Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫
5 views
Skip to first unread message
Serguei E. Leontiev
Dec 2, 2014, 7:43:29 AM12/2/14
to
Всем привет,
Технический комитет 26 (ТК26) Росстандарта, некоторое время назад
опубликовал предварительную редакцию нового стандарта на шифрование:
http://tc26.ru/standard/draft/
Этот стандарт описывает два блочный шифра, один новый с размером блока 128
бит, второй старый с размером блока 64 бита (это режим простой замены ГОСТ
28147-89 с фиксированным узлом замены).
Режимы шифрования и имитозащиты будут описаны отдельным стандартом, проект
которого так же опубликован.
--
Успехов, Сергей Леонтьев, <http://www.cryptopro.ru> (NewsTap)
Технический комитет 26 (ТК26) Росстандарта, некоторое время назад
опубликовал предварительную редакцию нового стандарта на шифрование:
http://tc26.ru/standard/draft/
Этот стандарт описывает два блочный шифра, один новый с размером блока 128
бит, второй старый с размером блока 64 бита (это режим простой замены ГОСТ
28147-89 с фиксированным узлом замены).
Режимы шифрования и имитозащиты будут описаны отдельным стандартом, проект
которого так же опубликован.
--
Успехов, Сергей Леонтьев, <http://www.cryptopro.ru> (NewsTap)
Alexey Vissarionov
Dec 2, 2014, 10:25:03 AM12/2/14
to
Доброго времени суток, Serguei!
02 Dec 2014 15:50:00, ты -> All:
SL> Технический комитет 26 (ТК26) Росстандарта, некоторое время назад
SL> опубликовал предварительную редакцию нового стандарта на шифрование:
SL> http://tc26.ru/standard/draft/
SL> Этот стандарт описывает два блочный шифра, один новый с размером
SL> блока 128 бит,
Какое-то подстановочно-перестановочное фуфло...
SL> второй старый с размером блока 64 бита (это режим простой замены
SL> ГОСТ 28147-89 с фиксированным узлом замены).
Ага - "ГОСТ 28147-89 с зафиксированными блоками нелинейной подстановки".
// (ц) http://tc26.ru/standard/draft/bsh.php
Эти придурки таки сумели повторить ошибку американцев, сделанную в Rijndael -
будучи офигеннейшими математиками, они не посчитали нужным проконсультироваться
у электронщиков. А ведь пользовательские подстановочные таблицы - единственная
защита от "китайского" суперконвейерного взлома.
SL> Режимы шифрования и имитозащиты будут описаны отдельным стандартом,
SL> проект которого так же опубликован.
Те же уши, вид сбоку.
Совсем уже хороших алгоритмов не осталось... а наши долбодятлы мало того, что
34.10 испохабили, теперь еще и 28147-89 хрен пойми во что превратили.
Тьфу! :-/
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-cmlxxvii-mmxlviii
... Опыт и алкоголизм всегда победят молодость и энтузиазм
02 Dec 2014 15:50:00, ты -> All:
SL> Технический комитет 26 (ТК26) Росстандарта, некоторое время назад
SL> опубликовал предварительную редакцию нового стандарта на шифрование:
SL> http://tc26.ru/standard/draft/
SL> Этот стандарт описывает два блочный шифра, один новый с размером
SL> блока 128 бит,
Какое-то подстановочно-перестановочное фуфло...
SL> второй старый с размером блока 64 бита (это режим простой замены
SL> ГОСТ 28147-89 с фиксированным узлом замены).
Ага - "ГОСТ 28147-89 с зафиксированными блоками нелинейной подстановки".
// (ц) http://tc26.ru/standard/draft/bsh.php
Эти придурки таки сумели повторить ошибку американцев, сделанную в Rijndael -
будучи офигеннейшими математиками, они не посчитали нужным проконсультироваться
у электронщиков. А ведь пользовательские подстановочные таблицы - единственная
защита от "китайского" суперконвейерного взлома.
SL> Режимы шифрования и имитозащиты будут описаны отдельным стандартом,
SL> проект которого так же опубликован.
Те же уши, вид сбоку.
Совсем уже хороших алгоритмов не осталось... а наши долбодятлы мало того, что
34.10 испохабили, теперь еще и 28147-89 хрен пойми во что превратили.
Тьфу! :-/
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-cmlxxvii-mmxlviii
... Опыт и алкоголизм всегда победят молодость и энтузиазм
Serguei E. Leontiev
Dec 2, 2014, 11:45:56 AM12/2/14
to
Привет Алексей,
От 2 декабря 2014 г., 18:18:00 в fido7.ru.crypt ты писал:
AV> Какое-то подстановочно-перестановочное фуфло...
Трудно обосновываемое утверждение, ибо все конечные функции сводятся к
подстановкам и перестановкам.
А если уж придумывать обидное "погонялово", то ближе будет "AES-подобное
фуфло" или "полиномиальное фуфло" :)
SL>> второй старый с размером блока 64 бита (это режим простой
SL>> замены ГОСТ 28147-89 с фиксированным узлом замены).
AV> Ага - "ГОСТ 28147-89 с зафиксированными блоками нелинейной
AV> подстановки". // (ц) http://tc26.ru/standard/draft/bsh.php
AV>
AV> Эти придурки таки сумели повторить ошибку американцев,
AV> сделанную в Rijndael - будучи офигеннейшими математиками, они
Ой, у Rijndael :) Будто у DES S-BOX были сменными? :)
AV> не посчитали нужным проконсультироваться у электронщиков. А
А чего с ними консультироваться и так известно, что они сделают если их
не ограничивать требованиями на узлы замены - они их обнулят, так
электричества меньше тратится.
SL>> Режимы шифрования и имитозащиты будут описаны отдельным
SL>> стандартом, проект которого так же опубликован.
AV> Те же уши, вид сбоку.
С формальной точки зрения, там есть послабления для разработчиков.
--
Успехов, Сергей Леонтьев. E-mail: l...@CryptoPro.ru
От 2 декабря 2014 г., 18:18:00 в fido7.ru.crypt ты писал:
SL>> Этот стандарт описывает два блочный шифра, один новый с
SL>> размером блока 128 бит,
AV> Какое-то подстановочно-перестановочное фуфло...
Трудно обосновываемое утверждение, ибо все конечные функции сводятся к
подстановкам и перестановкам.
А если уж придумывать обидное "погонялово", то ближе будет "AES-подобное
фуфло" или "полиномиальное фуфло" :)
SL>> второй старый с размером блока 64 бита (это режим простой
AV> Ага - "ГОСТ 28147-89 с зафиксированными блоками нелинейной
AV> подстановки". // (ц) http://tc26.ru/standard/draft/bsh.php
AV>
AV> Эти придурки таки сумели повторить ошибку американцев,
AV> сделанную в Rijndael - будучи офигеннейшими математиками, они
Ой, у Rijndael :) Будто у DES S-BOX были сменными? :)
AV> не посчитали нужным проконсультироваться у электронщиков. А
А чего с ними консультироваться и так известно, что они сделают если их
не ограничивать требованиями на узлы замены - они их обнулят, так
электричества меньше тратится.
SL>> Режимы шифрования и имитозащиты будут описаны отдельным
AV> Те же уши, вид сбоку.
С формальной точки зрения, там есть послабления для разработчиков.
--
Успехов, Сергей Леонтьев. E-mail: l...@CryptoPro.ru
Alexey Vissarionov
Dec 2, 2014, 1:15:03 PM12/2/14
to
Доброго времени суток, Serguei!
02 Dec 2014 19:45:54, ты -> мне:
SL>>> Этот стандарт описывает два блочный шифра, один новый с
SL>>> размером блока 128 бит,
AV>> Какое-то подстановочно-перестановочное фуфло...
SL> Трудно обосновываемое утверждение, ибо все конечные функции
SL> сводятся к подстановкам и перестановкам.
SL> А если уж придумывать обидное "погонялово", то ближе будет
SL> "AES-подобное фуфло" или "полиномиальное фуфло" :)
Точно - полиномиальное :-)
SL>>> второй старый с размером блока 64 бита (это режим простой
SL>>> замены ГОСТ 28147-89 с фиксированным узлом замены).
AV>> Ага - "ГОСТ 28147-89 с зафиксированными блоками нелинейной
AV>> подстановки". // (ц) http://tc26.ru/standard/draft/bsh.php
AV>> Эти придурки таки сумели повторить ошибку американцев,
AV>> сделанную в Rijndael - будучи офигеннейшими математиками,
SL> Ой, у Rijndael :) Будто у DES S-BOX были сменными? :)
AV>> они не посчитали нужным проконсультироваться у электронщиков.
SL> А чего с ними консультироваться и так известно, что они сделают
SL> если их не ограничивать требованиями на узлы замены - они их
SL> обнулят, так электричества меньше тратится.
По слухам, в Поднебесной таки вбухали тонну денег в строительство ломалки на
специализированных криптопроцессорах, где итерации развернуты в один большой
конвейер. Подробнее узнать не удается, ибо у китайцев ответ один: "во бучжи"
("не знаю") - ибо лаоваям про это знать не положено.
Впрочем, и без того очевидно, что если обычной заменой подстановочных таблиц
можно превратить эти криптопроцессоры в тыкву - делать их под такой алгоритм
никто не будет.
SL>>> Режимы шифрования и имитозащиты будут описаны отдельным
SL>>> стандартом, проект которого так же опубликован.
AV>> Те же уши, вид сбоку.
SL> С формальной точки зрения, там есть послабления для разработчиков.
Если с послаблениями, то получается уже немного другой алгоритм.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-cmlxxvii-mmxlviii
... Сервер под Windows - как Запорожец представительского класса
02 Dec 2014 19:45:54, ты -> мне:
SL>>> Этот стандарт описывает два блочный шифра, один новый с
SL>>> размером блока 128 бит,
AV>> Какое-то подстановочно-перестановочное фуфло...
SL> сводятся к подстановкам и перестановкам.
SL> А если уж придумывать обидное "погонялово", то ближе будет
SL> "AES-подобное фуфло" или "полиномиальное фуфло" :)
Точно - полиномиальное :-)
SL>>> второй старый с размером блока 64 бита (это режим простой
SL>>> замены ГОСТ 28147-89 с фиксированным узлом замены).
AV>> Ага - "ГОСТ 28147-89 с зафиксированными блоками нелинейной
AV>> подстановки". // (ц) http://tc26.ru/standard/draft/bsh.php
AV>> Эти придурки таки сумели повторить ошибку американцев,
AV>> сделанную в Rijndael - будучи офигеннейшими математиками,
AV>> они не посчитали нужным проконсультироваться у электронщиков.
SL> А чего с ними консультироваться и так известно, что они сделают
SL> если их не ограничивать требованиями на узлы замены - они их
SL> обнулят, так электричества меньше тратится.
По слухам, в Поднебесной таки вбухали тонну денег в строительство ломалки на
специализированных криптопроцессорах, где итерации развернуты в один большой
конвейер. Подробнее узнать не удается, ибо у китайцев ответ один: "во бучжи"
("не знаю") - ибо лаоваям про это знать не положено.
Впрочем, и без того очевидно, что если обычной заменой подстановочных таблиц
можно превратить эти криптопроцессоры в тыкву - делать их под такой алгоритм
никто не будет.
SL>>> Режимы шифрования и имитозащиты будут описаны отдельным
SL>>> стандартом, проект которого так же опубликован.
AV>> Те же уши, вид сбоку.
Если с послаблениями, то получается уже немного другой алгоритм.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-cmlxxvii-mmxlviii
Serguei E. Leontiev
Dec 2, 2014, 2:14:41 PM12/2/14
to
Привет Алексей,
От 2 декабря 2014 г., 20:20:20 в fido7.ru.crypt ты писал:
AV> По слухам, в Поднебесной таки вбухали тонну денег в
AV> строительство ломалки на специализированных криптопроцессорах,
AV> где итерации развернуты в один большой конвейер. Подробнее
AV> узнать не удается, ибо у китайцев ответ один: "во бучжи" ("не
AV> знаю") - ибо лаоваям про это знать не положено.
AV> Впрочем, и без того очевидно, что если обычной заменой
AV> подстановочных таблиц можно превратить эти криптопроцессоры в
AV> тыкву - делать их под такой алгоритм никто не будет.
За китайские или американские конвейеры не скажу. Hо, насколько мне
известно, развёртывание того же ГОСТ 28147-89 в аппаратных конвейер на
микросхемах не превращается в тыкву при смене одного нетривиального узла
замены на другой. Для DES/AES аналогично, даже если там константы были
бы сменные, это бы не помешало бы их эффективному вычислению на
аппаратных конвейерах.
