Attacks on full block cipher GOST 28147-89 with 2 or 4 related keys.pdf Алгоритм шифрования ГОСТ 28147-89 является обязательным для примененияв государственных организациях и ряде коммерческих организаций Российской Федерации.Алгоритм содержит ряд потенциальных слабостей, связанных с алгоритмомразвёртывания ключа, в частности, его линейность, использование подблоков ключав явном виде в раундовых функциях. В последние годы в открытой литературепоявилось немало работ [1-5], в которых проводился криптоанализ алгоритмаГОСТ 28147-89. В работе [5] приведена атака на алгоритм блочного шифрованияГОСТ 28147-89 на основе методов бумеранга и связанных ключей, которая содержитряд ошибок и на самом деле не работает. Однако основная идея, лежащая в её основе,позволяет подправить предложенную атаку и, внеся дополнительные модификации,получить работающий алгоритм. Так это было сделано в работе [6]. В предложеннойатаке для нахождения всего ключа шифрования при использовании s-боксов из [7] требуется18 связанных ключей, а её трудоёмкость оценивается как 226 зашифрований.Отметим, что независимо от работы [6] атака на основе 18 связанных ключей былатакже предложена нами.Пусть Vn - пространство n-мерных векторов над полем GF(2); ф - операция сложенияв векторном пространстве V„; . = ^0,..., 0,1, 0,..., 0^ Е V32, i = 0,..., 31.Основными нашими результатами являются предложенные атаки на основе двухили четырёх связанных ключей в зависимости от свойств s-боксов алгоритмаГОСТ 28147-89. При атаке на основе двух связанных ключей используются идеи изработы [4] и пара связанных ключей k, k' Е V256,k ф k' = (.31, 0 , .31, 0 , .31, 0 , .31, 0 , .31, 0).На основе разностного метода и метода связанных ключей находятся раундовые ключиk26,..., k32, а раундовый ключ k25 определяется с помощью методов бумеранга и связанныхключей. Описан класс s-боксов, для которых данный подход заведомо неприменим.Трудоёмкость метода на основе двух связанных ключей оценивается числомнеобходимых шифрований. В зависимости от свойств s-бокса она удовлетворяет неравенству226,6 ^ Тто^ < 240, надёжность метода равна 0,98, а число пар открытых текстовn(1) удовлетворяет неравенству 215 ^ n(1) < 229.С помощью комбинации идей из работ [4, 6] предложена атака на основе методовсвязанных ключей, разностного и бумеранга с четырьмя связанными ключами. Показано,что атака из работы [6] и предлагаемаянами неприменимы, если подстановка s1s-бокса имеет линейный транслятор .3. Отметим, что в работе [6] считалось, что атакаприменима для всех s-боксов. В нашей атаке используется четверка связанных ключейk, k', k", k''' . V256, удовлетворяющих равенствамк ф k' = k'' ф k''' = (.31, 0 , .31, 0 ,.31, 0 , .31, 0 , .31, 0),k ф k'' = k' ф k''' = (.31, 0 , 0 , 0 , 0 , 0 , 0 , 0).Для s-боксов из [7] применима только атака с четырьмя связанными ключами. Трудоёмкостьалгоритма нахождения ключа шифрования оценивается как 244,8 зашифрований,число открытых текстов равно 226,2, вероятность успеха - 0,99.

Скачать электронную версию публикации