Войти
| генеральный | |
|---|---|
| Дизайнеров | ФСБ, ООО «ИнфоТеКС» |
| Впервые опубликовано | 2012 г. |
| Относится к | ГОСТ |
| Сертификация | Стандарт ГОСТ, ISO / IEC 10118-3: 2018, RFC 6986 |
| Деталь | |
| Размеры дайджеста | 256 и 512 |
| Раундов | 12 |
| Лучший публичный криптоанализ | |
| Атака второго прообраза с временной сложностью 2 266. | |
Streebog ( Русский : Стрибог ) - это криптографическая хэш-функция, определенная в российском национальном стандарте ГОСТ Р 34.11-2012 Информационные технологии - Криптографическая защита информации - Хеш-функция. Он был создан, чтобы заменить устаревший ГОСТ хэш - функцию, определенную в старом стандарта ГОСТ Р 34.11-94, а также в качестве асимметричного ответа на SHA-3 конкурса по США Национальным институтом стандартов и технологий. Эта функция также описана в RFC 6986 и одна из хэш-функций в ISO / IEC 10118-3: 2018.
Streebog работает с 512-битными блоками ввода, используя конструкцию Меркла – Дамгарда для обработки входных данных произвольного размера.
Высокоуровневая структура новой хеш-функции напоминает структуру из ГОСТ Р 34.11-94, однако функция сжатия была существенно изменена. Функция сжатия работает в режиме Miyaguchi – Preneel и использует 12-раундовый AES- подобный шифр с 512-битным блоком и 512-битным ключом. (Он использует матрицу байтов 8 × 8, а не матрицу AES 4 × 4.)
Streebog-256 использует другое начальное состояние, чем Streebog-512, и усекает выходной хэш, но в остальном идентичен.
Функция была названа Стрибог в честь Стрибога, бога порывистого ветра в древнеславянской мифологии, и часто упоминается под этим именем, хотя в тексте стандарта это не упоминается явно.
Хеш-значения пустой строки.
Streebog-256("") 0x 3f539a213e97c802cc229d474c6aa32a825a360b2a933a949fd925208d9ce1bb Streebog-512("") 0x 8e945da209aa869f0455928529bcae4679e9873ab707b55315f56ceb98bef0a7 \ 362f715528356ee83cda5f2aac4c6ad2ba3a715c1bcd81cb8e9f90bf4c1c1a8a Даже небольшое изменение в сообщении (с огромной вероятностью) приведет к в основном другому хешу из-за эффекта лавины. Например, добавив точку в конце предложения:
Streebog-256(" The quick brown fox jumps over the lazy dog ") 0x 3e7dea7f2384b6c5a3d0e24aaa29c05e89ddd762145030ec22c71a6db8b2c1f4 Streebog-256(" The quick brown fox jumps over the lazy dog. ") 0x 36816a824dcbe7d6171aa58500741f2ea2757ae2e1784ab72c5c3c6c198d71da Streebog-512(" The quick brown fox jumps over the lazy dog ") 0x d2b793a0bb6cb5904828b5b6dcfb443bb8f33efc06ad09368878ae4cdc8245b9 \ 7e60802469bed1e7c21a64ff0b179a6a1e0bb74d92965450a0adab69162c00fe Streebog-512(" The quick brown fox jumps over the lazy dog. ") 0x fe0c42f267d921f940faa72bd9fcf84f9f1bd7e9d055e9816e4c2ace1ec83be8 \ 2d2957cd59b86e123d8f5adee80b3ca08a017599a9fc1a14d940cf87c77df070 В 2013 году Российский технический комитет по стандартизации «Криптография и механизмы безопасности» (ТК 26) при участии Академии криптографии Российской Федерации объявил открытый конкурс на криптоанализ хеш-функции Стрибога, что привлекло к этой функции международное внимание.
Ма и др. Описывают атаку прообраза, которая требует 2 496 раз и 2 64 памяти или 2 504 раз и 2 11 памяти, чтобы найти единственный прообраз ГОСТ-512, сокращенный до 6 раундов. Они также описывают столкновения атаки с 2 181 временной сложности и 2 64 требования к памяти в одной и той же бумаги.
Гуо и др. Описывают вторую атаку по прообразу на полном Streebog-512 с общей временной сложностью, эквивалентной 2 266 оценкам функции сжатия, если сообщение имеет более 2 259 блоков.
Альтави и Юсеф опубликовали атаку на модифицированную версию Streebog с разными константами раунда. Хотя эта атака может не иметь прямого воздействия на безопасность исходной хэш-функции Streebog, она подняла вопрос о происхождении используемых параметров в функции. Разработчики опубликовали документ, в котором объясняется, что это псевдослучайные константы, сгенерированные с помощью хеш-функции, подобной Streebog, с 12 различными входными сообщениями на естественном языке.
AlTawy и др. Обнаружили 5- раундовую коллизию при свободном старте и 7,75- раундовую коллизию при свободном старте для внутреннего шифра со сложностями 2 8 и 2 40 соответственно, а также атаки на функцию сжатия с 7,75 раундовым полусвободным запуском. коллизия с временной сложностью 2 184 и сложностью памяти 2 8, 8,75 и 9,75 раундов полусвободного старта вблизи коллизий с временными сложностями 2 120 и 2 196, соответственно.
Ван, и др, описывает столкновение атаки на функции сжатия уменьшена до 9,5 раундов с 2 176 времени и сложностью 2 128 сложностью памяти.
В 2015 году Бирюков, Перрин и Удовенко провели реверс-инжиниринг неопубликованной структуры генерации S-блоков (которая, как ранее утверждалось, генерировалась случайным образом) и пришли к выводу, что базовые компоненты криптографически слабые.
