КріптоПро

  1. Ніколя Куртуа - «великий і жахливий»
  2. алгебраїчний метод
  3. Диференціальний метод
  4. Атаки Ісобе і Дінур-Данкельмана-Шаміра
  5. Атаки в припущенні, що порушник знає «дещо» про ключах
  6. Сухий залишок: яка стійкість на практиці?
  7. література

В останні роки з'являється велика кількість   статей   , Присвячених аналізу російського алгоритму блокового ( «блочного») шифрування ГОСТ 28147-89 (див

В останні роки з'являється велика кількість статей , Присвячених аналізу російського алгоритму блокового ( «блочного») шифрування ГОСТ 28147-89 (див. [ГОСТ] ). Одночасно з цим в російських ЗМІ та блогах російських користувачів зростає число заміток про даний алгоритм: як висвітлюють різного ступеня достовірності результати атак на російський стандарт, так і містять думки про його експлуатаційних характеристиках. У авторів (а, отже, і читачів) даних нотаток часто складається враження, що вітчизняний алгоритм шифрування є морально застарілим, повільним і володіє уразливими, що роблять його схильним до атакам в істотній мірі більше, ніж закордонні алгоритми шифрування з аналогічною довжиною ключа. Даною серією заміток ми хотіли б в доступній формі розповісти про справжній стан справ з країни або регіону. У першій частині будуть висвітлені всі відомі міжнародної криптографічного громадськості атаки на ГОСТ 28147-89, поточні оцінки його стійкості. У майбутніх публікаціях ми також докладно розглянемо властивості стандарту з точки зору можливості побудови ефективних реалізацій.

Ніколя Куртуа - «великий і жахливий»

Почнемо з розповіді про діяльність Ніколя Куртуа, який є автором цілого циклу робіт, присвячених російським стандартом блокового шифрування ([ Cour1-Cour5 ]).

У жовтні 2010 року було розпочато процес розгляду питання про включення алгоритму ГОСТ 28147-89 в міжнародний стандарт ISO / IEC 18033-3. Уже в травні 2011 року на електронному архіві ePrint з'явилася стаття відомого криптографа Ніколя Куртуа [ Cour1 ], Зазначеного вельми неоднозначним ставленням до нього світової криптографічного спільноти. Публікації Куртуа є сумний приклад маніпулювання поняттями, яка не відкриває ніяких нових властивостей даного об'єкту, але з претензією на сенсацію провокує поширення в некомпетентною середовищі хибних думок про його дійсних властивостях.

Ця, а також наступні ([ Cour2-Cour6 ]) Присвячені ГОСТ 28147-89 статті Куртуа мають вкрай схожу структуру. В анотації та введенні міститься насичений епітетами текст про те, наскільки жахливо слабким виявився російський стандарт блокового шифрування, як легко було побудувати на нього атаку і як катастрофічно було становище наївного комітету ISO, який, практично знаходячись на краю прірви, мало не взяв настільки вразливий російський стандарт в якості міжнародного. Далі присутні кілька оцінок трудомісткості атак Куртуа, істотно менших апріорної (трудомісткості повного перебору ключів) 2256, кілька слів про недалекоглядність міжнародного криптографічного спільноти, в черговий раз відкинув чергову його роботу, а далі ... далі йде основний зміст роботи, в якому дійшов до нього читач (а не журналіст, радісно закрив статтю, щоб миттєво поділитися зі світом новиною про тотальні вразливості в російському стандарті), на свій подив, не знаходить нічого схожого на строгий науковий текст з обґрунтуваннями атак: замість оповідання, побудованого за принципом «твердження-доказ», в роботах присутні «факти» і коментарі до цих фактів. Як обгрунтування цих фактів наводяться, в кращому випадку, правдоподібні міркування, але ніяк не суворі докази. У висновках робіт міститься ще один яскравий фрагмент тексту про досконалої несподіванки виявлення таких істотних слабостей в блоковому шифрі, розробленому в надрах лабораторій могутнього КДБ СРСР.

