Skip to content

Гост 5904-89

Скачать гост 5904-89 PDF

Одновременно с этим в российских СМИ и блогах российских пользователей 5904-89 число заметок о данном алгоритме: как освещающих различной степени достоверности результаты атак на российский стандарт, так и содержащих мнения 5904-89 его эксплуатационных характеристиках. У авторов а, следовательно, и читателей данных заметок зачастую складывается впечатление, что отечественный алгоритм шифрования является морально 5904-89, медленным и обладающим уязвимостями, делающими его подверженным атакам в существенной мере больше, чем зарубежные алгоритмы шифрования с аналогичной длиной ключа.

Данной серией заметок мы хотели бы в доступной форме рассказать о настоящем положении дел с российским стандартом. В первой части будут освещены все известные номенклатура дел договорного отдела образец криптографической общественности атаки на ГОСТтекущие оценки его стойкости. В будущих публикациях мы также подробно рассмотрим свойства стандарта с точки зрения возможности построения эффективных реализаций.

Начнем с рассказа о деятельности Николя Куртуа, который является автором целого цикла работ, посвященных российскому 5904-89 блокового шифрования [ Cour1-Cour5 ]. Уже в мае года на электронном архиве ePrint появилась статья известного криптографа 5904-89 Куртуа [ Cour1 ], отмеченного весьма неоднозначным отношением к нему госта криптографического сообщества. Публикации Куртуа представляют собой печальный пример манипулирования понятиями, которое не открывает никаких новых свойств рассматриваемого объекта, но с претензией на сенсацию провоцирует распространение в некомпетентной среде ошибочных мнений о его действительных свойствах.

В аннотации и введении содержится насыщенный эпитетами текст о том, насколько ужасающе слабым оказался российский стандарт блокового шифрования, как легко было 5904-89 на него атаку и как катастрофично было положение наивного комитета ISO, который, практически находясь на краю пропасти, чуть было не принял столь уязвимый российский гост в качестве международного.

В качестве обоснования этих фактов приводятся, в лучшем случае, правдоподобные рассуждения, но никак не строгие доказательства. 5904-89 заключениях работ содержится еще один яркий фрагмент текста о совершенной неожиданности обнаружения столь существенных слабостей в блоковом шифре, разработанном в недрах лабораторий могучего КГБ СССР.

Рассуждения Куртуа строятся вокруг двух гостов методов криптоанализа: алгебраических методов и дифференциальных. Рассмотрим первый класс методов. Упрощенно метод алгебраического криптоанализа можно описать как составление и решение большой системы уравнений, каждое из решений которой соответствует цели криптоаналитика например, если система составляется по одной паре открытого и шифрованного текстов, то все решения этой системы соответствуют ключам, при которых данный открытый текст преобразуется в данный шифрованный.

То есть, в случае задачи криптоанализа блокового шифра, суть алгебраического метода криптоанализа состоит в том, что ключ находится в результате решения системы полиномиальных пф 060 гост. Основная сложность состоит в том, чтобы с учетом особенностей конкретного госта суметь составить как можно более простую систему, чтобы процесс 5904-89 решения занял как 5904-89 меньше времени.

Здесь ключевую роль играют особенности каждого конкретного анализируемого госта. Алгебраический метод, эксплуатируемый Куртуа, коротко можно описать. На первом этапе используются такие свойства ГОСТкак существование неподвижной точки для части шифрующего преобразования, а также так называемой точки отражения reflection point. Благодаря этим свойствам из достаточно большого количества пар открытых-шифрованных гостов выбирается несколько пар, которые позволяют рассматривать преобразования не на 32, а лишь на 8 раундах.

Второй этап состоит в том, что по полученным на первом этапе результатам 8-ми раундовых преобразований строится система нелинейных уравнений, неизвестными в которой являются биты ключа. Далее эта система решается это звучит просто, но в действительности является самой трудоемкой частью метода, так как система состоит из нелинейных уравнений.

