20.05.2011

ГОСТ 28147-89 взломан!

На фоне попыток России сделать наш ГОСТ 28147-89 международным стандартом шифрования и потеснить с пальмы первенства AES, эти действия сопровождаются различными инсинуациями закулисных врагов России. Очередной виток началася на прошлой неделе, когда известный криптоаналитик Николя Куртуа заявил о том, что ему удалось взломать ГОСТ 28147-89.

13 коммент.:

corvax комментирует...

28147 -- это вроде еще не весь "гост", а стандарт имитовставки на базе которого сделан более современный - 31.94 (и скорее всего с улучшениями), действующий ныне официально. Так что нужно дождться независимых оценок.

kyprizel комментирует...

термин "взломан" в современной криптографии так расплывчат...

Алексей Лукацкий комментирует...

28147 - это самостоятельный стандарт симметричного шифрования. К другим нашим ГОСТам он отношение имеет опосредованное.

blaze комментирует...

Я немножечко не понял шутку про необходимые для взлома 2^64 известных открытых текста. Это ж полная таблица шифрования, у ГОСТ блок 64 бита.

Андрей Ерин комментирует...

на конференции РусКрипто’2011 был дан убедительный "наш ответ Чемберлену..." Ответ звучал как обычно - технически невозможно в настоящее время.
См. доклад: Пас из-за границы — атака на ГОСТ
http://www.ruscrypto.ru/netcat_files/File/ruscrypto.2011.015.zip

Андрей Ерин комментирует...
Этот комментарий был удален автором.
Ригель комментирует...

Андрей Ерин:

На рускрипто другой способ атаки рассматривался, не?

ZW комментирует...

Да кто его использовать будет по доброй воле?
Морально устаревший алгоритм. Читал тут статью одного специалиста, кандидата наук. Статья была посвящена опровержению наветов, про сложность ГОСТа, и соответственно, дороговизну решений на его базе.
Автор делает тесты, и у него получается, что ГОСТ только на 15% "медленее" AES.
Вывод: Вот видите как всё хорошо. А я читаю, и тихо уодивляюсь от такой логики. На 10-15% это на одном потоке. То на каждые 10 потоков, на этом же железе, AES даст 11. Когда количество потоков на чип измеряется тысячами, это в результате очень огромная разница в производительности и цене.
И это не считая того факта, что таблицы подстановки непонятно кто выдает.

Тарас Злонов комментирует...

2 blaze: При целиком известном открытом тексте в плане криптоанализа это делает полностью справедливым утверждение о том, что "ГОСТ взломан" =)

kukalo комментирует...

2Ригель:
На РусКрипто говорили о японском варианте -
http://fse2011.mat.dtu.dk/slides/A%20Single-Key%20Attack%20on%20the%20Full%20GOST%20Block%20Cipher.pdf

Для тех кто хочет ознакомиться с оригиналом статьи а не читать непонятные выдумки, рекомендую:
http://eprint.iacr.org/2011/211.pdf

"Clearly GOST is deeply flawed, in more than one way, and GOST does not
provide the security level required by ISO...In fact to standardize GOST now would be really dangerous and
irresponsible..."

kukalo комментирует...

и кстати не долго 89-ому ГОСТ-у жить осталось...
Так что зря они так... Стараются...
http://www.ruscrypto.org/netcat_files/File/ruscrypto.2011.007.zip

Андрей Ерин комментирует...

На Рускрипто упешность Японской атаки опровергал Алексей Чиликов. Вот что он мне написал по поводу статьи Nicolas T. Courtois, опубликованной на епринте: "К сожалению, основная теорема там не доказана, даётся ссылка на большую работу, которая готовится к публикации на CRYPTO. Без доказательства выводы делать преждевременно...
Простая модельная атака, приведённая в текущей публикации, не особенно интересна, так как требует 2^64 пар открытый текст- шифртекст... Но Куртуа утверждает, что можно ослабить это требование. Вот на это очень хотелось бы посмотреть..."

Подождем публикации с доказательством.

Nikita Gergel комментирует...

Без доказательства в громкие слова слабо верится. По крайней мере практическое применение пока далеко не очевидно.