«It appears that also that it is for the first time in history that a major standardized block cipher intended to provide a military -grade level of security and intended to protect also classified and secret documents , for the government, large banks and other organisations, is broken by a mathematical attack. »[ Cour1 ]

алгебраїчний метод

Міркування Куртуа будуються навколо двох класів методів криптоаналізу: алгебраїчних методів і диференціальних. Розглянемо перший клас методів.

Спрощено метод алгебраїчного криптоанализа можна описати як складання і рішення великої системи рівнянь, кожне з рішень якої відповідає меті криптоаналитика (наприклад, якщо система складається з однієї парі відкритого і шифрованого текстів, то всі рішення цієї системи відповідають ключам, при яких даний відкритий текст перетворюється в даний шифрований). Тобто, в разі завдання криптоаналізу блокового шифру, суть алгебраїчного методу криптоаналізу полягає в тому, що ключ знаходиться в результаті рішення системи поліноміальних рівнянь. Основна складність полягає в тому, щоб з урахуванням особливостей конкретного шифру зуміти скласти якомога простішу систему, щоб процес її рішення зайняв якомога менше часу. Тут ключову роль відіграють особливості кожного конкретного аналізованого шифру.

Алгебраїчний метод, експлуатований Куртуа, коротко можна описати так. На першому етапі використовуються такі властивості ГОСТ 28147-89, як існування нерухомої точки для частини шифрувального перетворення, а також так званої точки відображення (reflection point). Завдяки цим властивостям з досить великої кількості пар відкритих-шифрованих текстів вибирається кілька пар, які дозволяють розглядати перетворення не на 32, а лише на 8 раундах. Другий етап полягає в тому, що за отриманими на першому етапі результатами 8-ми раундовий перетворень будується система нелінійних рівнянь, невідомими в якій є біти ключа. Далі ця система вирішується (це звучить просто, але в дійсності є найбільш трудомісткою частиною методу, тому що система складається з нелінійних рівнянь).

Як вже зазначалося вище, ніде в роботі немає детального опису та аналізу трудомісткості другого і головного етапу визначення ключа. Саме трудомісткість другого етапу визначає трудомісткість всього методу в цілому. Замість цього автор наводить горезвісні «факти», на основі яких робить оцінки трудомісткості. Стверджується, що ці «факти» засновані на результатах експериментів. Аналіз «фактів» з роботи Куртуа в цілому наведено в роботі [ Rud2 ] Вітчизняних авторів. Авторами цієї роботи зазначається, що багато хто з представлених без будь-яких доказів «фактів» Куртуа при експериментальній перевірці виявилися помилковими. Автори статті пішли далі і за Куртуа провели аналіз трудомісткості другого етапу за допомогою добре обґрунтованих алгоритмів і оцінок. Утворені в результаті оцінки трудомісткості показують повну непридатність представленої атаки. Крім вітчизняних авторів, великі проблеми, які виникають у Куртуа з оцінками і обгрунтуванням своїх методів, відзначалися також, наприклад, в роботі [ Cid ].

Диференціальний метод

Розглянемо другий метод Куртуа, який заснований на Диференціальний криптоаналіз.

