LINUX.ORG.RU

В ГОСТ Р 34.11-94 обнаружена ошибка

 


0

0

Команда экспертов из Австрии и Польши предстввили концепцию атаки на ГОСТ Р 34.11-94 - российский криптографический стандарт вычисления хэш-функции, из-за технической уязвимости коллизионная атака завершилась в 2^23 раза быстрее, чем ожидалось.

GOST R 34.11-94 and GOST 34.311-95, is a 256-bit cryptographic hash function. It was initially defined in the Russia's national standard GOST R 34.11-94 Information Technology - Cryptographic Information Security - Hash Function. The equivalent standard used by other member-states of the CIS is GOST 34.311-95.

>>> Подробности



Проверено: Shaman007 ()
Ответ на: комментарий от askh

>С другой стороны, если закон Мура продолжит действовать, и если каждые 24 месяца скорость компьютеров будет удваиваться

Закон Мура не утверждает про скорость. Читать,например, http://ru.wikipedia.org/wiki/Закон_Мура

anonymous
()

чего эту новость перетирать то??? С января 2008 года 94 гост похоронили,везде уже применяется ГОСТ Р34.10-2001

rellai
()
Ответ на: комментарий от rellai

>чего эту новость перетирать то??? С января 2008 года 94 гост похоронили,везде уже применяется ГОСТ Р34.10-2001

Ну надоже как-то "европейским" ученым отчитаться за вложенные в это средства. Вот мол так и так...

TheMixa ★★★
()
Ответ на: комментарий от askh

>С другой стороны, если закон Мура продолжит действовать, и если каждые 24 месяца скорость компьютеров будет удваиваться

Разве удвоение числа транзисторов процессора равно удвоению производительности компьютера? Что-то я не вижу, чтобы сегодняшний средний комп был вдвое быстрее полуторагодвалого :) Дай бог, процентов 20..30 выигрыша.

KRoN73 ★★★★★
()
Ответ на: комментарий от rellai

>чего эту новость перетирать то??? С января 2008 года 94 гост >похоронили,везде уже применяется ГОСТ Р34.10-2001 >rellai (*) (25.08.2008 19:02:23)

А пацаны-то и не в курсе ;) "Похоронили" ГОСТ Р 34.10-94, а не ГОСТ Р 34.11-94

anonymous
()
Ответ на: комментарий от Sun-ch

>Вопрос в том, зачем нужны гост-овские алгоритмы, когда существует реализация хорошо известных и многократно проверенных методов? Это все-равно что делать сетевые протоколы, альтернативные tcp/ip.

m$ делает, а мы нет?!! Что мы, хуже их?

Dimanc ★★
()
Ответ на: комментарий от KRoN73

> Разве удвоение числа транзисторов процессора равно удвоению производительности компьютера? Что-то я не вижу, чтобы сегодняшний средний комп был вдвое быстрее полуторагодвалого :) Дай бог, процентов 20..30 выигрыша.

Многое зависит от софта. Если программа не использует возможности многоядерной архитектуры, то она и не будет быстрее работать на многоядерном процессоре. А вот задача перебора множества варинтов должна достаточно хорошо распараллеливаться, и увеличение количества транзисторов, а значит увеличение количества ядер, должно хорошо сказываться на быстродействии.

askh ★★★★
()
Ответ на: комментарий от KRoN73

> Что-то я не вижу, чтобы сегодняшний средний комп был вдвое быстрее полуторагодвалого

М-да, вот у меня такая же проблема - а три года эксплуатации комп нисколько не прибавил в производительности. Как установить на него закон Мура?

anonymous
()
Ответ на: комментарий от askh

> Если программа не использует возможности многоядерной архитектуры..

Разве в законе Мура присутствуют все эти "если"?

anonymous
()
Ответ на: комментарий от Metallic

>У тебя серьезные пробелы в образовании ;-)

У каго у миня?

Dimanc ★★
()
Ответ на: комментарий от anonymous

> Интересно, а это точно ошибка, а не специальный backdoor?

Не занимайтесь шпиономанией и не ищите в низкой квалификации разработчиков признаки большого ума.

pitekantrop ★★★
()
Ответ на: комментарий от KRoN73

> Разве удвоение числа транзисторов процессора равно удвоению > производительности компьютера? Что-то я не вижу, чтобы сегодняшний > средний комп был вдвое быстрее полуторагодвалого :) Дай бог, процентов > 20..30 выигрыша.

