Стрибог

Стрибог
Общий
Дизайнеры	ФСБ , АО «ИнфоТеКС»
Впервые опубликовано	2012
Связано с	ГОСТЬ
Сертификация	Стандарт ГОСТ , ISO/IEC 10118-3:2018, RFC 6986.
Деталь
Размеры дайджеста	256 и 512
Раунды	12
Лучший публичный криптоанализ
	Вторая атака прообраза с помощью 2 266 временная сложность .

Стрибог ( русский : Стрибог ) — криптографическая хэш-функция , определенная в российском национальном стандарте ГОСТ Р 34.11-2012 «Информационные технологии. Криптографическая безопасность информации. Хэш-функция» . Он был создан для замены устаревшей хэш-функции ГОСТ, определенной в старом стандарте ГОСТ Р 34.11-94, и как асимметричный ответ на SHA-3 конкуренцию США со стороны Национального института стандартов и технологий . ^[2] Функция также описана в RFC 6986 и одна из хеш-функций в ISO/IEC 10118-3:2018. ^[3]

Описание [ править ]

Стрибог оперирует 512-битными входными блоками, используя конструкцию Меркла-Дамгорда для обработки входных данных произвольного размера. ^[4]

Высокоуровневая структура новой хеш-функции напоминает структуру из ГОСТ Р 34.11-94, однако функция сжатия была существенно изменена. ^[5] Функция сжатия работает в режиме Миягути-Пренеля и использует 12-раундовый шифр типа AES с 512-битным блоком и 512-битным ключом. (Он использует матрицу байтов 8×8, а не матрицу AES 4×4.)

Streebog-256 использует другое начальное состояние, чем Streebog-512, и усекает выходной хэш, но в остальном он идентичен.

Функция получила название Стрибог в честь Стрибога , бога порывистого ветра в древнеславянской мифологии. ^[2] и часто упоминается под этим именем, хотя оно явно не упоминается в тексте стандарта. ^[6]

Примеры хэшей Streebog [ править ]

Хэш-значения пустой строки.

Streebog-256("")
0x 3f539a213e97c802cc229d474c6aa32a825a360b2a933a949fd925208d9ce1bb
Streebog-512("")
0x 8e945da209aa869f0455928529bcae4679e9873ab707b55315f56ceb98bef0a7 \
   362f715528356ee83cda5f2aac4c6ad2ba3a715c1bcd81cb8e9f90bf4c1c1a8a

Даже небольшое изменение в сообщении (с подавляющей вероятностью) приведет к совершенно другому хешу из-за лавинного эффекта . Например, добавив точку в конце предложения:

Streebog-256("The quick brown fox jumps over the lazy dog")
0x 3e7dea7f2384b6c5a3d0e24aaa29c05e89ddd762145030ec22c71a6db8b2c1f4
Streebog-256("The quick brown fox jumps over the lazy dog.")
0x 36816a824dcbe7d6171aa58500741f2ea2757ae2e1784ab72c5c3c6c198d71da
Streebog-512("The quick brown fox jumps over the lazy dog")
0x d2b793a0bb6cb5904828b5b6dcfb443bb8f33efc06ad09368878ae4cdc8245b9 \
   7e60802469bed1e7c21a64ff0b179a6a1e0bb74d92965450a0adab69162c00fe
Streebog-512("The quick brown fox jumps over the lazy dog.")
0x fe0c42f267d921f940faa72bd9fcf84f9f1bd7e9d055e9816e4c2ace1ec83be8 \
   2d2957cd59b86e123d8f5adee80b3ca08a017599a9fc1a14d940cf87c77df070

Криптоанализ [ править ]

В 2013 году Российский технический комитет по стандартизации «Криптография и механизмы защиты» (ТК 26) при участии Академии криптографии РФ объявил открытый конкурс на криптоанализ хеш-функции Стрибога, ^[7] что привлекло международное внимание к этой функции.

Ма и др . описывают атаку прообраза , которая занимает 2 ⁴⁹⁶ время и 2 ⁶⁴ память или 2 ⁵⁰⁴ время и 2 ¹¹ памяти для поиска единственного прообраза ГОСТ-512 сокращено до 6 патронов. ^[8] Они также описывают атаку столкновением с 2 ¹⁸¹ временная сложность и 2 ⁶⁴ требования к памяти в той же статье.

Гуо и др . описывают вторую атаку прообраза на полную версию Streebog-512 с общей временной сложностью, эквивалентной 2. ²⁶⁶ оценки функции сжатия, если в сообщении более 2 ²⁵⁹ блоки. ^[1]

АльТави и Юсеф опубликовали атаку на модифицированную версию Стрибога с другими круглыми константами. ^[9] Хотя эта атака, возможно, не оказала прямого влияния на безопасность исходной хеш-функции Streebog, она подняла вопрос о происхождении используемых в функции параметров. Разработчики опубликовали статью, в которой объясняется, что это псевдослучайные константы, сгенерированные с помощью хэш-функции, подобной Стрибогу, снабженной 12 различными входными сообщениями на естественном языке. ^[10]

