Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?

From: Vitaly Chikunov <vt@altlinux.org>
To: Open-source aspects of GOST Cryptography
	<oss-gost-crypto@lists.altlinux.org>
Subject: Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
Date: Mon, 25 Mar 2019 13:16:37 +0300
Message-ID: <20190325101637.zxd5js4axp7xbukw@altlinux.org> (raw)
In-Reply-To: <20190325092502.vvpmkipntbqd4j22@altlinux.org>

On Mon, Mar 25, 2019 at 12:25:03PM +0300, Vitaly Chikunov wrote:
> On Mon, Mar 25, 2019 at 12:03:51PM +0300, Wartan Hachaturow wrote:
> > 
> > On 2019-03-25T07:51:31+0300, Vitaly Chikunov wrote:
> > 
> >  > Given the precedent that has been established for removing the SPECK
> >  > cipher from the kernel, I wonder if we should be removing Streebog on
> >  > the same basis, in light of the following work:
> > 
> >  > 	https://who.paris.inria.fr/Leo.Perrin/pi.html
> >  > 	https://tosc.iacr.org/index.php/ToSC/article/view/7405
> > 
> > Та же аргументация. Нужно указать, что ни одной практической атаки в
> > результате работы Перрина опубликовано не было. Более того, даже
> > снижения сложности им не было показано -- в отличие от SPECK, для
> > которого методом дифференциального анализа была существенно снижена
> > сложность. Для Стрибога/Кузнечика есть работы, показывающие
> > бесперспективность дифференциального анализа.
> 
> Я это писать не буду, так как флейм битвы мне не интересны. То что я
> хотел сказать я уже ответил. Если этого не хватит, то еще есть аргумент,
> напишу его следующим письмом.

Еще в 2015 году был ответ авторов Стрибога: Rudskoy, V. "Note on
Streebog constants origin" о том как они генерировали константы (хэш от
списка имен авторов).

Leo Perrin в 2019 (по первой ссылке) пишет:

  "The authors of Streebog and Kuznyechik have provided little to no
  information about their design process. Several cryptographers have
  tried to ask them about the structure of their S-box during
  conferences. The usual answer was equivalent to saying that they were
  picked at random from some set. They also claim to have lost the
  generation algorithm. Given the importance of the S-box, this loss
  should be worrying in and on itself."

Статью Рудского 2015 года не нагуглить. Но, данные из нее приводятся в
статье самого Leo Perrin-а et al в 2016: "Reverse-Engineering the S-Box
of Streebog, Kuznyechik and STRIBOBr1 (Full Version)" Alex Biryukov and
Léo Perrin and Aleksei Udovenko: https://eprint.iacr.org/2016/071

  "To show that the constants were not chosen with malicious intentions,
  the designers published a note [14] describing how they were derived
  from a modified version of the hash function. While puzzling at a
  first glance, the seeds actually correspond to Russian names written
  backward (see Appendix A)."

> > Шифры стандартизованы ISO, и недавно им присвоена нумерация в IANA.
> > Таким образом, сейчас не видно ни единой причины считать, что шифр/хэш тем
> > или иным образом уязвим или забэкдорен.
> > К сожалению, я думаю, что защищаться придется тебе, потому что появление
> > в этой дискуссии в списке кого-то еще вызовет подозрения.
> 
> Письмо в открытый список рассылки linux-crypto, так что участвовать могут
> все заинтересованные. Message-ID: <20190325044550.GI5675@mit.edu>
> 
> Ссылка на тред:
> 
>   https://lore.kernel.org/linux-crypto/20190325044550.GI5675@mit.edu/t/#u
> 
> > 
> > --
> > Regards, Wartan.
> > _______________________________________________
> > oss-gost-crypto mailing list
> > oss-gost-crypto@lists.altlinux.org
> > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto