В лаборатории криптографии компании «Криптонит» (входит в «ИКС Холдинг») построена первая структурная атака, ставящая под сомнение надёжность оригинальной схемы pqsigRM и её новой модификации Enhanced pqsigRM.

Безопасность кодовых криптосистем с открытым ключом основывается, в том числе, на выборе базового кода, исправляющего ошибки. Например, использование кодов Рида — Маллера в криптосистеме Мак-Элиса не является безопасным, так как на такую версию криптосистемы ранее сотрудниками лаборатории криптографии НПК «Криптонит» уже была построена эффективная атака. 

Однако в основе схемы Enchanced pqsigRM лежит модифицированная конструкция, в которой коды Рида — Маллера специальным образом комбинируются друг с другом, чтобы запутать структуру исходных кодов. 

Исследователи из лаборатории криптографии смогли построить атаку, которая для определённых размерностей кода успешно восстанавливает структуру модифицированного кода. В атаке используется несколько различных техник. 

Базовым математическим аппаратом в ней является произведение линейных кодов Шура — Адамара. Для восстановления полной структуры также требуется воспользоваться алгоритмами декодирования кодов Рида — Маллера. 

У любой атаки есть границы применимости, и здесь они достаточно широки, чтобы иметь практическую значимость. Атака работает в том случае, когда в криптосистеме pqsigRM выбраны параметры m и r, которые удовлетворяют условию: 2r < m – 2, а при комбинировании исходные коды Рида — Маллера сильно смешиваются друг с другом. 

Отметим, что на практике обычно применяются как раз параметры 2r <= m - 2. Авторы пришли к выводу, что в этом случае почти наверняка можно использовать уже известные атаки для взлома криптосистемы на оригинальных кода Рида — Маллера. 

Проще говоря, российские криптографы показали, что применяемая конструкция для усиления криптосистемы pqsigRM является недостаточно надёжной, поэтому её не рекомендуется использовать на практике. 

Подробности исследования представлены в докладе «Эффективная структурная атака на схему постквантовой подписи pqsigRM» на XIV симпозиуме «Современные тенденции в криптографии» CTCrypt 2025.