Streebog compression function as PRF in secret-key settings

Многие криптоалгоритмы, использующие секретный ключ (к примеру, HMAC), основаны на бесключевых хэш-функциях. Стойкость таких криптосхем зачастую сводится к PRF-стойкости нижележащей функция сжатия $\mathsf{g}(H,M)$, т.е. последняя при использовании с секретным ключом должна быть стойкой псевдослучайной функцией (PRF). В настоящей работе представлены методы определения секретного ключа для 7 раундов (из 12) функции сжатия хэш-функции «Стрибог». Рассмотрены два случая: в качестве секретного ключа может использоваться предыдущее состояние $H$ или блок сообщения $M$. Предложенные методы неявно свидетельствуют о том, что функция сжатия обладает большим запасом стойкости при использовании в качестве PRF.