Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Стрибог
Общий
ДизайнеровФСБ , ООО «ИнфоТеКС»
Впервые опубликовано2012 г.
Относится кГОСТ
СертификацияСтандарт ГОСТ , ISO / IEC 10118-3: 2018, RFC 6986
Деталь
Размеры дайджеста256 и 512
Раундов12
Лучший публичный криптоанализ
Атака второго прообраза с временной сложностью 2 266 . [1]

Streebog ( Русский : Стрибог ) - это криптографическая хеш-функция, определенная в российском национальном стандарте ГОСТ Р 34.11-2012 Информационные технологии - Криптографическая защита информации - Хеш-функция . Он был создан , чтобы заменить устаревший ГОСТ хэш - функцию , определенную в старом стандарта ГОСТ Р 34.11-94, а также в качестве асимметричного ответа на SHA-3 конкурса по США Национальным институтом стандартов и технологий . [2] Эта функция также описана в RFC 6986 и одна из хэш-функций в ISO / IEC 10118-3: 2018. [3]

Описание [ править ]

Streebog работает с 512-битными блоками входных данных, используя конструкцию Меркла – Дамгарда для обработки входных данных произвольного размера. [4]

Высокоуровневая структура новой хеш-функции напоминает структуру из ГОСТ Р 34.11-94, однако функция сжатия была существенно изменена. [5] Функция сжатия работает в режиме Миягути – Пренеля и использует 12-раундовый AES- подобный шифр с 512-битным блоком и 512-битным ключом. (Он использует матрицу байтов 8 × 8, а не матрицу AES 4 × 4.)

Streebog-256 использует другое начальное состояние, чем Streebog-512, и обрезает выходной хэш, но в остальном идентичен.

Функция была названа Стрибог в честь Стрибога , бога стремительного ветра в древнеславянской мифологии [2], и часто упоминается под этим именем, хотя в тексте стандарта это не упоминается явно. [6]

Примеры хэшей Стрибога [ править ]

Хеш-значения пустой строки.

Стрибог-256 ("")0x 3f539a213e97c802cc229d474c6aa32a825a360b2a933a949fd925208d9ce1bbСтрибог-512 ("")0x 8e945da209aa869f0455928529bcae4679e9873ab707b55315f56ceb98bef0a7 \ 362f715528356ee83cda5f2aac4c6ad2ba3a715c1bcd81cb8e9f90bf4c1c1a8a

Даже небольшое изменение в сообщении (с огромной вероятностью) приведет в основном к другому хешу из-за эффекта лавины . Например, добавив точку в конце предложения:

Стрибог-256 (« Быстрая коричневая лиса перепрыгивает через ленивого пса »)0x 3e7dea7f2384b6c5a3d0e24aaa29c05e89ddd762145030ec22c71a6db8b2c1f4Стрибог-256 (« Быстрая коричневая лисица перепрыгивает через ленивого пса ».)0x 36816a824dcbe7d6171aa58500741f2ea2757ae2e1784ab72c5c3c6c198d71daСтрибог-512 (« Быстрая коричневая лисица перепрыгивает через ленивого пса »)0x d2b793a0bb6cb5904828b5b6dcfb443bb8f33efc06ad09368878ae4cdc8245b9 \ 7e60802469кровать1e7c21a64ff0b179a6a1e0bb74d92965450a0adab69162c00feСтрибог-512 (« Быстрая коричневая лисица перепрыгивает через ленивого пса ».)0x fe0c42f267d921f940faa72bd9fcf84f9f1bd7e9d055e9816e4c2ace1ec83be8 \ 2d2957cd59b86e123d8f5adee80b3ca08a017599a9fc1a14d940cf87c77df070

Криптоанализ [ править ]

В 2013 году Российский технический комитет по стандартизации «Криптография и механизмы безопасности» (ТК 26) при участии Академии криптографии Российской Федерации объявил открытый конкурс на криптоанализ хеш-функции Стрибога [7], который привлек внимание мировой общественности к функция.

Ма и др. Описывают атаку по прообразу, которая требует 2 496 раз и 2 64 памяти или 2 504 раза и 2 11 памяти, чтобы найти единственный прообраз ГОСТ-512, сокращенный до 6 раундов. [8] Они также описывают столкновения атаки с 2 181 временной сложности и 2 64 требования к памяти в одной и той же бумаги.

