Стрибог - Streebog

Стрибог
Общий
ДизайнеровФСБ, ООО «ИнфоТеКС»
Впервые опубликовано2012
Относится кГОСТ
СертификацияГОСТ ГОСТ, ISO / IEC 10118-3:2018, RFC 6986
Деталь
Размеры дайджеста256 и 512
Раундов12
Лучшая публика криптоанализ
Вторая атака на прообраз с 2266 временная сложность.[1]

Стрибог (русский: Стрибог) это криптографическая хеш-функция определено в российском национальном стандарте ГОСТ Р 34.11-2012 Информационные технологии - Криптографическая информационная безопасность - Хеш-функция. Он был создан для замены устаревшего ГОСТ хэш-функция, определенная в старом ГОСТ Р 34.11-94, и как асимметричный ответ на SHA-3 конкуренция США Национальный институт стандартов и технологий.[2] Функция также описана в RFC 6986 и одна из хэш-функций в ISO / IEC 10118-3:2018[3].

Описание

Streebog работает с 512-битными блоками ввода, используя Строительство Меркле-Дамгарда для обработки входов произвольного размера.[4]

Высокоуровневая структура новой хеш-функции напоминает структуру из ГОСТ Р 34.11-94, однако функция сжатия была существенно изменена.[5] Функция сжатия работает в Миягути – Пренель режим и использует 12-зарядный AES -подобный шифр с 512-битным блоком и 512-битным ключом. (Он использует матрицу байтов 8 × 8, а не матрицу AES 4 × 4.)

Streebog-256 использует другое начальное состояние, чем Streebog-512, и обрезает выходной хэш, но в остальном идентичен.

Функция получила название Стрибог после Стрибог, бог порывистого ветра в древнеславянской мифологии,[2] и часто упоминается под этим именем, даже несмотря на то, что это явно не упоминается в тексте стандарта.[6]

Примеры хэшей Стрибога

Хеш-значения пустой строки.

Стрибог-256 ("")0x 3f539a213e97c802cc229d474c6aa32a825a360b2a933a949fd925208d9ce1bbСтрибог-512 ("")0x 8e945da209aa869f0455928529bcae4679e9873ab707b55315f56ceb98bef0a7  362f715528356ee83cda5f2aac4c6ad2ba3a715c1bcd81cb8e9f90bf4c1c1a

Даже небольшое изменение в сообщении (с огромной вероятностью) приведет к в основном другому хешу из-за лавинный эффект. Например, добавив точку в конце предложения:

Стрибог-256 ("Быстрая коричневая лиса прыгает через ленивую собаку ")0x 3e7dea7f2384b6c5a3d0e24aaa29c05e89ddd762145030ec22c71a6db8b2c1f4Стрибог-256 ("Быстрая коричневая лиса прыгает через ленивую собаку.")0x 36816a824dcbe7d6171aa58500741f2ea2757ae2e1784ab72c5c3c6c198d71daСтрибог-512 ("Быстрая коричневая лиса прыгает через ленивую собаку ")0x d2b793a0bb6cb5904828b5b6dcfb443bb8f33efc06ad09368878ae4cdc8245b9  7e60802469bed1e7c21a64ff0b179a6a1e0bb74d92965450a0adab69162c00feСтрибог-512 ("Быстрая коричневая лиса прыгает через ленивую собаку.")0x fe0c42f267d921f940faa72bd9fcf84f9f1bd7e9d055e9816e4c2ace1ec83be8  2d2957cd59b86e123d8f5adee80b3ca08a017599a9fc1a14d94070f87c77c

Криптоанализ

В 2013 году Российский технический комитет по стандартизации «Криптография и механизмы безопасности» (ТК 26) при участии Академии криптографии Российской Федерации объявил открытый конкурс на криптоанализ хеш-функции Стрибога,[7] что привлекло международное внимание к функции.

Ма, и другие, опишите атака на прообраз это занимает 2496 время и 264 память или 2504 время и 211 Память на поиск одиночного прообраза по ГОСТ-512 уменьшена до 6 патронов.[8] Они также описывают столкновение с 2181 временная сложность и 264 требования к памяти в той же статье.

