угадывание 160 бит ключа из 256

Ну, такой банальный брутфорс неинтересен, там в работе более тонкие извращения :-) Что там с бедным ГОСТом делают, даже описывать неловко:

1. Узнают 2⁶⁴ известных открытых текстов (вежливо просят атакуемого проделать значительную часть атаки — зашифровать все возможные тексты в пределах блока и предоставить их противнику).
2. Угадывают части ключа k₀, k₁, k₂, k₃, k₄ — те самые 160 бит.
3. Для каждых угаданных 160 битов k₀, k₁, k₂, k₃, k₄ и для каждых 2⁶⁴ пар открытый текст/шифртекст (32-раундовых) вычисляют 5 раундов сверху и пять снизу (в обратном направлении). Так получают 2⁶⁴ пар открытый/шифртекст отдельно для внутренних 22 раундов, потратив на это 2¹⁶⁰ · 2⁶⁴ · 10/32 ГОСТ-шифрований (т.е. 2^223.3 ГОСТ-шифрований и 2⁶⁴ памяти).
4. Используя знание разниц (дифференциалов) для средних раундов (0x80000000, 0x00000000), оказывается несложно предположить, что раундом раньше разница окажется (0x80000000, 0x00000780) с большой вероятностью.
5. Теперь разложив ГОСТ в виде 5+1+20+1+5 раундов получаем из разницы (0x80000000, 0x00000780) раундом дальше (0xFFFF8007, 0x00000780)
6. Теперь можно отфильтровывать хорошие пары для раундов.
7. ..11

Ну и т.д., можно не пересказывать этот занятный криптоанализ, с практической точки зрения напоминающий конечно упражнения из Камасутры, стоя в гамаке. Но с теоретической точки зрения формально — быстрее чем брутфорс и с любого серьёзного конкурса такими изысканиями сшибать кандидатов можно. Авторы ещё намекают, что это лишь концепт и всего лишь черновик. Ну, посмотрим.

Ещё они по предыдущим работам грозят "парадигмой редукции алгебраической сложности" — те атаки, которые ещё пять лет назад считались невозможными, теперь можно проводить, доламывая последние раунды шифра алгебраическими методами криптоанализа.

Практически ГОСТ не взломан, но множественные теоретические взломы показаны, направление для улучшения атак намечено, солидная теоретическая база тоже как бы подведена.

Странно, что для AES, для которого также есть по крайней мере взлом в модели атак со связанными ключами, никому не приходит в голову продлить другие существующие атаки на пару раундов, чтобы доломать его хотя бы в таких особо извращённых формах. Хотя нет, первый взлом AES был круче: "модель открытого ключа" — противнику известны и открытые тексты и шифртексты и ключ, даже не просто известны, а подбирая ключи, доказывалось неслучайное соответствие между открытыми текстами и шифртекстами. Всего лишь различитель — а уже взлом. Который правда удалось улучшить для простых атак со связанными ключами, но почему-то дело дальше не пошло.

Для ГОСТа уровень атак несколько серьёзнее, но пойдёт дело дальше или нет — неясно. Для снятия RIJNDAEL с конкурса в 2000 году атаки со связанными ключами могло бы и хватить: она прямо противоречила критериям стойкости, задекларированным разработчиками ("Rijndael is K-secure"). Но сейчас из-за такой мелочи от AES отказываться никто не будет. А вот от ГОСТа в международном стандарте могут и отказаться, раз атака стала известна до его принятия. Поэтому ГОСТоломы так и спешат и работы у них несколько сумбурные.

Кстати, "парадигма редукции алгебраической сложности" по смыслу больше походит на "парадигма алгебраической редукции сложности" — "Algebraic Complexity Reduction", следует этот термин понимать скорее так. Поправил даже предыдущую новость. Интересное направление в применении алгебраического криптоанализа.
P.S. Это просто праздник какой-то (с точки зрения такого всплеска внимания к ГОСТу):

# Nicolas Courtois: Security Evaluation of GOST 28147-89 In View Of International Standardisation. Report officially submitted to the International Standards Organisation (ISO). Also available at eprint.iacr.org/2011/211/.
# Nicolas Courtois: Algebraic Complexity Reduction and Cryptanalysis of GOST. Preprint.
# Nicolas Courtois, Michal Misztal: Differential Cryptanalysis of GOST. At eprint.iacr.org/2011/312/.
# Nicolas Courtois, Michal Misztal: Aggregated Differentials and Cryptanalysis of PP-1 and GOST. in 11th Central European Conference on Cryptology, will be held in Debrecen, Hungary, on June 30 – July 2, 2011.
# Nicolas Courtois, Theodosis Mourouzis: Black-Box Collision Attacks on the Compression Function of the GOST Hash Function Accepted as SHORT paper at the 6th International Conference on Security and Cryptography SECRYPT 2011, 18-21 July, Seville, Spain.

требуют фактически того, чтобы атакуемый сам сознательно предоставил атакующему огромную часть этих ресурсов (сгенерировал и как-то передал 2⁶⁴ пар открытых/шифртекстов), т.е. действительно специально помогал ломать свой ключ

2 TB = 2 · 8 · 2⁴⁰ = 2⁴⁴ бит. Маловато. Надо минимум 1048576 пар таких винчестеров, чтобы просто дотянуть до 2⁶⁴ бит. Или всего ( 2 · 2⁶ · 2⁶⁴) / 2⁴⁴ = 134217728 винчестеров для размещения всех пар открытый/шифртекст. При этом все блоки открытого текста должны быть на них специально сгенерированы неповторяющимися от {00...0} до {11...1} и было естественно ясно, где какой блок лежит, что при использовавнии обычных режимов шифрования (с рэндомизацией и сцеплением) нереалистично.

Опять же, гипотетическая передача противнику всех возможных вариантов пар "открытый/шифртекст", специально сгенерированных для него на одном ключе, позволит ему читать любой шифртекст, зашифрованный на этом ключе, даже не восстанавливая сам этот ключ. Весь практический выигрыш был бы только в том, что ключ можно было бы вычислить один раз и больше не возиться с массивом-датацентром из винчестеров.

В предыдущей новости подробнее указано. С 1989 он ДСП, с 1994 полностью рассекречен и опубликован.

гипотетическая передача противнику всех возможных вариантов пар "открытый/шифртекст", специально сгенерированных для него на одном ключе

Отправляя каждый раз мегабайт неповторяющихся открытых текстов в секунду на одном ключе, без смены векторов инициализации (а это не ключ — это случайное число в начале сообщения, которое не нужно согласовывать, поэтому его использование не стоит в большинстве случаев никаких ресурсов и обязательно применяется) на такую "переписку" уйдёт (( 2⁷ ) · ( 2⁶⁴ )/(2 ²⁰ ))/ (3600 · 24 · 365) = 71404103 лет. При этом нужно ни разу не повторить ни одного блока.

Не забудьте ещё сохранить свою переписку для противника, а то как он получит эти открытые тексты?

Это нормальное исследование только с точки зрения теории, где в самом надуманном и неправдоподобном сценарии достаточно доказать, что число шагов взлома быстрее, чем простой перебор — значит шифр неидеален.

в самом надуманном и неправдоподобном сценарии достаточно доказать, что число шагов взлома быстрее, чем простой перебор

поэтому его использование не стоит в большинстве случаев никаких ресурсов и обязательно применяется

Потом ещё одна такая новость — и бац, уже 100 лет, а не 100 миллионов лет :)

Вот как часто новые ключи загоняются в SSL-сессию?

Атаки становятся только сильнее © Шнайер :)

а именно, абсолютно неприменимые на практике атаки