Open-source aspects of GOST Cryptography
 help / color / mirror / Atom feed
* [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
@ 2019-03-25  4:51 Vitaly Chikunov
  2019-03-25  9:03 ` Wartan Hachaturow
  0 siblings, 1 reply; 12+ messages in thread
From: Vitaly Chikunov @ 2019-03-25  4:51 UTC (permalink / raw)
  To: oss-gost-crypto

FYI.

----- Forwarded message from Theodore Ts'o <tytso@mit.edu> -----

Date: Mon, 25 Mar 2019 00:45:50 -0400
From: Theodore Ts'o <tytso@mit.edu>
To: "Jason A. Donenfeld" <Jason@zx2c4.com>, herbert@gondor.apana.org.au, Vitaly Chikunov <vt@altlinux.org>, linux-crypto@vger.kernel.org
Subject: Should we consider removing Streebog from the Linux Kernel?
User-Agent: Mutt/1.10.1 (2018-07-13)

Given the precedent that has been established for removing the SPECK
cipher from the kernel, I wonder if we should be removing Streebog on
the same basis, in light of the following work:

	https://who.paris.inria.fr/Leo.Perrin/pi.html
	https://tosc.iacr.org/index.php/ToSC/article/view/7405

Regards,

						- Ted

-----------

>From the Cryptography mailing list on metzdowd.com:

From: "perrin.leo@gmail.com" <perrin.leo@gmail.com>
Subject: [Cryptography] New Results on the Russian S-box

Hello everyone,

I have recently sent an e-mail to the CFRG mailing list about my results
on the S-box shared by both of the latest Russian standards in symmetric
crypto and I have been told that it might interest the subscribers of
this mailing list.

In a paper that I am about to present at the Fast Software Encryption
conference, I describe what I claim to be the structure used by the
S-box of the hash function Streebog and the block cipher Kuznyechik.
Their authors never disclosed their design process---and in fact claimed
that it was generated randomly. I established that it is not the case.
More worryingly, the structure they used has a very strong algebraic
structure which, in my opinion, demands a renewed security analysis in
its light. Overall, I would not recommend using these algorithms until
their designers have provided satisfactory explanations about their
S-box choice.

----- End forwarded message -----


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
  2019-03-25  4:51 [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? Vitaly Chikunov
@ 2019-03-25  9:03 ` Wartan Hachaturow
  2019-03-25  9:25   ` Vitaly Chikunov
  2019-03-25  9:27   ` Paul Wolneykien
  0 siblings, 2 replies; 12+ messages in thread
From: Wartan Hachaturow @ 2019-03-25  9:03 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography


On 2019-03-25T07:51:31+0300, Vitaly Chikunov wrote:

 > Given the precedent that has been established for removing the SPECK
 > cipher from the kernel, I wonder if we should be removing Streebog on
 > the same basis, in light of the following work:

 > 	https://who.paris.inria.fr/Leo.Perrin/pi.html
 > 	https://tosc.iacr.org/index.php/ToSC/article/view/7405

Та же аргументация. Нужно указать, что ни одной практической атаки в
результате работы Перрина опубликовано не было. Более того, даже
снижения сложности им не было показано -- в отличие от SPECK, для
которого методом дифференциального анализа была существенно снижена
сложность. Для Стрибога/Кузнечика есть работы, показывающие
бесперспективность дифференциального анализа.
Шифры стандартизованы ISO, и недавно им присвоена нумерация в IANA.
Таким образом, сейчас не видно ни единой причины считать, что шифр/хэш тем
или иным образом уязвим или забэкдорен.
К сожалению, я думаю, что защищаться придется тебе, потому что появление
в этой дискуссии в списке кого-то еще вызовет подозрения.

--
Regards, Wartan.

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
  2019-03-25  9:03 ` Wartan Hachaturow
@ 2019-03-25  9:25   ` Vitaly Chikunov
  2019-03-25  9:33     ` Wartan Hachaturow
  2019-03-25 10:16     ` Vitaly Chikunov
  2019-03-25  9:27   ` Paul Wolneykien
  1 sibling, 2 replies; 12+ messages in thread
From: Vitaly Chikunov @ 2019-03-25  9:25 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography

On Mon, Mar 25, 2019 at 12:03:51PM +0300, Wartan Hachaturow wrote:
> 
> On 2019-03-25T07:51:31+0300, Vitaly Chikunov wrote:
> 
>  > Given the precedent that has been established for removing the SPECK
>  > cipher from the kernel, I wonder if we should be removing Streebog on
>  > the same basis, in light of the following work:
> 
>  > 	https://who.paris.inria.fr/Leo.Perrin/pi.html
>  > 	https://tosc.iacr.org/index.php/ToSC/article/view/7405
> 
> Та же аргументация. Нужно указать, что ни одной практической атаки в
> результате работы Перрина опубликовано не было. Более того, даже
> снижения сложности им не было показано -- в отличие от SPECK, для
> которого методом дифференциального анализа была существенно снижена
> сложность. Для Стрибога/Кузнечика есть работы, показывающие
> бесперспективность дифференциального анализа.

Я это писать не буду, так как флейм битвы мне не интересны. То что я
хотел сказать я уже ответил. Если этого не хватит, то еще есть аргумент,
напишу его следующим письмом.

> Шифры стандартизованы ISO, и недавно им присвоена нумерация в IANA.
> Таким образом, сейчас не видно ни единой причины считать, что шифр/хэш тем
> или иным образом уязвим или забэкдорен.
> К сожалению, я думаю, что защищаться придется тебе, потому что появление
> в этой дискуссии в списке кого-то еще вызовет подозрения.

Письмо в открытый список рассылки linux-crypto, так что участвовать могут
все заинтересованные. Message-ID: <20190325044550.GI5675@mit.edu>

Ссылка на тред:

  https://lore.kernel.org/linux-crypto/20190325044550.GI5675@mit.edu/t/#u

> 
> --
> Regards, Wartan.
> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
  2019-03-25  9:03 ` Wartan Hachaturow
  2019-03-25  9:25   ` Vitaly Chikunov
@ 2019-03-25  9:27   ` Paul Wolneykien
  2019-03-25  9:46     ` Wartan Hachaturow
  1 sibling, 1 reply; 12+ messages in thread
From: Paul Wolneykien @ 2019-03-25  9:27 UTC (permalink / raw)
  To: oss-gost-crypto

25.03.2019 12:03, Wartan Hachaturow пишет:
> Таким образом, сейчас не видно ни единой причины считать, что шифр/хэш тем
> или иным образом уязвим или забэкдорен.

25.03.2019 07:51, Vitaly Chikunov пишет:
>> More worryingly, the structure they used has a very strong algebraic
>> structure...

  А вот здесь что имеется в виду? Закономерности, алгебраические
корреляции между элементами структуры? Наличие их не подразумевает разве
бэкдор?


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
  2019-03-25  9:25   ` Vitaly Chikunov
@ 2019-03-25  9:33     ` Wartan Hachaturow
  2019-03-25 10:16     ` Vitaly Chikunov
  1 sibling, 0 replies; 12+ messages in thread
From: Wartan Hachaturow @ 2019-03-25  9:33 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography


On 2019-03-25T12:25:03+0300, Vitaly Chikunov wrote:

 > Я это писать не буду, так как флейм битвы мне не интересны. То что я
 > хотел сказать я уже ответил. Если этого не хватит, то еще есть аргумент,
 > напишу его следующим письмом.

Ну, тут ты главный, смотри сам :)) Просто если возникнет дискуссия
криптоаналитического характера, то аргументация стандартная.

 > Письмо в открытый список рассылки linux-crypto, так что участвовать могут
 > все заинтересованные. Message-ID: <20190325044550.GI5675@mit.edu>

Опыт показывает, что появление в этих обсуждениях неизвестных ранее
людей вызывает подозрения.

--
Regards, Wartan.

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
  2019-03-25  9:27   ` Paul Wolneykien
@ 2019-03-25  9:46     ` Wartan Hachaturow
    0 siblings, 1 reply; 12+ messages in thread
From: Wartan Hachaturow @ 2019-03-25  9:46 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography


On 2019-03-25T12:27:26+0300, Paul Wolneykien wrote:

 >   А вот здесь что имеется в виду? Закономерности, алгебраические
 > корреляции между элементами структуры? Наличие их не подразумевает разве
 > бэкдор?

Сложно разбираться в хайповом набросе, рассчитанном на широкую
аудиторию. В оригинальной статье они заменили три преобразования (две
перестановки и одно матричное умножение) на транспозицию и одно
матричное умножение на матрицу, которую они подобрали.
Как отсюда следует бэкдор -- я не понимаю. И они тоже, так как в начале
статьи кокетливо написано "We provide a first discussion of
the consequences of the new structure in terms of security but leave
their exploitation ina cryptanalysis as an open problem".

--
Regards, Wartan.

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
  @ 2019-03-25  9:55         ` Paul Wolneykien
    2019-03-25 10:19         ` Vitaly Chikunov
  1 sibling, 1 reply; 12+ messages in thread
From: Paul Wolneykien @ 2019-03-25  9:55 UTC (permalink / raw)
  To: oss-gost-crypto

25.03.2019 12:50, Dmitry Belyavsky пишет:
> Вообще в свежей выжимке Перрина английским болдом по бекграунду явно
> сказанор, что атак он не видит на основании скрытой стурктуры.

  Но сама структура выявлена? Или нет?


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
  2019-03-25  9:25   ` Vitaly Chikunov
  2019-03-25  9:33     ` Wartan Hachaturow
@ 2019-03-25 10:16     ` Vitaly Chikunov
  2019-03-25 10:27       ` Wartan Hachaturow
  1 sibling, 1 reply; 12+ messages in thread
From: Vitaly Chikunov @ 2019-03-25 10:16 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography

On Mon, Mar 25, 2019 at 12:25:03PM +0300, Vitaly Chikunov wrote:
> On Mon, Mar 25, 2019 at 12:03:51PM +0300, Wartan Hachaturow wrote:
> > 
> > On 2019-03-25T07:51:31+0300, Vitaly Chikunov wrote:
> > 
> >  > Given the precedent that has been established for removing the SPECK
> >  > cipher from the kernel, I wonder if we should be removing Streebog on
> >  > the same basis, in light of the following work:
> > 
> >  > 	https://who.paris.inria.fr/Leo.Perrin/pi.html
> >  > 	https://tosc.iacr.org/index.php/ToSC/article/view/7405
> > 
> > Та же аргументация. Нужно указать, что ни одной практической атаки в
> > результате работы Перрина опубликовано не было. Более того, даже
> > снижения сложности им не было показано -- в отличие от SPECK, для
> > которого методом дифференциального анализа была существенно снижена
> > сложность. Для Стрибога/Кузнечика есть работы, показывающие
> > бесперспективность дифференциального анализа.
> 
> Я это писать не буду, так как флейм битвы мне не интересны. То что я
> хотел сказать я уже ответил. Если этого не хватит, то еще есть аргумент,
> напишу его следующим письмом.

Еще в 2015 году был ответ авторов Стрибога: Rudskoy, V. "Note on
Streebog constants origin" о том как они генерировали константы (хэш от
списка имен авторов).

Leo Perrin в 2019 (по первой ссылке) пишет:

  "The authors of Streebog and Kuznyechik have provided little to no
  information about their design process. Several cryptographers have
  tried to ask them about the structure of their S-box during
  conferences. The usual answer was equivalent to saying that they were
  picked at random from some set. They also claim to have lost the
  generation algorithm. Given the importance of the S-box, this loss
  should be worrying in and on itself."

