GOST 28147 89 algoritms ir. Iekšzemes datu šifrēšanas standarts. Variācijas par viesa tēmu
Atšķirībā no amerikāņu DES, iekšzemes standartā tiek izmantota garāka atslēga - 256 biti. Turklāt Krievijas standarts iesaka izmantot 32 šifrēšanas kārtas, savukārt DES prasa tikai 16.
Tādējādi GOST 28147-89 kriptogrāfisko datu pārveidošanas algoritma galvenie parametri ir šādi: bloka izmērs ir 64 biti, atslēgas izmērs ir 256 biti, kārtu skaits ir 32.
Algoritms ir klasisks Feishtel tīkls. Šifrētais datu bloks ir sadalīts divās identiskās daļās, labajā R un kreisajā L. Labā daļa tiek pievienota apaļajai apakšatslēgai un, izmantojot kādu algoritmu, šifrē kreiso daļu. Pirms nākamās kārtas tiek apmainītas kreisās un labās daļas. Šī struktūra ļauj izmantot vienu un to pašu algoritmu gan bloka šifrēšanai, gan atšifrēšanai.
Šifrēšanas algoritms izmanto šādas darbības:
- vārdu pievienošana modulo 2 32;
- cikliski pārvietot vārdu pa kreisi par norādīto bitu skaitu;
- bitu pievienošana modulo 2;
- nomaiņa saskaņā ar tabulu.
Dažādos GOST algoritmu posmos dati, ar kuriem tie darbojas, tiek interpretēti un izmantoti dažādos veidos. Dažos gadījumos datu elementi tiek uzskatīti par neatkarīgu bitu masīviem, citos gadījumos kā neparakstīts vesels skaitlis, citos kā ar struktūru sarežģīts elements, kas sastāv no vairākiem vienkāršākiem elementiem.
Apaļa struktūra GOST 28147-89
GOST 28147-89 vienas kārtas struktūra ir parādīta attēlā. 5.1.
Šifrētais datu bloks tiek sadalīts divās daļās, kuras pēc tam apstrādā kā atsevišķus 32 bitu neparakstītus veselus skaitļus. Vispirms tiek pievienota bloka labā puse un kārtas apakšatslēga modulo 2 32. Pēc tam tiek veikta aizstāšana pa blokiem. Iepriekšējā darbībā iegūtā 32 bitu vērtība (sauksim to par S) tiek interpretēta kā astoņu 4 bitu koda bloku masīvs: S=(S 0 , S 1 , S 2 , S 3 , S 4 , S 5 , S 6 , S 7 ). Tālāk katra no astoņiem blokiem vērtība tiek aizstāta ar jaunu, kas tiek izvēlēta no aizstāšanas tabulas šādi: bloka S i vērtība tiek aizstāta ar S i-to elementu secībā (numerācija no nulles) i-tā aizstāšanas mezgla (t.i., i-tās rindas aizstāšanas tabulas, numurējot arī no nulles). Citiem vārdiem sakot, elements, kura rindas numurs ir vienāds ar aizstājamā bloka numuru, un kolonnas numurs, kas vienāds ar aizstājamā bloka vērtību kā 4 bitu nenegatīvs vesels skaitlis, tiek izvēlēts kā vērtības aizstājējs. bloks. Katrā nomaiņas tabulas rindā ir skaitļi no 0 līdz 15 nejaušā secībā bez atkārtošanās. Aizstāšanas tabulas elementu vērtības tiek ņemtas no 0 līdz 15, jo četri aizvietotie biti var saturēt neparakstītu veselu skaitli diapazonā no 0 līdz 15. Piemēram, S-box pirmajā rindā var būt šādas vērtības: 5, 8, 1, 13, 10, 3, 4, 2, 14, 15, 12, 7, 6, 0, 9, 11 . Šajā gadījumā bloka vērtība S 0 (četri vismazāk nozīmīgie 32 bitu skaitļa S biti) tiks aizstāta ar skaitli vietā, kuras numurs ir vienāds ar aizstājamā bloka vērtību. Ja S 0 = 0, tad tas tiks aizstāts ar 5, ja S 0 = 1, tad tas tiks aizstāts ar 8 utt.
Rīsi. 5.1.
Pēc aizstāšanas visi 4 bitu bloki atkal tiek apvienoti vienā 32 bitu vārdā, kas pēc tam tiek pagriezts par 11 bitiem pa kreisi. Visbeidzot, izmantojot bitu darbību "summa modulo 2" rezultāts tiek apvienots ar kreiso pusi, kā rezultātā tiek iegūta jauna R i labā puse. Jauno kreiso malu L i ņem vienādu ar konvertētā bloka apakšējo daļu: L i = R i-1 .
Konvertētā bloka iegūtā vērtība tiek uzskatīta par vienas šifrēšanas algoritma kārtas rezultātu.
Šifrēšanas un atšifrēšanas procedūras
Tāpēc GOST 28147-89 ir bloka šifrs datu konvertēšana veikta blokos tā sauktajā pamata cikli. Pamatcilpas sastāv no atkārtotas galvenās kārtas izpildes, par kuru mēs runājām iepriekš attiecībā uz datu bloku, izmantojot dažādus galvenos elementus un atšķiras viena no otras ar secību, kādā tiek izmantoti galvenie elementi. Katrā kārtā tiek izmantota viena no astoņām iespējamām 32 bitu apakšatslēgām.
Apskatīsim apaļo apakšatslēgu izveides procesu. GOST šī procedūra ir ļoti vienkārša, it īpaši salīdzinājumā ar DES. 256 bitu atslēga K ir sadalīta astoņās 32 bitu apakšatslēgās, kas apzīmētas ar K0, K1, K2, K3, K4, K5, K6, K7. Algoritms ietver 32 kārtas, tāpēc katra apakšatslēga šifrēšanas laikā tiek izmantota četrās kārtās 5.1. tabulā norādītajā secībā.
| Raunds | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| Pilna būvniecība | K 0 | K 1 | K2 | K 3 | K 4 | K5 | K 6 | K 7 |
| Raunds | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| Pilna būvniecība | K 0 | K 1 | K2 | K 3 | K 4 | K5 | K 6 | K 7 |
| Raunds | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| Pilna būvniecība | K 0 | K 1 | K2 | K 3 | K 4 | K5 | K 6 | K 7 |
| Raunds | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 |
| Pilna būvniecība | K 7 | K 6 | K5 | K 4 | K 3 | K2 | K 1 | K 0 |
Atšifrēšanas process tiek veikts, izmantojot to pašu algoritmu kā šifrēšana. Vienīgā atšķirība ir secībā, kādā tiek izmantotas K i apakšatslēgas. Atšifrējot, apakšatslēgas jāizmanto apgrieztā secībā, proti, kā norādīts
Šis algoritms ir obligāts izmantošanai kā šifrēšanas algoritms Krievijas Federācijas valdības organizācijās un vairākās komerciālās organizācijās.
