Какие существуют криптоаналитические атаки на стандарт GOST R?

Некоторые криптоаналитические атаки на стандарт GOST R:

• Rebound-атака. habr.com eprint.iacr.org Технология позволяет искать коллизии функции сжатия с уменьшенным количеством раундов. habr.com eprint.iacr.org Например, была предложена атака на 9,5 раунда с трудоёмкостью 2176 операций и требованиями к памяти 2128 байт. habr.com eprint.iacr.org
• Метод конструирования k-коллизий. habr.com eprint.iacr.org Он был представлен для 512-битной версии GOST R и показал слабость структуры, использованной в стандарте. habr.com eprint.iacr.org

При этом в целом считается, что в теоретическом плане GOST R безопасен. en.wikipedia.org С 2007 года было разработано несколько атак против реализаций стандарта с уменьшенным количеством раундов и/или слабых ключей. en.wikipedia.org