Криптография и криптоанализ

Часть I. 22 марта, 17:00 — 19:00

О постквантовой стойкости на примере схемы подписи «Шиповник»

Царегородцев Кирилл Денисович, старший специалист-исследователь лаборатории криптографии, НПК «Криптонит»

На примере схемы подписи «Шиповник» будет обсуждено несколько «узких мест», которые возникают при изучении стойкости криптографических примитивов и протоколов в условиях нарушителя, имеющего доступ к квантовому компьютеру.

Схемы инкапсуляции ключа на основе кодов, исправляющих ошибки

Высоцкая Виктория Владимировна, НПК «Криптонит», МГУ им. М.В. Ломоносова
Чижов Иван Владимирович, к.ф.-м.н., НПК «Криптонит», МГУ им. М.В. Ломоносова

Описание существующих подходов к построению KEM на основе схем шифрования с открытым ключом. Сравнение оценок стойкости и параметров KEM, полученных различными способами. Вариант схемы KEM на кодах, исправляющих ошибки, для возможной дальнейшей стандартизации в РФ.

«Гиперикум» ― проект квантово-устойчивой схемы цифровой подписи для стандартизации в России

Гребнев Сергей Владимирович, руководитель направления прикладных исследований, QApp

В докладе будет рассмотрен разработанный в рамках деятельности рабочей группы 2.5 «Постквантовые криптографические механизмы» ТК 26 проект схемы цифровой подписи «Гиперикум», его синтезные принципы, основные свойства и характеристики.

О проблеме классификации AKE-протоколов

Алексеев Евгений Константинович, начальник отдела криптографических исследований, КриптоПро
Бабуева Александра Алексеевна, ведущий инженер-аналитик, КриптоПро
Зазыкина Ольга Александровна, магистрант, МТУСИ

В настоящей работе предлагается подход к единообразному описанию протоколов аутентифицированной выработки общего ключа (AKE-протоколов), а также принципы классификации настоящих протоколов с точки зрения их конструктивных особенностей.

Гибридный пост-квантовый обмен ключами в интернет-протоколах

Смыслов Валерий Анатольевич, архитектор системы отдела разработки ПО, ЭЛВИС-ПЛЮС

Гибридный пост-квантовый обмен ключами позволяет снизить риски, связанные с недостаточной глубиной анализа, которому на сегодняшний день подвергались различные пост-квантовые механизмы. Однако, его использование в интернет-протоколах вызывает определенные проблемы, как криптографического, так и инженерного свойства. Как эти проблемы решаются на практике на примере реализации гибридного пост-квантового обмена ключами в протоколах IKEv2 и TLS 1.3.

Эффект плацебо в криптографии

Фомин Денис Бониславович, ТК 26

В настоящее время сформировались различные подходы к оценке стойкости криптографических механизмов. При этом различные авторские коллективы и научные школы либо стараются придерживаться одного конкретного подхода, если он в достаточной степени прошел «проверку временем», либо предлагают свои «авторские» решения. В докладе рассмотрены два подхода, наиболее часто встречающиеся в отечественной литературе. Первый подход определяется средней трудоемкостью алгоритма нарушения свойств безопасности данных. Второй подход связан с так называемой «доказуемой стойкостью». Кратко описаны оба подхода, а также их положительные и отрицательные стороны. Сформулирован ряд открытых задач и выявлены скрытые угрозы, обусловленные использованием только подхода на основе доказуемой стойкости.

Часть II. 23 марта, 12:00 — 14:00

О свойствах MDS-матриц XSL-блочных шифрсистем

Смирнов Антон Михайлович, ассистент, НИЯУ МИФИ
Пудовкина Марина Александровна, д.ф.-м.н., профессор, НИЯУ МИФИ

Многие атаки на XSL-блочные шифрсистемы основаны на различных свойствах матрицы преобразования линейного слоя. В докладе описаны классы матриц линейного слоя XSL-шифрсистем, обладающие свойствами, которые потенциально могут привести к атакам. Предложены рекомендации для защиты от таких атак.

