* [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
@ 2019-03-25 4:51 Vitaly Chikunov
2019-03-25 9:03 ` Wartan Hachaturow
0 siblings, 1 reply; 12+ messages in thread
From: Vitaly Chikunov @ 2019-03-25 4:51 UTC (permalink / raw)
To: oss-gost-crypto
FYI.
----- Forwarded message from Theodore Ts'o <tytso@mit.edu> -----
Date: Mon, 25 Mar 2019 00:45:50 -0400
From: Theodore Ts'o <tytso@mit.edu>
To: "Jason A. Donenfeld" <Jason@zx2c4.com>, herbert@gondor.apana.org.au, Vitaly Chikunov <vt@altlinux.org>, linux-crypto@vger.kernel.org
Subject: Should we consider removing Streebog from the Linux Kernel?
User-Agent: Mutt/1.10.1 (2018-07-13)
Given the precedent that has been established for removing the SPECK
cipher from the kernel, I wonder if we should be removing Streebog on
the same basis, in light of the following work:
https://who.paris.inria.fr/Leo.Perrin/pi.html
https://tosc.iacr.org/index.php/ToSC/article/view/7405
Regards,
- Ted
-----------
>From the Cryptography mailing list on metzdowd.com:
From: "perrin.leo@gmail.com" <perrin.leo@gmail.com>
Subject: [Cryptography] New Results on the Russian S-box
Hello everyone,
I have recently sent an e-mail to the CFRG mailing list about my results
on the S-box shared by both of the latest Russian standards in symmetric
crypto and I have been told that it might interest the subscribers of
this mailing list.
In a paper that I am about to present at the Fast Software Encryption
conference, I describe what I claim to be the structure used by the
S-box of the hash function Streebog and the block cipher Kuznyechik.
Their authors never disclosed their design process---and in fact claimed
that it was generated randomly. I established that it is not the case.
More worryingly, the structure they used has a very strong algebraic
structure which, in my opinion, demands a renewed security analysis in
its light. Overall, I would not recommend using these algorithms until
their designers have provided satisfactory explanations about their
S-box choice.
----- End forwarded message -----
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? 2019-03-25 4:51 [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? Vitaly Chikunov @ 2019-03-25 9:03 ` Wartan Hachaturow 2019-03-25 9:25 ` Vitaly Chikunov 2019-03-25 9:27 ` Paul Wolneykien 0 siblings, 2 replies; 12+ messages in thread From: Wartan Hachaturow @ 2019-03-25 9:03 UTC (permalink / raw) To: Open-source aspects of GOST Cryptography On 2019-03-25T07:51:31+0300, Vitaly Chikunov wrote: > Given the precedent that has been established for removing the SPECK > cipher from the kernel, I wonder if we should be removing Streebog on > the same basis, in light of the following work: > https://who.paris.inria.fr/Leo.Perrin/pi.html > https://tosc.iacr.org/index.php/ToSC/article/view/7405 Та же аргументация. Нужно указать, что ни одной практической атаки в результате работы Перрина опубликовано не было. Более того, даже снижения сложности им не было показано -- в отличие от SPECK, для которого методом дифференциального анализа была существенно снижена сложность. Для Стрибога/Кузнечика есть работы, показывающие бесперспективность дифференциального анализа. Шифры стандартизованы ISO, и недавно им присвоена нумерация в IANA. Таким образом, сейчас не видно ни единой причины считать, что шифр/хэш тем или иным образом уязвим или забэкдорен. К сожалению, я думаю, что защищаться придется тебе, потому что появление в этой дискуссии в списке кого-то еще вызовет подозрения. -- Regards, Wartan. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? 