Ну, это в персоналках. А рост производительности суперкомпьютеров никто не отменял. А все эти криптографические задачи очень хорошо параллелятся, как вы понимаете.

mick_vav
()
Ответ на: комментарий от pitekantrop

Ой, не надо! Всем известно, что в ГОСТах присутствуют бекдоры специально для ФСБ. И конечно, их найдут.

anonymous
()

а какого лешего австрийские и польские эксперты роются в гостах? и кто им за это платит?

RCP
()

Труба российской криптографии? Стандарты можно менять?

One ★★★★★
()

>Команда экспертов из Австрии и Польши _предстввили_

Ага? =)

FiXer ★★☆☆☆
()
Ответ на: комментарий от pitekantrop

>То, что этот ГОСТ разработан плохо, говорили уже давно: http://www.ssl.stu.neva.ru/psw/crypto/GOST_R_34.11-94_Pub.pdf

Ты этот документ сам читал? Внимательно читал? Если да, то должен был бы уточнить, что "плохо" относится вовсе не к стойкости госта а к итоговой сложности этого алгоритма.

2Sun-ch

>А зачем? Это же не частная лавочка, а гос. учереждения, которые по закону ничего от ФСБ скрывать не могут.

А теперь представь ситуацию когда тебе нужно своей головой поручиться за то, что открытые алгоритмы не имеют известных только супостатам уязвимостей. Аргумент кухонный конечно но и он имеет место быть. И еще, гостовский алгоритм шифрования очень неплохая штука с огромным потенциалом развития.

A-234 ★★★★★
()
Ответ на: комментарий от A-234

>И еще, гостовский алгоритм шифрования очень неплохая штука с огромным потенциалом развития.

Да? Ну и где это развитие? К черту эту поделку. Да, он справляется со своими задачами. Но малая распространенность делают его предметом исследования очень малого количества людей, в отличие от международных стандартов. Это плохо.

anonymous
()
Ответ на: комментарий от askh

>А вот задача перебора множества варинтов должна достаточно хорошо распараллеливаться, и увеличение количества транзисторов, а значит увеличение количества ядер, должно хорошо сказываться на быстродействии.

Пиковая производительность (регистровые операции) Intel'овских процессоров за последние 15 лет вырозла раз в 200. А число транзисторов более чем в 1000 раз.

Реальная производительность выросла меньше. Потому что мегагерцы - не совсем честные, плюс вопросы взаимодействия памяти, плюс расходы на параллелизацию...

KRoN73 ★★★★★
()
Ответ на: комментарий от mick_vav

>А рост производительности суперкомпьютеров никто не отменял.

Но к закону Мура это не имеет никакого отношения :)

KRoN73 ★★★★★
()
Ответ на: комментарий от anonymous

>Ну и где это развитие? К черту эту поделку.

Вот тут, в предыдущих постах, приводились ссылки на соответствующую литературу, если интересно советую ознакомиться. ГОСТ 28147-89 - далеко не "поделка" хотя не все анонимусы способны это оценить. Не говорю что ты глупый, просто пока недостаточно образован в данной области. (с номером госта я не ошибся, речь шла о шифровании)

A-234 ★★★★★
()
Ответ на: комментарий от anonymous

>> Нет, ожидается 2^128 стойкость.
> Какэто?


google "birthday paradox", hash

szh ★★★★
()
Ответ на: комментарий от A-234

> ГОСТ 28147-89 - далеко не "поделка" хотя не все анонимусы способны это оценить.

В ГОСТе таблица замен рекомендована? Даны хотя бы рекомендации по подбору надёжной таблицы?

anonymous
()

А где можно взять простую C-реализацию функции сжатия (compression function) типа MDC-2 но на основе гостовского алгоритма, берущую два фиксированных 128-bit ввода и возвращающую 128-бит цифер-текст?

Anode

anonymous
()
Ответ на: комментарий от KRoN73

> Пиковая производительность (регистровые операции) Intel'овских процессоров за последние 15 лет вырозла раз в 200. А число транзисторов более чем в 1000 раз.

200^(1/15) - это почти и есть корень квадратный из 2-х, погрешность менее процента. Тогда именно быстродействие удваивается за два года. И на взлом опять же потребуется менее 60 лет, из которых перебираем около года, остальное время ждём, пока совершенствуется техника :-)

askh ★★★★
()

Если кто-то не ходил по ссылкам и не читал статьи, постараюсь рассказать:

Автор в самом начале статьи рассказывает про три разновидности атаки на хэш-функции:
– Collision resistance: найти два сообщения, M м M' такие что H(M) = H(M').
– Second preimage resistance: для заданного M, найти такое M'? что M' H(M)=H(M')
– Preimage resistance: для заданного значения h, найти такое M, что H(M)=h

Так, вот коллизионная атака, которая завершилась в 2^23 раза быстрее сработала для первого случая, что ровным счётом не даёт ничего. Напомню что для md5 подобная атака существует уже который год, и при этом безопасный интернет работает, ничего с ним не случилось.

