«Боевая алгебра» или криптография «по ГОСТу»

На первый взгляд название статьи абсурдно, видимо единственное, что приходит на ум читателю, это использование расчетных методов в баллистике. Но там скорее боевая физика, нежели боевая математика. Область применения «чистой» математики в военной сфере — криптография. О важности темы распространяться не буду, это понятно еще со времен «Энигмы» ^[1]. В настоящее время в криптографии проходят очень тревожные события, на которые, к сожалению, не реагируют Российские специалисты. А если и реагируют, то очень специфическим образом, об этом уже писалось ^[2], но видимо мало, придется продолжить тему.

«Особенности национальной криптографии»

В середине 2015 года были принято несколько новых ГОСТов стандартизирующих криптографические операции. Даже титульные листы этих важнейших государственных документов вызывают, мягко говоря, недоумение. Посмотрите, вот один из них:

Я тоже «впервые» вижу официальные документы особой государственной важности в разработках которых принимала участие некая коммерческая фирма из разряда «Рога и Копыта».

Фирма «Инфотекс» не имеет даже собственного помещения и размещается на площадях «Офисного торгового центра» (цитата с сайта компании). Кто не верит, может убедиться сам, вот ссылка на публичный сайт этой фирмы ^[3].

Разрабатывались, между прочим, стандарты криптографических алгоритмов, а не ГОСТ на производство Докторской колбасы…

С точки зрения надежности шифрования, новые ГОСТы это шаг назад. Не буду голословным, вот только один пример, — из новых алгоритмов изъяли требование секретности к специфическим наборам случайных чисел, называемых «блоками замен».

Ранее блоки замен были секретными и выдавались регулирующим органом в «особом» порядке, теперь же они публичны и неизменны. Соответственно криптоаналитикам (так вежливо называют взломщиков шифров) работать стало гораздо проще. Их задача нынче сводится только к вычислению ключей шифрования, ранее нужно было еще и вычислять значения блоков замен.

Ослабление криптостойкости Российских средств шифрования происходит на фоне внедрения квантовых методов криптоанализа (взлома зашифрованной информации) нашими потенциальными «друзьями» и гонки компьютерных технологий.

Не секрет, что появление реально работающих Квантовых компьютеров, было в первую очередь инициировано потребностями криптоаналитиков, есть даже публичный термин «Квантовый криптоанализ».

Публичная информация о квантовом криптоанализе

Уже давно не секрет, что разработаны алгоритмы криптоанализа симметричного, и ассиметричного шифрования специально для квантовых компьютеров. Алгоритмы были, не было компьютеров, теперь они появились:

Цитата ^[4]

До недавнего времени считалось, что симметричное шифрование плохо поддается методам квантового криптоанализа, но вот информация касающаяся взлома блочных шифров новым (хорошо забытым старым) методом.

Статья ^[5]

Обратите внимание, новость «проскочила» в 2007 году, после этого никаких упоминаний об этом методе в открытых источниках интернета не было.

На первый взгляд не понятно о чем идет речь, попробую объяснять «на пальцах», специалисты радиоэлектронщики и связисты меня поймут с легкостью…

Во-первых, это возвращение к древнему аналоговому решателю. Были такие раньше вычислительные установки, тогда они были «электрическими», а вот теперь стали «квантовыми». Но суть от этого не меняется.

Во-вторых, в описываемой установке используется новая техника квантового криптоанализа и она требует пояснения.

Возьмем простейший случай генерации гаммы, вырабатываемой к примеру, на основе старого алгоритма ГОСТ 28147-89. В нашем случае гамма это последовательность 32 битных чисел, чем больше таких чисел тем лучше. Будем считать каждое такое число мгновенным значением волновой функции в процессе оцифровки.

Оцифруем получившуюся последовательность гаммы как волну, и с помощью преобразования Фурье, разложим на гармонические составляющие.

В результате получим классическую и очень стабильную картину псевдослучайного «розового» шума, там будет стабильный и ограниченный набор частот модулированных по амплитуде и фазе.

Теперь наложим на гамму шифруемый текст, у нас получится зашифрованный текст, его тоже можно представить в виде оцифрованной волновой функции, но уже модулированной шифруемым текстом.

Фактически любое шифрование, это процесс тождественный радиопередаче, когда модулируется высокочастотное излучение, получаемое в результате работы криптоалгоритма, низкочастотным сигналом полезной нагрузки (шифруемым текстом).

В нашем примере гамма это высокочастотный сигнал, а шифруемый текст, это низкочастотный модулятор. Взлом с помощью квантовой криптографии по сути тождественен работе детекторного приемника, отсекается исходная высокочастотная волновая функция и выделяется низкочастотная модулирующая составляющая. Такой «детекторный» метод будет работать тем лучше, чем меньше число имеющихся в шифротексте составляющих гармонических частот, и больше длина зашифрованного сообщения.

В идеале, шифротекст обладающий свойствами истинного «белого» шума с бесконечным числом гармонических составляющих невозможно взломать этим методом.

Из этого следует единственное, криптоалгоритмы, кроме алгоритмической сложности (числа уравнений для вычисления значений ключей) и алгебраической сложности (сложности решения этих уравнений), должны иметь еще и максимально достижимую статистическую сложность (быть максимально приближены к параметрам «белого шума»).

Пока на статистическую сложность шифротекстов никто не обращает внимания. Получаемые с помощью стандартизированных в Россси криптоалгоритмов шифротексты очень далеки от статистических параметров истинно случайных последовательностей.

