[oss-gost-crypto] "Про ГОСТовский шифр Кузнечик, его SBox и потерянные сиды"
Paul Wolneykien
manowar at altlinux.org
Tue Jun 25 22:17:56 MSK 2019
25.06.2019 22:09, Wartan Hachaturow пишет:
>
> И да -- нет атаки, нет повода для наброса.
А вот знаешь, мне тут коллегия математиков подсказывает, что это
неправда. Что, мол, на протяжении истории шифров с s-box'ами чего только
не вытворяли, и чего в них только не встраивали — как бэкдоры, так и
защиты от атак — и что поэтому и существует в новое время требование
обосновать S-box.
> On Tue, Jun 25, 2019, 21:57 Paul Wolneykien <manowar �� altlinux.org
> <mailto:manowar �� altlinux.org>> wrote:
>
> 25.06.2019 20:17, Wartan Hachaturow пишет:
> > Паш, вопрос того, есть там такая структура или нет -- безусловно можно
> > обсуждать, и он даже важен с точки зрения создания эффективных
> > железных реализаций (потому что как вот это место традиционно самое
> > сложное для реализации примитивами). Более того, наличие таких
> > структур показано для перестановок кучи шифров, и для них это
> считается
> > даже достоинством.
> >
> > Просто его не надо связывать с вопросом наличия атаки.
>
> А я пока и не связываю. Но мне категорически не нравится, что авторы
> шифра заявляют "No secret structure was enforced during construction of
> the S-box", а потом некую структуру находят. Точнее даже не так:
> заявление о структуре было сделано в 2015 году, а цитата из документа,
> датированного 2018 годом. Что это означает? Что найденная структура не
> "секретная" (было очевидно из описания, да вы не заметили) или что она
> не была "enforced" (само выросло)? Или же то, что это заявление было
> сделано по политическим соображениям? Но тогда это заведомая глупость,
> раз её так быстро обнаружили.
> Просто мы тут пытаемся продвигать патчи в свободные проекты, для чего
> волей-неволей приходится защищать позицию надёжности ГОСТов. Возникает
> вопрос: если известной атаки действительно нет, то для чего было
> защищать позицию "нет структуры"? Может быть авторы Кузнечика хотели
> скрыть не атаку, а что-то другое. Но что именно и почему?
> То, что ты написал выше вполне согласуется с ответом из документа:
> "Results of [1] (Biryukov, Perrin, Udovenko 2015) solved a great
> optimization problem". Очень иронично, но и очень похоже на полный
> игнор: мол, пока скрытой атаки не найдёте, мы все остальные обвинения
> будем пропускать мимо ушей. Они, конечно, могут пропускать сколько
> угодно, но совершенно непонятно, почему на эти обвинения за них должен
> отвечать кто-то другой.
>
>
> > Они не связаны ни прямо (атаки Перрин не показал), ни теоретически (из
> > наличия структуры не следует наличие атаки).
> > Вот эта связка им проводится исключительно гуманитарными аргументами
> > ("nothing up my sleeve" и вот это всё), и делается она явно ради
> > вывода "а давайте уберем из стандартов".
> >
> >
> > On Tue, Jun 25, 2019 at 2:12 PM Paul Wolneykien
> <manowar �� altlinux.org <mailto:manowar �� altlinux.org>
> > <mailto:manowar �� altlinux.org <mailto:manowar �� altlinux.org>>> wrote:
> >
> > 14.06.2019 08:14, Vitaly Chikunov пишет:
> > > JFYI
> > >
> > > Очередные news про sbox Кузнечика.
> > >
> > > https://habr.com/ru/company/virgilsecurity/blog/453254/
> > > Про ГОСТовский шифр Кузнечик, его SBox и потерянные сиды
> > >
> > > Scratch вчера в 09:01
> > > Блог компании Virgil Security, Inc., Информационная
> > безопасность, Криптография
> >
> > Всем привет. А насколько, всё-таки, правомерен данный аргумент?
> >
> > "Но и структура, в 4 раза меньшая чем Sbox, не может попасть в
> SBox
> > случайно, что бы там ни говорили авторы и защитники Кузнечика."
> >
> > Лично мне он кажется правомерным, но может быть я что-то
> упускаю из
> > виду? Аналогично вот с этим:
> >
> > "Основная проблема в том, что структура есть, а авторы
> Стрибог/Кузнечник
> > утверждали обратное."
> >
> > Из цитат, которые приводятся в статье, следует, что есть некое
> > начальное "пи", которое обязано быть (псевдо)случайным, но,
> кажется, не
> > следует, что весь S-Box целиком обязан быть таким же
> (псевдо)случайным
> > как "пи". (Иначе к чему вообще разделение на "пи" и S-Box?) Или я
> > неправ?
> > Далее, в исошном документе
> >
> (https://cdn.virgilsecurity.com/assets/docs/memo-on-kuznyechik-s-box.pdf)
> > авторы шифра описывают набор условий, которым должен удовлетворять
> > S-Box, полученный на основе определённого "пи" (но конкретные
> > преобразования из "пи" в S-Box, там, насколько я понял, не
> указываются).
> > Не следует ли, однако, из данного набора условий (набора
> отношений между
> > "пи" и S-Box) как раз то, что может (должна?) существовать
> "структура,
> > в 4 раза меньшая, чем S-Box", которая полностью его описывает?
> > _______________________________________________
> > oss-gost-crypto mailing list
> > oss-gost-crypto �� lists.altlinux.org
> <mailto:oss-gost-crypto �� lists.altlinux.org>
> > <mailto:oss-gost-crypto �� lists.altlinux.org
> <mailto:oss-gost-crypto �� lists.altlinux.org>>
> > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
> >
> >
> >
> > --
> > Regards, Wartan.
> >
> >
> > _______________________________________________
> > oss-gost-crypto mailing list
> > oss-gost-crypto �� lists.altlinux.org
> <mailto:oss-gost-crypto �� lists.altlinux.org>
> > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
> >
>
> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto �� lists.altlinux.org
> <mailto:oss-gost-crypto �� lists.altlinux.org>
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
>
>
>
> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto �� lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
>
More information about the oss-gost-crypto
mailing list