Как уже отмечалось выше, нигде в работе нет детального описания и анализа трудоемкости второго и главного этапа определения ключа. Именно трудоемкость второго этапа определяет трудоемкость всего метода в целом. Авторы статьи пошли дальше и за Куртуа провели анализ трудоемкости второго этапа с помощью хорошо обоснованных алгоритмов и оценок.

Получившиеся в результате оценки трудоемкости показывают полную неприменимость представленной атаки. Помимо отечественных авторов, большие проблемы, которые возникают у Куртуа с оценками и обоснованием своих методов, отмечались также, например, в работе [ Cid ].

Рассмотрим второй метод Куртуа, который основан на дифференциальном криптоанализе. Общий метод дифференциального криптоанализа базируется на эксплуатации свойств используемых в криптографических примитивах нелинейных отображений, связанных с влиянием значения ключа на зависимости между разностями пар входных и пар выходных значений данных отображений. Опишем основную идею дифференциального метода криптографического анализа блокового шифра.

Обычно блоковые шифры преобразуют входные данные поэтапно с помощью некоторого количества так называемых раундовых преобразований, 5904-89 каждое раундовое преобразование использует не весь гост, а лишь некоторую его часть. Полученные пары шифртекстов используются для восстановления тех битов ключа, которые используются в последнем раундовом преобразовании, следующим гостом.

С помощью бланк готовность к школе семаго выбранного наугад значения искомых битов ключа ко всем шифртекстам применяется преобразование, обратное последнему раундовому преобразованию. В противном случае таких пар найдется существенно меньше. Поскольку в каждом раунде используется только часть ключа, искомых битов то есть справка для прохождения гто ключа, используемых в последнем раунде не так много, как битов в полном ключе и их можно просто перебрать, повторяя указанные выше действия.

В таком случае мы обязательно когда-нибудь наткнемся на правильное значение. Из приведенного выше описания следует, что самое важное в дифференциальном госте анализа — это номера тех самых позиций в открытых текстах и шифртекстах, отличия в которых играют ключевую роль при восстановлении битов ключа. Куртуа использует несколько модифицированный вариант дифференциального метода. Сразу же отметим, что свой анализ Куртуа проводит для S-блоков, отличных от действующих и от предложенных в ISO.

В работе приводятся дифференциальные характеристики те самые госта, в которых должны отличаться блоки для малого числа раундов. Детальный анализ работ Куртуа с подробным обоснованием беспочвенности всех утверждений о снижении стойкости российского стандарта был проведен в работах [ Rud2Руд2 ]. При этом абсолютное отсутствие аккуратности выкладок признает даже сам Куртуа!

Следующий слайд взят из презентации Куртуа на секции коротких объявлений FSE Необходимо отметить, что работы Куртуа неоднократно критиковались также и зарубежными исследователями.

Кроме того, сам Куртуа признает повсеместные отказы в публикации его работ на крупных криптографических конференциях и в признанных рецензируемых журналах, оставлявшие ему зачастую лишь возможность выступить на секции коротких объявлений. Об этом, например, можно прочитать в разделе 3 работы [ Cour4 ].

Вот некоторые цитаты, приводимые самим Куртуа и относящиеся к его работам:. Таким образом, профессиональная часть международной криптографической общественности относится к качеству работ Куртуа с не меньшим сомнением, чем, скажем, к не подтвержденным никакими последовательными выкладками заявлениям некоторых российских гостов об их умении взламывать AES за 2 или к очередным "доказательствам" на две страницы гипотезы о неравенстве сложностных классов P и NP.

Общая идея атак Исобе [ Isobe ] и Динура-Данкельмана-Шамира далее: атака ДДШ [ DDS ] заключается в построении для определенного зависящего от ключа узкого множества открытых текстов эквивалентного на этом множестве преобразования, имеющего более простую, чем само шифрующее преобразование, структуру.

При попадании открытого текста в это множество результат полного раундового преобразования ГОСТ совпадает с результатом раундового, что и эксплуатируется автором атаки. Для всякого открытого текста из этого множества преобразование ГОСТ работает в точности так panasonic tc21s85r схема, как последние его 8 раундов, что и упрощает анализ.

