О «$k$-битной стойкости» алгоритмов имитозащиты, основанных на хэш-функции «Стрибог»

Abstract

На основе бесключевой хэш-функции «Стрибог» построены различные алгоритмы имитозащиты, среди которых «HMAC-Стрибог» и «Стрибог-К». Доказательства стойкости этих алгоритмов были представлены на CTCrypt 2022. Основной задачей, к которой выполнялось свед$\acute{е}$ние, являлась стойкость функции сжатия, используемой в хэш-функции «Стрибог», к атакам со связанными ключами. В настоящей работе для атак со связанными ключами предложена более детальная формальная модель, с ее учетом пересмотрены доказательства и даны точные оценки стойкости. Пусть $n$ - битовая длина состояния хэш-функции. Если объем обрабатываемых данных не превышает $2^{n-k}$ блоков, то для криптоалгоритмов «Стрибог-К» и «HMAC-Стрибог-512» эффективными методами навязывания (или различения) являются лишь тотальное опробование $k$-битного ключа или угадывание имитовставки. Если длина ключа не больше половины состояния ($k\leq\frac{n}{2}$), то можно говорить о «$k$-битной стойкости» без оговорок относительно объема обрабатываемого материала. Для «HMAC-Стрибог-256» соответствующая граница хуже и составляет $2^{\frac{n}{2}-k}$ блоков.