Страницы

Криптопати от Яндекса: ГОСТ или не ГОСТ?


В пятницу в Яндексе прошел семинар, посвященный отечественным криптоалгоритмам.
Мероприятие было бесплатное, однако регистрация закончилась достаточно рано, но групповой разум в беде не бросил и я таки попал на мероприятие.

Зал хорош. Кофе, чай и печеньки были (правда до фрешей и пиццы в мыло.ру не дотягивает).
Выступали представители Крипто.про, ТК26 и Яндекса. Презентации опубликованы.

Мои мысли и чувства под катом.


Корни семинара растут из дискуссий в комментариях к статьям на Хабре. Идея семинара строилась на диалектике противостояния AES и ГОСТ. Первый доклад доказал нам, что ГОСТ совсем не так плох, как его малюют. Атаки на ГОСТ требуют синтетических начальных условий. В практике если вы меняете сессионный ключ чаще, чем раз на 32 Гб данных - то с вами всё будет хорошо.
Скорость ГОСТа не уступает больше чем на ~15% AES'у, если не включать аппаратную поддержку, которая есть во всех современных процессорах (включая ARM). Если включать - то ГОСТ в 40-120 раз медленнее (к размышлению).
Существует скоростная оптимизация ГОСТа с использованием инструкций AVX, но простым смертным её не достать (в отличии от оптимизаций AES, которые вшиты в популярные криптостэки типа openssl).

Далее я ожидал услышать вопросы из разряда "А зачем нам вообще использовать ГОСТ?" от Яндекса, но не дождался. Зато к Яндексу было несколько вопросов: "Собираетесь ли вы использовать p2p шифрование в почте?" - "Нет", "Собираетесь ли вы добавить поддержку ГОСТ в Яндекс.Браузер?" - "Нет", "Планируете ли вы использовать хоть где-нибудь ГОСТ?" - "Не планируем, так как нет аппаратной поддержки", которая в обозримом будущем и не появится.

После этого общий смысл криптовечеринки свёлся к приятному (но бесцельному) попиванию кофе с печеньками. ГОСТ у нас есть, но пользоваться никто им не желает, если, конечно, бумажка не прикажет. Душой Яндекс с ТК26, но бизнесу ГОСТ совсем не интересен по понятным причинам: затрат много, аппаратных оптимизаций нет, плюсов с точки зрения безопасности тоже нет.

Вот и я подумал: зачем нам ГОСТ? Зачем мы тратим миллиарды рублей на целую индустрию, создающую продукты, которые рынку не нужны? Нужен ли нам свой велосипед?

Наверное, применять ГОСТ для защиты гостайны стоит ровно по той же причине, по которой мы используем свою ширину ЖД колеи - чтобы враги не прошли. Но зачем навязывать ГОСТ бизнесу, например, для обработки персональных данных? Если вдруг окажется, что где-то в алгоритме или популярной реализации AES прячется бэкдор (или багдор), то утечка персональных данных в России - это последнее, что будет нас волновать, ибо треснет вся система безопасности Интернета. Да и внимания AES уделяется намного больше, чем ГОСТу, что косвенно говорит о его большей надёжности.

Вот прекрасное видео на эту тему

Даже если говорить об импортозамещении и потенциальной аппаратной поддержке ГОСТа в будущем (как? Для этого нужен свой Intel или хотя бы Qualcomm!), то с программной частью у нас так же большие проблемы: рынок монополизирован крупными вендорами, которые могут позволить себе бюрократию с сертификацией, качественных бесплатных и открытых криптобиблиотек нет, каждый строит ГОСТ так, как ему вздумается. Чтобы написать свою библиотеку - нужно получить лицензию ФСБ на разработку криптографии в купе с лицензией на работу с гостайной. Единственной причиной, которая может заставить разработчика на это пойти, может быть работа с госзаказчиками, которая негативно сказывается на качестве готового продукта. Вот и получается, что криптоГОСТ существует пока есть госзаказ и давление ФСБ, но именно госзаказ и мешает ГОСТу развиваться, лишая отрасль стимулов к развитию. Импортозамещение только усугубит этот процесс.

Я бы забрал ГОСТ у ФСБ и отдал бы его Минкомсвязи. ФСБ отлично разбирается в шпионах, но сейчас нам нужны люди, которые разбираются в инвестициях и рынке.

А вот и другое мнение с конференции РусКрипто: национальный стандарт - это круто! Полимеры просрали, так хоть тут отыграемся...

PS самый веселый доклад был у Яндекса. Общий обзор бэкдоров в криптоалгоритмах.
PPS отличный курс по криптографии от Курсеры. Рекомендую!

10 комментариев:

  1. "Я бы забрал ГОСТ у ФСБ и отдал бы его Минкомсвязи."
    уже не первый раз в этом блоге проскакивает что надо кому-то спихнуть криптографию. в прошлый раз это был фстэк. в следующий раз кто будет?)