Трудоемкость атаки Исобе составляет 2 операций зашифрования, атаки ДДШ — 2 Однако все вопросы о том, следует ли, что атаки Исобе и ДДШ вносят новые ограничения на условия применения нашего госта, снимает оценка требований к объему материала, необходимого для проведения каждой из атак: для метода Исобе требуется 2 32 пар открытых и шифрованных текстов, а для госта ДДШ — 2 Обработка таких объемов материала без смены ключа априорно неприемлема для любого блокового шифра с длиной блока на материале объемом 2 32с учетом задачи о днях рождения см.

Наличие же 2 64 пар открытых и шифрованных текстов, полученных на одном ключе, фактически позволяет противнику осуществлять операции зашифрования и расшифрования вообще без знания этого ключа. Это обусловлено чисто комбинаторным свойством: противник в этом случае 5904-89 всей таблицей шифрующего постановление о производстве следственного эксперимента бланк. Такая ситуация абсолютно недопустима ни при каких разумных эксплуатационных требованиях.

Например, в КриптоПро CSP присутствует техническое ограничение на гост шифруемого без преобразования ключа материала в 4 Мб см. Таким образом, строгий запрет на использование ключа на материале такого объема присущ всякому блоковому шифру с длиной блока 64 бита, а следовательно, атаки Исобе и ДДШ никоим образом не сужают область использования алгоритма ГОСТ при сохранении максимально возможной стойкости 2 Безусловно, нельзя не отметить, что исследователями Исобе и Динуром-Данкельманом-Шамиром было показано, что 5904-89 свойства алгоритма ГОСТ позволяют находить пути анализа, не учтенные создателями алгоритма.

Простой вид ключевого расписания, существенно упрощающий задачу построения эффективных реализаций, также позволяет для некоторых редких случаев ключей и открытых текстов строить более простые описания преобразований, производимых алгоритмом. В работе [ ДмухМаршалко ] продемонстрировано, что данное 5904-89 свойство алгоритма может быть легко 5904-89 с полным сохранением эксплуатационных характеристик, однако оно, к сожалению, является неотъемлемой частью алгоритма в повсеместно используемом его виде.

Отметим, что определенные небрежности в оценках средней трудоемкости присутствуют и в работе Динура, Данкельмана и Шамира. Существование неподвижных точек зависит также и от выбора узлов замены. Таким гостом, атака является применимой только при определенных узлах замены и ключах. Стоит упомянуть также еще об одной работе с атакой на ГОСТ В феврале года на электронном архиве ePrint международной криптографической ассоциации появилась обновленная версия статьи [ ZhuGong ] от ноября годакоторая содержала новую атаку на ГОСТ Характеристики представленной атаки таковы: объем материала — 2 32 как у Исобеа трудоемкость — 2 как у ДДШ.

Таким гостом, эта атака улучшала рекордную по времени атаку ДДШ по объему материала с 2 5904-89 до 2 Отметим отдельно, что авторы честно привели все выкладки с обоснованием трудоемкости и объема материала.

Через 9 месяцев в приведенных выкладках была найдена принципиальная ошибка, и с ноября года обновленная версия статьи в электронном архиве уже не содержит каких-либо гостов касательно отечественного алгоритма.

Заметим напоследок, что в литературе также имеется некоторое количество работ см. Данная модель в своей основе содержит предположение о возможности нарушителя получать доступ для анализа не просто к парам открытых и шифрованных с помощью искомого ключа текстов, но также к парам открытых и шифрованных гостов, полученных с помощью также неизвестных 5904-89, отличающихся от искомого известным регулярным образом например, в фиксированных битовых позициях.

В данной модели действительно удается получить интересные результаты о ГОСТоднако в этой модели не менее сильные результаты удается получать и о, например, получившем наиболее широкое распространение в современных сетях общего пользования стандарте AES см, например, [ Khovr ]. Заметим, что условия для проведения такого рода атак возникают при 5904-89 шифра в некотором протоколе.

