[oss-gost-crypto] "Про ГОСТовский шифр Кузнечик, его SBox и потерянные сиды"

Wed Jun 26 12:36:14 MSK 2019

26.06.2019 11:58, Igor Ustinov пишет:
> И поскольку стойкость - это вопрос веры, то дело не в том, закладывалась
> структура сознательно или "сама выросла", а в том, можно ли доверять "этим русским".

  Я не согласен с такой постановкой вопроса. Это как бы продолжение
аргументации "раз атака не найдена, то нет проблем". Идя по этому пути
можно дойти до ситуации: "атака найдена? ок, спасибо, что нашли, теперь
мы будем знать, что такая атака есть". Неужели и в этом случае будет не
важно закладывалась ли атака сознательно или "сама выросла"?

  В криптографии, на мой взгляд, до тех пор, пока ты не доказал, что ты
невиновен, нужно предполагать, что ты виновен.

> ...
> И если вдруг сейчас в AESе нароют что-то этакое странное, они спокойно
> ответят, что бог его знает, как так вышло, но вы же все в этом
> участвовали, и крыть будет нечем.

  Думаю, что сознательность можно так или иначе доказать. Точнее,
вероятность сознательной закладки. Это примерно как нагенерировать
случайным перебором стихотворение Пушкина: теоретически можно, но...
И если в AESе нароют что-то странное, то весь вопрос будет в том,
насколько вероятно было получить *эту конкретную* странность (или
странность этого класса, категории и т.д.), не владея заранее какими-то
исходными данными. Я о том, что вполне может быть, что создатели AES в
своих лабораториях нарыли что-то такое, что позволило им направить
разработку алгоритма по заведомо выгодному для них пути, который только
выглядит прозрачным и безопасным для остальных.

  Здесь, конечно, можно и нужно требовать аналогичного отношения к
Кузнечику. И это, без сомнения, вопрос политический. Но в сути своей —
это борьба с двойными стандартами. А раз так, то именно поэтому начинать
эту борьбу нужно было с соблюдения *общих* требований, которые к тому
времени сложились в сообществе, а не с игнорирования этих требований! С
этим согласен. Только я бы даже сказал, что в такой ситуации нужно
стараться играть на опережение: готовиться так, чтобы иметь возможность
привести больше доказательств в пользу прозрачности и открытости своего
алгоритма, чем есть у твоего оппонента. А этого-то как раз и не видно у
авторов Кузнечика! Образно говоря они сейчас закрылись в своём бункере с
табличкой "атака не доказана" и считают что там их никто не достанет. Но
это же пассивная оборонительная тактика — ни к чему хорошему она не
приведёт, только хуже будет.