分析了一对俄罗斯加密算法

一对俄罗斯设计的密码算法——kuznyechik块密码和streebog散列函数——具有相同的特性。瑕疵的S盒这几乎肯定是一个有意的后门.这不是你偶然犯的那种错误,2014年不行。

5月10日发布,2019年上午6:30•25条评论

评论

威廉·退尔·5月10日,2019年上午6:58

>希望巩固其密码的国家
>算法作为标准

保密性和标准在同一时空中是不可能存在的。

JBMartin6型·5月10日,2019早上7点36分

我知道在已经实现的算法中也存在类似的缺陷,但它并不是一条明确的开发道路。你认为俄国人有办法利用它吗?或者他们会简单地把它放在他们的提议中,并希望在以后找到一种利用它的方法吗?这种利用也可能适用于其他类似的缺陷吗?说到这一点:

“俄国人在会议上提出的观点之一,其他算法,更广泛使用的是,我们也担心类似的类型,但我们不认为我们应该停止使用它们。他们说得对。”

德拉夫特·5月10日,2019上午8:44

有人能给我/我们一份密码算法的清单吗?那个
2019年使用安全,是否没有已知的弱点/后门?
谢谢!

布鲁斯·施奈尔·5月10日,2019上午10:22

@RealFakeNews

“当你说“同样有缺陷的S-Box”,是相同的漏洞还是使用相同的S-Box?”

这两种算法使用相同的S-Box。

苏格兰人·5月10日,2019上午10:42

@现实世界看起来是一样的。这是S-Box的内容,从论文“逆向工程街道沼泽的S-Box,Kuznyechik和Stribobr1“:

0.1.2.3.4.5.6.7.8.9.a.b.c.d.e.f
0.fc ee dd 11 cf 6e 31 16 fb c4 fa da 23 c5 04 4d
1.E9 77 F0 DB 93 2E 99 BA 17 36 F1 BB 14 CD 5F C1
2.F9 18 65 5a e2 5c ef 21 81 1c 3c 42 8b 01 8e 4f
3.05 84 02 ae e3 6a 8f a0 06 0b ed 98 7f d4 d3 1f
4.eb 34 2c 51 ea c8 48 ab f2 2a 68 a2 fd 3a ce cc
5.B5 70 0E 56 08 0C 76 12 BF 72 13 47 9C B7 5D 87
6.15 A1 96 29 10 7B 9A C7 F3 91 78 6F 9D 9E B2 B1
7.32 75 19 3D FF 35 8A 7E 6D 54 C6 80 C3 BD 0D 57
8.df f5 24 a9 3e a8 43 c9 d7 79 d6 f6 7c 22 b9 03型
9.E0 0F EC DE 7A 94 B0 BC DC E8 28 50 4E 33 0A 4A
A.A7 97 60 73 1E 00 62 44 1A B8 38 82 64 9F 26 41
公元45 46 92 27 5E 55 2F 8C A3 A5 7D 69 D5 95 3B
C.07 58 B3 40 86 AC 1D F7 30 37 6B E4 88 D9 E7 89
D.E1 1B 83 49 4C 3F F8 FE 8D 53 AA 90 CA D8 85 61
E.20 71 67 A4 2d 2B 09 5B CB 9B 25 D0 BE E5 6C 52
F.59 A6 74 D2 E6 F4 B4 C0 D1 66 AF C2 39 4B 63 B6

他们正在寻找模式,由于算法的开发人员没有详细说明用于生成S-Box的技术,他们怀疑这些模式可能是由于在S盒中设计了一个漏洞。

罗斯·斯奈德·5月10日,2019年12:02下午

这凸显了任何潜在的国际标准都需要完全公开的设计理念的重要性。

如果对这些密码的威胁和设计不透明,我们受制于“每个人都应该安全,除了我之外”赛跑到底。

同样的问题也面临着软件的透明性,固件和硬件。

帕里·诺尔·5月10日,2019年下午3:47

@罗斯·斯奈德

这强调了任何潜在的国际标准都需要完全公开的设计理念的重要性。

公共设计理论的一个问题是,对于看似随机的元素,你无法判断它们是否只是满足所有公开标准的随机选择,或者是否仔细选择它们以满足其他未注明的要求。也许开发过程的结构可以使设计者指定设计规则,所有的随机元素都是由一个独立的可验证的过程。

罗斯·斯奈德·5月10日,2019年下午6:44

@帕里·诺尔

我同意这是个问题,但解决方案确实存在——比如nums(“我袖手旁观”)曲线。您指定了密码的设计原理,并从中派生出符合规范的第一个有效系统。你的建议似乎也很公平。

另外:我愿意接受由一个创作机构选择的随机元素,如果它也提供了一个安全模型,涵盖了如何选择组合的看似随机的字段可能允许标准被颠覆,结果表明,设计这些参数所需的计算量是不可行的,等。

另一次·5月11日,2019是我

虽然我对数学有点了解,报纸有点难理解。对我来说,令人印象深刻的是,作者能够获得关于S-Box的信息,表面下的东西。尤其是第二篇论文,佩林,重建设计过程。在密码分析的历史上有更多这样的例子吗?对我来说,这真是太神奇了。

justinacolmena·5月11日,2019年12:06下午

威廉·泰尔•5月10日,2019年上午6:58

>希望巩固其密码的国家
>算法作为标准

保密性和标准在同一时空中是不可能存在的。

这是一种建立共济会对“特殊艺术”的痴迷。

不要看那些有着熟悉精神的人,既不追求巫师,被他们玷污。我是耶和华你们的神。

密码学和密码学被称为“黑人艺术”不符合《圣经》所要求的_

马尔克·5月11日,2019年下午3:27

@贾斯汀娜:

有那么一会儿,我以为字母“A”上的小记号在Glasnost,可能是我屏幕上的一点灰尘…

…直到我意识到这一定是字典词条上的重音标记。

对于任何关心发音的人,你可以用GLOSS-nust(与dust押韵)来接近这个词,这样你就能听懂了。

但是为了准确地得到它,“t”必须与一个微妙的“y”音同时发音(如“yellow”)。这就是对很多学俄语的学生来说极具挑战性的软味觉。

空间生命形式·5月11日,2019年下午4:12

@草案

不。

开玩笑。这是非常困难的。

IMHO,使用曲线和一个好的散列。

想想看,真的?认真考虑一下如何攻击你的协议。

几年后再联系我们,真的考虑过攻击角度,如果你找到了解决方案,请告诉我们。

我不会使用RSA,俄歇电子能谱,或任何DHE。

我有没有提到好的随机性?

布鲁斯·施奈尔·5月11日,2019年下午4:50

@mark

“布鲁斯,你写的,“这不是你偶然犯的那种错误,不是在2014年。2019年怎么样?”

据我所知,这两种算法的原始公共规范来自2014年。密码分析论文会在稍后发表。

justinacolmena·5月13日,2019上午11:33

@ MarkH

字典词条的重音标记。

那些俄语重音符号或口音可以追溯到古希腊语,事实上。我不完全确定。

希腊语也有平缓的呼吸和粗糙的呼吸痕迹,俄语中有硬而软的符号,相似但不完全相同。

γ

头饰侏儒·5月14日,2019年2:21 AM

我非常感谢这个优秀的博客。我很高兴,先生。施耐尔花时间帮助我们了解情况。

我希望对话和声明的语气能保持文明,这对我们每个人都有很好的反映,使我们读起来很愉快。

我会停止使用Kuznyechik。

天气·5月14日,2019年12:19 PM

12发3个不同的sbox,使一个12^3的二维数组从0x7fffff8000开始,如果1做i/2,并将下一个二维数组值相加,表示其2加到数组末尾的第一个i+0ff/2减去0x7fffff8000,你应该从一开始就走,
它有旋转功能,你可以在每一轮做,XOR打断了它的思考。

天气·5月14日,2019年49点

第1轮=1
“= 2
“= 1
“= 3
……
组成二维阵列
从0x00开始,sbox值=0x63
0x63,圆形1=0x63-0
0x7Fe 3

0×63 u0×aa
(0×AA+0×99)/2=0×86,第2轮
0x7fe3+0x86=0x8069


0x86 ux97
第3轮的0x97 - 0x86 = 0x11
0x8069 + 0x11 = 0x807a

0x11 U0XCA
(0xFF-0xCA)/2=0x1A
0x807A+0x1A=0x8094

0X7F80+0X1A=0X7F9A

0x8094-0x7F9A=0xFA,在sbox表中为15。

尼尔·麦克伯恩特·5月15日,2019年8:18我

我想知道的是场地是什么。为什么有人(特别是ISO)想要一个新的哈希函数或128位块密码?与其他许多算法相比,Kuznyechik或Strebog的设计有什么新颖或值得注意的地方,其中很多都经过了广泛的审查,设计更多的公开,等等?

ISO多长时间收到一次,或接受,像这样的新加密函数?

发表评论

允许的HTML:····

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM弹性.