2019-03-25 9:03 ` Wartan Hachaturow @ 2019-03-25 9:25 ` Vitaly Chikunov 2019-03-25 9:33 ` Wartan Hachaturow 2019-03-25 10:16 ` Vitaly Chikunov 2019-03-25 9:27 ` Paul Wolneykien 1 sibling, 2 replies; 12+ messages in thread From: Vitaly Chikunov @ 2019-03-25 9:25 UTC (permalink / raw) To: Open-source aspects of GOST Cryptography On Mon, Mar 25, 2019 at 12:03:51PM +0300, Wartan Hachaturow wrote: > > On 2019-03-25T07:51:31+0300, Vitaly Chikunov wrote: > > > Given the precedent that has been established for removing the SPECK > > cipher from the kernel, I wonder if we should be removing Streebog on > > the same basis, in light of the following work: > > > https://who.paris.inria.fr/Leo.Perrin/pi.html > > https://tosc.iacr.org/index.php/ToSC/article/view/7405 > > Та же аргументация. Нужно указать, что ни одной практической атаки в > результате работы Перрина опубликовано не было. Более того, даже > снижения сложности им не было показано -- в отличие от SPECK, для > которого методом дифференциального анализа была существенно снижена > сложность. Для Стрибога/Кузнечика есть работы, показывающие > бесперспективность дифференциального анализа. Я это писать не буду, так как флейм битвы мне не интересны. То что я хотел сказать я уже ответил. Если этого не хватит, то еще есть аргумент, напишу его следующим письмом. > Шифры стандартизованы ISO, и недавно им присвоена нумерация в IANA. > Таким образом, сейчас не видно ни единой причины считать, что шифр/хэш тем > или иным образом уязвим или забэкдорен. > К сожалению, я думаю, что защищаться придется тебе, потому что появление > в этой дискуссии в списке кого-то еще вызовет подозрения. Письмо в открытый список рассылки linux-crypto, так что участвовать могут все заинтересованные. Message-ID: <20190325044550.GI5675@mit.edu> Ссылка на тред: https://lore.kernel.org/linux-crypto/20190325044550.GI5675@mit.edu/t/#u > > -- > Regards, Wartan. > _______________________________________________ > oss-gost-crypto mailing list > oss-gost-crypto@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? 2019-03-25 9:25 ` Vitaly Chikunov @ 2019-03-25 9:33 ` Wartan Hachaturow 2019-03-25 10:16 ` Vitaly Chikunov 1 sibling, 0 replies; 12+ messages in thread From: Wartan Hachaturow @ 2019-03-25 9:33 UTC (permalink / raw) To: Open-source aspects of GOST Cryptography On 2019-03-25T12:25:03+0300, Vitaly Chikunov wrote: > Я это писать не буду, так как флейм битвы мне не интересны. То что я > хотел сказать я уже ответил. Если этого не хватит, то еще есть аргумент, > напишу его следующим письмом. Ну, тут ты главный, смотри сам :)) Просто если возникнет дискуссия криптоаналитического характера, то аргументация стандартная. > Письмо в открытый список рассылки linux-crypto, так что участвовать могут > все заинтересованные. Message-ID: <20190325044550.GI5675@mit.edu> Опыт показывает, что появление в этих обсуждениях неизвестных ранее людей вызывает подозрения. -- Regards, Wartan. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? 2019-03-25 9:25 ` Vitaly Chikunov 2019-03-25 9:33 ` Wartan Hachaturow @ 2019-03-25 10:16 ` Vitaly Chikunov 2019-03-25 10:27 ` Wartan Hachaturow 1 sibling, 1 reply; 12+ messages in thread From: Vitaly Chikunov @ 2019-03-25 10:16 UTC (permalink / raw) To: Open-source aspects of GOST Cryptography On Mon, Mar 25, 2019 at 12:25:03PM +0300, Vitaly Chikunov wrote: > On Mon, Mar 25, 2019 at 12:03:51PM +0300, Wartan Hachaturow wrote: > > > > On 2019-03-25T07:51:31+0300, Vitaly Chikunov wrote: > > > > > Given the precedent that has been established for removing the SPECK > > > cipher from the kernel, I wonder if we should be removing Streebog on > > > the same basis, in light of the following work: > > > > > https://who.paris.inria.fr/Leo.Perrin/pi.html > > > https://tosc.iacr.org/index.php/ToSC/article/view/7405 > > > > Та же аргументация. Нужно