Статью Рудского 2015 года не нагуглить. Но, данные из нее приводятся в
статье самого Leo Perrin-а et al в 2016: "Reverse-Engineering the S-Box
of Streebog, Kuznyechik and STRIBOBr1 (Full Version)" Alex Biryukov and
Léo Perrin and Aleksei Udovenko: https://eprint.iacr.org/2016/071

  "To show that the constants were not chosen with malicious intentions,
  the designers published a note [14] describing how they were derived
  from a modified version of the hash function. While puzzling at a
  first glance, the seeds actually correspond to Russian names written
  backward (see Appendix A)."
 


> > Шифры стандартизованы ISO, и недавно им присвоена нумерация в IANA.
> > Таким образом, сейчас не видно ни единой причины считать, что шифр/хэш тем
> > или иным образом уязвим или забэкдорен.
> > К сожалению, я думаю, что защищаться придется тебе, потому что появление
> > в этой дискуссии в списке кого-то еще вызовет подозрения.
> 
> Письмо в открытый список рассылки linux-crypto, так что участвовать могут
> все заинтересованные. Message-ID: <20190325044550.GI5675@mit.edu>
> 
> Ссылка на тред:
> 
>   https://lore.kernel.org/linux-crypto/20190325044550.GI5675@mit.edu/t/#u
> 
> > 
> > --
> > Regards, Wartan.
> > _______________________________________________
> > oss-gost-crypto mailing list
> > oss-gost-crypto@lists.altlinux.org
> > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
    2019-03-25  9:55         ` Paul Wolneykien
@ 2019-03-25 10:19         ` Vitaly Chikunov
  1 sibling, 0 replies; 12+ messages in thread
From: Vitaly Chikunov @ 2019-03-25 10:19 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography

On Mon, Mar 25, 2019 at 12:50:34PM +0300, Dmitry Belyavsky wrote:
>    On Mon, Mar 25, 2019 at 12:46 PM Wartan Hachaturow
>    <[1]wartan.hachaturow@gmail.com> wrote:
> 
>      On 2019-03-25T12:27:26+0300, Paul Wolneykien wrote:
>       >   А вот здесь что имеется в виду? Закономерности, алгебраические
>       > корреляции между элементами структуры? Наличие их не
>      подразумевает разве
>       > бэкдор?
>      Сложно разбираться в хайповом набросе, рассчитанном на широкую
>      аудиторию. В оригинальной статье они заменили три преобразования
>      (две
>      перестановки и одно матричное умножение) на транспозицию и одно
>      матричное умножение на матрицу, которую они подобрали.
>      Как отсюда следует бэкдор -- я не понимаю. И они тоже, так как в
>      начале
>      статьи кокетливо написано "We provide a first discussion of
>      the consequences of the new structure in terms of security but leave
>      their exploitation ina cryptanalysis as an open problem".
> 
>    Вообще в свежей выжимке Перрина английским болдом по бекграунду явно
>    сказанор, что атак он не видит на основании скрытой стурктуры.

Да процитирую, чтоб было: "While we cannot leverage these properties to
attack this hash function, we question the wisdom of this design
choice." Статья без атаки и не уменьшает стойкость алгоритма даже
теоретически.

> 
> References
> 
>    1. mailto:wartan.hachaturow@gmail.com

> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto



^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
  2019-03-25 10:16     ` Vitaly Chikunov
@ 2019-03-25 10:27       ` Wartan Hachaturow
  2019-03-25 10:33         ` Vitaly Chikunov
  0 siblings, 1 reply; 12+ messages in thread
From: Wartan Hachaturow @ 2019-03-25 10:27 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography


On 2019-03-25T13:16:37+0300, Vitaly Chikunov wrote:

 > Еще в 2015 году был ответ авторов Стрибога: Rudskoy, V. "Note on
 > Streebog constants origin" о том как они генерировали константы (хэш от
 > списка имен авторов).