AlTawy и др . обнаружили 5-раундовую коллизию при свободном старте и 7,75 при свободном старте при близком столкновении для внутреннего шифра со сложностью 2. ⁸ и 2 ⁴⁰, соответственно, а также атаки на функцию сжатия с коллизией полусвободного старта 7,75 раунда с временной сложностью 2 ¹⁸⁴ и сложность памяти 2 ⁸, 8,75 и 9,75 раунда полусвободный старт вблизи столкновений с временными сложностями 2 ¹²⁰ и 2 ¹⁹⁶, соответственно. ^[11]

Ван и др . описывают коллизионную атаку на функцию сжатия, сокращенную до 9,5 раундов с 2 ¹⁷⁶ временная сложность и 2 ¹²⁸ сложность памяти. ^[12]

В 2015 году Бирюков, Перрен и Удовенко провели реверс-инжиниринг неопубликованной структуры генерации S-box (которая, как ранее утверждалось, генерируется случайным образом) и пришли к выводу, что лежащие в ее основе компоненты криптографически слабы. ^[13]

См. также [ править ]

Сводка безопасности хеш-функции

Ссылки [ править ]

↑ Перейти обратно: Перейти обратно: ^а ^б Цзянь Го; Жереми Жан; Гаэтан Леран; Томас Пейрин; Лэй Ван (29 августа 2014 г.). Использование Counter Revisited: атака вторым прообразом на новую российскую стандартизированную хэш-функцию . САК 2014.
↑ Перейти обратно: Перейти обратно: ^а ^б ГОСТ Р 34.11-2012 - Хеш-функция Стрибога.
^ «ISO/IEC 10118-3:2018 Методы ИТ-безопасности. Хэш-функции. Часть 3. Специальные хеш-функции» .
^ StriBob: Аутентифицированное шифрование из ГОСТ Р 34.11-2012 Перестановка LPS
^ Алгебраические аспекты российского стандарта хеширования ГОСТ Р 34.11-2012.
^ Полный текст ГОСТ Р 34.11-2012 (на русском языке).
^ Открытый конкурс научных работ, посвященный анализу криптографических свойств хеш-функции ГОСТ Р 34.11-2012.
^ Бингке Ма; Бао Ли; Ронглин Хао; Сяоцянь Ли. «Улучшенный криптоанализ на основе ГОСТ с сокращенным циклом и хеш-функции Whirlpool (полная версия)» (PDF) .
^ Рихам Аль-Тави; Амр М. Юсеф. «Следите за своими константами: Злобный Стрибог» (PDF) .
^ Примечание о происхождении констант Стрибога.
^ Рихам Аль-Тави; Александр Кирчанский; Амр М. Юсеф. «Отскок атаки на Стрибога» (PDF) .
^ Цзунъюэ Ван; Хунбо Ю; Сяоюнь Ван (10 сентября 2013 г.). «Криптоанализ хеш-функции ГОСТ Р» . Письма об обработке информации . 114 (12): 655–662. дои : 10.1016/j.ipl.2014.07.007 .
^ Бирюков, Алекс; Перрин, Лео; Удовенко, Алексей (2016). «Реверс-инжиниринг S-box Стрибога, Кузнечика и СТРИБОБр1 (Полная версия) » Архив электронной печати по криптологии .

[counter-revisited-1] Перейти обратно: Перейти обратно: ^а ^б Цзянь Го; Жереми Жан; Гаэтан Леран; Томас Пейрин; Лэй Ван (29 августа 2014 г.). Использование Counter Revisited: атака вторым прообразом на новую российскую стандартизированную хэш-функцию . САК 2014.

[streebog-2] Перейти обратно: Перейти обратно: ^а ^б ГОСТ Р 34.11-2012 - Хеш-функция Стрибога.

[3] «ISO/IEC 10118-3:2018 Методы ИТ-безопасности. Хэш-функции. Часть 3. Специальные хеш-функции» .

[4] StriBob: Аутентифицированное шифрование из ГОСТ Р 34.11-2012 Перестановка LPS

[5] Алгебраические аспекты российского стандарта хеширования ГОСТ Р 34.11-2012.

[6] Полный текст ГОСТ Р 34.11-2012 (на русском языке).

[7] Открытый конкурс научных работ, посвященный анализу криптографических свойств хеш-функции ГОСТ Р 34.11-2012.

[8] Бингке Ма; Бао Ли; Ронглин Хао; Сяоцянь Ли. «Улучшенный криптоанализ на основе ГОСТ с сокращенным циклом и хеш-функции Whirlpool (полная версия)» (PDF) .

[9] Рихам Аль-Тави; Амр М. Юсеф. «Следите за своими константами: Злобный Стрибог» (PDF) .

[10] Примечание о происхождении констант Стрибога.

[11] Рихам Аль-Тави; Александр Кирчанский; Амр М. Юсеф. «Отскок атаки на Стрибога» (PDF) .

[12] Цзунъюэ Ван; Хунбо Ю; Сяоюнь Ван (10 сентября 2013 г.). «Криптоанализ хеш-функции ГОСТ Р» . Письма об обработке информации . 114 (12): 655–662. дои : 10.1016/j.ipl.2014.07.007 .

[13] Бирюков, Алекс; Перрин, Лео; Удовенко, Алексей (2016). «Реверс-инжиниринг S-box Стрибога, Кузнечика и СТРИБОБр1 (Полная версия) » Архив электронной печати по криптологии .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]