on-kuznyechik-s-box.pdf" rel="noreferrer" target="_blank">https://cdn.virgilsecurity.com/assets/docs/memo-on-kuznyechik-s-box.pdf</a>)<br>
          &gt;     &gt;     авторы шифра описывают набор условий,
          которым должен удовлетворять<br>
          &gt;     &gt;     S-Box, полученный на основе определённого
          &quot;пи&quot; (но конкретные<br>
          &gt;     &gt;     преобразования из &quot;пи&quot; в S-Box, там,
          насколько я понял, не<br>
          &gt;     указываются).<br>
          &gt;     &gt;     Не следует ли, однако, из данного набора
          условий (набора<br>
          &gt;     отношений между<br>
          &gt;     &gt;     &quot;пи&quot; и  S-Box) как раз то, что может
          (должна?) существовать<br>
          &gt;     &quot;структура,<br>
          &gt;     &gt;     в 4 раза меньшая, чем S-Box&quot;, которая
          полностью его описывает?<br>
          &gt;     &gt;   
           _______________________________________________<br>
          &gt;     &gt;     oss-gost-crypto mailing list<br>
          &gt;     &gt;     <a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
          &gt;     &lt;mailto:<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a>&gt;<br>
          &gt;     &gt;     &lt;mailto:<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
          &gt;     &lt;mailto:<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a>&gt;&gt;<br>
          &gt;     &gt;     <a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
          &gt;     &gt;<br>
          &gt;     &gt;<br>
          &gt;     &gt;<br>
          &gt;     &gt; --<br>
          &gt;     &gt; Regards, Wartan.<br>
          &gt;     &gt;<br>
          &gt;     &gt;<br>
          &gt;     &gt; _______________________________________________<br>
          &gt;     &gt; oss-gost-crypto mailing list<br>
          &gt;     &gt; <a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
          &gt;     &lt;mailto:<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a>&gt;<br>
          &gt;     &gt; <a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
          &gt;     &gt;<br>
          &gt; <br>
          &gt;     _______________________________________________<br>
          &gt;     oss-gost-crypto mailing list<br>
          &gt;     <a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
          &gt;     &lt;mailto:<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a>&gt;<br>
          &gt;     <a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
          &gt; <br>
          &gt; <br>
          &gt; <br>
          &gt; _______________________________________________<br>
          &gt; oss-gost-crypto mailing list<br>
          &gt; <a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
          &gt; <a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
          &gt; <br>
          <br>
          _______________________________________________<br>
          oss-gost-crypto mailing list<br>
          <a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
          <a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
        </blockquote>
      </div>
      <br clear="all">
      <br>
      -- <br>
      <div dir="ltr" class="gmail-m_3449855552508469615gmail-m_-1383171322876402086gmail_signature">Regards, Wartan.</div>
      <br>
      <fieldset class="gmail-m_3449855552508469615gmail-m_-1383171322876402086mimeAttachmentHeader"></fieldset>
      <pre class="gmail-m_3449855552508469615gmail-m_-1383171322876402086moz-quote-pre">_______________________________________________
oss-gost-crypto mailing list
<a class="gmail-m_3449855552508469615gmail-m_-1383171322876402086moz-txt-link-abbreviated" href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a>
<a class="gmail-m_3449855552508469615gmail-m_-1383171322876402086moz-txt-link-freetext" href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a>
</pre>
    </blockquote>
    <br>
  </div>

_______________________________________________<br>
oss-gost-crypto mailing list<br>
<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
<a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail-m_3449855552508469615gmail_signature">Regards, Wartan.</div>
_______________________________________________<br>
oss-gost-crypto mailing list<br>
<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
<a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">SY, Dmitry Belyavsky</div>