Применение разностного метода криптографического анализа к алгоритму шифрования КБ-256

Курочкин Алексей Вячеславович, Код Безопасности, МФТИ
Чухно Андрей Борисович, Код Безопасности, НИУ ВШЭ

С конца XX века широкое распространение получили блочные криптографические алгоритмы. Большинство из них построено по итеративному принципу, где каждая итерация представляет собой чередование линейных и нелинейных преобразований. После появления линейного и разностного методов криптографического анализа были сформулированы требования к выбору параметров нелинейных и линейных преобразований. Алгоритм КБ-256 – это открытый блочный алгоритм шифрования с длиной блока 256 бит, построенный по принципу обобщённой сети Фейстеля, в котором восемь ячеек. В данном алгоритме нелинейные преобразования – это сумма по модулю 2^n и восемь 4-х битных подстановок, аналогичных подстановкам из алгоритма шифрования «Магма». На каждой итерации изменению подвергаются 3 ячейки. В данной работе получена оценка на минимальное количество раундов, при которых алгоритм не устойчив к разностному методу анализа: построено разностное соотношение для 15 раундов алгоритма, и с помощью данного соотношения построена эффективная атака на 13 раундов алгоритма.

Разработка алгоритма поиска невозможных дифференциалов для блочного шифра КБ256-3

Астраханцев Роман Геннадьевич, НИУ ВШЭ
Дмух Андрей Александрович, к.ф.-м.н., доцент кафедры «Компьютерная безопасность», НИУ ВШЭ
Астраханцева Ирина Александровна, доктор экономических наук, заведующий кафедрой информационных технологий и цифровой экономики, ФГБОУ ВО «Ивановский государственный химико-технологический университет»

В работе для блочного шифра КБ256-3 (16 раундов, используются раундовые преобразования из ГОСТ Р 34.12-2015 «Магма») найдены невозможные дифференциалы длины от 8 до 18 раундов, что на 2 раунда больше чем известные ранее. Полученные результаты свидетельствуют о необходимости увеличения количества раундов для КБ256-3 не менее чем на 6-10 раундов.

Подход к оценке стойкости блочных шифров к линейному криптоанализу с использованием квантовых алгоритмов

Щербаченко Андрей Александрович, специалист, СФБ-Лаб

В докладе рассматриваются вопросы применения квантового алгоритма Бернштейна-Вазирани для оценки характеристик, определяющих стойкость алгоритмов блочного шифрования к линейному методу криптоанализа. Предложены подходы к оценке преобладания наилучшего линейного приближения при фиксированном значении ключа, а также математического ожидания преобладания при случайном выборе ключа.

О свойстве безопасности RUP для схем аутентифицированного шифрования

Бабуева Александра Алексеевна, ведущий инженер-аналитик, КриптоПро
Алексеев Евгений Константинович, начальник отдела криптографических исследований, КриптоПро
Ахметзянова Лилия Руслановна, к.ф.-м.н., заместитель начальника отдела криптографических исследований, КриптоПро
Божко Андрей Алексеевич, инженер-аналитик, КриптоПро

Доклад посвящен свойству безопасности RUP (Release of Unverified Plaintext), которое характеризует стойкость схемы аутентифицированного шифрования относительно нарушителей, обладающих возможностью узнавать открытый текст, соответствующий некорректному шифртексту. Приводятся результаты исследований о соотношении данного свойства со свойством безопасности MRAE (Misuse-Resistance Authenticated Encryption), предлагается атака на механизм шифрования, использующийся в сообщении формата CMS, определенного в Рекомендациях по стандартизации Р 1323565.1.025-2019.

Характеристики режима работы блочных шифров, предлагаемого для защиты системных носителей информации с блочно-ориентированной структурой

Коренева Алиса Михайловна, к.ф.-м.н., Код Безопасности, Финансовый университет при Правительстве РФ
Фирсов Георгий Валентинович, Код Безопасности, НИЯУ «МИФИ»

В 2022 году приняты рекомендации по стандартизации, определяющие режим работы блочных шифров DEC, используемый для защиты носителей информации с блочно-ориентированной структурой. Режим DEC имеет эксплуатационные особенности, усложняющие его использование для шифрования системных дисков, из-за чего востребован синтез альтернативных режимов для полнодискового шифрования. В большинстве существующего ПО для шифрования системных дисков используется режим XTS, но он имеет особенности, ухудшающие его криптографические качества. В докладе предлагается модификация режима XTS — режим XEH (Xor-Encrypt-Hash), для которого получена нижняя граница оценки уровня информационной безопасности и исследованы некоторые эксплуатационные характеристики.

