На Crypto-2008 был представлен взлом хэш-функции, основанной на этом шифре. Атакующий имеет значительно больший уровень свободы, чем ему обычно допускается.

~~Deathstalker~~ ★★★★★
(11.09.13 17:26:45 MSK)

А подробнее, что произошло?

praseodim ★★★★★
(11.09.13 17:29:43 MSK)

Ссылка

Ответ на: комментарий от Deathstalker 11.09.13 17:26:45 MSK

Гугл выдаёт высосаный (даже не из пальца) бред. Да и вообще, еслиб его в 2008 взломали, то в 2010 его бы не пытались впихнуть в ISO/IEC

~~fero~~ ★★★★
(11.09.13 17:30:01 MSK) автор топика
Последнее исправление: fero 11.09.13 17:31:46 MSK (всего исправлений: 1)

Ответ на: комментарий от user0 11.09.13 17:19:14 MSK

FSE 2011.

Множество новых атак на основе самоподобия работают против всех ключей ГОСТа и позволяют взламывать полнораундовый ГОСТ с 256-битным ключом, а не только для слабых ключей, как было ранее.

Эти новые атаки могут рассматриваться как примеры новой общей парадигмы криптоанализа блочных шифров, называемой «редукция алгебраической сложности», с обобщением этих атак на множество частных случаев атак с известными неподвижными точками, скольжением, инволюциями и циклами. Важно, что среди семейства всех этих атак есть такие, которые позволяют проводить криптоанализ ГОСТ без всяких отражений и без каких-либо симметричных точек, которые проявляются в ходе вычислений.

Алгебраические атаки на блочные и потоковые шифры могут быть представлены в виде проблемы решения большой системы булевых алгебраических уравнений, которая следует геометрии и структуре частной криптографической схемы.

~~Deathstalker~~ ★★★★★
(11.09.13 17:31:32 MSK)

Ответ на: комментарий от Deathstalker 11.09.13 17:31:32 MSK

Шта за векипедя.

~~bhfq~~ ★★★★★
(11.09.13 17:32:54 MSK)

Ссылка

Ответ на: комментарий от fero 11.09.13 17:30:01 MSK

ГОСТ имеет серьёзные изъяны и теперь не обеспечивает уровня стойкости, требуемого ISO. Множество атак на ГОСТ представлено в рамках подтверждения парадигмы редуцирования алгебраической сложности.

~~Deathstalker~~ ★★★★★
(11.09.13 17:33:29 MSK)

Ответ на: комментарий от Deathstalker 11.09.13 17:33:29 MSK

ИМХО в случае с ISO была чистая политика.

~~fero~~ ★★★★
(11.09.13 17:36:04 MSK) автор топика

Ссылка

Ответ на: комментарий от Deathstalker 11.09.13 17:17:38 MSK

http://www.cryptopro.ru/blog/2013/08/27/gost-28147-89-ne-speshi-ego-khoronit-...

vasily_pupkin ★★★★★
(11.09.13 17:45:19 MSK)

Ссылка

Итак, для начитавшихся желтой прессы:

ГОСТ 28147-89 взломан. На языке криптолога это значит, что найдена атака, позволяющая получить ключ быстрее, чем метордом полного перебора ключей. В случае ГОСТа, ЕМНИП, атака была в 256 раз быстрее. Т.е. вместо 200 миллиардов лет атакующему понадобится всего лишь миллиард.

segfault ★★★★★
(11.09.13 20:58:43 MSK)

А что касается хеша на его базе - то его стоит выкинуть по 2 причинам:

1) Блоки подстановки не зафиксированы стандартом. Тем же страдает и сам шифр. В результате вместе с идентификатором алгоритма приходится передавать еще 64 байта данных, что очень неудобно.

2) Делать хеши из шифров - в принципе бред. Схема Меркла—Дамгарда, применяемая в данном случае, предполагает одностороннюю функцию сжатия, в какой-то мере обладающую такой же стойкостью к коллизиям, как и хеш. функция шифрования с ключом в виде доп. входа таковой не является и вставляется в эту схему с применением костылей.

segfault ★★★★★
(11.09.13 21:09:29 MSK)