Сообщество Mozilla объявило о доступности первой бета-версии браузера Firefox 5 для операционных систем Windows, Mac OS X и Linux.

Среди новых функций: поддержка CSS анимации, улучшенная сетевая и JavaScript производительность, возможность переключения каналов обновления в окне About, оптимизация потребления памяти, улучшенная поддержка стандартов HTML5, XHR, MathML, SMIL, более тесная интеграция с графической рабочей средой в Linux, и улучшенная проверка орфографии для некоторых локалей.

Функция переключения между каналами позволит выбирать одну из трех веток развития браузера (Stable, Beta, Aurora). Преимуществом Stable является стабильная и надежная работа, однако новые функции здесь будут появляться в последнюю очередь, а выход финальных версий Firefox ожидается не чаще, чем раз в несколько месяцев. В то же время Aurora канал позволит получать новейшие функции буквально пару раз в неделю, однако будет иметь больше ошибок, часть из которых вполне может мешать нормальной работе с браузером.

Новый график выпуска версий Firefox довольно наглядно демонстрирует, что разработка теперь будет больше ориентирована на конкретное время выпуска, чем на реализацию новых функций. Такой подход может оказаться продуктивным, поскольку позволяет вовремя отправить символический поезд очередной версии продукта, пока не пришел следующий «поезд» с новой версией.

Кроме новой бета-версии настольного браузера разработчики Mozilla выпустили новую бета-версию мобильного браузера Firefox 4 с поддержкой технологии Do-Not-Track – эта технология позволяет скрыть все следы посещения различных сайтов и не дать посещенным сайтам зафиксировать какие-либо данные о пользователе.

Двое инженеров из Южной Кореи разработали новый механизм фильтрации мультимедийного контента, позволяющий распознавать порнофильмы по характерному аудиоряду. Новый фильтр обладает рядом преимуществ по сравнению со своими традиционными «коллегами», выполняющими визуальный анализ. Непристойную картинку можно замаскировать от ока электронной цензуры с помощью необычных ракурсов, крупных планов и других нехитрых приемов. Однако подобная максировка становится бесполезной, когда в дело вступает цензор, наделенный органами слуха.

Первым этапом в разработке новой системы стало изготовление набора спектрограмм, в визуальной форме представляющих различные виды аудиоконтента (включая музыку, обыкновенные фильмы и непосредственно порно). В ходе тщательного анализа спектрограмм было выявлено несколько уникальных особенностей, характерных для взрослого видео. Исследователи объясняют, что в обычной человеческой речи преобладают низкие тона, музыка представляет собой набор звуков различной высоты, и обе спектрограммы относительно стабильны. Озвучка порнофильма в свою очередь состоит из часто меняющихся высоких звуков, которые к тому же многократно повторяются.

Собрав достаточно полную базу данных, исследователи создали программное обеспечение, способное анализировать спектрограммы и распознавать порноролики делом техники. Точность распознавания на данный момент составляет 93%. Стоит отметить, что предложенное решение нельзя назвать идеальным, фильтр допускает ошибки, порой достаточно забавные. Например, несколько раз меткой «порно» были отмечены безобидные ситкомы с закадровым смехом. В ряде случаев цензор не смог распознать видео для взрослых из-за громкой фоновой музыки.

Новую разработку вряд ли можно рассматривать как замену, традиционными визуальным фильтрам. Аккуратность идентификации распознавания у обеих методик примерно одинакова, при этом старые механизмы способны проводить анализ по одному кадру, в то время как новому фильтру необходим достаточно длинный ролик. Однако ничто не мешает объединить эти две технологии в рамках одного решения.

На днях экспертами "Лаборатории Касперского" были обнаружены новые экземпляры вредоносной программы MAX++ (он же ZeroAccess). Об этом говорится в корпоративном блоге антивирусной компании. Этот троянец и ранее был известен тем, что использовал передовые rootkit-технологии для скрытия своего присутствия в системе. Если раньше Max++ работал только под платформу x86, то теперь же он способен работать и на x64 системах.