Да, это было про константы, до них Перрин не докапывается. Он
докапывается до S-box'а, и публично объяснения метода его получения
действительно не было. Были неформальные дискуссии (и он их упоминает),
в которых авторы говорили, что S-box был получен случайным перебором до
достижения необходимых свойств.

--
Regards, Wartan.

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
  2019-03-25 10:27       ` Wartan Hachaturow
@ 2019-03-25 10:33         ` Vitaly Chikunov
  0 siblings, 0 replies; 12+ messages in thread
From: Vitaly Chikunov @ 2019-03-25 10:33 UTC (permalink / raw)
  To: Open-source aspects of GOST Cryptography

On Mon, Mar 25, 2019 at 01:27:49PM +0300, Wartan Hachaturow wrote:
> 
> On 2019-03-25T13:16:37+0300, Vitaly Chikunov wrote:
> 
>  > Еще в 2015 году был ответ авторов Стрибога: Rudskoy, V. "Note on
>  > Streebog constants origin" о том как они генерировали константы (хэш от
>  > списка имен авторов).
> 
> Да, это было про константы, до них Перрин не докапывается. Он
> докапывается до S-box'а, и публично объяснения метода его получения
> действительно не было. Были неформальные дискуссии (и он их упоминает),
> в которых авторы говорили, что S-box был получен случайным перебором до
> достижения необходимых свойств.

Спасибо!

> 
> --
> Regards, Wartan.
> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel?
  @ 2019-03-25 10:33             ` Paul Wolneykien
  0 siblings, 0 replies; 12+ messages in thread
From: Paul Wolneykien @ 2019-03-25 10:33 UTC (permalink / raw)
  To: oss-gost-crypto

25.03.2019 13:09, Wartan Hachaturow пишет:
> Дык да. Статью-то прочти :)

  Хорошо, хорошо. Просто я честно пытаюсь использовать тот факт, что вы
её уже прочитали. ;-)


> On Mon, Mar 25, 2019, 12:55 Paul Wolneykien <manowar@altlinux.org
> <mailto:manowar@altlinux.org>> wrote:
> 
>     25.03.2019 12:50, Dmitry Belyavsky пишет:
>     > Вообще в свежей выжимке Перрина английским болдом по бекграунду явно
>     > сказанор, что атак он не видит на основании скрытой стурктуры.
> 
>       Но сама структура выявлена? Или нет?
>     _______________________________________________
>     oss-gost-crypto mailing list
>     oss-gost-crypto@lists.altlinux.org
>     <mailto:oss-gost-crypto@lists.altlinux.org>
>     https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
> 
> 
> 
> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
> 



^ permalink raw reply	[flat|nested] 12+ messages in thread

end of thread, other threads:[~2019-03-25 10:33 UTC | newest]

Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2019-03-25  4:51 [oss-gost-crypto] Fwd: Should we consider removing Streebog from the Linux Kernel? Vitaly Chikunov
2019-03-25  9:03 ` Wartan Hachaturow
2019-03-25  9:25   ` Vitaly Chikunov
2019-03-25  9:33     ` Wartan Hachaturow
2019-03-25 10:16     ` Vitaly Chikunov
2019-03-25 10:27       ` Wartan Hachaturow
2019-03-25 10:33         ` Vitaly Chikunov
2019-03-25  9:27   ` Paul Wolneykien
2019-03-25  9:46     ` Wartan Hachaturow
2019-03-25  9:55         ` Paul Wolneykien
2019-03-25 10:33             ` Paul Wolneykien
2019-03-25 10:19         ` Vitaly Chikunov

Open-source aspects of GOST Cryptography

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/oss-gost-crypto/0 oss-gost-crypto/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 oss-gost-crypto oss-gost-crypto/ http://lore.altlinux.org/oss-gost-crypto \
		oss-gost-crypto@lists.altlinux.org oss-gost-crypto@lists.altlinux.ru oss-gost-crypto@lists.altlinux.com
	public-inbox-index oss-gost-crypto

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.oss-gost-crypto


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git