Оценка качества генерируемого SBOX

Задавал вопрос на почту разработчикам, но не получил ответа.

Исходя из описания ключеовй схемы, SBOX генерируется из ключа пользователя хешированием. Известно, что выбор блоков замен для ГОСТ 28147-89 может влиять на стойкость шифра. Вопрос: каким образом оценить, на сколько полученные в процессе генерации блоки замен «стойкие»?

Описания ключевой схемы чего, простите? В реализации 89 весь sbox проинициализирован, но если вас что то смущает юзайте стрибог.

For this process, the 'GOST R 34.11-94 CryptoProParamSet' S-Box from RFC 4357 is used as initial S-Box. The 256-bit encryption key is hashed using the GOST R 34.11-2012 hash function, which produces a 512-bit digest. As both the initial S-Box and the digest contain 512 bits of information, a bitwise addition modulo two is used on of the 4-bit S-Box entries (see the diagram below). The resulting key-dependent S-Box is used for encryption and decryption. During encryption and decryption, the GOST 28147-89 block cipher is used with the XTS mode of operation. The data unit number, a disk offset used in the XTS algorithm, is combined with the GOST 28147-89 key using bitwise addition modulo two. This operation ensures that a different key is used for each 512-byte section of the disk. Given how small changes in the used key result in large changes in the resulting ciphertext, this mechanism provides an additional challenge for a potential adversary.

http://www.gostcrypt.org/gostcrypt.php?langue=en

Вот я так понял, что SBOX генерится на базе SBOX из RFC 4357 и хеша от ключа пользователя. Поправьте, если не прав.

Обратиться в Компетентные Органы. Seriously. Не то в самом ГОСТе, не то в сопутствующем законодательстве написано, что для того, чтобы что-нибудь официально считалось безопасно зашифрованным (гостайна итд), требуется чтобы таблица замен была сертифицирована органами (раньше этим ФАПСИ занималось, щас не знаю — ФСБ, наверное). На практике, чаще всего (насколько мне известно) не парятся и используют таблицу замен, которую в 90х опубликовал ЦБ РФ.

Спасибо. Из описания видно, что сам SBOX не меняется. Сдвигается лишь адресация блоков внутри, т.е. прибавка номера блока сдвигает весь SBOX. Другими словами, мы можем сдвигать SBOX а можем циклически сдвигать входные блоки, не трогая SBOX. Так что криптостойкость будет такая же как и у RFC 4357. Как я понимаю.

Ну не скажите. Ещё раз:

As both the initial S-Box and the digest contain 512 bits of information, a bitwise addition modulo two is used on of the 4-bit S-Box entries (see the diagram below). The resulting key-dependent S-Box is used for encryption and decryption.

Результирующий SBOX получается (битовым) сложением по модулю 2, т.е. XOR'ом.

Если честно, я не совсем понял как именно эта штука работает. Нет, формально все понятно. Непонятно как они гарантируют ортогональность полученного SBOXа.

В прицнипе код есть, я смотрел. Там никаких проверок нет, есть генерация хеша из сключа и функция xor_s_box, которая xor'ит таблицу с этим хешем. Забавно :)

Значит буду разбираться. Алгоритм ведь работает.

Если разберётесь, поделитесь пожалуйста?