Загальний метод диференціального криптоаналізу базується на експлуатації властивостей використовуваних в криптографічних примітивах нелінійних відображень, пов'язаних з впливом значення ключа на залежності між речами пар вхідних і пар вихідних значень даних відображень. Опишемо основну ідею диференціального методу криптографічного аналізу блокового шифру. Зазвичай блокові шифри перетворюють вхідні дані поетапно за допомогою деякої кількості так званих раундовий перетворень, причому кожне раундовому перетворення використовує не весь ключ, а лише деяку його частину. Розглянемо трохи «усічений» шифр, який відрізняється від вихідного тим, що в ньому немає останнього раунду. Припустимо, що вдалося встановити, що в результаті шифрування за допомогою такого «усіченого» шифру двох відкритих текстів, що відрізняються в деяких фіксованих позиціях, з великою ймовірністю виходять шифртекст, які також відрізняються в деяких фіксованих позиціях. Це властивість показує, що «усічений» шифр з великою ймовірністю залишає залежність між деякими відкритими текстами і результатами їх шифрування. Щоб за допомогою цього явного недоліку відновити частину ключа, необхідно мати можливість зашифрувати заздалегідь обрані відкриті тексти на тому ключі, який ми хочемо відновити (так звана «атака з обраним відкритим текстом»). На початку процедури «розтину ключа» випадково генерується кілька пар відкритих текстів, що відрізняються в тих самих фіксованих позиціях. Всі тексти зашифровуються за допомогою «повного» шифру. Отримані пари шифртекст використовуються для відновлення тих бітів ключа, які використовуються в останньому раундовому перетворенні, в такий спосіб. За допомогою деякого обраного навмання значення шуканих бітів ключа до всіх шифртекст застосовується перетворення, зворотне останньому раундовому перетворенню. По суті, якщо ми вгадали шукане значення бітів ключа, ми отримаємо результат роботи «усіченого» шифру, а якщо не вгадали - ми фактично «ще більше зашіфруем дані», що тільки зменшить помічену вище залежність між блоками (відмінність у деяких фіксованих позиціях). Іншими словами, якщо серед результатів такої «дообробки» шифртекст знайшлося досить багато пар, що відрізняються в відомих нам фіксованих позиціях, то це означає, що ми вгадали шукані біти ключа. В іншому випадку таких пар знайдеться істотно менше. Оскільки в кожному раунді використовується тільки частина ключа, шуканих бітів (тобто бітів ключа, використовуваних в останньому раунді) не так багато, як бітів в повному ключі і їх можна просто перебрати, повторюючи зазначені вище дії. В такому випадку ми обов'язково коли-небудь натрапимо на правильне значення.

З наведеного вище опису випливає, що найважливіше в диференціальному методі аналізу - це номери тих самих позицій у відкритих текстах і шифртекст, відмінності в яких грають ключову роль при відновленні бітів ключа. Принципове наявність цих позицій, як і набір їх номерів, безпосередньо залежить від властивостей тих нелінійних перетворень, які використовуються в будь-якому блоковому шифрі (зазвичай вся «нелінійність» зосереджена в так званих S-блоках або вузлах заміни).

Куртуа використовує дещо модифікований варіант диференціального методу. Відразу ж відзначимо, що свій аналіз Куртуа проводить для S-блоків, відмінних від діючих і від запропонованих в ISO. В роботі наводяться диференціальні характеристики (ті самі номери, в яких повинні відрізнятися блоки) для малого числа раундів. Обгрунтування продовження характеристик на більше число раундів, як водиться, засноване на «факти». Куртуа висловлює, знову ж таки, нічим, крім його авторитету, не підкріплене припущення, що зміна S-блоків не вплине на стійкість ГОСТ 28147-89 проти його атаки (при цьому з незрозумілих причин S-блоки з 1-го робочого проекту доповнення до стандарту ISO / IEC 18033-3 не розглядалися). Аналіз, проведений авторами статті [ Rud2 ], Показує, що навіть якщо прийняти на віру необгрунтовані «факти» Куртуа і провести аналіз ГОСТ 28147-89 з іншими S-блоками, то атака знову ж виявляється не краще повного перебору.

Детальний аналіз робіт Куртуа з докладним обгрунтуванням безпідставність всіх тверджень про зниження стійкості російського стандарту було проведено в роботах [ Rud2 , Руд2 ].

При цьому абсолютна відсутність акуратності викладок визнає навіть сам Куртуа! Наступний слайд взятий з презентації Куртуа на секції коротких оголошень FSE 2012.

Наступний слайд взятий з презентації Куртуа на секції коротких оголошень FSE 2012

Необхідно відзначити, що роботи Куртуа неодноразово критикувалися також і зарубіжними дослідниками. Наприклад, його роботи з побудови атак на алгоритм блокового шифрування AES за допомогою XSL-методу містили ті ж принципові недоробки, що і роботи з аналізу російського стандарту: більшість оцінок трудомісткості з'являється в тексті зовсім безпідставно і бездоказово - детальну критику можна знайти, наприклад, в роботі [ Cid ]. Крім того, сам Куртуа визнає повсюдні відмови в публікації його робіт на великих криптографічних конференціях і в визнаних рецензованих журналах, залишали йому часто лише можливість виступити на секції коротких оголошень. Про це, наприклад, можна прочитати в розділі 3 роботи [ Cour4 ]. Ось деякі цитати, наведені самим Куртуа і відносяться до його робіт:

  • «I think that the audiences of Asiacrypt will not feel it is interesting ». Рецензент Asiacrypt 2011 року.
  • «... there is a big, big, big problem: this attack, which is the main contribution of the paper has already been published at FSE'11 (it was even the best paper), ...». Рецензент Crypto 2011 року.

