RUS  ENG
Полная версия
ЖУРНАЛЫ // Математические вопросы криптографии // Архив

Матем. вопр. криптогр., 2024, том 15, выпуск 2, страницы 47–68 (Mi mvk469)

Эта публикация цитируется в 1 статье

О «$k$-битной стойкости» алгоритмов имитозащиты, основанных на хэш-функции «Стрибог»

В. А. Кирюхинab

a ООО «СФБ Лаб», Москва
b ОАО «ИнфоТеКС», г. Москва

Аннотация: На основе бесключевой хэш-функции «Стрибог» построены различные алгоритмы имитозащиты, среди которых «HMAC-Стрибог» и «Стрибог-К». Доказательства стойкости этих алгоритмов были представлены на CTCrypt 2022. Основной задачей, к которой выполнялось свед$\acute{\text{е}}$ние, являлась стойкость функции сжатия, используемой в хэш-функции «Стрибог», к атакам со связанными ключами.
В настоящей работе для атак со связанными ключами предложена более детальная формальная модель, с ее учетом пересмотрены доказательства и даны точные оценки стойкости. Пусть $n$ – битовая длина состояния хэш-функции. Если объем обрабатываемых данных не превышает $2^{n-k}$ блоков, то для криптоалгоритмов «Стрибог-К» и «HMAC-Стрибог-512» эффективными методами навязывания (или различения) являются лишь тотальное опробование $k$-битного ключа или угадывание имитовставки. Если длина ключа не больше половины состояния ($k\leq\frac{n}{2}$), то можно говорить о «$k$-битной стойкости» без оговорок относительно объема обрабатываемого материала. Для «HMAC-Стрибог-256» соответствующая граница хуже и составляет $2^{\frac{n}{2}-k}$ блоков.

Ключевые слова: Стрибог, PRF, HMAC, доказуемая стойкость.

УДК: 519.719.2

Получено 02.IX.2023

DOI: 10.4213/mvk469



© МИАН, 2024