На счёт атаки второго типа авторы пишут вот что:
Thus, we
can construct a second preimage for any message M (of arbitrary length) with
a complexity of about 2^192 evaluations of the compression function of GOST.

тоесть если вы и будете иметь хэш, то потратитие 2^192 операций для нахлждения коллизии.

в добавок ко всемц скажу что гост здесь довольно не плохо смотрится, плтому что подобные атки для md5 и sha1 быле найдены гараздо быстрее

in_dance
()
Ответ на: комментарий от anonymous

>В ГОСТе таблица замен рекомендована? Даны хотя бы рекомендации по подбору надёжной таблицы?

Есть алгоритм и методики оценки, какие еще рекомендации нужны? Если методиками не располагаете, значит генерируйте какая в голову придет. Все уровнем подхода определяется.

A-234 ★★★★★
()
Ответ на: комментарий от in_dance

> Thus, we can construct a second preimage for any message M (of arbitrary length) with a complexity of about 2^192 evaluations of the compression function of GOST.

> в добавок ко всемц скажу что гост здесь довольно не плохо смотрится, плтому что подобные атки для md5 и sha1 быле найдены гараздо быстрее

а что, разве для md5 и sha-1 уже известны preimage attacks?

anonymous
()
Ответ на: комментарий от A-234

> Есть алгоритм и методики оценки, какие еще рекомендации нужны? Если методиками не располагаете, значит генерируйте какая в голову придет.

Методики оценки чего? Они есть в ГОСТе?

anonymous
()
Ответ на: комментарий от anonymous

>а что, разве для md5 и sha-1 уже известны preimage attacks?

Для SHA-1 ищутся - одним из BOINC-based проектом

X-Pilot ★★★★★
()
Ответ на: комментарий от anonymous

>Методики оценки чего? Они есть в ГОСТе?

Изучайте вопрос, а то даже терминами не владеете но уже беретесь критиковать. Я не против критики госта, но она конструктивной должна быть а не превращаться в ликбез задающего глупые вопросы.

A-234 ★★★★★
()
Ответ на: комментарий от A-234

>> Методики оценки чего? Они есть в ГОСТе?

> Изучайте вопрос, а то даже терминами не владеете но уже беретесь критиковать. Я не против критики госта, но она конструктивной должна быть а не превращаться в ликбез задающего глупые вопросы.

Из вашего ответа я не понял - методики оценки чего вы имели в виду и есть ли они в ГОСТе.

anonymous
()
Ответ на: комментарий от Sun-ch

>>>Это все-равно что делать сетевые протоколы, альтернативные tcp/ip.

Кто сказал что TCP/IP идеален ? 8)))

V0ID ★★★
()
Ответ на: комментарий от Dimanc

>m$ делает, а мы нет?!! Что мы, хуже их?

пациент, у вас классический nih-синдром. пейте больше жидкости и принимайте лекарства. следующий

black7
()
Ответ на: комментарий от RCP

>а какого лешего австрийские и польские эксперты роются в гостах? и кто им за это платит?

конечно же цру. кто же еще. с целью защиты твоего здоровья от проклятых цру-шников за тобой уже выехала бригада специалистов переодетых санитарами

black7
()
Ответ на: комментарий от askh

>С другой стороны, если закон Мура продолжит действовать, и если каждые 24 месяца скорость компьютеров будет удваиваться

В школу. Закон Мура не про скорость

Orlangoor ★★★★★
()
Ответ на: комментарий от anonymous

>Из вашего ответа я не понял - методики оценки чего вы имели в виду и есть ли они в ГОСТе.

Методики оценки стойкости криптопреобразования к атакам различного вида. Поэтому все определяется особенностями задачи, уязвимость тоже понятие в некоторой степени относительное. Что входит в конкретный гост можно прочитать самому.

A-234 ★★★★★
()
Ответ на: комментарий от Orlangoor

>В школу. Закон Мура не про скорость
ещё один педант...

http://ru.wikipedia.org/wiki/ENIAC
При желании каждый легко может накопать,
компьютеры какого года выпуска во столько раз уступают Роадранеру,
во сколько раз роадранер уступает гипотетическому компьютеру,
который сможет взломать эхотажный шифр за приемлемое лично для него время.