Причина этого очень специфическая, и речь о ней пойдет далее.

«Подпиленные» ГОСТы шифрования

Снова придётся вернуться к «особенностям национальной криптографии», но начну издалека. Давным-давно, когда еще о компьютерах и помыслить не могли, вместо компьютеров использовались механические печатные машинки. В СССР, власть, помешанная на идее тотального контроля за своими гражданами, печатные машинки «помечала», подпиливая незаметным образом литеры. Так, чтобы напечатанный текст можно было отождествить с конкретной печатной машинкой.

Нечто аналогичное произошло в криптографии, «старший брат», приложив некоторые усилия, может читать зашифрованные тексты даже не зная ключевой информации. Для этого используются специально подобранные блоки замен, применение которых обязательно.

Теоретически блоки замен должны состоять из случайных чисел, но на практике они содержат «не случайные, а псевдослучайные» числа. Другими словами в блоках замен имеется скрытый алгоритм, который позволяет читать шифротексты без знания ключей.

Это верно в отношении двух стандартизированных в России блочных шифров, первый теперь называется «Магма» (старый упрощенный ГОСТ 28147-89), второй называется «Кузнечик», он дискредитирован еще до своего официального принятия в качестве стандарта.

Информация о «подпиленных» блоках замен бродит на уровне слухов, официального подтверждения у нее конечно нет, но факты упрямая вещь, вот они:

— В отношении «Магмы» имеется официальное утверждение в «псевдослучайности» блоков замен, высказанное в ходе рассмотрения заявки на включение его в международный стандарт блочного шифрования ISO/IEC 18033-3. В 2010 году Международная организации по стандартизации (ISO/IEC JTC 1/SC 27) начала исследование ГОСТ 28147-89, но после анализа предоставленных блоков замен последовал отказ в сертификации.

— В отношении «псевдослучайности» блоков замен «Кузнечика» имеются неопровержимые математические расчеты. Они были в 2015 году официально представлены на конференции CRYPTO. Авторы Алекс Бирюков, Лео Перрин и Алексей Удовенко представили доклад, в котором говорится о том, что:

«Несмотря на утверждения разработчиков, значения S-блока шифра Кузнечик и хэш-функции Стрибог не являются случайными числами, а сгенерированы на основе скрытого алгоритма ^[6], который удалось восстановить методами обратного проектирования».

«Подпиленность» блоков замен как таковая нас мало интересует, если бы не одно «но», — скрытый в блоках замен алгоритм значительно ослабляет статистические параметры шифротекста.

С точки зрения статистических параметров шифротекст получаемый на основе Российских алгоритмов симметричного шифрования серьезно ослаблен и может быть легко взломан на квантовых криптовычислителях.

Ну и без этого, кто может дать гарантии, что алгоритмы чтения шифрованного текста без ключевой информации не «утекли»? Как это было, например, с закладками в новом здании Американского посольства. Да и «повозили» англоговорящие бизнесмены теперь уже бывших генералов России от криптографии в начале 2000 годов по знойным морям на суперяхтах немало. Что там происходило неизвестно, но мудрый в таких ситуациях всегда предполагает худшее…

Вечный русский вопрос «Что делать?»

Вдумчивый читатель прочитав вышеизложенное, наверняка возразит, что эту беду легко победить начав использовать честные блоки замен составленные из реально случайных чисел. Все верно, статистические параметры шифротекстов Российских алгоритмов симметричного шифрования можно значительно улучшить за счет блоков замен, только этого недостаточно. Нужно усложнять алгоритмы шифрования, об этом говорит и АНБ США:

Статья ^[7]

Пока речь идет об увеличение размера ключа, но даже этого не сделано у нас в новых ГОСТах, не говоря уже о внедрении более стойких алгоритмов.

Вроде появился новый алгоритм шифра «Кузнечик», но он по своей структуре полностью соответствует алгоритму AES двадцатилетней давности, и обладает аналогичной криптостойкостью. А двадцать лет тому назад об этой «беде», называемой ныне квантовый криптоанализ даже не догадывались.

Так что пока мы беззащитны, и более того, неизвестно что реально удается нашим потенциальным противникам читать в наших шифрованных сообщениях, ведь у них, согласно документам Сноудена, квантовые компьютеры уже есть…

Более того, они теперь есть даже в публичном доступе:

Статья ^[8]

Так что у нас в криптографии весьма вероятна очередная классическая ситуация с «голым королем» ^[9]. Скоро у руководителя 8 центра ФСБ появится новый первый заместитель, по традиции первыми заместителями там всегда были криптографы. Предыдущий «Ушел» ^[10], чтобы понять, кто ушел, и кем он был на этой должности одна очень характерная ссылка:
Статья ^[11]

Новые криптографические ГОСТы принятые в 2015 году и алгоритм шифрования «Кузнечик», о котором шла речь выше, детища А.С. Кузьмина. Даже название этого алгоритма шифрования произошло от его фамилии (Кузьмин+Нечаев). Будем надеяться, что новый руководитель российской криптографии наведет порядок в своих войсках.

P.S. В заключение, об одной особенности войск «боевой алгебры», — о потерях молчат. Где это видано чтобы «трагическая гибель» главного криптографа страны и генерал лейтенанта ФСБ не была озвучена в новостных лентах?

Автор: Crang84

Источник ^[12]