From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: To: oss-gost-crypto@lists.altlinux.org References: <20190614051434.hbpincmlmmmjpzya@altlinux.org> <0d65ea05-67c6-67ee-64a8-4accf4d71f65@altlinux.org> From: Paul Wolneykien Organization: ALT Linux Team Message-ID: <638a96a1-109e-fa9b-1e1b-1054f4a4da01@altlinux.org> Date: Tue, 25 Jun 2019 21:57:46 +0300 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Thunderbird/52.4.0 MIME-Version: 1.0 In-Reply-To: Content-Type: text/plain; charset=utf-8 Content-Language: ru Content-Transfer-Encoding: 8bit Subject: Re: [oss-gost-crypto] =?utf-8?b?ItCf0YDQviDQk9Ce0KHQotC+0LLRgdC60Lg=?= =?utf-8?b?0Lkg0YjQuNGE0YAg0JrRg9C30L3QtdGH0LjQuiwg0LXQs9C+IFNCb3gg0Lgg?= =?utf-8?b?0L/QvtGC0LXRgNGP0L3QvdGL0LUg0YHQuNC00Ysi?= X-BeenThere: oss-gost-crypto@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: Open-source aspects of GOST Cryptography List-Id: Open-source aspects of GOST Cryptography List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 25 Jun 2019 18:57:47 -0000 Archived-At: List-Archive: 25.06.2019 20:17, Wartan Hachaturow пишет: > Паш, вопрос того, есть там такая структура или нет -- безусловно можно > обсуждать, и он даже важен с точки зрения создания эффективных > железных реализаций (потому что как вот это место традиционно самое > сложное для реализации примитивами). Более того, наличие таких > структур показано для перестановок кучи шифров, и для них это считается > даже достоинством. > > Просто его не надо связывать с вопросом наличия атаки. А я пока и не связываю. Но мне категорически не нравится, что авторы шифра заявляют "No secret structure was enforced during construction of the S-box", а потом некую структуру находят. Точнее даже не так: заявление о структуре было сделано в 2015 году, а цитата из документа, датированного 2018 годом. Что это означает? Что найденная структура не "секретная" (было очевидно из описания, да вы не заметили) или что она не была "enforced" (само выросло)? Или же то, что это заявление было сделано по политическим соображениям? Но тогда это заведомая глупость, раз её так быстро обнаружили. Просто мы тут пытаемся продвигать патчи в свободные проекты, для чего волей-неволей приходится защищать позицию надёжности ГОСТов. Возникает вопрос: если известной атаки действительно нет, то для чего было защищать позицию "нет структуры"? Может быть авторы Кузнечика хотели скрыть не атаку, а что-то другое. Но что именно и почему? То, что ты написал выше вполне согласуется с ответом из документа: "Results of [1] (Biryukov, Perrin, Udovenko 2015) solved a great optimization problem". Очень иронично, но и очень похоже на полный игнор: мол, пока скрытой атаки не найдёте, мы все остальные обвинения будем пропускать мимо ушей. Они, конечно, могут пропускать сколько угодно, но совершенно непонятно, почему на эти обвинения за них должен отвечать кто-то другой. > Они не связаны ни прямо (атаки Перрин не показал), ни теоретически (из > наличия структуры не следует наличие атаки). > Вот эта связка им проводится исключительно гуманитарными аргументами > ("nothing up my sleeve" и вот это всё), и делается она явно ради > вывода "а давайте уберем из стандартов". > > > On Tue, Jun 25, 2019 at 2:12 PM Paul Wolneykien > wrote: > > 14.06.2019 08:14, Vitaly Chikunov пишет: > > JFYI > > > > Очередные news про sbox Кузнечика. > > > >   https://habr.com/ru/company/virgilsecurity/blog/453254/ > >   Про ГОСТовский шифр Кузнечик, его SBox и потерянные сиды > > > >   Scratch вчера в 09:01 > >   Блог компании Virgil Security, Inc., Информационная > безопасность, Криптография > >   Всем привет. А насколько, всё-таки, правомерен данный аргумент? > > "Но и структура, в 4 раза меньшая чем Sbox, не может попасть в SBox > случайно, что бы там ни говорили авторы и защитники Кузнечика." > >   Лично мне он кажется правомерным, но может быть я что-то упускаю из > виду? Аналогично вот с этим: > > "Основная проблема в том, что структура есть, а авторы Стрибог/Кузнечник > утверждали обратное." > >   Из цитат, которые приводятся в статье, следует, что есть некое > начальное "пи", которое обязано быть (псевдо)случайным, но, кажется, не > следует, что весь S-Box целиком обязан быть таким же (псевдо)случайным > как "пи". (Иначе к чему вообще разделение на "пи" и S-Box?) Или я > неправ? >   Далее, в исошном документе > (https://cdn.virgilsecurity.com/assets/docs/memo-on-kuznyechik-s-box.pdf) > авторы шифра описывают набор условий, которым должен удовлетворять > S-Box, полученный на основе определённого "пи" (но конкретные > преобразования из "пи" в S-Box, там, насколько я понял, не указываются). > Не следует ли, однако, из данного набора условий (набора отношений между > "пи" и  S-Box) как раз то, что может (должна?) существовать "структура, > в 4 раза меньшая, чем S-Box", которая полностью его описывает? > _______________________________________________ > oss-gost-crypto mailing list > oss-gost-crypto@lists.altlinux.org > > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto > > > > -- > Regards, Wartan. > > > _______________________________________________ > oss-gost-crypto mailing list > oss-gost-crypto@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto >