<div dir="ltr"><div>Игорь, ну это же не совсем так. <br></div><div>Я конечно не настоящий сварщик, но для шифров показывают и семантическую стойкость при заданных ограничениях, и сведение к NP-полным задачам.<br></div><div>Если бы все шифры принимались только на веру, у нас была бы куча проблем :)</div><div>В случае Кузнечика авторы много раз говорили в кулуарах, что поиск был действительно случайным перебором с проверкой алгебраических параметров получаемых перестановок: понятно, что в таком случае шансы наткнуться на эту перестановку так же велики, как и на любую другую. Просто этот процесс был выполнен один раз, довольно давно, и даже код, при помощи которого искалось, давно утрачен. Я предлагал собственно взять какой-то из суперкомпьютеров и запустить на нем такой же поиск еще раз чтобы показать, что она найдется. Но это может занять много времени :))</div><div>Я согласен, что наследие "закрытой криптографии" нам мешает, но в данном конкретном случае это уж слишком возмутительный наезд, потому что по сути совершенно необоснованный.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jun 26, 2019 at 11:58 AM Igor Ustinov <<a href="mailto:igus@cryptocom.ru">igus@cryptocom.ru</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div bgcolor="#FFFFFF">
Вартан, вот не соглашусь. Криптография - наука "гуманитарная" от
начала и до конца, не существует ни одного научного обоснования
стойкости ни одного шифра (ну кроме абсолютно стойкого шифра
Шеннона), стойкий шифр - этот тот, в стойкость которого мы <b>верим</b>,
и не более того, так что никаких аргументов, кроме "гуманитарных", в
криптографии нет и быть не может. И поскольку стойкость - это вопрос
веры, то дело не в том, закладывалась структура сознательно или
"сама выросла", а в том, можно ли доверять "этим русским".<br>
NIST вот накушался заявлений, что наверное NSA знает что-то такое
про структуру S-блоков DESа, и для AESа пошёл по пути полной
прозрачности. И если вдруг сейчас в AESе нароют что-то этакое
странное, они спокойно ответят, что бог его знает, как так вышло, но
вы же все в этом участвовали, и крыть будет нечем. Что мешало 8
Центру пойти по этому же пути, а не наступать на давно известные
грабли? Да ничего не мешало! Но нет, мы же сами с усами, нам мировые
тенденции не указ, мы такие крутые, великая криптографическая
держава, мы по старинке разработаем алгоритм силами кучки никому не
известных (потому что жутко засекреченных) криптографов и никому не
покажем вплоть до момента принятия в качестве государственного
стандарта. Так что в дерьмо мы вляпались вполне закономерно, и
никто, кроме нас самих, в этом дерьме не виноват.<br>
В общем, если мы хотим, чтобы наши стандарты нормально принимались
международным сообществом, надо разрабатывать их так, как это нынче
принято в международном сообществе. А пока мы демонстрируем, что
международное сообщество нам не указ, мы и получаем в ответ вполне
логичную реакцию.<br>
<br>
<pre class="gmail-m_-1383171322876402086moz-signature" cols="72">С уважением,
Игорь Устинов
зам.ген.директора
ООО "Криптоком"
</pre>
<div class="gmail-m_-1383171322876402086moz-cite-prefix">On 26.06.2019 0:30, Wartan Hachaturow
wrote:<br>
</div>
<blockquote type="cite">
<div dir="ltr">
<div>Коллегия математиков забывает тебе сказать, что все то, что
"проделывалось" с перестановками -- было выявлено путем
предъявления атаки.</div>
<div>Слабых групп ключей, trapdoor'ов, черта в ступе. В данном
случае нет даже на намека на то, что структура понижает
сложность атаки, не то что не выявлена закладка.</div>
<div>Говорю же -- гуманитарщина, никакого научного обоснования
вывода "уберите стандарт" нет.</div>
<div><br>
</div>
<div>Аргументы Перрина -- это его оценка степени простоты
найденной им структуры.</div>
<div>Даже если бы среди всех матриц перестановок была всего одна
с простой структурой, то при абсолютно случайном поиске ты бы
наткнулся на нее с той же вероятностью, что и на все остальные
(если поиск действительно случайный, как говорят авторы). И
требование "обосновать" появилось уже *после того*, как
появился Кузнечик.<br>
</div>
<div><br>
</div>