Таким чином, професійна частина міжнародної криптографічного громадськості відноситься до якості робіт Куртуа з не меншим сумнівом, ніж, скажімо, до не підтвердженими жодними послідовними викладками заявам деяких російських фахівців про їхнє вміння зламувати AES за 2100 або до чергових "доказам" на дві сторінки гіпотези про нерівності сложностних класів P і NP.

Атаки Ісобе і Дінур-Данкельмана-Шаміра

Загальна ідея атак Ісобе ([ Isobe ]) І Дінур-Данкельмана-Шаміра (далі: атака ДДШ) ([ DDS ]) Полягає в побудові для певного (залежить від ключа) вузького безлічі відкритих текстів еквівалентного на цій множині перетворення, що має більш просту, ніж саме шифрувальне перетворення, структуру. У разі методу Ісобе це безліч таких 64-бітних блоків x, що F8-1 (Swap (F8 (z))) = z, де z = F16 (x), через F8 (x) і F16 (x) позначені перші 8 і перші 16 раундів шифрування ГОСТ 28147-89 відповідно, через Swap - операція обміну місцями половинок 64-байтового слова. При попаданні відкритого тексту в це безліч результат повного 32-раундового перетворення ГОСТ 28147-89 збігається з результатом 16-раундового, що і експлуатується автором атаки. У разі методу ДДШ це безліч таких x, що F8 (x) = x (нерухома точка перетворення F8). Для будь-якого відкритого тексту з цієї множини перетворення ГОСТ 28147-89 працює в точності так само, як останні його 8 раундів, що і спрощує аналіз.

Трудомісткість атаки Ісобе становить 2224 операцій зашифрування, атаки ДДШ - 2192. Однак все питання про те, чи слід, що атаки Ісобе і ДДШ вносять нові обмеження на умови застосування нашого алгоритму, знімає оцінка вимог до обсягу матеріалу, необхідного для проведення кожної з атак: для методу Ісобе потрібно 232 пар відкритих і шифрованих текстів, а для методу ДДШ - 264. Обробка таких обсягів матеріалу без зміни ключа апріорно є неприйнятною для будь-якого блокового шифру з довжиною блоку 64: на матеріалі об'ємом 232, з урахуванням завдання про дні ро дення (див., наприклад, [ ISO ]), Близька до 1/2 ймовірність появи повторюваних блоків, що надасть порушнику можливість робити по шифрованих текстів деякі висновки про відкриті текстах без визначення ключа. Наявність же 264 пар відкритих і шифрованих текстів, отриманих на одному ключі, фактично дозволяє противнику здійснювати операції шифрування і розшифрування взагалі без знання цього ключа. Це обумовлено чисто комбінаторних властивістю: противник в цьому випадку має всю таблицею шифрувального перетворення. Така ситуація абсолютно недопустима ні за яких розумних експлуатаційних вимогах. Наприклад, в КріптоПро CSP присутній технічне обмеження на обсяг шифруемого (без перетворення ключа) матеріалу в 4 Мб (див. [ CPDN ]). Таким чином, сувора заборона на використання ключа на матеріалі такого обсягу притаманний кожному блоковому шифру з довжиною блоку 64 біта, а отже, атаки Ісобе і ДДШ жодним чином не звужують область використання алгоритму ГОСТ 28147-89 при збереженні максимально можливої ​​стійкості 2256.