Гуо и др. Описывают атаку второго прообраза на полный Streebog-512 с общей временной сложностью, эквивалентной 2 266 оценкам функции сжатия, если сообщение имеет более 2 259 блоков. [1]

Альтави и Юсеф опубликовали атаку на модифицированную версию Streebog с разными константами раунда. [9] Хотя эта атака не может иметь прямого воздействия на безопасность исходной хеш-функции Streebog, она подняла вопрос о происхождении используемых параметров в функции. Разработчики опубликовали документ, объясняющий, что это псевдослучайные константы, сгенерированные с помощью хеш-функции, подобной Streebog, с 12 различными входными сообщениями на естественном языке. [10]

AlTawy и др. Обнаружили 5- раундовую коллизию при свободном запуске и близкую коллизию 7,75 раунда для внутреннего шифра со сложностями 2 8 и 2 40 соответственно, а также атаки на функцию сжатия с полусвободным запуском 7,75 раунда. коллизия с временной сложностью 2 184 и сложностью памяти 2 8 , 8,75 и 9,75 раундов полусвободного старта вблизи коллизий с временными сложностями 2 120 и 2 196 , соответственно. [11]

Ван и др. Описывают атаку коллизии на функцию сжатия, сокращенную до 9,5 раундов с 2 176 временной сложностью и 2 128 запоминающей сложностью. [12]

В 2015 году Бирюков, Перрин и Удовенко провели реверс-инжиниринг неопубликованной структуры генерации S-блоков (которая, как ранее утверждалось, генерировалась случайным образом) и пришли к выводу, что лежащие в ее основе компоненты криптографически слабые. [13]

См. Также [ править ]

  • Сводка по безопасности хеш-функции

Ссылки [ править ]

  1. ^ a b Цзянь Го, Жереми Жан, Гаэтан Леурент, Томас Пейрин, Лей Ван (2014-08-29). Возвращение к использованию счетчика: атака второго прообраза на новую российскую стандартизированную хеш-функцию . SAC 2014.CS1 maint: использует параметр авторов ( ссылка )
  2. ^ a b ГОСТ Р 34.11-2012 - Хеш-функция Стрибога.
  3. ^ «ISO / IEC 10118-3: 2018 Методы безопасности ИТ - Хеш-функции - Часть 3: Выделенные хеш-функции» .
  4. ^ StriBob: аутентифицированное шифрование из ГОСТ Р 34.11-2012 LPS Permutation
  5. ^ Алгебраические аспекты российского стандарта хеширования ГОСТ Р 34.11-2012
  6. ^ Полный текст стандарта ГОСТ Р 34.11-2012 (на русском языке)
  7. ^ Открытый конкурс научных работ, посвященный анализу криптографических свойств хеш-функции ГОСТ Р 34.11-2012
  8. ^ Bingke Ма, Бао Ли, Ronglin Хао, Xiaoqian Ли. «Улучшенный криптоанализ по ГОСТу с сокращенным циклом и хеш-функция Whirlpool (полная версия)» (PDF) . CS1 maint: использует параметр авторов ( ссылка )
  9. ^ Riham AlTawy, Амр М. Юсеф. «Следите за своими константами: вредоносный Streebog» (PDF) . CS1 maint: использует параметр авторов ( ссылка )
  10. ^ Примечание о происхождении констант Стрибога
  11. ^ Riham AlTawy, Александар Kircanski, Амр М. Юсеф. «Ответные атаки на Стрибога» (PDF) . CS1 maint: использует параметр авторов ( ссылка )
  12. ^ Цзунъюэ Ван Хунбо Ю, Xiaoyun Wang (2013-09-10). «Криптоанализ хэш-функции ГОСТ Р» . Письма об обработке информации . 114 (12): 655–662. DOI : 10.1016 / j.ipl.2014.07.007 .CS1 maint: использует параметр авторов ( ссылка )
  13. Бирюков, Алексей; Перрен, Лео; Удовенко, Алексей (2016). «Реверс-инжиниринг S-бокса Стрибога, Кузнечика и СТРИБОБр1 (Полная версия)» . Цитировать журнал требует |journal=( помощь )