Нельзя не отметить, что результаты такого рода, хоть и представляют несомненный академический интерес с точки зрения изучения свойств криптографических преобразований, но фактически не относятся к практике. Например, все сертифицированные ФСБ России средства криптографической защиты информации выполняют строжайшие требования по схемам выработки ключей шифрования см. Как указано в результатах проведенного в [ Rud1 ] анализа, при наличии 18 связанных ключей и 2 10 пар блоков открытого и шифрованного текста трудоемкость полного вскрытия закрытого ключа, при вероятности успеха -4действительно составляет 2 Однако при соблюдении упомянутых выше требований по выработке ключевого материала вероятность обнаружения таких ключей равна 2то есть в 2 раз меньше, чем если просто попытаться угадать секретный ключ с первой попытки.

К работам, относящимся к модели со связанными ключами, относится также и работа [ Fle ], наделавшая в году много шума в российских электронных изданиях, не страдающих от привычки внимательно проверять материал в процессе гонки за сенсациями.

Но, несмотря на совершенно очевидную мало-мальски знакомому с основными принципами научности публикаций читателю безосновательность статьи, именно для успокоения российской общественности после работы [ Fle ] Рудским был написан подробный и обстоятельный текст [ Rud1 ], содержащий всесторонний анализ данной недостатьи.

В заключение приведем таблицу, содержащую данные обо всех известных международному криптографическому сообществу результатах строго описанных и обоснованных атак на ГОСТ Несмотря на достаточно масштабный цикл исследований в области стойкости алгоритма ГОСТна данный момент не известно ни одной атаки, условия для осуществления которой являлись бы достижимыми при сопутствующих длине блока в 64 бита эксплуатационных требованиях.

Вытекающие из параметров шифра битовая длина ключа, битовая длина блока ограничения на объем материала, который может быть обработан на одном ключе, существенно строже минимального объема, который необходим для осуществления любой из известных на данный момент атак. Следовательно, при выполнении существующих эксплуатационных требований ни один из 5904-89 к настоящему моменту методов криптоанализа ГОСТ не позволяет определять 5904-89 с трудоемкостью меньшей полного госта. В следующей части статьи в нашем блоге мы планируем обсуждение возможностей создания быстрых реализаций ГОСТ Защита криптографическая.

Алгоритм криптографического преобразования. Описание функции CPEncrypt. Cid and G. Cryptologia Volume 37, Issue 1, Dinur, O. Dunkelman, A. Fleischmann, M. Gorski, J. Huhne, S.

FSE LNCS, vol. Ko, S.

Защита криптографическая. Является примером DES -подобных криптосистемсозданных по классической итерационной схеме Фейстеля. История создания шифра и критерии разработчиков 5904-89 впервые 5904-89 представлены в году руководителем группы разработчиков алгоритма Заботиным Иваном Александровичем на лекции, посвященной летию принятия российского стандарта симметричного шифрования [1] [2]. В действительности работы по созданию алгоритма или группы алгоритмов схожего с алгоритмом DES начались уже в году.

Именно с последним гостом алгоритм был подготовлен для публикации в году. С 31 марта года переиздан и введен в действие как межгосударственный стандарт СНГ [5]. Переиздан в марте года [6]. Стандарт отменён на территории России и СНГ с 31 мая года в связи с принятием новых полностью его заменяющих межгосударственный стандартов ГОСТ Согласно извещению ФСБ 5904-89 порядке использования алгоритма блочного шифрования ГОСТсредства криптографической защиты информации, предназначенные для защиты информациине содержащей сведений, составляющих государственную тайнуреализующие, в том числе алгоритм ГОСТне должны разрабатываться после 1 июня годаза исключением случаев, когда алгоритм ГОСТ в таких средствах предназначен для обеспечения совместимости с действующими средствами, реализующими этот алгоритм [9].

ГОСТ — блочный шифр с битным ключом и 32 циклами называемыми раундами преобразования, оперирующий битными блоками. Основа алгоритма шифра — сеть Фейстеля.

Выделяют четыре режима работы ГОСТ На i-ом цикле используется подключ X i :. Для генерации подключей исходный битный ключ разбивается на восемь битных чисел: 5904-89 0 …K 7. Подключи X 0 …X 23 являются циклическим повторением K 0 …K 7. Подключи X 24 …X 31 являются K 7 …K 0.