указать, что ни одной практической атаки в > > результате работы Перрина опубликовано не было. Более того, даже > > снижения сложности им не было показано -- в отличие от SPECK, для > > которого методом дифференциального анализа была существенно снижена > > сложность. Для Стрибога/Кузнечика есть работы, показывающие > > бесперспективность дифференциального анализа. > > Я это писать не буду, так как флейм битвы мне не интересны. То что я > хотел сказать я уже ответил. Если этого не хватит, то еще есть аргумент, > напишу его следующим письмом. Еще в 2015 году был ответ авторов Стрибога: Rudskoy, V. "Note on Streebog constants origin" о том как они генерировали константы (хэш от списка имен авторов). Leo Perrin в 2019 (по первой ссылке) пишет: "The authors of Streebog and Kuznyechik have provided little to no information about their design process. Several cryptographers have tried to ask them about the structure of their S-box during conferences. The usual answer was equivalent to saying that they were picked at random from some set. They also claim to have lost the generation algorithm. Given the importance of the S-box, this loss should be worrying in and on itself." Статью Рудского 2015 года не нагуглить. Но, данные из нее приводятся в статье самого Leo Perrin-а et al в 2016: "Reverse-Engineering the S-Box of Streebog, Kuznyechik and STRIBOBr1 (Full Version)" Alex Biryukov and Léo Perrin and Aleksei Udovenko: https://eprint.iacr.org/2016/071 "To show that the constants were not chosen with malicious intentions, the designers published a note [14] describing how they were derived from a modified version of the hash function. While puzzling at a first glance, the seeds actually correspond to Russian names written backward (see Appendix A)." > > Шифры стандартизованы ISO, и недавно им присвоена нумерация в IANA. > > Таким образом, сейчас не видно ни единой причины считать, что шифр/хэш тем > > или иным образом уязвим или забэкдорен. > > К сожалению, я думаю, что защищаться придется тебе, потому что появление > > в этой дискуссии в списке кого-то еще вызовет подозрения. > > Письмо в открытый список рассылки linux-crypto, так что участвовать могут > все заинтересованные. Message-ID: <20190325044550.GI5675@mit.edu> > > Ссылка на тред: > > https://lore.kernel.org/linux-crypto/20190325044550.GI5675@mit.edu/t/#u > > > > > -- > > Regards, Wartan. > > _______________________________________________ > > oss-gost-crypto mailing list > > oss-gost-crypto@lists.altlinux.org > > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto > _______________________________________________ > oss-gost-crypto mailing list > oss-gost-crypto@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? 2019-03-25 10:16 ` Vitaly Chikunov @ 2019-03-25 10:27 ` Wartan Hachaturow 2019-03-25 10:33 ` Vitaly Chikunov 0 siblings, 1 reply; 12+ messages in thread From: Wartan Hachaturow @ 2019-03-25 10:27 UTC (permalink / raw) To: Open-source aspects of GOST Cryptography On 2019-03-25T13:16:37+0300, Vitaly Chikunov wrote: > Еще в 2015 году был ответ авторов Стрибога: Rudskoy, V. "Note on > Streebog constants origin" о том как они генерировали константы (хэш от > списка имен авторов). Да, это было про константы, до них Перрин не докапывается. Он докапывается до S-box'а, и публично объяснения метода его получения действительно не было. Были неформальные дискуссии (и он их упоминает), в которых авторы говорили, что S-box был получен случайным перебором до достижения необходимых свойств. -- Regards, Wartan. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? 