Algoritma apraksts
Algoritma diagramma ir parādīta attēlā. 3.1. Kā redzat, šī algoritma dizains ir diezgan vienkāršs, kas nepārprotami vienkāršo tā programmatūras vai aparatūras ieviešanu.
Algoritms GOST 28147-89 šifrē informāciju 64 bitu blokos, kas ir sadalīti divos 32 bitu apakšblokos (N1 un N2). Apakšbloks N1 tiek apstrādāts noteiktā veidā, pēc tam tā vērtība tiek summēta
ar apakšbloka N2 vērtību (pievienošana tiek veikta modulo 2), tad apakšbloki tiek apmainīti. Šī transformācija tiek veikta noteiktā kārtā: 16 vai 32, atkarībā no algoritma darbības režīma (aprakstīts tālāk). Katrā kārtā tiek veiktas šādas darbības:
1. Atslēgas pielietojums. Apakšbloka /VI saturs tiek pievienots modulo 2 32 ar daļu no Kx atslēgas.
Algoritma GOST 28147-89 šifrēšanas atslēgas izmērs ir 256 biti, un Kx ir tās 32 bitu daļa, t.i., 256 bitu šifrēšanas atslēga tiek attēlota kā 32 bitu apakšatslēgu savienošana (3.2. att.):
Shch ATI, AG2, Yu, AG4, K5, Kb, K7.
Šifrēšanas procesā tiek izmantota viena no šīm apakšatslēgām atkarībā no apaļā skaitļa un algoritma darbības režīma.
Rīsi. 3.1. Algoritma shēma GOST 28147-
Rīsi. 3.2. Algoritma GOST 28147-89 šifrēšanas atslēga
2. Galda nomaiņa. Pēc atslēgas ievadīšanas /VI apakšbloks tiek sadalīts 8 daļās pa 4 bitiem, katra vērtība tiek atsevišķi aizstāta saskaņā ar šīs apakšbloka daļas aizstāšanas tabulu. Mūsdienu šifrēšanas algoritmos bieži tiek izmantoti tabulu aizstāšanas veidi (Substitution box, S-box), tāpēc ir vērts tos aplūkot sīkāk.
Tabulas aizstāšana tiek izmantota šādā veidā: ievadei tiek piegādāts noteikta lieluma (šajā gadījumā 4 bitu) datu bloks, kura skaitliskais attēlojums nosaka izvades vērtības numuru. Piemēram, mums ir šādas formas S-box:
4, 11, 2, 14, 15, 0, 8, 13, 3, 12, 9, 7, 5, 10, 6, 1.
Lai ieejā nonāk 4 bitu bloks “0100”, t.i., vērtība 4. Saskaņā ar tabulu izvades vērtība būs vienāda ar 15, t.i. “1111” (0 tiek aizstāts ar 4, 1 ar 11, vērtība 2 paliek nemainīga utt.).
Kā redzat, algoritma dizains ir ļoti vienkāršs, kas nozīmē, ka vislielākais datu šifrēšanas slogs gulstas uz aizstājošajām tabulām. Diemžēl algoritmam ir tāda īpašība, ka ir “vājas” aizvietošanas tabulas, ar kurām algoritmu var atrisināt ar kriptoanalītiskām metodēm. Vāji ietver, piemēram, tabulu, kurā izvade ir vienāda ar ievadi:
0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15.
3. Bitu cikliskā nobīde pa kreisi par 11 bitiem.
Algoritma darbības režīmi
Algoritmam GOST 28147-89 ir 4 darbības režīmi:
□ vienkāršs nomaiņas režīms;
□ gamma režīms;
P gamma režīms ar atsauksmes;
□ imitācijas pielikumu izstrādes veids.
Šie režīmi nedaudz atšķiras no vispārpieņemtajiem (aprakstīti 1.4. sadaļā), tāpēc ir vērts tos apsvērt sīkāk.
Šiem režīmiem ir dažādiem mērķiem, bet izmantojiet to pašu šifrēšanas transformāciju, kas aprakstīta iepriekš.
Vienkāršs nomaiņas režīms
Vienkāršā nomaiņas režīmā katrs 64 bitu informācijas bloks tiek vienkārši šifrēts, izmantojot iepriekš aprakstītās 32 kārtas. 32 bitu apakšatslēgas tiek izmantotas šādā secībā:
□ KO, Kl, K2, KZ, K4, K5, KB, AG7, KO, ATI uc - 1. līdz 24. kārtās;
□ K1, Kb, K5, K4, KZ, K2, K\, KO - kārtās no 25 līdz 32.
Atšifrēšana vienkāršā aizstāšanas režīmā tiek veikta tieši tādā pašā veidā, bet ar nedaudz atšķirīgu apakšatslēgu izmantošanas secību:
□ KO, K\, K2, KZ, K4, K5, Kb, KP - no 1. līdz 8. kārtām;
□ KP, Kb, K5, K4, KZ, K2, K\, KO, K1, Kb uc - kārtās no 9 līdz 32.
Līdzīgi kā standarta ECB režīmā, atsevišķas bloku šifrēšanas dēļ vienkāršās aizstāšanas režīms nav ieteicams pašu datu šifrēšanai; to vajadzētu izmantot tikai citu šifrēšanas atslēgu šifrēšanai vairāku atslēgu shēmās.
Gamma režīms
Gamma režīmā (3.3. att.) katrs vienkāršā teksta bloks tiek pievienots bitu pa bitam modulo 2 64 bitu šifra gamma blokam. Gamma šifrs ir īpaša secība, kas tiek ģenerēta, izmantojot iepriekš aprakstītās transformācijas:
1. To sākotnējā aizpildīšana tiek ierakstīta reģistros N1 un N2 - 64 bitu vērtība, ko sauc par “sinhronizācijas ziņojumu” (sinhronizācijas ziņojums praktiski ir inicializācijas vektora analogs CBC, CFB un OFB režīmos).
2. /VI un N2 reģistru saturs ir šifrēts (in šajā gadījumā- sinhronizēt ziņojumus) vienkāršā nomaiņas režīmā.
3. N1 saturu saskaita modulo (2 32 – 1) ar konstanti CI = 2 24 + 2 16 + 2 8 + 4, pievienošanas rezultāts tiek ierakstīts /VI reģistrā.
4. N2 saturs tiek pievienots modulo 2 ar konstanti C2 = 2 24 + 2 16 + 2 8 +1, pievienošanas rezultāts tiek ierakstīts reģistrā N2.
5. /VI un N2 reģistru saturs tiek izvadīts kā 64 bitu šifra gamma bloks (t.i., šajā gadījumā /VI un N2 veido pirmo gamma bloku).
6. Ja ir nepieciešams nākamais gamma bloks (t.i., ir jāveic turpmāka šifrēšana vai atšifrēšana), atgriezieties pie 2. darbības.
Atšifrēšanai gamma tiek ģenerēta līdzīgā veidā, pēc tam šifrētais teksts un gamma biti atkal tiek XORed.
Lai ģenerētu to pašu šifra diapazonu, lietotājam, kurš atšifrē kriptogrammu, ir jābūt tai pašai atslēgai un tai pašai sinhronizācijas ziņojuma vērtībai, kas tika izmantota informācijas šifrēšanai. Pretējā gadījumā oriģinālo tekstu no šifrētā nebūs iespējams iegūt.
Lielākajā daļā GOST 28147-89 algoritma ieviešanu sinhronizācijas ziņojums nav slepens elements, tomēr sinhronizācijas ziņojums var būt tikpat slepens kā šifrēšanas atslēga. Šajā gadījumā varam uzskatīt, ka algoritma efektīvais atslēgas garums (256 biti) palielinās vēl par 64 sinhronizācijas ziņojuma bitiem, ko var uzskatīt par papildu atslēgas elementu.
Gamma režīms ar atgriezenisko saiti
Gamma režīmā ar atgriezenisko saiti iepriekšējā vienkāršā teksta bloka šifrēšanas rezultāts tiek izmantots, lai aizpildītu /VI un L/2 reģistrus, sākot no 2. bloka, nevis iepriekšējo gamma bloku, bet gan iepriekšējā vienkāršā teksta bloka šifrēšanas rezultātu. (3.4. att.). Pirmais bloks iekšā šis režīms tiek ģenerēts pilnīgi līdzīgi kā iepriekšējais.
Rīsi. 3.4. Gamma šifra ģenerēšana gamma režīmā ar atgriezenisko saiti
Pielikumu imitācijas ražošanas režīms
Prefikss ir kriptogrāfiska kontrolsumma, kas aprēķināta, izmantojot šifrēšanas atslēgu, un ir paredzēta, lai pārbaudītu ziņojumu integritāti. Lai to aprēķinātu, ir īpašs GOST 28147-89 algoritma režīms.
Prefiksa imitācijas ģenerēšana tiek veikta šādi:
1. Pirmais 64 bitu informācijas bloks, kuram tiek aprēķināts imitācijas prefikss, tiek ierakstīts reģistros N1 un N2 un šifrēts samazinātā vienkāršās nomaiņas režīmā, kurā tiek veiktas pirmās 16 kārtas no 32.
2. Iegūtais rezultāts tiek summēts modulo 2 ar nākamo informācijas bloku, saglabājot rezultātu N1 un N2.
3. M un N2 tiek šifrēti vēlreiz saīsinātajā vienkāršās nomaiņas režīmā utt. līdz pēdējam informācijas blokam.
Imitācijas prefikss tiek uzskatīts par 64 bitu iegūto reģistru N1 un N2 saturu vai to daļu. Visbiežāk tiek izmantots 32 bitu imitējošais prefikss, t.i., puse no reģistru satura. Tas ir pietiekami, jo, tāpat kā jebkura kontrolsumma, imitācijas pielikums, pirmkārt, ir paredzēts, lai aizsargātu pret nejaušu informācijas sagrozīšanu. Lai aizsargātu pret tīšu datu pārveidošanu, tiek izmantotas citas kriptogrāfijas metodes - galvenokārt elektroniskas Digitālais paraksts(skatīt 1.1. apakšpunktu).
Imitācijas prefikss tiek izmantots šādi:
1. Šifrējot jebkuru informāciju, tiek aprēķināts un kopā ar šifrētu tekstu tiek nosūtīts vienkāršā teksta imitācijas prefikss.
2. Pēc atšifrēšanas imitācijas prefikss tiek vēlreiz aprēķināts un salīdzināts ar nosūtīto.
3. Ja aprēķinātie un nosūtītie imitācijas prefiksi nesakrīt, pārraides laikā tika izkropļots šifra teksts vai atšifrēšanas laikā tika izmantotas nepareizas atslēgas.
Imitācijas prefikss ir īpaši noderīgs, lai pārbaudītu pareizu atslēgas informācijas atšifrēšanu, izmantojot vairāku atslēgu shēmas.
Prefiksa imitācija ir MAC ziņojuma autentifikācijas koda analogs, kas aprēķināts CBC režīmā; Atšķirība ir tāda, ka, aprēķinot imitācijas prefiksu, netiek izmantots sinhronizācijas ziņojums, savukārt, aprēķinot MAC, tiek izmantots inicializācijas vektors.
Algoritma kriptogrāfijas stiprums
1994. gadā GOST 28147-89 algoritma apraksts tika tulkots angļu valodā un publicēts; pēc tam sāka parādīties tās analīzes rezultāti, ko veica ārvalstu speciālisti; tomēr ilgu laiku netika atrasts neviens uzbrukums, kas tuvotos iespējamībai.
□ liela atslēgas garums - 256 biti; kopā ar slepeno sinhronizācijas ziņojumu efektīvais atslēgas garums palielinās līdz 320 bitiem;
□ 32 pārvērtību kārtas; jau pēc 8 kārtām tiek sasniegts pilns ievaddatu izkliedes efekts: mainot vienu vienkāršā teksta bloka bitu, tiks ietekmēti visi šifrētā teksta bloka biti un otrādi, t.i., ir daudzkārtēja stipruma rezerve.
Apskatīsim GOST 28147-89 algoritma kriptanalīzes rezultātus.