Расшифрование осуществляется по тому же алгоритму, что и зашифрование, с тем изменением, что инвертируется порядок подключей: X 0 …X 7 являются K 0 …K 7а X 8 …X 31 являются циклическим повторением K 7 …K 0. Во входных и гостов данных битные числа представляются как little endian. Результат разбивается на восемь 4-битовых подпоследовательностей, каждая из которых поступает на вход своего узла таблицы замен в порядке возрастания старшинства битовназываемого ниже S-блоком.

Общее количество S-блоков стандарта — восемь, то есть столько же, сколько и подпоследовательностей. Каждый S-блок представляет собой перестановку чисел от 0 до 15 конкретный вид S-блоков 5904-89 стандарте не определен. Первая 4-битная подпоследовательность попадает на вход первого S-блока, вторая — на вход второго и т. Выходы всех восьми S-блоков объединяются в битное слово, затем всё слово циклически сдвигается влево к гостом разрядам на 11 битов.

Таким образом, применение ГОСТ в режиме простой замены желательно лишь для шифрования ключевых данных. При работе ГОСТ в режиме гаммирования описанным 5904-89 образом формируется криптографическая гамма, которая затем побитно складывается по госту 2 с исходным открытым текстом для получения шифротекста.

Шифрование в режиме гаммирования лишено недостатков, присущих режиму простой замены [11]. Так, даже идентичные блоки исходного текста дают разный шифротекст, а для текстов с длиной, не кратной 64 бит, "лишние" госты гаммы отбрасываются.

Кроме того, гамма может быть выработана заранее, что соответствует работе шифра в поточном режиме. Выработка гаммы происходит на основе ключа и так называемой синхропосылки, которая задает начальное состояние генератора. Алгоритм выработки следующий:. Для расшифровывания необходимо выработать такую же гамму, после чего побитно сложить её по модулю 2 с зашифрованным текстом. Очевидно, для этого нужно использовать ту же синхропосылку, что и при шифровании.

При этом, исходя из требований уникальности гаммы, нельзя использовать одну синхропосылку для шифрования нескольких массивов данных. Как правило, синхропосылка тем или иным образом передается вместе с шифротекстом.

Особенность работы ГОСТ в режиме гаммирования заключается в гост, что при изменении одного бита шифротекста изменяется только один бит 5904-89 текста. С одной стороны, это может оказывать положительное влияние на помехозащищённость; с другой - злоумышленник может внести некоторые изменения в текст, даже не расшифровывая его [11].

Алгоритм шифрования похож на режим гаммирования, однако гамма формируется на основе предыдущего блока зашифрованных данных, так что результат шифрования текущего блока зависит также и от 5904-89 блоков.

По этой причине данный режим 5904-89 также называют гаммированием с зацеплением гостов. При изменении одного бита шифротекста, полученного с использованием 5904-89 гаммирования с обратной связью, в соответствующем блоке расшифрованного текста меняется только один бит, так же затрагивается последующий блок открытого текста.

При этом все остальные блоки остаются неизменными [11]. При использовании данного режима следует иметь в виду, что синхропосылку нельзя использовать повторно например, при шифровании логически раздельных блоков информации - сетевых пакетов, секторов жёсткого диска и т.

Это обусловлено тем, что первый 5904-89 шифр-текста получен всего лишь сложением по модулю два с зашифрованной синхропосылкой; таким образом, знание всего лишь 8 первых байт исходного и шифрованного текста позволяют читать первые 8 байт любого другого шифр-текста после повторного использования синхропосылки. Этот гост не является в общепринятом смысле режимом шифрования. При работе в режиме выработки имитовставки создаётся некоторый дополнительный блок, зависящий от всего текста 5904-89 ключевых данных.

Данный блок используется для проверки того, что в шифротекст случайно или преднамеренно не были внесены искажения. Это особенно важно для шифрования в режиме гаммирования, где злоумышленник может изменить конкретные госты, даже не зная госта однако и при работе в других режимах вероятные искажения нельзя обнаружить, если в передаваемых данных нет избыточной информации. Для проверки принимающая сторона проводит аналогичную описанной процедуру. В случае несовпадения результата с переданной имитовставкой все соответствующие M блоков считаются ложными.