    ОтветитьУдалить
    Ответы
    1. Не знаю пока ).. В СВР, наверное... пусть по-тихому встроят ГОСТ в новые процессоры.

      Удалить
  2. реально практическая сторона во многом упирается в отсутствие международной стандартизации госта. если гост будет международным стандартом, то и поддержка в процах со временем появится и всякое такое.
    тк26 ведет работу в этом направлении и хотелось бы чтобы у них получилось.

    само по себе получение лицензий и на разработку и на гостайну - это не самое сложное мероприятие для желающих заниматься этой отраслью.
    а вот процедура сертификации готового изделия - это уже да, более затруднительно и долго пока(
    в идеале было бы ее оставить для гостайновых и военных реализаций, а для гражданских что-то полегче придумать.

    ОтветитьУдалить
    Ответы
    1. Если ГОСТ станет ISO... то Google Chrome будет распространяться на компакт дисках с голографическим знаком ФСБ и паспортом-формуляром. Новые сборки Хрома будут проходить инспекционный контроль. Для работы по классу КС2 к Google Chrome нужно будет добавлять плату Соболь или Аккорд... какой-то криптостимпанк наступит!

      Удалить
    2. опенссл с гостом распространяется без наклеек и соболей давненько уж

      Удалить
  3. На самом деле, вопрос, "зачем нам использовать ГОСТ" я рассчитывал услышать из аудитории. Потому, что для себя мы ответ нашли.

    Что касается "Зачем мы тратим миллиарды рублей на целую индустрию, создающую продукты, которые рынку не нужны? " — мы, как налогоплательщики, все-таки не тратим. Тратит бизнес. Своя криптографическая школа все-таки нужна, хотя бы в интересах государства, но без большого распространения в индустрии, школа эта зачахнет.

    ОтветитьУдалить
    Ответы
    1. Есть версия, что наша крипта всегда будет догонять, и в таком случае денег, выделенных (вырванных?) на нее из экономики жалко. Они не окупятся.

      Удалить
    2. А можете все же рассказать - зачем нам ГОСТ?

      Удалить
  4. Давайте определимся в понятиях.
    Первое.
    На семинаре было показано, что отечественная криптография, как область науки, в настоящее время на высоком уровне и по своим криптографическим характеристикам превосходит зарубежную, в том числе AES и RSA.
    Другой вопрос реализации отечественной криптографии на аппаратном уровне. Хочу заметить, что аппаратная поддержка AES в процессорах тоже не сразу появилась. Но этим вопросом целенаправленно занимались соответствующие организации. Если мы сейчас "опустим лапки" , то все останется на месте и мы также через 5 лет будем говорить, что все плохо и уповать на AES.
    Второе.
    Отдать кому-то криптографию это не новая идея. Оставлю этот тезис без коментариев. Другой вопрос внедрение криптографии в различные информационные системы это процесс в котором могут участвовать все - и вендоры, и разработчики, и министерства. Для этого работает площадка ТК 26, открытая для всех желающих, есть много разработчиков и т.д.
    Третье.
    Если предположить, что безопасность интернета уже трещит, то какой выход? Почему не сделать заблаговременно какие-то шаги, которые обезопасили бы хотя бы пользователей России от "большого брата".
    Вывод.
    "Под лежачи камень вода не течёт."
    Криптографией надо заниматься не для галочки. Возможность защиты информации с помощью отечественной криптографии есть.

    ОтветитьУдалить
    Ответы
    1. 1. Я увидел из презентаций, что отечественная криптография немного отстаёт. А с учётом "другого вопроса" - отстаёт драматически.
      За 20 лет своего существования даже при более благоприятной политической обстановке ГОСТ не стал мировым стандартом, как, к примеру, та же японская Camellia.
      Сегодня шансы ГОСТа попасть в мировой стэк криптоалгоритмов обратно пропорциональны громкости лозунгов про импортозамещение.
      2. Я вот жду от ТК26 удобной (сертифицированной) опенсорс Python библиотеки с оптимизированными криптоалгоритмами для своих личных проектов. Есть такая?
      3. Сегодня нет оснований считать, что в AES есть трапдоры. А общая подозрительность лично у меня больше распространяется на ГОСТ, чем на AES, так как ГОСТ в значительной степени более закрытый криптоалгоритм (те же S-таблицы). Меня так же сильнее волнует реализация криптоалгоритмов в отечественных сертифицированных продуктах.

      Я согласен с вашими доводами, в целом. Но я не вижу под ними никакой экономики. Где хоть какие-то расчёты в пользу того, что когда-нибудь в будущем государству и бизнесу удастся отбить те суммы, которые сегодня насильно закачиваются в ГОСТкрипт?

      Удалить