Aizstāšanas tabulu analīze
Tā kā standartā nav paredzētas aizstājamās tabulas, vairāki darbi (piemēram, in) liecina, ka “kompetenta organizācija” var izdot gan “labas”, gan “sliktas” nomaiņas tabulas. Tomēr slavenais eksperts Brūss Šneiers šādus pieņēmumus sauc par "baumām". Skaidrs, ka algoritma kriptogrāfiskais stiprums lielā mērā ir atkarīgs no izmantoto aizvietošanas tabulu īpašībām, attiecīgi ir vājas aizvietošanas tabulas (skat. piemēru augstāk), kuru izmantošana var vienkāršot algoritma uzbrukumu. Tomēr iespēja izmantot dažādas aizstājējtabulas šķiet ļoti cienīga ideja, kuras labā var minēt šādus divus faktus no DES šifrēšanas standarta vēstures (sīkāku informāciju skatīt 3.15. sadaļā):
□ uzbrukumos, izmantojot gan lineāro, gan diferenciālo DES algoritma kriptonalīzi, tiek izmantotas specifiskas rezerves tabulu iezīmes; izmantojot citas tabulas, kriptanalīze būs jāsāk no jauna;
□ Ir veikti mēģinājumi stiprināt DES pret lineāro un diferenciālo kriptonalīzi, izmantojot robustākas aizstāšanas tabulas; šādas tabulas, kas patiešām ir stabilākas, tika piedāvātas, piemēram, s 5 DES algoritmā; bet diemžēl nebija iespējams aizstāt DES ar s 5 DES, jo aizstājošās tabulas ir stingri noteiktas standartā, un attiecīgi algoritma implementācijas, iespējams, neatbalsta iespēju mainīt tabulas uz citām.
Vairāki darbi (piemēram, , un ) kļūdaini secina, ka GOST 28147-89 algoritma slepenās aizstāšanas tabulas var būt daļa no atslēgas un palielināt tās efektīvo garumu (kas nav būtiski, jo algoritmam ir ļoti liels 256 -bitu atslēga). Tomēr darbs pierāda, ka slepenās nomaiņas tabulas var aprēķināt, izmantojot šādu uzbrukumu, ko var izmantot praktiski:
1. Tiek iestatīta nulles atslēga un tiek veikta “nulles vektora” meklēšana, t.i., vērtība z = /(0), kur /() ir algoritma apaļā funkcija. Šis posms aizņem apmēram 2 šifrēšanas darbības.
2. Izmantojot nulles vektoru, tiek aprēķinātas aizvietošanas tabulu vērtības, kas aizņem ne vairāk kā 2 11 darbības.
Algoritmu modifikācijas un to analīze
Darbā tika veikta GOST 28147-89 algoritma modifikāciju kriptanalīze:
□ GOST-H algoritms, kurā, salīdzinot ar sākotnējo algoritmu, ir mainīta apakšatslēgu lietošanas secība, proti, kārtās no 25 līdz 32 apakšatslēgām tiek izmantotas tiešā secībā, t.i., tieši tāpat kā iepriekšējās algoritma kārtās ;
□ 20 kārtu GOST® algoritms, kurā kārta izmanto XOR, nevis modulo-2 pievienošanu, lai pārklātu atslēgu.
Pamatojoties uz analīzes rezultātiem, tika secināts, ka GOST-H un GOST© ir vājāki par sākotnējo GOST 28147-89 algoritmu, jo abiem ir vāju atslēgu klases. Ir vērts atzīmēt, ka attiecībā uz GOST© kriptanalīzi darbā vārds pa vārdam tiek atkārtota sadaļa, kas veltīta GOST 28147-89 algoritma kriptanalīzei, plaši pazīstamam darbam, kas publicēts 2000. gadā (bez atsaucēm uz oriģinālu). Tas liek apšaubīt darba autoru profesionalitāti un citus tā rezultātus.
Darbā tika piedāvāta ļoti interesanta algoritma modifikācija: tabulām S\…Ss obligāti jābūt dažādām; katrā algoritma kārtā tie ir jāpārkārto atbilstoši noteiktam likumam. Šī permutācija var būt atkarīga no šifrēšanas atslēgas, vai arī tā var būt slepena (t.i., būt daļa no lielākas šifrēšanas atslēgas nekā sākotnējā 256 bitu atslēga). Abas šīs iespējas, pēc to autoru domām, ievērojami palielina algoritma pretestību pret lineāro un diferenciālo kriptonalīzi.
Un darbā ir dota vēl viena modifikācija, kas saistīta ar aizstāšanas tabulām, kurā viena no iespējamās metodes rezerves tabulu aprēķins, pamatojoties uz šifrēšanas atslēgu. Darba autori secināja, ka šāda atkarība vājina algoritmu, jo noved pie vāju atslēgu klātbūtnes un dažām iespējamām algoritma ievainojamībām.
Pilna cikla algoritma analīze
Ir arī uzbrukumi pilna apjoma GOST 28147-89 bez jebkādām izmaiņām. Viens no pirmajiem atvērtie darbi, kurā tika veikta algoritma analīze, labi zināms darbs, ir veltīts uzbrukumiem, kas izmanto vairāku labi zināmu šifrēšanas algoritmu atslēgas paplašināšanas procedūras vājās vietas. Jo īpaši pilnu GOST 28147-89 algoritmu var izjaukt, izmantojot saistīto atslēgu diferenciālo kriptonalīzi, bet tikai tad, ja tiek izmantotas vājas nomaiņas tabulas. Algoritma 24 raundu versija (kurā iztrūkst pirmās 8 kārtas) tiek atvērta līdzīgi ar jebkādām nomaiņas tabulām, taču spēcīgas nomaiņas tabulas (piemēram, norādītā) šādu uzbrukumu padara pilnīgi nepraktisku.
Iekšzemes zinātnieki A. G. Rostovcevs un E. B. Makhovenko 2001. gadā savā darbā ierosināja, ka jauna metode kriptanalīzi (pēc autoru domām, ievērojami efektīvāka par lineāro un diferenciālo kriptonalīzi), no zināma vienkāršā teksta, atbilstošā šifrētā teksta un vēlamās atslēgas vērtības veidojot mērķfunkciju un atrodot tās ekstrēmu, kas atbilst patiesajai atslēgas vērtībai. Viņi arī atrada lielu GOST 28147-89 algoritma vājo atslēgu klasi, kas ļauj atvērt algoritmu, izmantojot tikai 4 atlasītos vienkāršos tekstus un atbilstošos šifrētus tekstus ar diezgan zemu sarežģītību. Darbā tiek turpināta algoritma kriptanalīze.
