Что: f9806899e7c848312455df5c3ecdf30127151565
Когда: 2020-05-05 15:52:53+03:00
Темы: crypto hate
Критика статьи с "подвальчика хакера"
https://hacker-basement.ru/2019/08/23/kryptografia-dlay-hakerov-algorytmy-shifrovaniy/
Написал тут письмо автору лживого вброса на тему Кузнечика:
Увидел вашу статью: [...]
и бросилось в глаза ваше описание алгоритма Кузнечик, с явно искажённым
и не достоверными фактами.
В том же году была доказана его неустойчивость к методу обратного проектирования
Что такое "метод обратного проектирования" я, как хоть как-то
разбирающийся в криптографии человек, не знаю, но наверное речь про то,
что таблицы перестановок (Sbox) не были сгенерированы случайным образом,
как заявлялось. Это действительно так. Но... какое это имеет отношение к
безопасности шифра и было ли хоть где-то доказано что оно негативно
сказывается на безопасности? Более того, Sbox-ы в общем случае и не
обязаны быть случайными -- это просто часто удобнее, но не более, а
часто даже будет вредить безопасности (подробнее можно в книгах Брюса
Шнайера про это прочитать). Почему метод генерирования Sbox-а не был
открыт и сообщён? Да, неприятно, косяк/раздолбайство, но какое это имеет
влияние на стойкость шифра?
алгоритм генерации S-блока перерисован с Белорусского шифра BelT разработанного в 2007 году
На что влияет данный факт? Огромное количество блочных шифров использует
сеть Фейстеля. Огромное количество хэш функций строится на основе
Merkle–Damgård, у которого есть неприятные особенности и при не
правильном обращении будут проблемы (поэтому есть HMAC конструкция из-за
этих особенностей), но это не мешает столь распространённым SHA1/2 его
использовать. Но ведь к безопасности SHA2 нет нареканий?
Ещё чуть позже его же взломали атакой “встреча посередине”.
А это уже сильнейшее искажение фактов. Во-первых, просто даже судя по
странице Wikipedia, взломали не его, а 5 раундов. Из 10. При этом
сложность 2^140, требующую памяти 2^153 и 2^113 данных. У кого-либо
могут возникнуть опасения что любое из этих чисел достаточно мало чтобы
сомневаться об уровне безопасности этого... 5-раундового шифра? Напомню
снова, что в Кузнечике 10 раундов.
А то ваше описание этого алгоритма выглядит как: создали какое гос-говно
которое за пару лет вообще сломали, что, мягко говоря, далеко от
истины и плохо пахнет. Почему вы не упоминаете тогда о тьме атак на
AES, Blowfish, Twofish? Практически все блочные (тем более
потоковые!) шифры взломаны. С точки зрения криптографии они именно
взломаны -- существуют атаки более быстрые чем простой brute force.
Насколько помню для AES (опять же, лень искать) есть атака которая в
несколько раз позволяет быстрее атаковать 128-битные ключи, то есть...
уровень безопасности вместо 128-бит становится 126.5 бит (насколько
помню). Взломан? Да. Стоит ли об этом париться? Очевидно что при таком
уровне атаки -- нет.
Почему упомянули Кузнечика, но не упомянули Магму, которая в том же
самом стандарте вместе с ним сразу же и идёт (Кузнечик обзывается
128-бит шифром, а Магма 64-бит)? Она по сути тот же самый ГОСТ 28147-89
шифр, который ещё в 70-х годах был разработан. Подчеркну: 70-80-е года,
когда в США ещё и 3DES не было, а Магма/28147-89 имела 256-бит ключ.
Взломана ли она? Безусловно! Насколько помню, лучшая атака имела
сложность более чем 2^200 (про требования памяти и прочего не помню). До
сих пор Магма остаётся алгоритмом с одним из высочайших уровней
безопасности среди всех алгоритмов что стандартизовывались.
Дальше ещё всякого написал, но и это то автор наверняка проигнорирует.
У нас много народу любит поливать дерьмом всё отечественное.