Криптопати от Яндекса: ГОСТ или не ГОСТ?

Криптопати от Яндекса: ГОСТ или не ГОСТ?

В пятницу в Яндексе прошел семинар, посвященный отечественным криптоалгоритмам.
Мероприятие было бесплатное, однако регистрация закончилась достаточно рано, но групповой разум в беде не бросил и я таки попал на мероприятие.

Зал хорош. Кофе, чай и печеньки были (правда до фрешей и пиццы в мыло.ру не дотягивает).
Выступали представители Крипто.про, ТК26 и Яндекса. Презентации опубликованы .

Мои мысли и чувства под катом.

name='more'>
Корни семинара растут из дискуссий в комментариях к статьям на Хабре . Идея семинара строилась на диалектике противостояния AES и ГОСТ. Первый доклад доказал нам, что ГОСТ совсем не так плох, как его малюют. Атаки на ГОСТ требуют синтетических начальных условий. В практике если вы меняете сессионный ключ чаще, чем раз на 32 Гб данных - то с вами всё будет хорошо.
Скорость ГОСТа не уступает больше чем на ~15% AES'у, если не включать аппаратную поддержку, которая есть во всех современных процессорах (включая ARM). Если включать - то ГОСТ в 40-120 раз медленнее ( к размышлению ).
Существует скоростная оптимизация ГОСТа с использованием инструкций AVX, но простым смертным её не достать (в отличии от оптимизаций AES, которые вшиты в популярные криптостэки типа openssl).

Далее я ожидал услышать вопросы из разряда "А зачем нам вообще использовать ГОСТ?" от Яндекса, но не дождался. Зато к Яндексу было несколько вопросов: "Собираетесь ли вы использовать p2p шифрование в почте?" - "Нет", "Собираетесь ли вы добавить поддержку ГОСТ в Яндекс.Браузер?" - "Нет", "Планируете ли вы использовать хоть где-нибудь ГОСТ?" - "Не планируем, так как нет аппаратной поддержки", которая в обозримом будущем и не появится.

После этого общий смысл криптовечеринки свёлся к приятному (но бесцельному) попиванию кофе с печеньками. ГОСТ у нас есть, но пользоваться никто им не желает, если, конечно, бумажка не прикажет. Душой Яндекс с ТК26, но бизнесу ГОСТ совсем не интересен по понятным причинам: затрат много, аппаратных оптимизаций нет, плюсов с точки зрения безопасности тоже нет.

Вот и я подумал: зачем нам ГОСТ? Зачем мы тратим миллиарды рублей на целую индустрию, создающую продукты, которые рынку не нужны? Нужен ли нам свой велосипед?

Наверное, применять ГОСТ для защиты гостайны стоит ровно по той же причине, по которой мы используем свою ширину ЖД колеи - чтобы враги не прошли. Но зачем навязывать ГОСТ бизнесу, например, для обработки персональных данных? Если вдруг окажется, что где-то в алгоритме или популярной реализации AES прячется бэкдор (или багдор), то утечка персональных данных в России - это последнее, что будет нас волновать, ибо треснет вся система безопасности Интернета. Да и внимания AES уделяется намного больше, чем ГОСТу, что косвенно говорит о его большей надёжности.

Вот прекрасное видео на эту тему


Даже если говорить об импортозамещении и потенциальной аппаратной поддержке ГОСТа в будущем (как? Для этого нужен свой Intel или хотя бы Qualcomm!), то с программной частью у нас так же большие проблемы: рынок монополизирован крупными вендорами, которые могут позволить себе бюрократию с сертификацией, качественных бесплатных и открытых криптобиблиотек нет, каждый строит ГОСТ так, как ему вздумается. Чтобы написать свою библиотеку - нужно получить лицензию ФСБ на разработку криптографии в купе с лицензией на работу с гостайной. Единственной причиной, которая может заставить разработчика на это пойти, может быть работа с госзаказчиками, которая негативно сказывается на качестве готового продукта. Вот и получается, что криптоГОСТ существует пока есть госзаказ и давление ФСБ, но именно госзаказ и мешает ГОСТу развиваться, лишая отрасль стимулов к развитию. Импортозамещение только усугубит этот процесс.

Я бы забрал ГОСТ у ФСБ и отдал бы его Минкомсвязи. ФСБ отлично разбирается в шпионах, но сейчас нам нужны люди, которые разбираются в инвестициях и рынке.

А вот и другое мнение  с конференции РусКрипто: национальный стандарт - это круто! Полимеры просрали, так хоть тут отыграемся...

PS самый веселый доклад был у Яндекса. Общий обзор бэкдоров в криптоалгоритмах.
PPS отличный курс по криптографии от Курсеры. Рекомендую!
Alt text