2004. gadā Korejas speciālistu grupa ierosināja uzbrukumu, kas, izmantojot saistīto atslēgu diferenciālo kriptonalīzi, var iegūt 12 slepenās atslēgas bitus ar 91,7% varbūtību. Uzbrukumam nepieciešami 2 35 atlasīti vienkāršie teksti un 2 36 šifrēšanas darbības. Kā redzat, šis uzbrukums ir praktiski bezjēdzīgs, lai faktiski pārkāptu algoritmu.
). Tajā pašā laikā Krievijas plašsaziņas līdzekļos un krievu lietotāju emuāros pieaug piezīmju skaits par šo algoritmu: gan aptverot Krievijas standartam veikto uzbrukumu rezultātus ar dažādu uzticamības pakāpi, gan saturot viedokļus par tā darbības īpašībām. Šo piezīmju autoriem (un līdz ar to arī lasītājiem) bieži rodas iespaids, ka iekšzemes šifrēšanas algoritms ir novecojis, lēns un tajā ir ievainojamības, kas padara to ievērojami uzņēmīgāku pret uzbrukumiem nekā ārvalstu šifrēšanas algoritmi ar līdzīgu atslēgas garumu. Ar šo piezīmju sēriju mēs vēlētos pieejamu formu runāt par pašreizējo situāciju ar Krievijas standartu. Pirmajā daļā tiks apskatīti visi uzbrukumi GOST 28147-89, kas zināmi starptautiskajai kriptogrāfijas sabiedrībai, un pašreizējie tā stipruma novērtējumi. Nākamajās publikācijās mēs arī sīkāk aplūkosim standarta īpašības no efektīvas ieviešanas iespējas.
Nikolass Kurtuā - "lielais un briesmīgais"
Sāksim ar stāstu par Nikolasa Kurtuā darbību, kurš ir autors veselai darbu sērijai, kas veltīta Krievijas bloku šifrēšanas standartam ().
2010. gada oktobrī sākās izskatīšanas process par GOST 28147-89 algoritma iekļaušanu starptautiskajā standartā ISO/IEC 18033-3. Jau 2011. gada maijā ePrint elektroniskajā arhīvā parādījās slavenā kriptogrāfa Nikolasa Kurtuā raksts, kas iezīmējās ar ļoti neviennozīmīgu attieksmi pret viņu no pasaules kriptogrāfijas kopienas. Kurtuā publikācijas ir skumjš piemērs jēdzienu manipulācijai, kas neatklāj jaunas attiecīgā objekta īpašības, bet ar pretenziju uz sensāciju provocē kļūdainu viedokļu izplatību par tā faktiskajām īpašībām nekompetentā vidē.
Algebriskā metode
Kurtuā argumentācija balstās uz divām kriptoanalīzes metožu klasēm: algebriskajām metodēm un diferenciālajām metodēm. Apskatīsim pirmo metožu klasi.
Vienkāršotā veidā algebriskās kriptanalīzes metodi var raksturot kā lielas vienādojumu sistēmas sastādīšanu un atrisināšanu, kuras katrs risinājums atbilst kriptoanalītiķa mērķim (piemēram, ja sistēma tiek kompilēta, izmantojot vienu pāri no vienkārša teksta un šifrēta teksta, tad visi šīs sistēmas risinājumi atbilst atslēgām, ar kurām šis vienkāršais teksts tiek pārveidots par šo šifrētu). Tas ir, bloka šifra kriptanalīzes problēmas gadījumā kriptanalīzes algebriskās metodes būtība ir tāda, ka atslēga tiek atrasta polinoma vienādojumu sistēmas risināšanas rezultātā. Galvenā grūtība ir spēt sacerēt pēc iespējas vairāk, ņemot vērā konkrētā šifra īpašības. vienkārša sistēma lai tā risināšanas process aizņemtu pēc iespējas mazāk laika. Šeit galveno lomu spēlē katra konkrētā analizējamā šifra iezīmes.
Kurtuā izmantoto algebrisko metodi īsumā var raksturot šādi. Pirmajā posmā šādas GOST 28147-89 īpašības tiek izmantotas kā fiksēta punkta esamība daļai šifrēšanas transformācijas, kā arī tā sauktais atstarošanas punkts. Pateicoties šīm īpašībām, no pietiekami liela skaita vienkāršā un šifrētā teksta pāriem tiek atlasīti vairāki pāri, kas ļauj apsvērt transformācijas nevis 32, bet tikai 8 kārtās. Otrais posms ir tāds, ka, pamatojoties uz pirmajā posmā iegūto 8 kārtas transformāciju rezultātiem, tiek konstruēta nelineāru vienādojumu sistēma, kurā atslēgas biti ir nezināmi. Tālāk šī sistēma tiek atrisināta (tas izklausās vienkārši, bet patiesībā ir metodes laikietilpīgākā daļa, jo sistēma sastāv no nelineāriem vienādojumiem).
Kā minēts iepriekš, nekur nav darba Detalizēts apraksts un atslēgas noteikšanas otrā un galvenā posma sarežģītības analīze. Tieši otrā posma sarežģītība nosaka visas metodes sarežģītību kopumā. Tā vietā autors sniedz bēdīgi slavenos “faktus”, uz kuru pamata viņš veic darbaspēka intensitātes aplēses. Tiek apgalvots, ka šie "fakti" ir balstīti uz eksperimentāliem rezultātiem. Kurtuā darba “faktu” analīze kopumā ir sniegta pašmāju autoru darbos. Šī darba autori atzīmē, ka daudzi Kurtuā “fakti”, kas tika iesniegti bez jebkādiem pierādījumiem, eksperimentālās pārbaudes laikā tika atzīti par nepatiesiem. Raksta autori gāja tālāk un, sekojot Kurtuā, veica otrā posma sarežģītības analīzi, izmantojot pamatotus algoritmus un aplēses. Iegūtie sarežģītības aprēķini parāda iesniegtā uzbrukuma pilnīgu nepiemērojamību. Bez pašmāju autoriem, piemēram, darbā tika atzīmētas arī Kurtuā lielās problēmas ar savu metožu vērtējumiem un pamatojumu.
Diferenciālā metode
Apskatīsim otro Kurtuā metodi, kas balstās uz diferenciālo kriptonalīzi.