<div>Реально, гадать на кофейной гуще с "а вдруг эти русские
что-то задумали" -- это "хайли-лайкли" рассуждения, подходит
для хабра, но не подходит для серьезной дискуссии.</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">On Tue, Jun 25, 2019 at 10:17
PM Paul Wolneykien <<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a>> wrote:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">25.06.2019
22:09, Wartan Hachaturow пишет:<br>
> <br>
> И да -- нет атаки, нет повода для наброса.<br>
<br>
А вот знаешь, мне тут коллегия математиков подсказывает, что
это<br>
неправда. Что, мол, на протяжении истории шифров с s-box'ами
чего только<br>
не вытворяли, и чего в них только не встраивали — как бэкдоры,
так и<br>
защиты от атак — и что поэтому и существует в новое время
требование<br>
обосновать S-box.<br>
<br>
<br>
> On Tue, Jun 25, 2019, 21:57 Paul Wolneykien <<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a><br>
> <mailto:<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a>>>
wrote:<br>
> <br>
> 25.06.2019 20:17, Wartan Hachaturow пишет:<br>
> > Паш, вопрос того, есть там такая структура или
нет -- безусловно можно<br>
> > обсуждать, и он даже важен с точки зрения
создания эффективных<br>
> > железных реализаций (потому что как вот это
место традиционно самое<br>
> > сложное для реализации примитивами). Более того,
наличие таких<br>
> > структур показано для перестановок кучи шифров,
и для них это<br>
> считается<br>
> > даже достоинством.<br>
> ><br>
> > Просто его не надо связывать с вопросом наличия
атаки.<br>
> <br>
> А я пока и не связываю. Но мне категорически не
нравится, что авторы<br>
> шифра заявляют "No secret structure was enforced
during construction of<br>
> the S-box", а потом некую структуру находят. Точнее
даже не так:<br>
> заявление о структуре было сделано в 2015 году, а
цитата из документа,<br>
> датированного 2018 годом. Что это означает? Что
найденная структура не<br>
> "секретная" (было очевидно из описания, да вы не
заметили) или что она<br>
> не была "enforced" (само выросло)? Или же то, что это
заявление было<br>
> сделано по политическим соображениям? Но тогда это
заведомая глупость,<br>
> раз её так быстро обнаружили.<br>
> Просто мы тут пытаемся продвигать патчи в свободные
проекты, для чего<br>
> волей-неволей приходится защищать позицию надёжности
ГОСТов. Возникает<br>
> вопрос: если известной атаки действительно нет, то
для чего было<br>
> защищать позицию "нет структуры"? Может быть авторы
Кузнечика хотели<br>
> скрыть не атаку, а что-то другое. Но что именно и
почему?<br>
> То, что ты написал выше вполне согласуется с
ответом из документа:<br>
> "Results of [1] (Biryukov, Perrin, Udovenko 2015)
solved a great<br>
> optimization problem". Очень иронично, но и очень
похоже на полный<br>
> игнор: мол, пока скрытой атаки не найдёте, мы все
остальные обвинения<br>
> будем пропускать мимо ушей. Они, конечно, могут
пропускать сколько<br>
> угодно, но совершенно непонятно, почему на эти
обвинения за них должен<br>
> отвечать кто-то другой.<br>
> <br>
> <br>
> > Они не связаны ни прямо (атаки Перрин не
показал), ни теоретически (из<br>
> > наличия структуры не следует наличие атаки).<br>
> > Вот эта связка им проводится исключительно
гуманитарными аргументами<br>
> > ("nothing up my sleeve" и вот это всё), и
делается она явно ради<br>
> > вывода "а давайте уберем из стандартов".<br>
> ><br>
> ><br>
> > On Tue, Jun 25, 2019 at 2:12 PM Paul Wolneykien<br>
> <<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a>
<mailto:<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a>><br>
> > <mailto:<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a>
<mailto:<a href="mailto:manowar@altlinux.org" target="_blank">manowar@altlinux.org</a>>>>
wrote:<br>
> ><br>
> > 14.06.2019 08:14, Vitaly Chikunov пишет:<br>
> > > JFYI<br>
> > ><br>
> > > Очередные news про sbox Кузнечика.<br>
> > ><br>
> > > <a href="https://habr.com/ru/company/virgilsecurity/blog/453254/" rel="noreferrer" target="_blank">https://habr.com/ru/company/virgilsecurity/blog/453254/</a><br>
> > > Про ГОСТовский шифр Кузнечик, его