Anonymous ★★★★★
()
Ответ на: комментарий от A-234

> Методики оценки стойкости криптопреобразования к атакам различного вида. Поэтому все определяется особенностями задачи, уязвимость тоже понятие в некоторой степени относительное. Что входит в конкретный гост можно прочитать самому.

Ну так прочитайте уже, а уже потом спорьте с анонимусами :-) Руководствуясь исключительно ГОСТом нельзя построить систему шифрования и быть уверенным в её надёжности. А достоверные методики оценки стойкости находятся там же, где и таблицы.

anonymous
()
Ответ на: комментарий от anonymous

В ГОСТ 28147-89, сказано что таблица замен является еще одним _долговременным_ ключевым элементом, и за ней следует обратиться к тем кто этот гост разрабатывал. И это правильно - ибо для DES который вляется похожим алгоритмом - существуют эксперементально найденые таблицы - которые не шифруют данные. Так может стоит обратиться к специалистом - чтобы потом не кричать "плохой шифр - взломали меня!" ? Не хочется обращаться в органы - почитайте как для DES вырабатываются S-box, таже методика должна быть для ГОСТ, но тогда никто не даст гарантии что ваша программа реализует именно ГОСТ и полученый результат будет стойким.

anonymous
()
Ответ на: комментарий от anonymous

>Ну так прочитайте уже, а уже потом спорьте с анонимусами :-)

Да разве я спорю, просто пытаюсь донести до вас простую мысль о том, что для решения описываемой вами задачи необходимо получить соответствующее образование. Но даже в этом случае все определяется спецификой. Для решения некоторых задач нужно что бы значения узлов были одобрены соответствующими организациями.

A-234 ★★★★★
()
Ответ на: комментарий от Orlangoor

> >С другой стороны, если закон Мура продолжит действовать, и если каждые 24 месяца скорость компьютеров будет удваиваться

> В школу. Закон Мура не про скорость

Могу послать в том же направлении, учиться внимательнее читать. В процитированной фразе не утверждается, что в законе Мура говорится о скорости. Там два предположения: во-первых, что закон Мура продолжит действовать, и, во-вторых, что скорость процессоров при этом будет расти пропорционально увеличению их сложности. То есть это верхняя оценка производительности, причём достаточно велики шансы, что она верна для задач, которые легко распараллелить, благодаря увеличению количества ядер в процессорах: если увеличение количества транзисторов будет означать соответствующее увеличение количества ядер, то следует ожидать примерно пропорциональное увеличение производительности на задачах, где ядра могут работать не мешая друг другу.

В очередной раз убеждаюсь, что на ЛОРе не стоит пренебрегать подробными объяснениями. Если что-то может быть понято неправильно, то это будет понято неправильно.

askh ★★★★
()
Ответ на: комментарий от Sun-ch

Ну все равно надо что бы фкп была стандартизирована и одобрена соответствующими органами. Импортируемый алгоритм проанализируют местные аналитики, ) напишут правки/поправки/дополнения и обзовут как то по другому :)

vasily_pupkin ★★★★★
()
Ответ на: комментарий от anonymous

>А я что говорил?
>http://www.wasm.ru/forum/viewtopic.php?pid=248599#p248599
>ГОСТ хаш ещё не так сломают...

Шедеврально! Глубина анализа - просто потрясная! :)
О таких придурках хорошо писал Брюс Шнайдер - не помню дословно но приблизительно "snake oil cryptography inc."

anonymous
()

Кровавая Гэбня нарочито заложила закладки. Но наши враги из НАТО разрушили паскудные планы по введению системы "Старший Брат", предупредили страшный апокалипсис предсказанный Оруэллом. И два плюс два по прежнему равно четыре.

CtrlAltBs
()
Ответ на: комментарий от askh

> Итого с учетом этой уязвимости ему надо 2 ^ (105 - 51 - 25) = 2 ^ 29 = 536870912 лет.

С другой стороны, если закон Мура продолжит действовать, и если каждые 24 месяца скорость компьютеров будет удваиваться (то есть в год - на 2^(1/2), то достаточно подождать 58 лет и потом за год перебрать. То есть, с учётом роста вычислительных возможностей, время взлома получается около 59 лет :-) askh ** (*) (25.08.2008 18:35:41)

дааа ребята, такой безграмотности не ждал от зелёнозвёздочнеков фишка в том, что производительность будет расти с увеличением энергопотребления, и если принять что для одной операции подбора пароля удастся сократить затраты энергии до величины равной энергии перехода электрона между соседними орбитами, даже в этом случае количество тепла выделяемое компьютером на весь перебор будет такое что не хватит полярных льдов чтобы охладить этот комп

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.