Vispārējā diferenciālās kriptanalīzes metode ir balstīta uz kriptogrāfijas primitīvos izmantoto nelineāro kartējumu īpašību izmantošanu, kas saistītas ar atslēgas vērtības ietekmi uz atkarībām starp šo kartējumu ievades vērtību pāru un izvades vērtību pāru atšķirībām. . Aprakstīsim blokšifra kriptogrāfiskās analīzes diferenciālās metodes galveno ideju. Parasti bloka šifri ievades datus pārveido pa posmiem, izmantojot vairākas tā sauktās apaļās transformācijas, un katrā apaļajā transformācijā netiek izmantota visa atslēga, bet tikai daļa no tās. Apskatīsim nedaudz “saīsinātu” šifru, kas no oriģinālā atšķiras ar to, ka tam nav pēdējās kārtas. Pieņemsim, ka ir bijis iespējams konstatēt, ka, šifrējot divus vienkāršus tekstus, kas dažās fiksētās pozīcijās atšķiras, izmantojot šādu “saīsinātu” šifru, visticamāk, tiks iegūti šifrēti teksti, kas atšķiras arī dažās fiksētajās pozīcijās. Šis īpašums parāda, ka “saīsināts” šifrs, visticamāk, atstāj atkarību starp dažiem vienkāršiem tekstiem un to šifrēšanas rezultātiem. Lai atgūtu daļu atslēgas, izmantojot šo acīmredzamo trūkumu, ir jāspēj šifrēt iepriekš atlasītos vienkāršos tekstus atslēgā, kuru vēlamies atgūt (tā sauktais “izvēlētais vienkārša teksta uzbrukums”). “Atslēgas atvēršanas” procedūras sākumā nejauši tiek ģenerēti vairāki vienkāršu tekstu pāri, kas atšķiras tajās pašās fiksētajās pozīcijās. Visi teksti tiek šifrēti, izmantojot “pilnu” šifru. Iegūtie šifrētā teksta pāri tiek izmantoti, lai atgūtu tos atslēgas bitus, kas tika izmantoti pēdējā kārtas transformācijā, kā norādīts tālāk. Izmantojot kādu nejauši izvēlētu vēlamo atslēgas bitu vērtību, visiem šifrētajiem tekstiem tiek piemērota pēdējās kārtas transformācijas apgrieztā transformācija. Faktiski, ja mēs uzminējām vēlamo atslēgas bitu vērtību, mēs iegūsim “saīsināta” šifra rezultātu, un, ja mēs neuzminējām, mēs faktiski “šifrēsim datus vēl vairāk”, kas tikai samazinās atkarība starp iepriekš minētajiem blokiem (atšķirība ir dažās fiksētās pozīcijās). Citiem vārdiem sakot, ja starp šādas šifrētu tekstu “papildu apstrādes” rezultātiem bija diezgan daudz pāru, kas atšķiras mums zināmajās fiksētajās pozīcijās, tad tas nozīmē, ka esam uzminējuši vajadzīgos atslēgas bitus. Pretējā gadījumā šādu pāru būs ievērojami mazāk. Tā kā katrā raundā tiek izmantota tikai daļa no atslēgas, nav tik daudz meklēto bitu (tas ir, pēdējā kārtā izmantoto atslēgas bitu), kā pilnā atslēgā un varat tos vienkārši sakārtot, atkārtojot iepriekš minētās darbības. Šajā gadījumā mēs noteikti kādreiz paklupsim uz pareizo nozīmi.
No iepriekš minētā apraksta izriet, ka vissvarīgākais diferenciālās analīzes metodē ir tieši to pozīciju skaitļi vienkāršajos un šifrētajos tekstos, kuru atšķirībām ir galvenā loma atslēgas bitu atgūšanā. Šo pozīciju fundamentālā klātbūtne, kā arī to skaitļu kopa ir tieši atkarīga no to nelineāro transformāciju īpašībām, kuras tiek izmantotas jebkurā bloka šifrā (parasti visa “nelinearitāte” ir koncentrēta tā sauktajās S-kastēs vai nomaiņas mezgli).
Kurtuā izmanto nedaudz pārveidotu diferenciālās metodes versiju. Tūlīt atzīmēsim, ka Kurtuā veic analīzi par S-kastēm, kas atšķiras no pašreizējām un no ISO piedāvātajām. Darbā ir sniegti diferenciālie raksturlielumi (tie skaitļi, kuros blokiem jāatšķiras) nelielam kārtu skaitam. Pamatojums raksturlielumu paplašināšanai vairākām kārtām, kā parasti, ir balstīts uz “faktiem”. Kurtuā atkal ar savu autoritāti izsaka nepamatotu pieņēmumu, ka S-kastīšu maiņa neietekmēs GOST 28147-89 izturību pret viņa uzbrukumu (kamēr nezināmu iemeslu dēļ S-kastes no 1. darba projekta papildinājums standartam ISO/IEC 18033-3 netika izskatīts). Raksta autoru veiktā analīze liecina, ka pat tad, ja mēs ņemam vērā Kurtuā nepamatotos “faktus” par ticību un analizējam GOST 28147-89 ar citiem S-blokiem, uzbrukums atkal izrādās ne labāks par pilnīgu meklēšanu.
Darbos tika veikta detalizēta Kurtuā darbu analīze, detalizēti pamatojot visu apgalvojumu par Krievijas standarta pretestības samazināšanos nepamatotību [,].
Tajā pašā laikā pat pats Kurtuā atzīst absolūtu precizitātes trūkumu aprēķinos! Šis slaids ir ņemts no Kurtuā prezentācijas FSE 2012 īsu paziņojumu sadaļā.
Jāpiebilst, ka Kurtuā darbus vairākkārt kritizēja arī ārvalstu pētnieki. Piemēram, viņa darbs, veidojot uzbrukumus AES bloku šifrēšanas algoritmam, izmantojot XSL metodi, saturēja tādus pašus būtiskus trūkumus kā darbā pie Krievijas standarta analīzes: lielākā daļa darba intensitātes aprēķinu tekstā parādās pilnīgi nepamatoti un nepamatoti - detalizēti. kritiku var atrast, piemēram, darbā. Turklāt pats Kurtuā atzīst, ka ir plaši atteikušies publicēt savus darbus lielākajās kriptogrāfijas konferencēs un iedibinātos recenzējamos žurnālos, nereti atstājot viņam tikai iespēju uzstāties īso paziņojumu sadaļā. Piemēram, par to var lasīt darba 3. sadaļā. Šeit ir daži citāti no paša Kurtuā saistībā ar viņa darbu:
- "Es domāju, ka Asiacrypt auditorijai tas nešķitīs interesanti." Asiacrypt 2011 recenzents.