Безумовно, не можна не відзначити, що дослідниками (Ісобе і Дінур-Данкельманом-Шамір) було показано, що деякі властивості алгоритму ГОСТ 28147-89 дозволяють знаходити шляхи аналізу, не враховані творцями алгоритму. Простий вид ключового розкладу, істотно спрощує завдання побудови ефективних реалізацій, також дозволяє для деяких рідкісних випадків ключів і відкритих текстів будувати простіші опису перетворень, вироблених алгоритмом.

В роботі [ ДмухМаршалко ] Продемонстровано, що дане негативна властивість алгоритму може бути легко усунуто з повним збереженням експлуатаційних характеристик, однак воно, на жаль, є невід'ємною частиною алгоритму в повсюдно використовується його вигляді.

Відзначимо, що певні недбалості в оцінках середньої трудомісткості присутні і в роботі Дінур, Данкельмана і Шаміра. Так, при побудові атаки не приділяється належної уваги наступного моменту: для істотної частки ключів безліч відкритих текстів x, таких, що F8 (x) = x, є порожнім: нерухомих точок у 8 раундів перетворення може просто не бути. Існування нерухомих точок залежить також і від вибору вузлів заміни. Таким чином, атака є прийнятною тільки за певних вузлах заміни і ключах.

Варто згадаті такоже ще про одну роботі з атакою на ГОСТ 28147-89. У лютому 2012 року на електронному архіві ePrint міжнародної криптографічного асоціації з'явилася оновлена ​​версія статті [ ZhuGong ] (Від листопада 2011 року), яка містила нову атаку на ГОСТ 28147-89. Характеристики представленої атаки такі: обсяг матеріалу - 232 (як у Ісобе), а трудомісткість - 2192 (як у ДДШ). Таким чином, ця атака покращувала рекордну за часом атаку ДДШ за обсягом матеріалу з 264 до 232. Відзначимо окремо, що автори чесно привели все викладки з обґрунтуванням трудомісткості і обсягу матеріалу. Через 9 місяців в наведених викладках була знайдена принципова помилка, і з листопада 2012 року оновлена ​​версія статті в електронному архіві вже не містить будь-яких результатів щодо вітчизняного алгоритму.

Атаки в припущенні, що порушник знає «дещо» про ключах

Зауважимо наостанок, що в літературі також є певна кількість робіт (див., Наприклад, [ R ] І [ П ]), Присвячених атакам на ГОСТ 28147-89 в так званій моделі зі зв'язаними ключами. Дана модель в своїй основі містить припущення про можливість порушника отримувати доступ для аналізу не просто до парам відкритих і шифрованих за допомогою шуканого ключа текстів, але також до парам відкритих і шифрованих текстів, отриманих за допомогою (також невідомих) ключів, що відрізняються від шуканого відомим регулярним чином (наприклад, в фіксованих бітових позиціях). У даній моделі дійсно вдається отримати цікаві результати про ГОСТ 28147-89, проте в цій моделі не менш сильні результати вдається отримувати і про, наприклад, отримав найбільш широке поширення в сучасних мережах загального користування стандарті AES (див, наприклад, [ Khovr ]). Зауважимо, що умови для проведення такого роду атак виникають при використанні шифру в деякому протоколі. Не можна не відзначити, що результати такого роду, хоч і представляють безсумнівний академічний інтерес з точки зору вивчення властивостей криптографічних перетворень, але фактично не належать до практики. Наприклад, всі сертифіковані ФСБ Росії засоби криптографічного захисту інформації виконують найсуворіші вимоги по схемам вироблення ключів шифрування (див., Наприклад, [ ESP ]). Як зазначено в результатах проведеного в [ Rud1 ] Аналізу, при наявності 18 пов'язаних ключів і 210 пар блоків відкритого і шифрованого тексту трудомісткість повного розкриття закритого ключа, при ймовірності успіху 1-10-4, дійсно становить 226. Проте при дотриманні згаданих вище вимог щодо вироблення ключового матеріалу ймовірність виявлення таких ключів дорівнює 2-4352, тобто в 24096 разів менше, ніж якщо просто спробувати вгадати секретний ключ з першої спроби.