Часть III. 23 марта, 15:00 — 16:30

Анализ подходов к построению протоколов RFID для защиты от атак пересылки

Чичаева Анастасия Александровна, специалист-исследователь лаборатории криптографии, НПК «Криптонит»
Бельский Владимир Сергеевич, заместитель руководителя лаборатории криптографии, НПК «Криптонит»
Царегородцев Кирилл Денисович, старший специалист-исследователь лаборатории криптографии, НПК «Криптонит»
Шишкин Василий Алексеевич, к.ф.-м.н., руководитель лаборатории криптографии, НПК «Криптонит»

В работе предложен протокол оценки расстояния DB-RFID, предназначенный для защиты от атак пересылки в технологии RFID. Протокол DB-RFID развивает идеи протокола «Швейцарский нож», который в соответствии с анализом является наиболее перспективным, так как защищает от большего числа атак. Также в работе рассматриваются варианты протокола с использованием отечественных криптографических механизмов.

Аутентификация устройств низкоресурсных киберфизических систем в граничной вычислительной архитектуре

Шкоркина Елена Николаевна, Санкт-Петербургский политехнический университет Петра Великого
Александрова Елена Борисовна, Санкт-Петербургский политехнический университет Петра Великого

Доклад посвящен разработанному протоколу аутентификации управляющего устройства на исполнительном с выработкой ключей защищенного управления, функционирующему в вычислительной архитектуре с граничным делегированием. Будут рассмотрены аспекты решения, благодаря которым обеспечивается стойкость к некоторым видам атак, а также возможность адаптации протокола к вычислительным возможностям устройств и противника.

Исследование эффективности применения нейросетевых алгоритмов для оценки минимальной энтропии последовательностей, вырабатываемых датчиками случайных чисел

Сергеев Андрей Михайлович, специалист, СФБ Лаб

В докладе исследуются вопросы определения статистических свойств исходных последовательностей, вырабатываемых физической компонентой ФДСЧ (физического датчика случайных чисел), к которым не применимы известные статистические тесты NIST 800-22, Diehard и т.п. В 2018 году для оценки случайности исходных последовательностей предложен набор тестов NIST 800-90B, направленный на оценку минимальной символьной энтропии и включающий в себя тесты-предикторы, предсказывающие появление символов (бит, байт) последовательности. В настоящем докладе исследуется эффективность применения нейросетевых алгоритмов для построения предикторов в качестве тестов оценки мин-энтропии.

Обобщенный параметризованный алгоритм восстановления прообраза хеш-функции MD5 методом полного опробования

Коновалов Никита Алексеевич, аспирант, НИЯУ МИФИ

Работа посвящена продолжению исследований криптографических хеш-функций семейства MD и особенностей конструкций, позволяющих редуцировать функции для задачи восстановления прообраза по известному образу при некоторых известных характеристиках прообраза методом полного опробования. Был предложен обобщенный редуцированный параметризированный алгоритм для хеш-функции MD5, сокращающий количество алгоритмических и логических операций в задаче восстановления прообраза по известному образу методом полного опробования. Обобщенный алгоритм позволяет сократить количество шагов обновления состояния во внутреннем цикле алгоритма на 36% в лучшем случае.

Разработка способов поиска эквивалентных ключей в поточных шифрсистемах, основанных на алгоритме генерации случайных подстановок Фишера-Йетса

Киндеев Юрий Романович, студент, НИЯУ МИФИ

В работе проводится сравнительный анализ алгоритмов генерации начальной подстановки в поточной шифрсистеме RC4 и её модификациях RC4A, VMPC и RC4D основанных на конструкции предложенной и, описанной Р. А. Фишером и Ф. Ятсом, а также были рассмотрены методы получения пар эквивалентных ключей малой длины. В результате работы была найдена закономерность при формировании эквивалентных ключей и на ее основе был разработан алгоритм генерации пар эквивалентных ключей и опробован на поточной шифрсистеме RC4 и её модификациях RC4A, VMPC и RC4D.

Программа конференции

Тематическая секция