- "... ir liela, liela, liela problēma: šis uzbrukums, kas ir galvenais raksta ieguldījums, jau ir publicēts FSE'11 (tas bija pat labākais raksts), ...". Kripto 2011 apskatnieks.
Tādējādi starptautiskās kriptogrāfijas kopienas profesionālā daļa uz Kurtuā darba kvalitāti vērtē ne mazāk šaubu kā, teiksim, dažu Krievijas speciālistu izteikumi par viņu spēju uzlauzt AES par 2100, ko neapstiprina nekādi konsekventi aprēķini, vai jaunākie “pierādījumi” divu lappušu hipotēzei par sarežģītības klašu P un NP nevienlīdzību.
Isobes un Dinura-Dankelmana-Šamira uzbrukumi
Isobe () un Dinur-Dankelman-Shamir uzbrukumu (turpmāk: DDS uzbrukums) () vispārīgā ideja ir konstruēt noteiktai (no atslēgas atkarīgai) šaurai vienkāršu tekstu kopai līdzvērtīgu transformāciju šajā komplektā, kurai ir struktūra ir vienkāršāka nekā pati šifrēšanas transformācija. Isobe metodes gadījumā šī ir 64 bitu bloku kopa x tā, ka F 8 -1 (Swap(F 8 (z))) = z, kur z = F 16 (x), līdz F 8 ( x) un F 16 (x) norāda attiecīgi pirmās 8 un pirmās 16 GOST 28147-89 šifrēšanas kārtas, izmantojot Swap - darbību, kurā tiek apmainītas 64 baitu vārda puses. Ja šajā komplektā ir iekļauts vienkāršais teksts, GOST 28147-89 pilnas 32 kārtu transformācijas rezultāts sakrīt ar 16 raundu rezultātu, ko izmanto uzbrukuma autors. DDS metodes gadījumā tā ir x kopa, kurā F 8 (x) = x (transformācijas F 8 fiksētais punkts). Jebkuram vienkāršajam tekstam no šīs kopas GOST 28147-89 transformācija darbojas tieši tāpat kā tās pēdējās 8 kārtas, kas vienkāršo analīzi.
Isobe uzbrukuma sarežģītība ir 2224 šifrēšanas operācijas, DDS uzbrukums ir 2192. Tomēr visi jautājumi par to, vai Isobe un DDS uzbrukumi ievieš jaunus ierobežojumus mūsu algoritma izmantošanas nosacījumiem, tiek noņemti, novērtējot prasības materiāla apjomam, kas nepieciešams katra uzbrukuma veikšanai: Isobe metodei ir nepieciešami 2 32 pāri vienkārša teksta. un šifrētais teksts, un DDS metodei - 2 64. Šāda apjoma materiāla apstrāde, nemainot atslēgu, ir a priori nepieņemama jebkuram bloka šifram ar bloka garumu 64: materiālam ar sējumu 2 32, ņemot vērā dzimšanas dienu problēmu (sk., piemēram, ), rašanās varbūtību. Atkārtotu bloku skaits ir tuvu 1/2, kas nodrošinās, ka uzbrucējs no šifrētajiem tekstiem var izdarīt noteiktus secinājumus par vienkāršajiem tekstiem, nenosakot atslēgu. 2 64 vienkāršu un šifrētu tekstu pāri, kas iegūti uz vienas atslēgas, faktiski ļauj ienaidniekam veikt šifrēšanas un atšifrēšanas darbības, nezinot šo atslēgu. Tas ir saistīts ar tīri kombinatorisku īpašību: ienaidniekam šajā gadījumā ir visa šifrēšanas konvertēšanas tabula. Šī situācija ir absolūti nepieņemama jebkuros saprātīgos ekspluatācijas apstākļos. Piemēram, iekšā CryptoPro CSPŠifrētā materiāla apjomam (bez atslēgas konvertēšanas) ir tehnisks ierobežojums 4 MB (sk.). Tādējādi stingrs aizliegums izmantot atslēgu šāda apjoma materiālam ir raksturīgs jebkuram bloka šifram, kura bloka garums ir 64 biti, un tāpēc Isobe un DDS uzbrukumi nekādā veidā neierobežo GOST 28147-89 algoritma izmantošanas jomu. vienlaikus saglabājot maksimālo iespējamo stiprumu 2256.
Protams, jāatzīmē, ka pētnieki (Isobe un Dinur-Dankelman-Shamir) ir parādījuši, ka dažas GOST 28147-89 algoritma īpašības ļauj atrast analīzes ceļus, kurus algoritma veidotāji nav ņēmuši vērā. Vienkāršā atslēgu grafika forma, kas ievērojami vienkāršo efektīvu ieviešanu, ļauj arī dažos retos gadījumos, kad atslēgas un vienkāršais teksts var konstruēt vairāk. vienkārši apraksti algoritma veiktās transformācijas.
Darbs parāda, ka šo algoritma negatīvo īpašību var viegli novērst, pilnībā saglabājot darbības raksturlielumus, bet diemžēl tā ir neatņemama algoritma sastāvdaļa tā plaši izmantotajā formā.
Ņemiet vērā, ka zināma nolaidība vidējās darbaspēka intensitātes aplēsēs ir sastopama arī Dinura, Dunkelmana un Šamira darbā. Tādējādi, veidojot uzbrukumu, pienācīga uzmanība netiek pievērsta šādam punktam: nozīmīgai atslēgu daļai vienkāršu tekstu kopa x, piemēram, F 8 (x) = x, ir tukša: var vienkārši nebūt fiksētu punktu. 8 transformācijas kārtām. Fiksēto punktu esamība ir atkarīga arī no nomaiņas mezglu izvēles. Tādējādi uzbrukums ir piemērojams tikai noteiktiem nomaiņas mezgliem un atslēgām.