SL>>>> Режимы шифрования и имитозащиты будут описаны
SL>>>> отдельным стандартом, проект которого так же
SL>>>> опубликован.
AV> Если с послаблениями, то получается уже немного другой алгоритм.
Hе, ну не такие послабления. Hапример, в ГОСТ 28147-89 был явное
указание на использование режима простой замены только для защиты и/или
выработки ключей, т.е. всякие там CBC, OCB, XCBC и прочие
экспериментальные изыски были формально запрещены.
От 2 декабря 2014 г., 20:20:20 в fido7.ru.crypt ты писал:
AV> По слухам, в Поднебесной таки вбухали тонну денег в
AV> строительство ломалки на специализированных криптопроцессорах,
AV> где итерации развернуты в один большой конвейер. Подробнее
AV> узнать не удается, ибо у китайцев ответ один: "во бучжи" ("не
AV> знаю") - ибо лаоваям про это знать не положено.
AV> Впрочем, и без того очевидно, что если обычной заменой
AV> подстановочных таблиц можно превратить эти криптопроцессоры в
AV> тыкву - делать их под такой алгоритм никто не будет.
За китайские или американские конвейеры не скажу. Hо, насколько мне
известно, развёртывание того же ГОСТ 28147-89 в аппаратных конвейер на
микросхемах не превращается в тыкву при смене одного нетривиального узла
замены на другой. Для DES/AES аналогично, даже если там константы были
бы сменные, это бы не помешало бы их эффективному вычислению на
аппаратных конвейерах.
SL>>>> Режимы шифрования и имитозащиты будут описаны
SL>>>> опубликован.
AV>>> Те же уши, вид сбоку.
SL>> С формальной точки зрения, там есть послабления для
SL>> разработчиков.
SL>> С формальной точки зрения, там есть послабления для
AV> Если с послаблениями, то получается уже немного другой алгоритм.
Hе, ну не такие послабления. Hапример, в ГОСТ 28147-89 был явное
указание на использование режима простой замены только для защиты и/или
выработки ключей, т.е. всякие там CBC, OCB, XCBC и прочие
экспериментальные изыски были формально запрещены.
Alexey Vissarionov
Dec 2, 2014, 5:35:03 PM12/2/14
to
Доброго времени суток, Serguei!
02 Dec 2014 22:14:38, ты -> мне:
AV>> По слухам, в Поднебесной таки вбухали тонну денег в строительство
AV>> ломалки на специализированных криптопроцессорах, где итерации
AV>> развернуты в один большой конвейер. [...] Впрочем, и без того
AV>> очевидно, что если обычной заменой подстановочных таблиц можно
AV>> превратить эти криптопроцессоры в тыкву - делать их под такой
AV>> алгоритм никто не будет.
SL> За китайские или американские конвейеры не скажу. Hо, насколько
SL> мне известно, развёртывание того же ГОСТ 28147-89 в аппаратных
SL> конвейер на микросхемах не превращается в тыкву при смене одного
SL> нетривиального узла замены на другой. Для DES/AES аналогично, даже
SL> если там константы были бы сменные, это бы не помешало бы их
SL> эффективному вычислению на аппаратных конвейерах.
Я про совсем аппаратные - то есть, где для хранения одного бита данных
используется пара транзисторов, а не D-триггер.
SL>>>>> Режимы шифрования и имитозащиты будут описаны отдельным
SL>>>>> стандартом, проект которого так же опубликован.
SL> указание на использование режима простой замены только для защиты
SL> и/или выработки ключей, т.е. всякие там CBC, OCB, XCBC и прочие
SL> экспериментальные изыски были формально запрещены.
И чем это плохо? Вогнал его в гаммирование (по сути, CFB) - и XOR с ним.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-cmlxxvii-mmxlviii
... 99% ответов на вопросы чайников дают ламеры
02 Dec 2014 22:14:38, ты -> мне:
AV>> По слухам, в Поднебесной таки вбухали тонну денег в строительство
AV>> ломалки на специализированных криптопроцессорах, где итерации
AV>> развернуты в один большой конвейер. [...] Впрочем, и без того
AV>> очевидно, что если обычной заменой подстановочных таблиц можно
AV>> превратить эти криптопроцессоры в тыкву - делать их под такой
AV>> алгоритм никто не будет.