Го, и другие, опишите вторая атака на прообраз на полном Streebog-512 с общей временной сложностью, эквивалентной 2266 оценки функции сжатия, если в сообщении более 2259 блоки.[1]

Альтави и Юсеф опубликовали атаку на модифицированную версию Streebog с разными константами раунда.[9] Хотя эта атака может не иметь прямого воздействия на безопасность исходной хэш-функции Streebog, она подняла вопрос о происхождении используемых параметров в функции. Разработчики опубликовали документ, в котором объясняется, что это псевдослучайные константы, сгенерированные с помощью хеш-функции, подобной Streebog, с 12 различными входными сообщениями на естественном языке.[10]

Альтави, и другие, обнаружено 5-раундовое столкновение при свободном запуске и 7,75 свободного старта вблизи столкновения для внутреннего шифра со сложностями 28 и 240соответственно, а также атаки на функцию сжатия с 7,75-раундовой полусвободной коллизией с временной сложностью 2184 и сложность памяти 28, 8,75 и 9,75 раунда полусвободный старт вблизи столкновений с временными сложностями 2120 и 2196, соответственно.[11]

Ван, и другие, опишите столкновение с функцией сжатия, уменьшенное до 9,5 раундов с 2176 временная сложность и 2128 сложность памяти.[12]

В 2015 году Бирюков, Перрин и Удовенко провели реверс-инжиниринг неопубликованной структуры генерации S-блоков (которая, как ранее утверждалось, генерировалась случайным образом) и пришли к выводу, что лежащие в ее основе компоненты криптографически слабые.[13]

Смотрите также

Рекомендации

  1. ^ а б Цзянь Го, Жереми Жан, Гаэтан Леурент, Томас Пейрин, Лэй Ван (2014-08-29). Новый взгляд на использование счетчика: атака второго прообраза на новую российскую стандартизованную хеш-функцию. SAC 2014.CS1 maint: использует параметр авторов (связь)
  2. ^ а б ГОСТ Р 34.11-2012 - Хеш-функция Стрибога.
  3. ^ «ISO / IEC 10118-3: 2018 Методы безопасности ИТ - Хеш-функции - Часть 3: Выделенные хеш-функции».
  4. ^ StriBob: аутентифицированное шифрование из ГОСТ Р 34.11-2012 LPS Permutation
  5. ^ Алгебраические аспекты российского стандарта хеширования ГОСТ Р 34.11-2012
  6. ^ Полный текст стандарта ГОСТ Р 34.11-2012 (на русском)
  7. ^ Открытый конкурс научных работ по анализу криптографических свойств хеш-функции ГОСТ Р 34.11-2012
  8. ^ Бингкэ Ма, Бао Ли, Жунлинь Хао, Сяоцянь Ли. «Улучшенный криптоанализ по ГОСТу с сокращенным циклом и хеш-функция Whirlpool (полная версия)» (PDF).CS1 maint: использует параметр авторов (связь)
  9. ^ Рихам Альтави, Амр М. Юсеф. "Следите за своими константами: вредоносный стрибог" (PDF).CS1 maint: использует параметр авторов (связь)
  10. ^ Замечание о происхождении констант Стрибога
  11. ^ Рихам Альтави, Александар Киркански, Амр М. Юсеф. «Ответные атаки на Стрибог» (PDF).CS1 maint: использует параметр авторов (связь)
  12. ^ Цзун Юэ Ван, Хунбо Ю, Сяоюнь Ван (10.09.2013). «Криптоанализ хэш-функции ГОСТ Р». Письма об обработке информации. 114 (12): 655–662. Дои:10.1016 / j.ipl.2014.07.007.CS1 maint: использует параметр авторов (связь)
  13. ^ Бирюков Алексей; Перрен, Лео; Удовенко, Алексей (2016). «Обратный инжиниринг S-box Streebog, Kuznyechik и STRIBOBr1 (Полная версия)». Цитировать журнал требует | журнал = (помощь)