ГОСТ (блочный шифр)

ГОСТ 28147-89 (Магма)

Схема ГОСТ
Общий
Дизайнеры	СССР , КГБ , 8-й отдел
Впервые опубликовано	23 мая 1994 г. (рассекречено)
Преемники	Хеш-функция ГОСТ , Кузнечик
Сертификация	ГОСТ стандарт
Деталь шифрования
Размеры ключей	256 бит
Размеры блоков	64 бита
Структура	Сеть Фейстеля
Раунды	32
Лучший публичный криптоанализ
В 2011 году несколько авторов обнаружили более существенные недостатки в ГОСТ, впервые получив возможность атаковать полный 32-раундовый ГОСТ с помощью произвольных ключей. даже назвал его «глубоко ошибочным шифром» Николя Куртуа . [ 1 ]

Блочный шифр ГОСТ ( Магма ), определенный в стандарте ГОСТ 28147-89 (RFC 5830), представляет собой советский и российский государственный блочный с симметричным ключом шифр и размером блока 64 бита. Исходный стандарт, опубликованный в 1989 году, не давал шифру никакого названия, но в самой последней редакции стандарта, ГОСТ Р 34.12-2015 (RFC 7801, RFC 8891), указано, что его можно называть Магмой. ^{[ 2 ]} хеш- функция ГОСТ На этом шифре основана . Новый стандарт также определяет новый 128-битный блочный шифр под названием «Кузнечик» .

Разработанный в 1970-х годах стандарт имел гриф «Совершенно секретно», а затем в 1990 году ему был присвоен статус «Секретно». Вскоре после распада СССР он был рассекречен и обнародован в 1994 году. ГОСТ 28147 был советским стандартом. альтернатива США стандартному алгоритму DES . ^{[ 3 ]} Таким образом, они очень похожи по структуре.

64 бита ГОСТ имеет размер блока и длину ключа 256 бит. Его S-блоки могут быть секретными и содержат около 354 (log ₂ (16! ⁸ )) бит секретной информации, поэтому эффективный размер ключа можно увеличить до 610 бит; однако атака с выбранным ключом может восстановить содержимое S-блоков примерно за 2 ³² шифрование. ^{[ 4 ]}

ГОСТ представляет собой сеть Фейстеля из 32 витков. Его функция округления очень проста: добавьте 32-битный подраздел по модулю 2. ³² , пропустите результат через слой S-блоков и поверните этот результат влево на 11 бит. Результатом этого является вывод функции округления. На соседней диаграмме одна линия представляет 32 бита.

Подключи выбираются в заранее заданном порядке. Схема ключей очень проста: разбейте 256-битный ключ на восемь 32-битных подразделов, и каждый подраздел используется в алгоритме четыре раза; в первых 24 раундах ключевые слова используются по порядку, в последних 8 раундах они используются в обратном порядке.

S-блоки принимают четырехбитный входной сигнал и выдают четырехбитный выходной сигнал. Замена S-блока в функции раунда состоит из восьми S-блоков 4 × 4. S-блоки зависят от реализации, поэтому стороны, которые хотят защитить свои коммуникации с помощью ГОСТ, должны использовать одни и те же S-блоки. Для дополнительной безопасности S-блоки можно держать в секрете. В исходном стандарте, где был указан ГОСТ, никаких S-box не было, но их надо было как-то поставить. Это привело к предположениям, что организациям, за которыми правительство хотело шпионить, были предоставлены слабые S-блоки. Один производитель чипов ГОСТ сообщил, что он сам генерировал S-блоки с помощью генератора псевдослучайных чисел . ^{[ 5 ]}

Например, ЦБ РФ использовал следующие S-box:

Однако в самой последней редакции стандарта, ГОСТ Р 34.12-2015 , добавлена ​​недостающая спецификация S-box и определена она следующим образом. ^{[ 2 ]}

Последний криптоанализ ГОСТ показывает, что он безопасен в теоретическом смысле. На практике сложность данных и памяти лучших опубликованных атак достигла практического уровня, в то время как временная сложность даже самой лучшей атаки по-прежнему равна 2. ¹⁹² когда 2 ⁶⁴ данные доступны.

С 2007 года было разработано несколько атак на реализации ГОСТ с сокращенным циклом и/или слабые ключи . ^{[ 6 ] [ 7 ]}

В 2011 году несколько авторов обнаружили более существенные недостатки в ГОСТ, впервые получив возможность атаковать полный 32-раундовый ГОСТ с помощью произвольных ключей. даже назвал его «глубоко ошибочным шифром» Николя Куртуа . ^{[ 8 ]} Первоначальные атаки смогли снизить временную сложность с 2 ²⁵⁶ до 2 ²²⁸ ценой огромных требований к памяти, ^{[ 9 ]} и вскоре они были улучшены до 2 ¹⁷⁸ временная сложность (стоимостью 2 ⁷⁰ память и 2 ⁶⁴ данные). ^{[ 10 ] [ 11 ]}

В декабре 2012 года Куртуа, Гавинецкий и Сонг усовершенствовали атаки на ГОСТ, вычислив всего 2 ¹⁰¹ ГОСТ патроны. ^{[ 12 ]} Исобе уже опубликовал атаку с использованием одного ключа на полный шифр ГОСТ. ^{[ 13 ]} который Динур, Дункельман и Шамир улучшили, достигнув 2 ²²⁴ временная сложность на 2 ³² данные и 2 ³⁶ память и 2 ¹⁹² временная сложность на 2 ⁶⁴ данные. ^{[ 14 ]}

Поскольку атаки уменьшают ожидаемую силу с 2 ²⁵⁶ (длина ключа) примерно до 2 ¹⁷⁸ , шифр можно считать взломанным. Однако на практике такая атака неосуществима, так как количество тестов, которые необходимо выполнить, равно 2. ¹⁷⁸ находится вне досягаемости.

Обратите внимание, что для любого блочного шифра с размером блока n бит максимальный объем открытого текста, который может быть зашифрован перед повторной сменой ключа, равен 2. ^н/2 блоки, из-за парадокса дня рождения , ^{[ 15 ]} и ни одна из вышеупомянутых атак не требует менее 2 ³² данные.

• стандарты ГОСТ

• «Библиотека ГОСТ WebCrypto» . Рудольф Николаев, команда WebCrypto ГОСТ.
• Долматов, Василий (март 2010 г.). «RFC 5830: ГОСТ 28147-89 алгоритмы шифрования, дешифрования и MAC» . IETF.
• Попов Владимир; Леонтьев Сергей; Курепкин, Игорь (январь 2006 г.). «RFC 4357: Дополнительные криптографические алгоритмы для использования с ГОСТ» . IETF.
• Алекс Бирюков и Дэвид Вагнер (май 2000 г.). Продвинутые скользящие атаки (PDF) . Достижения в криптологии, Труды EUROCRYPT 2000. Брюгге : Springer-Verlag. стр. 589–606. дои : 10.1007/3-540-45539-6_41 . Проверено 3 сентября 2007 г.

• Описание, тексты стандартных, онлайн-инструментов шифрования и дешифрования ГОСТ.
• Запись СКАН по ГОСТу
• Реализация программного устройства PKCS#11 с открытым исходным кодом и возможностями шифрования по российским стандартам ГОСТ.
• https://github.com/gost-engine/engine — реализация российской криптографии ГОСТ с открытым исходным кодом для OpenSSL.