Заражение пользователей происходит с помощью drive-by атаки на браузер и его компоненты через набор эксплойтов Bleeding Life. В частности, атаке подвергаются модули Acrobat Reader (CVE 2010-0188, CVE 2010-1297, CVE 2010-2884, CVE 2008-2992) и JAVA (CVE 2010-0842, CVE 2010-3552).

В случае если компьютер пользователя окажется уязвимым перед эксплойтами, то в системе обоснуется троянский загрузчик MAX++. Этот загрузчик определяет разрядность системы, на которой он запущен и, в соответствии с этим, загружает необходимый инсталлятор бэкдора MAX++ (Backdoor.Win32.ZAccess.a/Backdoor.Win64.ZAccess.b).

Инсталлятор MAX++ под x86 не сильно отличается от своего собрата, но предыдущего поколения. При установке, он заражает системный драйвер и загружает его в память, используя вызов ntdll!NtLoadDriver. Загрузка драйвера в память происходит с помощью параметра ImagePath в системном ключе реестра. В этом параметре содержится символьная ссылка на зараженный драйвер. Так же инсталлятор создает в “$windir\system32\config” файл, представляющий собой виртуальный том, форматированный в файловую систему NTFS, с которым работает драйвер вредоносной программы. На нем же и хранятся все модули бэкдора. Данный вариант MAX++ успешно работает на 32-разрядных ОС windows XP/2003 и Windows 7/2008.

Наиболее интересным является случай, если загрузчик был запущен на x64 системе. В этом случае на компьютер жертвы загружается инсталлятор бэкдора, который специально скомпилирован для работы на 64-разрядных системах. Этот бэкдор не содержит руткит, а представляет собой usermode-зловред, который повторяет работу руткита под x32 с той лишь разницей, что его компоненты представляют собой файлы и хранятся в "$windir\assembly", имея сходную структуру каталогов.

Автозапуск на x64 обеспечивается ключом реестра “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems”. Само тело бэкдора расположено в системной папке system32 с именем consrv.dll. Все модули, что бэкдор выкачивает после своей инсталляции, также предназначены для 64-битной платформы. Установка x64 MAX++ достигается путем внедрения в services.exe с использованием функции ntdll!NtQueueApcThread. Трудность лечения зараженной x64 системы связана с ключом автозапуска зловреда: если удалить файл, не исправив ключ реестра, то система уже не сможет загрузиться, а вместо этого будет выдавать BSOD на определённом этапе загрузки.

Загружаемые модули MAX++ могут выполнять разные действия – подмена поисковой выдачи, кликанье по ссылкам, скачивание по команде.

Профессиональная социальная сеть LinkedIn имеет в своем программном обеспечении ряд уязвимостей, ставящих под угрозу пользовательские аккаунты и позволяющих потенциальным взломщикам получать доступ к данным участников LinkedIn без соответствующего разрешения. Об этом сообщают независимые индийские ИТ-специалисты, работающие в рамках проекта WTFuzz.com.

Риши Наранг, независимый ИТ-специалист, говорит, что технически уявзимость связана с файлами-идентификаторами, так называемыми cookie, которые выдаются пользовательскому браузеру для идентификации со стороны самой LinkedIn как легитимного пользователя. Проблема заключается в том, что серверное ПО создает cookie под общим именем LEO_AUTH_TOKEN, который действует без истечения целый год.

Наранг говорит, что подавляющее большинство сайтов сейчас выдают клиентским компьютерам cookie для идентификации, но большинство этих файлов имеют срок истечения от 30 до 180 минут, после чего клиенту необходимо авторизоваться повторно. По непонятным причинам у LinkedIn срок жизни cookie был увеличен до 1 года.

По словам Наранга, cookie с большим сроком жизни - это удобно для легитимного пользователя, так как позволяет ему избегать лишних вводов логинов и паролей, но с другой стороны перехват таких файлов дает все эти преимущества хакеру. Дополнительную угрозу создает и тот факт, что передаются cookie по открытым каналам связи, без какого-либо шифрования.

Технически, говорят индийские специалисты, верным решением было бы как минимум сократить срок жизни cookie до 30-60 минут, а также предоставить пользователям на выбор возможность входа через систему SSL.

Наранг говорит, что многие сайты имеют не совсем корректно выставленное время жизни cookie, однако в случае в LinkedIn эта проблема приобретает острый характер ввиду того, что пользователи этой сети оставляют здесь массу своих персональных и деловых данных.

В минувшую пятницу полиция конфисковала сервера, принадлежащие Пиратской партии Германии. Конфискация связана с расследованием планируемой DDoS-атаки на сайт французской энергетической компании EDF.

Как сообщили в Пиратской партии Германии, утром 20 марта у её хостера AixIT в Оффенбахе были изъяты несколько серверов. В результате коммуникационная инфраструктура организации была серьёзно нарушена. Частично или полностью вышли из строя основной сайт партии, почтовый и другие сервисы, сайты подразделений партии в нескольких землях страны.

Как оказалось, у правоохранительных органов пока нет претензий к деятельности самой Пиратской партии. Причиной рейда стали некоторые пользователи сервиса PiratePad, работающего на серверах этой организации.

PiratePad — это популярная разновидность опенсорсного онлайн-редактора Etherpad, предоставляющего возможность одновременной совместной работы с текстовыми документами. По данным полиции, некие анонимные граждане опубликовали на PiratePad SSH-ключ, который должен был использоваться для атак на сервер EDF.

Пиратская партия Германии, с одной стороны, пообещала правоохранительным органам всяческое содействие, а с другой, выразила сомнения в оправданности столь радикальных мер как конфискация серверов. Тем более что в воскресенье, т.е. через два дня после рейда, должны были пройти выборы в Бремене.

"Отключение всех серверов является серьёзным вторжением в коммуникационную инфраструктуру шестой по величине партии Германии. С учётом того, что через два дня в Бремене должны пройти выборы в местные органы власти, это причинило значительный политический ущерб", — говорится в заявлении Пиратской партии Германии.

Вполне ожидаемо, что вскоре после того как информация об изъятии серверов партии стала достоянием общественности, на официальные сайты германской полиции bka.de и polizei.de начались DDoS-атаки. Пиратская партия поспешила от этих атак дистанцироваться, заявив, что для этого нет никаких причин. В настоящий момент оба этих сайта доступны.

Фонд Etherpad также счёл нужным сделать заявление в связи с инцидентом. Здесь выразили поддержку Пиратской партии Германии, вспомнили про свободу слова право всех и каждого на одновременное совместное редактирование текстовых документов и предположили, что все Etherpad-сервисы в Германии рискуют стать жертвами полицейских рейдов.

Данная статья посвящена алгоритму EdgeRank, который отвечает за фильтрацию новостей в Facebook-ленте.

Все вы помните, что в разделе новостей вам предлагают прочитать самые популярные новости («Top News») и все недавние обновления («Most Recent»). Исходя из вашего поведения, Facebook решает, какие новости для вас будут интересны, а какие – нет, и именно этим отбором занимается алгоритм EdgeRank.

Однако немногие знают, что Facebook EdgeRank фильтрует не только «Top News», но и общую ленту новостей. В общую ленту алгоритм в хронологическом порядке включает посты от определенного списка друзей и страниц — только тех, от которых ожидается интересная для получателя информация. Как вы можете догадаться, в «Популярных новостях» этот ценз еще более строг.

Что это значит для вас? Если вы постоянно поддерживаете контакт со своими друзьями, комментируете и «лайкаете» их посты – то вы останетесь на связи и не пропустите важных новостей.

А что, если вы ведете свою специальную страничку, на которую с большим трудом набираете новых читателей, однако отдача крайне мала? Знакома ли вам ситуация: у вашей страницы несколько сотен читателей, но к каждому посту вы получаете 1-2 лайка? Конечно, дело может быть в вашем контенте и способе подачи информации, но свою «руку» к этому приложил и EdgeRank, который, увидев, что читатель не проявил интереса к обновлениям вашей страницы, просто «убрал» ее из ленты новостей.

В статье будет рассказано об алгоритме EdgeRank и советах по преодолению его фильтров.

Представители Mozilla с некоторым опозданием удалили из своего каталога расширений плагин Ant Video Downloader and Player, скачанный около 7 млн раз. Плагин следил за сайтами, которые посещали пользователи Firefox и передавал информацию на сервер разработчика.

Программ, дополнений и гаджетов, которые следят за пользователями, на сегодняшний день существует великое множество. Некоторые интернетчики добровольно и даже охотно "скармливают" свои персональные данные, сведения о своих перемещениях и о посещенных сайтах. Некоторые же предпочитают "шифроваться", используя при браузинге приватный режим, а то и в сочетании с анонимайзерами.

Плагин Ant Video Downloader and Player, скачиваемый в среднем по 7 тысяч раз в день, оказался в этом смысле настоящей находкой. Как выяснилось, он не только передавал информацию о каждом HTTP-запросе пользователя на сервер rpc.ant.com, но и был способен делать это в приватном режиме. При установке плагина, разумеется, не выводилось никаких предупреждений о слежке.

При этом каждому пользователю плагин назначал уникальный идентификационный номер, который оставался неизменным даже после удаления и новой установки плагина. Идентификатор можно было сменить только полностью очистив свой пользовательский профиль Firefox, то есть приведя браузер в изначальное состояние - как перед первым запуском. Поскольку вместе с информацией на сервер передавался и этот идентификатор, приватность отсутствовала даже при использовании анонимайзеров.

Благодаря системе уникальных идентификационных номеров разработчики плагина вполне могли накопить массу интересных сведений с привязкой к конкретным пользователям. Анализируя посещенные пользователем страницы в ряде случаев можно даже вычислить его личность, не говоря уже о его интересах и предпочтениях. А сохраняя и обрабатывая сведения об IP-адресах, с которых выходил в Интернет пользователь с данным идентификатором, можно составить относительно подробную карту его перемещений (в случае использования переносного компьютера).

Трехчасовое обсуждение состоялась 19 мая в помещении Торгово-промышленной палаты РФ. Предметом обсуждения были предлагаемые изменения в Гражданский кодекс (п. 6 ст. 1233), в основе которых лежит идея о том, что квалификация свободных лицензий в качестве договоров в условиях российского законодательства чревата массой трудностей. Поэтому, по мнению авторов поправок, более простым способом является создание альтернативного механизма "самоограничения права", позволяющего правообладателю в одностороннем порядке отказаться от части интеллектуальных прав. Следует отметить, что механизм "самоограничения права" – уникальная концепция, не имеющая аналогов в мировой практике.

Для того, чтобы "самоограничение права" в отношении конкретного произведения вступило в силу, потребуется обязательное размещение в специальном государственном реестре заявления о предоставлении третьим лицам возможности безвозмездно использовать опубликованное произведение. Изначально предполагалось, что держателем реестра должен стать Роспатент, однако представители этого ведомства не выразили никакого сочувствия подобной перспективе, в то время как Министерство культуры, напротив, выразило готовность взять на себя эту функцию.

Лейтмотивом состоявшегося обсуждения были конкретные юридические проблемы, которые могут возникнуть при применении свободных лицензий в российских условиях в качестве гражданско-правовых договоров. Среди таких проблем следует упомянуть: сложность определения сторон договора (как определить, кто правообладатель и кто пользователь), сомнения в отношении соблюдения законодательных требований о форме заключения договора (удовлетворяет ли загрузка программы из интернета и начало ее использования требованиям о письменной форме договора), безвозмездный характер свободных лицензий (договоры дарения между юридическими лицами запрещены), невозможность ограничения личных неимущественных прав автора (автор не может отказаться от права на неприкосновенность произведения и права на имя) и др.

В ходе обсуждения также была высказана идея, что применение свободных лицензий вполне возможно в условиях действующего законодательства при условии его "творческого" толкования, желания и политической воли. Иными словами, обоснованной необходимости "идти своим путем" и создавать особое законодательное регулирование нет.

Аналитики Boston Consulting Group (BCG) по заказу российского представительства Googlе провели исследование под названием "Россия онлайн: Влияние Интернета на российскую экономику". Вклад Всемирной паутины в российский ВВП на 2009 год оценили в 1,6 процента, а к 2015 прогнозируется рост до 2,6 процентов.

В показателе 1,6 процента учтен лишь "прямой вклад" в экономику - а именно, стоимость товаров, приобретаемых через Сеть, затраты населения на доступ и инфраструктуру, экспорт, а также госзатраты на Интернет. Цифра звучит более жизнеутверждающе, если вычесть из валового продукта доходы от нефтегазовой отрасли - в этом случае вклад Интернета достигает 2,1 процента.

По этому показателю Россия заметно отстает от Великобритании и Дании, где доля интернет-экономики достигает 7,2 и 5,8 процента ВВП соответственно. Зато в сравнении с Испанией и Италией Россия практически не проигрывает (1,9 и 2,2 процента ВВП соответственно).

Аналитики также заявили, что интернет-экономика сильно централизована в Москве и Санкт-Петербурге. Впрочем, отличия от остальных регионов не настолько существенны, как принято думать: показатели отличаются лишь в три-четыре раза.

По данным BCG, так называемое "интернет-потребление" выражается цифрой в 12,6 млрд долларов, импорт интернет-услуг и товаров - 6,3 млрд долларов, экспорт - порядка 1 млрд, а инвестиции в Сеть - 10,5 млрд. Объем электронной коммерции составляет 7,4 млрд, однако следует учесть и офлайновые продажи, которые не состоялись бы без Сети - их объем достигает 16 млрд долларов.

По мнению аналитиков BCG, доля интернет-экономики к 2015 году составит 2,6 процента от ВВП, то есть 64,8 млрд долларов. Предполагается и более оптимистичный сценарий, предполагающий рост на 30 процентов в год (что даст долю в 3,7 процента от ВВП к 2015 году), однако он предполагает рост госзатрат и частных инвестиций в Сеть.

Известный исследователь, основоположник алгебраического криптоанализа Николя Куртуа утверждает, что блочный шифр ГОСТ, который в ближайшее время должен был стать международным стандартом, фактически взломан и ожидает в дальнейшем множества публикаций, которые должны развить его идеи о нестойкости этого алгоритма.

Далее приведены краткие выдержки из этой работы, которую можно рассматривать как алармистский выпад в разгаре международной стандартизации (схожими преувеличениями автор был известен и в отношении AES, однако его работы тогда оказали большое теоретическое влияние на криптоанализ, но так и не привели на сегодняшний момент к практическим атакам на сам AES). Но, возможно, это и реальное предупреждение о начале этапа "пикирующего в штопор самолёта", которое может закончиться крахом национального стандарта шифрования, как это было с алгоритмом хэширования SHA-1 и алгоритмом хэширования "де-факто" MD5.

ГОСТ 28147-89 был стандартизирован в 1989 году и впервые стал официальным стандартом защиты конфиденциальной информации, но спецификация шифра оставалась закрытой. В 1994 году стандарт был рассекречен, опубликован и переведён на английский язык. По аналогии с AES (и в отличие от DES), ГОСТ допущен к защите секретной информации без ограничений, в соответствии с тем, как это указано в российском стандарте. Т.о. ГОСТ — это не аналог DES, а конкурент 3-DES с тремя независимыми ключами или AES-256. Очевидно, что ГОСТ — это достаточно серьёзный шифр, удовлетворяющий военным критериям, созданный с расчётом на самые серьёзные применения. По крайней мере два набора S-блоков ГОСТа были идентифицированы на основе приложений, используемых российскими банками. Эти банки нуждаются в проведении секретных коммуникаций с сотнями филиалов и защите миллиардов долларов от мошеннических хищений.

ГОСТ — это блочный шифр с простой структурой Файстеля, с размером блока 64 бита, 256-битным ключом и 32 раундами. Каждый раунд содержит сложение с ключом по модулю 232, набор из восьми 4-битных S-блоков и простой циклический сдвиг на 11 битов. Особенностью ГОСТа является возможность хранения S-блоков в секрете, что можно представить как второй ключ, увеличивающий эффективный ключевой материал до 610 битов. Один набор S-блоков был опубликован в 1994 году в рамках спецификации хэш-функции ГОСТ-Р 34.11-94 и, как писал Шнайер, использовался Центральным Банком Российской Федерации. Он также вошёл в стандарт RFC4357 в части "id-GostR3411-94-CryptoProParamSet". В исходных кодах в конце книги Шнайера была ошибка (в порядке S-блоков). Наиболее точную эталонную реализацию исконно российского происхождения сейчас можно встретить в библиотеке OpenSSL. Если где-то применяются секретные S-блоки, то они могут быть извлечены из программных реализаций и из микросхем, по факту чего были опубликованы соответствующие работы.

ГОСТ — серьёзный конкурент

В дополнение к очень большому размеру ключа, GOST имеет значительно более низкую стоимость исполнения по сравнению с AES и какими-либо ещё сходными системами шифрования. В действительности, он стоит намного меньше AES, которому требуется в четыре раза больше аппаратных логических вентилей ради значительно меньшего заявленного уровня безопасности.

Неудивительно, что ГОСТ стал интернет-стандартом, в частности, он включён во многие криптобиблиотеки, такие как OpenSSL и Crypto++, и становится всё популярнее за пределами страны своего происхождения. В 2010 году ГОСТ был заявлен на стандартизацию ISO как всемирный стандарт шифрования. Крайне малое количество алгоритмов смогли стать международными стандартами. ISO/IEC 18033-3:2010 описывает следующие алгоритмы: четыре 64-битных шифра — TDEA, MISTY1, CAST-128, HIGHT — и три 128-битных шифра — AES, Camellia, SEED. ГОСТ предлагается добавить в этот же самый стандарт ISO/IEC 18033-3.

Впервые в истории промышленной стандартизации мы имеем дело со столь конкурентоспособным алгоритмом в терминах оптимальности между стоимостью и уровнем безопасности. ГОСТ имеет за собой 20 лет попыток криптоанализа и до недавних пор его безопасность военного уровня не подвергалась сомнению.

Как стало недавно известно автору из приватной переписки, большинство стран высказались против ГОСТа на голосовании ISO в Сингапуре, однако результаты этого голосования будут ещё рассматриваться на пленарном заседании ISO SC27, так что ГОСТ всё ещё находится в процессе стандартизации на момент публикации этой работы.

Мнения экспертов по поводу ГОСТ

Ничто из имеющихся сведений и литературы по поводу ГОСТа не даёт оснований полагать, что шифр может быть небезопасным. Наоборот, большой размер ключа и большое число раундов делают ГОСТ, на первый взгляд, подходящим для десятилетий использования.

Все, кому знаком закон Мура, понимают, что, в теории, 256-битные ключи останутся безопасными по крайней мере 200 лет. ГОСТ был широко исследован ведущими экспертами в области криптографии, известными в области анализа блочных шифров, такими как Шнайер, Бирюков, Данкельман, Вагнер, множеством австралийских, японских и российских учёных, экспертами по криптографии от ISO, и все исследователи высказывались, что всё выглядит так, что он он может быть или должен быть безопасным. Хотя широкого понимания достигло мнение, что сама по себе структура ГОСТа крайне слаба, например, по сравнению с DES, в частности, диффузия не настолько хороша, однако это всегда обуславливалось тем, что это должно компенсироваться большим числом раундов (32), а также дополнительной нелинейностью и диффузией, обеспечиваемой сложением по модулю.

Бирюков и Вагнер писали: "Большое число раундов (32) и хорошо изученная конструкция Фейстеля, сочетаемая с последовательными Шенноновскими подстановками-перестановками, обеспечивают солидную основу безопасности ГОСТ". В той же самой работе мы читаем: "после значительных затрат времени и усилий, никакого прогресса в криптоанализе стандарта в открытой литературе достигнуто не было". Таким образом, не было никаких существенных атак, которые позволяли бы дешифрование или восстановление ключа в реалистичном сценарии, когда ГОСТ используется в шифровании со множеством разных случайных ключей. В противоположность этому, известно очень много работ по атакам на слабые ключи в ГОСТ, атаки со связанными ключами, атаки на восстановление секретных S-блоков. На Crypto-2008 был представлен взлом хэш-функции, основанной на этом шифре. Во всех атаках атакующий имеет значительно больший уровень свободы, чем ему обычно допускается. В традиционных применениях шифрования с использованием случайно выбираемых ключей до настоящего момента никаких серьёзных криптографических атак на ГОСТ найдено не было, что в 2010 году выражалось итоговой фразой: "несмотря на существенные усилия криптоаналитиков за прошедшие 20 лет, ГОСТ всё ещё не взломан" (Axel Poschmann, San Ling, and Huaxiong Wang: 256 Bit Standardized Crypto for 650 GE GOST Revisited, In CHES 2010, LNCS 6225, pp. 219-233, 2010).

Линейный и дифференциальный анализ ГОСТ

В широкоизвестной книге Шнайера мы читаем: "Против дифференциального и линейного криптоанализа ГОСТ вероятно более устойчив, чем DES". Основную оценку безопасности ГОСТа дали в 2000 году Габидулин и др. Их результаты очень впечатляющи: при заложенном уровне безопасности 2256, достаточно пяти раундов для защиты ГОСТа от линейного криптоанализа. Более того, даже при замене S-блоков на тождественные и единственной нелинейной операции шифра — сложения по модулю 232 — шифр всё равно стоек против линейного криптоанализа после 6 раундов из 32. Дифференциальный криптоанализ ГОСТа выглядит сравнительно более лёгким и привлекает больше внимания. Для 2128 уровня безопасности исследователи (Vitaly V. Shorin, Vadim V. Jelezniakov and Ernst M. Gabidulin: Linear and Differential Cryptanalysis of Russian GOST, Preprint submitted to Elsevier Preprint, 4 April 2001) предполагали достаточную стойкость на уровне 7 раундов. По их утверждению, взлом ГОСТа более чем на пяти раундах "крайне труден". Более того, двое японских исследователей показали, что классическая прямая дифференциальная атака с одной дифференциальной характеристикой имеет крайне малую вероятность для прохождения через большое число раундов. На основе факта изучения достаточно "хорошей" итеративной дифференциальной характеристики для ограниченного числа раундов (которая сама по себе имеет вероятность прохождения не лучше 2-11.4 на раунд), получено значения множества подходящих ключей менее половины. Для полнораундового ГОСТа такая атака с единственной характеристикой будет работать лишь с ничтожно малой частью ключей порядка 2-62 (и даже в этой малой части она будет иметь вероятность прохождения не более 2-360).

Более сложные атаки включают множества дифференциалов, следующих определённым паттернам, например с использованием отдельных S-блоков, имеющих нулевые дифференциалы, в то время как на других битах имеются ненулевые. Речь об атаках-различителях, основанных на плохих диффузионных свойствах ГОСТа. Лучшая из таких атак работает против 17 раундов ГОСТа, зависит от ключа и имеет сама по себе на выходе крайне слабый различитель от случайных данных, чтобы его как-то можно было использовать для получения информации о ключе.

Атаки скольжения и отражения

Согласно Бирюкову и Вагнеру, структура ГОСТа, включающая обратный порядок подключей в последних раундах, делает его стойким против атак скольжения (т.н. "слайд-атаки"). Однако из-за наличия большой величины самоподобия в шифре, это позволяет проводить атаки инверсии ключей на комбинации неподвижных точек и свойства "отражения" (т.н. "рефлективные атаки") для определённых слабых ключей. Сложность этой атаки 2192 и 232 подобранных открытых текстов.

Последние результаты

Новые атаки также используют отражение и фактически взломали ГОСТ, что и было представлено на конференции FSE 2011. Эти атаки также были открыты независимо автором данной работы. Атака требует 2132 байтов памяти, что фактически хуже, чем более медленные атаки с меньшим требованием к памяти.

Множество новых атак на основе самоподобия работают против всех ключей ГОСТа и позволяют взламывать полнораундовый ГОСТ с 256-битным ключом, а не только для слабых ключей, как было ранее. Все эти атаки требуют значительно меньше памяти и они значительно быстрее.

Эти новые атаки могут рассматриваться как примеры новой общей парадигмы криптоанализа блочных шифров, называемой "редукция алгебраической сложности", с обобщением этих атак на множество частных случаев атак с известными неподвижными точками, скольжением, инволюциями и циклами. Важно, что среди семейства всех этих атак есть такие, которые позволяют проводить криптоанализ ГОСТ без всяких отражений и без каких-либо симметричных точек, которые проявляются в ходе вычислений. Одним из примеров является простая атака взлома ГОСТа без отражений в данной работе.

Алгебраический криптоанализ и атаки с небольшой сложностью данных на шифры с уменьшенным числом раундов

Алгебраические атаки на блочные и потоковые шифры могут быть представлены в виде проблемы решения большой системы Булевых алгебраических уравнений, которая следует геометрии и структуре частной криптографической схемы. Сама идея восходит к Шеннону. На практике была представлена для DES (впервые представлена автором данной работы) как метод формального кодирования и может взламывать 6 раундов всего на одном известном открытом тексте. Манипуляция с уравнениями происходит на основе алгоритмов XL, базисов Грёбнера, метода ElimLin, SAT-решателей.

На практике алгебраические атаки реализованы против очень малого числа раундов блочных шифров, но уже приводили к взломам потоковых шифров, также есть и успехи во взломе сверхлёгких шифров для микрооборудования. Из-за трудностей в объёмах памяти и оценках затрат на вычисления их комбинируют с другими атаками.

Как взломать ГОСТ?

Алгебраическая атака на полнораундовый ГОСТ более подробно представлена в рассматриваемой публикации. В предыдущей работе автор уже изложил 20 алгебраических атак на ГОСТ и ожидает большого их числа в ближайшем будущем. Атака, предложенная в данной работе — не лучшая из них, но открывает простой (по крайней мере для понимания криптографами) путь для последующих разработок для создания специфичной методологии к взлому ГОСТа.

Практический результат пока скромен: 264 известных открытых текста и 264 памяти для хранения пар "открытый текст/шифртекст" позволяют взломать ГОСТ в 28 быстрее, чем простой перебор. Но в плане криптоанализа это делает полностью справедливым утверждение о том, что "ГОСТ взломан".

Выводы

ГОСТ спроектирован на обеспечение военного уровня безопасности на 200 лет вперёд. Большинство ведущих экспертов, изучавших ГОСТ, приходили к соглашению о том, что "несмотря на значительные криптоаналитические усилия на протяжении 20 лет, ГОСТ всё ещё не взломан". В 2010 году ГОСТ продвигают в ISO 18033 в качестве мирового стандарта шифрования.

Основа идей об алгебраическом криптоанализе возникла более 60 лет назад. Но только лишь за последние 10 лет были разработаны эффективные программные средства (частичного) решения множества NP-полных проблем. Было взломано некоторое число потоковых шифров. Только один блочный шифр был взломан этим методом — сам по себе слабый KeeLoq. В этой работе автор взламывает важный, реально используемый шифр ГОСТ. Он отмечает, что это первый случай в истории, когда алгебраическим криптоанализом был взломан стандартизированный государственный шифр.

Простая атака "MITM с отражением" на ГОСТ уже представлена на конференции FSE 2011. В работе же, рассматриваемой в данной статье, представлена другая атака лишь для иллюстрации факта того, как много атак на ГОСТ уже появилось сейчас, многие из которых быстрее, а сама алгебраическая атака требует намного меньше памяти и открывает практически неисчерпаемое пространство возможностей для противника, атакующего шифр разными способами. Также в данной работе показано отсутствие необходимости использования свойства отражения для взлома.

Автор утверждает: очевидно, что ГОСТ имеет серьёзные изъяны и теперь не обеспечивает уровня стойкости, требуемого ISO. Множество атак на ГОСТ представлено в рамках подтверждения парадигмы редуцирования алгебраической сложности.

Напоследок исследователь особенно отмечает некоторые факты, которые пока недоступны читателю, но известны исследователю, являющиеся важными в ходе процесса стандартизации ISO. Данная атака — не просто "сертификационная" атака на ГОСТ, которая быстрее перебора грубой силой. Фактически, стандартизация ГОСТа сейчас была бы крайне опасной и безответственной. Это так потому, что некоторые из атак возможны к осуществлению на практике. Некоторые ключи ГОСТа на практике даже могут быть дешифрованы, будь они слабые ключи или ключи из частных реальных применений ГОСТа. В предыдущей работе автор приводит детальное рассмотрение случаев возможности практических атак. Важно также то, что "это первый случай в истории, когда серьёзный стандартизированный блочный шифр, созданный для защиты секретов военного уровня и предназначенный для защиты документов государственной тайны для правительств, крупных банков и других организаций, оказался взломан математической атакой".