Ir arī vērts pieminēt vēl vienu darbu ar uzbrukumu GOST 28147-89. 2012. gada februārī parādījās starptautiskās kriptogrāfijas asociācijas elektroniskais arhīvs ePrint atjaunināta versija rakstu (datēts ar 2011. gada novembri), kurā bija jauns uzbrukums GOST 28147-89. Uzrādītā uzbrukuma raksturojums ir šāds: materiāla apjoms ir 2 32 (kā Isobe), un darba intensitāte ir 2 192 (kā DDS). Tādējādi šis uzbrukums uzlaboja laika rekorda DDS uzbrukumu materiāla apjoma ziņā no 2 64 uz 2 32. Atsevišķi atzīmējam, ka autori godīgi iesniedza visus aprēķinus, pamatojot materiāla sarežģītību un apjomu. Pēc 9 mēnešiem augstākminētajos aprēķinos tika konstatēta fundamentāla kļūda, un kopš 2012. gada novembra raksta atjauninātajā versijā elektroniskajā arhīvā vairs nav nekādu rezultātu attiecībā uz pašmāju algoritmu.
Uzbrukumi, pieņemot, ka uzbrucējs zina "kaut ko" par taustiņiem
Visbeidzot, atzīmēsim, ka literatūrā ir arī vairāki darbi (sk., piemēram, un ), kas veltīti uzbrukumiem GOST 28147-89 tā sauktajā saistītās atslēgas modelī. Šis modelis būtībā ietver pieņēmumu, ka uzbrucējs var piekļūt analīzei ne tikai vienkārša teksta pāriem, kas šifrēti, izmantojot vēlamo atslēgu, bet arī vienkārša teksta un šifrēta teksta pāriem, kas iegūti, izmantojot (arī nezināmas) atslēgas, kas atšķiras no meklētās ar zināmu regulāru. veidā (piemēram, fiksētās bitu pozīcijās). Šajā modelī patiešām ir iespējams iegūt interesantus rezultātus par GOST 28147-89, tomēr šajā modelī ne mazāk spēcīgus rezultātus var iegūt, piemēram, par to, ko visplašāk izmanto mūsdienu tīklos kopīgs lietojums AES standarts (skatiet, piemēram,). Ņemiet vērā, ka nosacījumi šāda veida uzbrukuma veikšanai rodas, izmantojot šifru noteiktā protokolā. Jāatzīmē, ka šāda veida rezultāti, lai gan tie neapšaubāmi rada akadēmisku interesi no kriptogrāfisko transformāciju īpašību izpētes viedokļa, faktiski nav aktuāli praksē. Piemēram, visi Krievijas FSB sertificētie kriptogrāfiskās informācijas aizsardzības rīki atbilst visstingrākajām šifrēšanas atslēgu ģenerēšanas shēmu prasībām (sk., piemēram,). Kā norādīts analīzes rezultātos, ja ir 18 saistītās atslēgas un 2 10 pāri vienkārša teksta un šifrēta teksta bloku, privātās atslēgas pilnīgas atvēršanas sarežģītība ar veiksmes varbūtību 1–10–4 faktiski ir 2 26. . Tomēr, ja tiek izpildītas iepriekš minētās prasības atslēgu materiāla izstrādei, šādu atslēgu atrašanas iespējamība ir 2 -4352, tas ir, 24096 reizes mazāka nekā tad, ja jūs vienkārši mēģinātu uzminēt slepeno atslēgu pirmajā mēģinājumā.
Pie darbiem, kas saistīti ar modeli ar saistītajām atslēgām, pieskaitāmi arī darbi, kas 2010. gadā radīja lielu troksni Krievijas elektroniskajās publikācijās, kuras necieš no ieraduma rūpīgi pārbaudīt materiālu skrējienā pēc sensācijām. Tajā sniegtie rezultāti nebija pamatoti ar stingru pamatojumu, taču tajos bija skaļi paziņojumi par valsts standarta uzlaušanas iespēju Krievijas Federācija uz vāja klēpjdatora dažu sekunžu laikā - kopumā raksts tika uzrakstīts labākajās Nikolasa Kurtuā tradīcijās. Bet, neskatoties uz raksta absolūti acīmredzamo nepamatotību lasītājam, kurš vairāk vai mazāk pārzina zinātnisko publikāciju pamatprincipus, Rudskis uzrakstīja detalizētu un rūpīgu tekstu, kas satur visaptverošu analīzi, lai pārliecinātu Krievijas sabiedrību pēc darba. šī trūkuma dēļ. Rakstā ar pašsaprotamu nosaukumu “Par nulles praktisko nozīmi darbā “Atslēgas atkopšanas uzbrukums pilnam GOST bloka šifram ar nulles laiku un atmiņu”” sniegts pamatojums, ka metodes vidējā sarežģītība nav mazāka par sarežģītību. pilnīga meklēšana.
Sausais atlikums: kas praksē ir noturība?
Noslēgumā mēs piedāvājam tabulu, kurā ir dati par visiem stingri aprakstīto un pamatoto uzbrukumu rezultātiem GOST 28147-89, kas zināmi starptautiskajai kriptogrāfijas sabiedrībai. Ņemiet vērā, ka sarežģītība ir norādīta GOST 28147-89 algoritma šifrēšanas darbībās, un atmiņa un materiāls ir norādīti algoritmu blokos (64 biti = 8 baiti).
| Uzbrukums | Darba intensitāte | Atmiņa | Nepieciešamais materiāls |
| Isobe | 2 224 | 2 64 | 2 32 |
| Dinur-Dankelman-Shamir, FP, 2DMitM | 2 192 | 2 36 | 2 64 |
| Dinur-Dankelman-Shamir, FP, vāja atmiņa | 2 204 | 2 19 | 2 64 |
| 2 224 | 2 36 | 2 32 | |
| Dinur-Dankelman-Shamir, Atspulgs, 2DMitM | 2 236 | 2 19 | 2 32 |
| Pabeigt meklēšanu | 2 256 | 1 | 4 |
| Nanosekunžu skaits kopš Visuma radīšanas | 2 89 |
Neskatoties uz diezgan liela mēroga pētījumu ciklu GOST 28147-89 algoritma stabilitātes jomā, Šis brīdis Nav zināms neviens uzbrukums, kas būtu sasniedzams saskaņā ar 64 bitu bloka garuma darbības prasībām. Ierobežojumi materiāla apjomam, ko var apstrādāt ar vienu atslēgu, kas izriet no šifrēšanas parametriem (atslēgas bitu garums, bloka bitu garums), ir ievērojami stingrāki nekā minimālais apjoms, kas nepieciešams jebkura pašlaik zināmā uzbrukuma veikšanai. Līdz ar to, izpildot esošās darbības prasības, neviena no līdz šim GOST 28147-89 piedāvātajām kriptoanalīzes metodēm neļauj noteikt atslēgu ar darba intensitāti, kas ir mazāka par izsmeļošu meklēšanu.