2019-03-25 10:27 ` Wartan Hachaturow @ 2019-03-25 10:33 ` Vitaly Chikunov 0 siblings, 0 replies; 12+ messages in thread From: Vitaly Chikunov @ 2019-03-25 10:33 UTC (permalink / raw) To: Open-source aspects of GOST Cryptography On Mon, Mar 25, 2019 at 01:27:49PM +0300, Wartan Hachaturow wrote: > > On 2019-03-25T13:16:37+0300, Vitaly Chikunov wrote: > > > Еще в 2015 году был ответ авторов Стрибога: Rudskoy, V. "Note on > > Streebog constants origin" о том как они генерировали константы (хэш от > > списка имен авторов). > > Да, это было про константы, до них Перрин не докапывается. Он > докапывается до S-box'а, и публично объяснения метода его получения > действительно не было. Были неформальные дискуссии (и он их упоминает), > в которых авторы говорили, что S-box был получен случайным перебором до > достижения необходимых свойств. Спасибо! > > -- > Regards, Wartan. > _______________________________________________ > oss-gost-crypto mailing list > oss-gost-crypto@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? 2019-03-25 9:03 ` Wartan Hachaturow 2019-03-25 9:25 ` Vitaly Chikunov @ 2019-03-25 9:27 ` Paul Wolneykien 2019-03-25 9:46 ` Wartan Hachaturow 1 sibling, 1 reply; 12+ messages in thread From: Paul Wolneykien @ 2019-03-25 9:27 UTC (permalink / raw) To: oss-gost-crypto 25.03.2019 12:03, Wartan Hachaturow пишет: > Таким образом, сейчас не видно ни единой причины считать, что шифр/хэш тем > или иным образом уязвим или забэкдорен. 25.03.2019 07:51, Vitaly Chikunov пишет: >> More worryingly, the structure they used has a very strong algebraic >> structure... А вот здесь что имеется в виду? Закономерности, алгебраические корреляции между элементами структуры? Наличие их не подразумевает разве бэкдор? ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? 2019-03-25 9:27 ` Paul Wolneykien @ 2019-03-25 9:46 ` Wartan Hachaturow 0 siblings, 1 reply; 12+ messages in thread From: Wartan Hachaturow @ 2019-03-25 9:46 UTC (permalink / raw) To: Open-source aspects of GOST Cryptography On 2019-03-25T12:27:26+0300, Paul Wolneykien wrote: > А вот здесь что имеется в виду? Закономерности, алгебраические > корреляции между элементами структуры? Наличие их не подразумевает разве > бэкдор? Сложно разбираться в хайповом набросе, рассчитанном на широкую аудиторию. В оригинальной статье они заменили три преобразования (две перестановки и одно матричное умножение) на транспозицию и одно матричное умножение на матрицу, которую они подобрали. Как отсюда следует бэкдор -- я не понимаю. И они тоже, так как в начале статьи кокетливо написано "We provide a first discussion of the consequences of the new structure in terms of security but leave their exploitation ina cryptanalysis as an open problem". -- Regards, Wartan. ^ permalink raw reply [flat|nested] 12+ messages in thread
[parent not found: <CADqLbzJ_jCOy8jQsaNMt=k3te0fay8Tj9jhyOQJbXYM2TAQPAw@mail.gmail.com>]
* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? @ 2019-03-25 9:55 ` Paul Wolneykien 2019-03-25 10:19 ` Vitaly Chikunov 1 sibling, 1 reply; 12+ messages in thread From: Paul Wolneykien @ 2019-03-25 9:55 UTC (permalink / raw) To: oss-gost-crypto 25.03.2019 12:50, Dmitry Belyavsky пишет: > Вообще в свежей выжимке Перрина английским болдом по бекграунду явно > сказанор, что атак он не видит на основании скрытой стурктуры. Но сама структура выявлена? Или нет? ^ permalink raw reply [flat|nested] 12+ messages in thread
[parent not found: <CADGvw_cN4hRjEakULyyGtE08R+WPvQJZ41NaiF_+wBZi4J7nZw@mail.gmail.com>]
* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? @ 2019-03-25 10:33 ` Paul Wolneykien 0 siblings, 0 replies; 12+ messages in thread From: Paul Wolneykien @ 2019-03-25 10:33 UTC (permalink / raw) To: oss-gost-crypto 25.03.2019 13:09, Wartan Hachaturow пишет: > Дык да. Статью-то прочти :) Хорошо, хорошо. Просто я честно пытаюсь использовать тот факт, что вы её уже прочитали. ;-) > On Mon, Mar 25, 2019, 12:55 Paul Wolneykien <manowar@altlinux.org > <mailto:manowar@altlinux.org>> wrote: > > 25.03.2019 12:50, Dmitry Belyavsky пишет: > > Вообще в свежей выжимке Перрина английским болдом по бекграунду явно > > сказанор, что атак он не видит на основании скрытой стурктуры. > > Но сама структура выявлена? Или нет? > _______________________________________________ > oss-gost-crypto mailing list > oss-gost-crypto@lists.altlinux.org > <mailto:oss-gost-crypto@lists.altlinux.org> > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto > > > > _______________________________________________ > oss-gost-crypto mailing list > oss-gost-crypto@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto > ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? 2019-03-25 9:55 ` Paul Wolneykien @ 2019-03-25 10:19 ` Vitaly Chikunov 1 sibling, 0 replies; 12+ messages in thread From: Vitaly Chikunov @ 2019-03-25 10:19 UTC (permalink / raw) To: Open-source aspects of GOST Cryptography On Mon, Mar 25, 2019 at 12:50:34PM +0300, Dmitry Belyavsky wrote: > On Mon, Mar 25, 2019 at 12:46 PM Wartan Hachaturow > <[1]wartan.hachaturow@gmail.com> wrote: > > On 2019-03-25T12:27:26+0300, Paul Wolneykien wrote: > > А вот здесь что имеется в виду? Закономерности, алгебраические > > корреляции между элементами структуры? Наличие их не > подразумевает разве > > бэкдор? > Сложно разбираться в хайповом набросе, рассчитанном на широкую > аудиторию. В оригинальной статье они заменили три преобразования > (две > перестановки и одно матричное умножение) на транспозицию и одно > матричное умножение на матрицу, которую они подобрали. > Как отсюда следует бэкдор -- я не понимаю. И они тоже, так как в > начале > статьи кокетливо написано "We provide a first discussion of > the consequences of the new structure in terms of security but leave > their exploitation ina cryptanalysis as an open problem". > > Вообще в свежей выжимке Перрина английским болдом по бекграунду явно > сказанор, что атак он не видит на основании скрытой стурктуры. Да процитирую, чтоб было: "While we cannot leverage these properties to attack this hash function, we question the wisdom of this design choice." Статья без атаки и не уменьшает стойкость алгоритма даже теоретически. > > References > > 1. mailto:wartan.hachaturow@gmail.com > _______________________________________________ > oss-gost-crypto mailing list > oss-gost-crypto@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto ^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2019-03-25 10:33 UTC | newest] Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2019-03-25 4:51 [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? Vitaly Chikunov 2019-03-25 9:03 ` Wartan Hachaturow 2019-03-25 9:25 ` Vitaly Chikunov 2019-03-25 9:33 ` Wartan Hachaturow 2019-03-25 10:16 ` Vitaly Chikunov 2019-03-25 10:27 ` Wartan Hachaturow 2019-03-25 10:33 ` Vitaly Chikunov 2019-03-25 9:27 ` Paul Wolneykien 2019-03-25 9:46 ` Wartan Hachaturow 2019-03-25 9:55 ` Paul Wolneykien 2019-03-25 10:33 ` Paul Wolneykien 2019-03-25 10:19 ` Vitaly Chikunov
Open-source aspects of GOST Cryptography This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/oss-gost-crypto/0 oss-gost-crypto/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 oss-gost-crypto oss-gost-crypto/ http://lore.altlinux.org/oss-gost-crypto \ oss-gost-crypto@lists.altlinux.org oss-gost-crypto@lists.altlinux.ru oss-gost-crypto@lists.altlinux.com public-inbox-index oss-gost-crypto Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.oss-gost-crypto AGPL code for this site: git clone https://public-inbox.org/public-inbox.git