До робіт, що належать до моделі зі зв'язаними ключами, відноситься також і робота [ Fle ], Яка наробила в 2010 році багато шуму в російських електронних виданнях, які не страждають від звички уважно перевіряти матеріал в процесі гонки за сенсаціями. Результати, представлені в ній, не були підкріплені якимось хоч трохи суворим обґрунтуванням, зате містили гучні заяви про можливість зламувати державний стандарт Російської Федерації на слабенькому ноутбуку за лічені секунди - в загальному, стаття була написана в кращих традиціях Ніколя Куртуа. Але, не дивлячись на абсолютно очевидну мало-мальськи знайомому з основними принципами науковості публікацій читачеві безпідставність статті, саме для заспокоєння російської громадськості після роботи [ Fle ] Рудська був написаний детальний і ґрунтовний текст [ Rud1 ], Що містить всебічний аналіз даної недостат. У статті з промовистою назвою "Про нульовий практичної значущості роботи« Key recovery attack on full GOST block cipher with zero time and memory »" наводиться обгрунтування того, що середня трудомісткість наведеного в [ Fle ] Методу не менше, ніж трудомісткість повного перебору.

Сухий залишок: яка стійкість на практиці?

На закінчення наведемо таблицю, яка містить дані про всі відомі міжнародному криптографічним спільноті результати строго описаних і обґрунтованих атак на ГОСТ 28147-89. Відзначимо, що складність наводиться в операціях зашифрования алгоритму ГОСТ 28147-89, а пам'ять і матеріал вказані в блоках алгоритму (64 біта = 8 байт).

Атака Трудомісткість Пам'ять Необхідний матеріал Ісобе 2224 264 232 Дінур-Данкельман-Шамір, FP, 2DMitM 2192 236 264 Дінур-Данкельман-Шамір, FP, low-memory 2204 219 264 Дінур-Данкельман-Шамір, Reflection, 2DMitM 2224 236 232 Дінур-Данкельман -Шамір, Reflection, 2DMitM 2236 219 232 Повний перебір 2256 1 4 Кількість наносекунд з виникнення Всесвіту 289

Незважаючи на досить масштабний цикл досліджень в області стійкості алгоритму ГОСТ 28147-89, на даний момент не відомо жодної атаки, умови для здійснення якої були б досяжними при супутніх довжині блоку в 64 біта експлуатаційних вимогах. Випливають з параметрів шифру (бітова довжина ключа, бітова довжина блоку) обмеження на обсяг матеріалу, який може бути оброблений на одному ключі, істотно суворіше мінімального обсягу, який необхідний для здійснення будь-якої з відомих на даний момент атак. Отже, при виконанні існуючих експлуатаційних вимог жоден із запропонованих на цей момент методів криптоаналізу ГОСТ 28147-89 не дозволяє визначати ключ з трудомісткістю меншою повного перебору.

В наступній частині статті в нашому блозі ми плануємо обговорення можливостей створення швидких реалізацій ГОСТ 28147-89.

література

[ГОСТ] Системи обробки інформації. Захист криптографічний. Алгоритм криптографічного перетворення. ПОСИЛАННЯ .

[ТК26] Про діяльність по міжнародній стандартизації алгоритму шифрування ГОСТ 28147-89. ПОСИЛАННЯ .

[ESP] Комбінований алгоритм шифрування вкладень IPsec (ESP) на основі ГОСТ 28147-89. ПОСИЛАННЯ .

[CPDN] Інтерфейс криптопровайдера "КріптоПро CSP 3.6". Опис функції CPEncrypt. ПОСИЛАННЯ .

[ISO] ISO / IEC JTC 1 / SC 27 Standing Document 12.

[Khovr] Related-key Cryptanalysis of the Full AES-192 and AES-256. Alex Biryukov, Dmitry Khovratovich // Advances in Cryptology - ASIACRYPT 2009.

[Cid] C. Cid and G. Leurent. An Analysis of the XSL Algorithm. In B. Roy, editor, Proceedings of Asiacrypt 2005, LNCS, volume 3788, pages 333-352, Springer-Verlag, 2005.

[Cour1] N. Courtois. Security Evaluation of GOST 28147-89 In View Of International Standardisation. Cryptology ePrint Archive 2011/211 .