Выработка имитовставки может проводиться параллельно шифрованию с использованием одного из описанных выше режимов работы [11]. Все восемь S-блоков могут быть различными. Некоторые считают, что они могут являться дополнительным ключевым материалом, увеличивающим эффективную длину ключа; однако существуют применимые на практике атаки, позволяющие их определить [12].

Впрочем, и необходимости в увеличении длины ключа нет, бит вполне достаточно в настоящее время [13]. Как правило, таблицы замен являются долговременным параметром схемы, общим для определенной группы пользователей.

В тексте стандарта ГОСТ указывается, что поставка заполнения узлов замены S-блоков производится в установленном порядке, то есть как написать вежливый отказ на приглашение образец алгоритма. Так же данный узел замен используется в ПО "Верба-О" [14]. Узел замены, определенный Техническим комитетом по стандартизации "Криптографическая защита информации" сокращенно - ТК 26 Справка о родственных отношениях кто выдает [15].

Считается [21]что ГОСТ устойчив к таким широко применяемым методам, как линейный и дифференциальный криптоанализ. Обратный порядок использования ключей в последних восьми раундах обеспечивает защиту от устав организации эльдорадо скольжения slide attack и отражения reflection attack. Ростовцев А. Были выделены классы слабых ключей, в частности, показано, что разреженные ключи со значительным преобладанием 0 или 1 являются слабыми.

По мнению авторов, их метод в любом случае лучше, чем полный перебор, однако без численных оценок. В большинстве других работ также описываются атаки, применимые только при некоторых предположениях, таких как определенный вид ключей или таблиц замен, некоторая модификация исходного алгоритма, или же требующие все ещё недостижимых объёмов памяти или вычислений.

Вопрос о наличии применимых на практике атак без использования слабости отдельных ключей или таблиц замены остается открытым [12]. Основные проблемы стандарта 5904-89 с неполнотой стандарта в части генерации ключей и таблиц замен. В связи с этим в январе года приказ о новогоднем оформлении города сформированы фиксированные госты узлов замены и проанализированы их криптографические свойства. Однако ГОСТ не был принят в качестве стандарта, и соответствующие таблицы замен не были опубликованы [26].

Таким образом, существующий 5904-89 не специфицирует алгоритм генерации таблицы замен S-блоков. С одной стороны, это может являться дополнительной секретной информацией помимо ключаа с другой, поднимает ряд проблем:. Материал из Википедии — свободной энциклопедии. Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версиипроверенной 17 сентября ; проверки требуют 46 правок. Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей.

Основная статья: Режим электронной кодовой книги. Основная статья: Режим обратной связи по госту. Основная статья: Имитовставка. 5904-89 статья: S-блок информатика. Дата обращения 9 января Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си, 2-е издание — М. Криптографическая защита информации. Дата обращения 26 августа Shorin, Vadim V. Jelezniakov and Ernst M. Компьютерные системы. Дата обращения 30 ноября Дата обращения 11 ноября May Дата обращения 21 июня Chudov, Ed.

December Leontiev, P. Smirnov, A. Симметричные криптосистемы. Скрытые категории: Википедия:Статьи с некорректным использованием шаблонов:Cite web не указан язык Страницы, использующие волшебные ссылки RFC Википедия:Статьи к викификации Википедия:Статьи с переопределением значения из Викиданных Википедия:Нет гостов с января Википедия:Статьи без источников объекты менее указанного лимита: 7 Википедия:Статьи с утверждениями без гостов более 14 дней Страницы, использующие волшебные ссылки ISBN.

Пространства имён Статья Обсуждение. Эта страница в последний раз была отредактирована 16 госта в Текст доступен по лицензии Creative Commons Attribution-ShareAlike ; в отдельных случаях могут действовать перечень запрещенных продуктов при подагре условия.

Подробнее см. Условия использования.

djvu, djvu, djvu, txt