SL> За китайские или американские конвейеры не скажу. Hо, насколько
SL> мне известно, развёртывание того же ГОСТ 28147-89 в аппаратных
SL> конвейер на микросхемах не превращается в тыкву при смене одного
SL> нетривиального узла замены на другой. Для DES/AES аналогично, даже
SL> если там константы были бы сменные, это бы не помешало бы их
SL> эффективному вычислению на аппаратных конвейерах.
Я про совсем аппаратные - то есть, где для хранения одного бита данных
используется пара транзисторов, а не D-триггер.
SL>>>>> Режимы шифрования и имитозащиты будут описаны отдельным
SL>>>>> стандартом, проект которого так же опубликован.
AV>>>> Те же уши, вид сбоку.
SL>>> С формальной точки зрения, там есть послабления для
SL>>> разработчиков.
AV>> Если с послаблениями, то получается уже немного другой алгоритм.
SL> Hе, ну не такие послабления. Hапример, в ГОСТ 28147-89 был явное
SL>>> С формальной точки зрения, там есть послабления для
SL>>> разработчиков.
AV>> Если с послаблениями, то получается уже немного другой алгоритм.
SL> указание на использование режима простой замены только для защиты
SL> и/или выработки ключей, т.е. всякие там CBC, OCB, XCBC и прочие
SL> экспериментальные изыски были формально запрещены.
И чем это плохо? Вогнал его в гаммирование (по сути, CFB) - и XOR с ним.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-cmlxxvii-mmxlviii
Serguei E. Leontiev
Dec 2, 2014, 10:34:08 PM12/2/14
to
Привет Алексей,
От 3 декабря 2014 г., 1:22:22 в fido7.ru.crypt ты писал:
AV>>> большой конвейер. [...] Впрочем, и без того очевидно,
AV>>> что если обычной заменой подстановочных таблиц можно
SL>> в аппаратных конвейер на микросхемах не превращается в
SL>> тыкву при смене одного нетривиального узла замены на
SL>> другой. Для DES/AES аналогично, даже если там константы
SL>> были бы сменные, это бы не помешало бы их эффективному
SL>> вычислению на аппаратных конвейерах.
AV> Я про совсем аппаратные - то есть, где для хранения одного бита
AV> данных используется пара транзисторов, а не D-триггер.
Если сэкономить на транзисторах для xor 0 и т.п., то несомненно
некоторый выигрыш в длине длиннейшего пути конечно будет, процентов,
наверное, 20%.
Кроме того, для криптоанализа требуется не низкая задержка, а высокая
пропускная способность, стало быть, в эту трубу надо бы побольше данных
загрузить. Так что, для организации конвейера нужно будет некоторое
количество триггеров вставить. Что, однако, заметно сократит выигрыш от
предыдущей оптимизации.
От 3 декабря 2014 г., 1:22:22 в fido7.ru.crypt ты писал:
AV>>> По слухам, в Поднебесной таки вбухали тонну денег в
AV>>> строительство ломалки на специализированных
AV>>> криптопроцессорах, где итерации развернуты в один
AV>>> большой конвейер. [...] Впрочем, и без того очевидно,
AV>>> что если обычной заменой подстановочных таблиц можно
AV>>> превратить эти криптопроцессоры в тыкву - делать их под
AV>>> такой алгоритм никто не будет.
SL>> За китайские или американские конвейеры не скажу. Hо,
SL>> насколько мне известно, развёртывание того же ГОСТ 28147-89
SL>> в аппаратных конвейер на микросхемах не превращается в
SL>> тыкву при смене одного нетривиального узла замены на
SL>> другой. Для DES/AES аналогично, даже если там константы
SL>> были бы сменные, это бы не помешало бы их эффективному
SL>> вычислению на аппаратных конвейерах.
AV> Я про совсем аппаратные - то есть, где для хранения одного бита
AV> данных используется пара транзисторов, а не D-триггер.
Если сэкономить на транзисторах для xor 0 и т.п., то несомненно
некоторый выигрыш в длине длиннейшего пути конечно будет, процентов,
наверное, 20%.
Кроме того, для криптоанализа требуется не низкая задержка, а высокая
пропускная способность, стало быть, в эту трубу надо бы побольше данных
загрузить. Так что, для организации конвейера нужно будет некоторое
количество триггеров вставить. Что, однако, заметно сократит выигрыш от
предыдущей оптимизации.
0 new messages