Насколько я понимаю ход мысли безопасников, они будут всё отрицать и не будут менять sbox, пока не появится атака. А потом будет поздно. Тот факт, что алгоритм не примут в стандарты, ФСБ не гондурасит, а вот признание, что соврали, уже разглашение гостайны, за это посадят.
Теоретически можно было бы сделать «для внутренних нужд используем этот sbox, уже забитый в железяки, а в качестве международного другой», но ФСБ это не нужно, поэтому они этого делать не будут.
ФСБ может заинтересовать попадание в международные стандарты Кузнечика с закладкой, а без закладки им неинтересно. А готовой невскрываемой закладки у них, видимо, нет.
(16:01) gp > log(256!)/log(2)/8.0
%7 = 210.4995359030268274257684599
Сколько-то ещё отожрут все эти требования по отсеиванию плохих S-боксов. Но, думаю, всё-таки не вчетверо. Кстати, по моим представлениям, если нам нужно найти хорошую комбинацию просеиванием, и потом более-менее правдоподобно обосновать, почему взяли именно её, то изначально должно быть не PRNG, а какая-нибудь ранее опубликованная таблица случайных чисел, аппаратно сгенерённых. Ну или число правда число пи (оно хотя и детерменированное, но шансов, что в нём есть структура, вредная именно для шифровальных алгоритмов современного стиля, в общем нет; а любой современный PRNG -- он в общем из того же гнезда, поэтому может и вылезти).
Да можно и сейчас погенерировать аппаратно случайные числа. Уж у людей, серьезно занимаюихся криптографией подобных железок всегда в столе десяток валяется.
Ну, любой случайный поиск состоит из генератора и фильтра, и часть "заведомо невозможных" комбинаций отсеивается не генерируется уже генератором, иначе ты повесишься их фильтровать. Ну хотя бы как минимум начинать надо не со случайных 256 байт, а с перестановок, а это уже, как я посчитал выше, 45.5 лишних бит (то есть одна комбинация из пятидесяти триллионов, если наивно "генерить, потом фильтровать"). Я практически уверен, что куча "заведомо нужных" и "просто проверяемых" критериев обеспечивались уже на этапе генерации, и только потом кандидаты проверялись уже более тяжеловесными фильтрами. А разве можно это как-то по-другому делать? Ещё раз: я здесь, кажется, единственный, кто в этой индустрии не работал, поэтому, возможно, несколько наивен. Но пока я вроде очевидные вещи говорю?
... Отдельными перебежками, от дерева к дереву ...
Там смысл задачи -- возможность впоследствии объяснить вопрошающим, почему вы взяли эту комбинацию, а не какую-то другую. И именно что "мне её выдал бросок кубиков" здесь не канает: а вдруг ты врёшь, и на самом деле кубиков никаких не кидал, а хитро придумал комбинацию с бекдором? А ссылка на опубликованную ранее и не тобой таблицу бросков кубиков, в общем, канает. Разумеется, и она не идеальна ("а почему вы взяли вот это издание, а не вот то? а почему со второй страницы, а не с первой?". Но если посчитать энтропию, места для таких отмазок довольно мало: профессиональной гадалке на картах хватит, а вот автору эс-бокса уже тесновато), но тем не менее, насколько я знаю индустрию (хотя из присутствующих я знаю её, кажется, хуже всех), давать такие объяснения всё-таки принято как меньшее зло. См. хотя бы исходные документы того шифра, который теперь AES.
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
branchandroot
no subject
Date: 2019-06-18 09:09 am (UTC)no subject
Date: 2019-06-18 09:53 am (UTC)А вся эта байда про Колмогоровскую сложность — она про независимые. Что-то лень прикидывать, сколько там независимых должно быть...
Но как бы ты понимаешь, Дим, что когда мы увидим атаку, говорить о гостайне запретят совсем, под девизом «о мертвых или хорошо, или ничего».
no subject
Date: 2019-06-18 11:17 am (UTC)no subject
Date: 2019-06-18 12:37 pm (UTC)Теоретически можно было бы сделать «для внутренних нужд используем этот sbox, уже забитый в железяки, а в качестве международного другой», но ФСБ это не нужно, поэтому они этого делать не будут.
ФСБ может заинтересовать попадание в международные стандарты Кузнечика с закладкой, а без закладки им неинтересно. А готовой невскрываемой закладки у них, видимо, нет.
no subject
Date: 2019-06-18 12:59 pm (UTC)no subject
Date: 2019-06-19 07:52 pm (UTC)no subject
Date: 2019-06-18 01:15 pm (UTC)Сколько-то ещё отожрут все эти требования по отсеиванию плохих S-боксов. Но, думаю, всё-таки не вчетверо. Кстати, по моим представлениям, если нам нужно найти хорошую комбинацию просеиванием, и потом более-менее правдоподобно обосновать, почему взяли именно её, то изначально должно быть не PRNG, а какая-нибудь ранее опубликованная таблица случайных чисел, аппаратно сгенерённых. Ну или число правда число пи (оно хотя и детерменированное, но шансов, что в нём есть структура, вредная именно для шифровальных алгоритмов современного стиля, в общем нет; а любой современный PRNG -- он в общем из того же гнезда, поэтому может и вылезти).
... Пелена серых веток и звёзды ...
no subject
Date: 2019-06-18 02:33 pm (UTC)no subject
Date: 2019-06-18 02:50 pm (UTC)Не исключено, что с такой железяки эти сбоксы и были получены...
no subject
Date: 2019-06-18 03:21 pm (UTC)no subject
Date: 2019-06-19 02:24 pm (UTC)отсеиваетсяне генерируется уже генератором, иначе ты повесишься их фильтровать. Ну хотя бы как минимум начинать надо не со случайных 256 байт, а с перестановок, а это уже, как я посчитал выше, 45.5 лишних бит (то есть одна комбинация из пятидесяти триллионов, если наивно "генерить, потом фильтровать"). Я практически уверен, что куча "заведомо нужных" и "просто проверяемых" критериев обеспечивались уже на этапе генерации, и только потом кандидаты проверялись уже более тяжеловесными фильтрами. А разве можно это как-то по-другому делать? Ещё раз: я здесь, кажется, единственный, кто в этой индустрии не работал, поэтому, возможно, несколько наивен. Но пока я вроде очевидные вещи говорю?... Отдельными перебежками, от дерева к дереву ...
no subject
Date: 2019-06-19 02:18 pm (UTC)... Наука умеет много гитик ...