[Cour2] N. Courtois. M. Misztal, First Differential Attack On Full 32-Round GOST, in ICICS'11, pp. 216-227, Springer LNCS 7043, 2011 року.

[Cour3] N. Courtois. M. Misztal, Differential Cryptanalysis of GOST. Cryptology ePrint Archive 2011/312 .

[Cour4] N. Courtois. Algebraic Complexity Reduction and Cryptanalysis of GOST. Cryptology ePrint Archive 2011/626 .

[Cour5] N. Courtois. An Improved Differential Attack on Full GOST. Cryptology ePrint Archive 2012/138 .

[Cour6] N. Courtois. Low-Complexity Key Recovery Attacks on GOST Block Cipher. Cryptologia Volume 37, Issue 1, 2013.

[DDS] I. Dinur, O. Dunkelman, A. Shamir. Improved Attacks on Full GOST. FSE 2012 LNCS 7549, pp. 9-28, 2012 (доступна також рання версія ).

[Fle] E. Fleischmann, M. Gorski, J.-H. Huhne, S. Lucks. Key Recovery Attack on full GOST Block Cipher with Zero Time and Memory, WEWoRC 2009.

[Isobe] T. Isobe. A Single-Key Attack on the Full GOST Block Cipher. FSE 2011. LNCS, vol. 6733, Springer, 2011, pp. 290-305.

[R] Y. Ko, S. Hong, W. Lee, S. Lee, J.-S. Kang. Related Key Differential Attacks on 27 Rounds of XTEA and Full-Round GOST. In: Roy, BK, Meier, W. (eds.) FSE 2004. LNCS, vol. 3017, pp. 299-316. Springer, Heidelberg (2004).

[Rud1] V. Rudskoy. On zero practical signi fi cance of "Key recovery attack on full GOST block cipher with zero time and memory. Cryptology ePrint Archive 2010/111 .

[Rud2] V. Rudskoy, A. Dmukh. Algebraic and Differential Cryptanalysis of GOST: Fact or Fiction. Proceedings of CTCrypt 2012.

[ZhuGong] B. Zhu, G. Gong. Multidimensional Meet-in-the-Middle Attack and Its Applications to GOST, KTANTAN and Hummingbird-2. Cryptology ePrint Archive 2011/619 .

[ДмухМаршалко] А. Дмух, Д. Дигін, Г. маршалком. Про можливість модифікації алгоритму шифрування ГОСТ 28147-89 зі збереженням прийнятних експлуатаційних характеристик. Матеріали конференції Рускріпто-2013.

[П] М. Пудовкіна, Г. Хоруженко. Атака на шіфрсістему ГОСТ 28147-89 з 12 пов'язаними ключами. Матем. пит. Криптограми., 2013, 4, 2, 127-152.

[Руд1] В. Рудська. Про деякі підходи до оцінки ефективності методів криптографічного аналізу, що використовують пов'язані ключі. Матеріали конференції Рускріпто-2011.

[Руд2] В. Рудська. Огляд останніх публікацій по криптографічним дослідженням алгоритму шифрування ГОСТ 28147-89. Матеріали конференції Рускріпто-2012.

Деякі статті і коментарі в мережі:

1) https://www.pgpru.com/novosti/2012/nkurtuapytaetsjadokazatjnevozmozhnostjsozdanijastojjkihsblokovdljagost2814789

2) http://lukatsky.blogspot.ru/2011/05/28147-89.html

3) http://iso27000.ru/novosti-i-sobytiya/zzz

4) http://www.itsec.ru/articles2/crypto/gost-28147-89-vzloman/

5) http://infoch.info/view_new.php?id=55

6) http://www.securitylab.ru/news/405678.php

7) http://www.iso27000.ru/novosti-i-sobytiya/zzz

8) http://habrahabr.ru/post/134037/

9) http://reply-to-all.blogspot.ru/2011/07/28147-89.html

10) http://apmi.bsu.by/blog/cryptology/gost-boxes.html

Алексєєв Е.К., к.ф.-м.н.
Смишляєв С.В., к.ф.-м.н.

Сухий залишок: яка стійкість на практиці?
Php?