SBox и потерянные сиды<br>
> > ><br>
> > > Scratch вчера в 09:01<br>
> > > Блог компании Virgil Security, Inc.,
Информационная<br>
> > безопасность, Криптография<br>
> ><br>
> > Всем привет. А насколько, всё-таки,
правомерен данный аргумент?<br>
> ><br>
> > "Но и структура, в 4 раза меньшая чем Sbox,
не может попасть в<br>
> SBox<br>
> > случайно, что бы там ни говорили авторы и
защитники Кузнечика."<br>
> ><br>
> > Лично мне он кажется правомерным, но может
быть я что-то<br>
> упускаю из<br>
> > виду? Аналогично вот с этим:<br>
> ><br>
> > "Основная проблема в том, что структура
есть, а авторы<br>
> Стрибог/Кузнечник<br>
> > утверждали обратное."<br>
> ><br>
> > Из цитат, которые приводятся в статье,
следует, что есть некое<br>
> > начальное "пи", которое обязано быть
(псевдо)случайным, но,<br>
> кажется, не<br>
> > следует, что весь S-Box целиком обязан быть
таким же<br>
> (псевдо)случайным<br>
> > как "пи". (Иначе к чему вообще разделение на
"пи" и S-Box?) Или я<br>
> > неправ?<br>
> > Далее, в исошном документе<br>
> > <br>
> (<a href="https://cdn.virgilsecurity.com/assets/docs/memo-on-kuznyechik-s-box.pdf" rel="noreferrer" target="_blank">https://cdn.virgilsecurity.com/assets/docs/memo-on-kuznyechik-s-box.pdf</a>)<br>
> > авторы шифра описывают набор условий,
которым должен удовлетворять<br>
> > S-Box, полученный на основе определённого
"пи" (но конкретные<br>
> > преобразования из "пи" в S-Box, там,
насколько я понял, не<br>
> указываются).<br>
> > Не следует ли, однако, из данного набора
условий (набора<br>
> отношений между<br>
> > "пи" и S-Box) как раз то, что может
(должна?) существовать<br>
> "структура,<br>
> > в 4 раза меньшая, чем S-Box", которая
полностью его описывает?<br>
> >
_______________________________________________<br>
> > oss-gost-crypto mailing list<br>
> > <a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
> <mailto:<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a>><br>
> > <mailto:<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
> <mailto:<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a>>><br>
> > <a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
> ><br>
> ><br>
> ><br>
> > --<br>
> > Regards, Wartan.<br>
> ><br>
> ><br>
> > _______________________________________________<br>
> > oss-gost-crypto mailing list<br>
> > <a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
> <mailto:<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a>><br>
> > <a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
> ><br>
> <br>
> _______________________________________________<br>
> oss-gost-crypto mailing list<br>
> <a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
> <mailto:<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a>><br>
> <a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
> <br>
> <br>
> <br>
> _______________________________________________<br>
> oss-gost-crypto mailing list<br>
> <a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
> <a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
> <br>
<br>
_______________________________________________<br>
oss-gost-crypto mailing list<br>
<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
<a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
</blockquote>
</div>
<br clear="all">
<br>
-- <br>
<div dir="ltr" class="gmail-m_-1383171322876402086gmail_signature">Regards, Wartan.</div>
<br>
<fieldset class="gmail-m_-1383171322876402086mimeAttachmentHeader"></fieldset>
<pre class="gmail-m_-1383171322876402086moz-quote-pre">_______________________________________________
oss-gost-crypto mailing list
<a class="gmail-m_-1383171322876402086moz-txt-link-abbreviated" href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a>
<a class="gmail-m_-1383171322876402086moz-txt-link-freetext" href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a>
</pre>
</blockquote>
<br>
</div>
_______________________________________________<br>
oss-gost-crypto mailing list<br>
<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
<a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature">Regards, Wartan.</div>