(Добавить комментарий)

anonymous 2008-07-11 18:29 (ссылка)

> В переводе на простой язык это звучит так: "чтобы АНБ было удобно его ломать атакой грубой силы и таблицами". Взлом методом "грубой силы" шифра со 128 битным ключом - абсурд. 2 в 128 - это примерно 10 в 38ой; если предположить, что у АНБ в распоряжении имеется миллиард (10^9) процессоров, каждый из которых выполняет 10^12 шифрований в секунду (то есть работают на частоте 1000 ГГц, одно шифрование занимает один такт), то на расшифровку методом "грубой силы" уйдет 10^17 секунд, то есть порядка миллиарда лет. Иными словами, атака тупым перебором при таких значения ключа невозможноа вне зависимости от того, соблюдены пожелания NIST или нет. А вот для применения AES'а в устройствах типа бесконтактных самрт-кард это может быть критично. Так что незачем разодить констпирологию и прочий FUD. Ну и в конце концов - поверьте, этот документ читали до Вас многие люди, которые (в отличии от) разбираются в обсуждаемом вопросе и при этом не работают на NSA. Если бы эти пожелания были столь очевидно вредительскими, как это пытаетесь представить Вы, то мы бы знали об этом еще 10 лет назад. (Ответить) (Ветвь дискуссии)

	olegmi 2008-07-11 19:35 (ссылка)
	А Вы не пробовали комбинировать перебор с таблицей? Для чего процессор? Можно заказать микросхему, которая будет содержать только 5 ножек(т.е. дешевая) и будет перебирать сотни ключей за такт. Выши упрощенные доводы мне были известны еще до того, как конкурс AES начался... (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-11 20:02 (ссылка)

> А Вы не пробовали комбинировать перебор с таблицей? Не пробовал, и Вам не советую. Уж очень большие таблицы понадобятся - даже если АНБ закажет Специальные Секретные Винчестеры с пятью ножками, то есть дешевые, все будут большие трудности с хранением нужных таблиц. Да и составлять эти таблицы придется не одну тысячу лет. > Можно заказать микросхему, которая ... будет перебирать сотни ключей за такт. От того, что 100 шифраторов будут выполнены в виде одного чипа, ничего принципиально не меняется. Даже если в распоряжении АНБ не 10^9, а 10^11 процессоров (в смысле - шифраторов), и срок расшифровки удастся сократить с миллиарда лет до 10 миллионов лет, практической пользы от этого никакой. > Выши упрощенные доводы мне были известны еще до того, как конкурс AES начался... Ну и что ж Вы прямо тогда не высказали свои, усложненные доводы? А то криптографы по всему миру так и остаются в неведении. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-12 22:50 (ссылка)

В микросхемах ничего секретного. Это банально. Еше раз повторяю: половина оптимизируется таблицами, а половина делается перебором. Если еще небольшая слабость в алгоритме, то вот и получили мы полные опаньки... И поверьте, что алгоритм выбрали с такой слабостью. Все все знают. Только помалкивают. А Вы у них не духовник. Мо коментарий вовсе не на криптологов расчитан, которые и так все знают. (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-12 23:32 (ссылка)

> Еше раз повторяю: половина оптимизируется таблицами, а половина делается перебором. Чушь, повторенная дважды, не перестает быть чушью. Взлом методом "грубой силы" шифра с 128 битным ключом - утопия. И нкакая "оптимизация таблицами" не поможет. > Если еще небольшая слабость в алгоритме, то вот и получили мы полные опаньки... Взлом с использованием слабости - это уже не "грубая сила". > И поверьте, что алгоритм выбрали с такой слабостью. Не поверю. Но в любом случае, те требования NIST, которые Вы выделили жирным, никакого отношения к наличию слабости не имеют. Само по себе соблюдение этих рекомендаций не дает NSA возможности с легкостью ломать AES (как утверждалось в Вашем посте). А в случае, если NSA имело возможность внедрять в алгоритм уязвимости, то ему опять-таки это быстродействие по барабану - хорошая уязвимость может сократить время работы в 2^127 раза, а оптимзация под 8-битные процессоры, о которой идет речь - всего лишь в разы. > Все все знают. Только помалкивают. Именно. Зато те, кто ничего не знает - пишут интернетах параноидальные статьи. > Мо коментарий вовсе не на криптологов расчитан А на идиотов, ага. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-13 00:36 (ссылка)

Ок. Объясните мне, как Вы искали бы дискретный логарифм с табличной оптимизацией. Скажем, 70 бит на П-4 с винтом 300Г и 4Г памяти. Как только объясните, сами поймете как... Это не аналитический взлом, а только слабость, приводящая к оптимизации перебора. В их задачи не входит полная непригодность алгоритма. Задача только в возможности быстрого перебора. Они придут в ужас, если алгоритм будет вскрываться на ура. Я это написал с целью предупредить о нелогичности безоглядного доверия к AES. (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-13 01:18 (ссылка)

> Ок. Объясните мне, как Вы искали бы дискретный логарифм... Не надо умное лицо делать, ок? В начальном посте шла речь совсем не про дискретный логарифм (который, кстати, даже с таблицами в полиноминальное время засунуть не удается, если мне память не изменяет), а про взлом "грубой силой" алгоритма, наличие у которого каких-то особенных свойств не оговаривалось. > В их задачи не входит полная непригодность алгоритма. Задача только в возможности быстрого перебора. Для того, чтобы был возможен быстрый перебор, надо не скорость выполнения одного шифрования уменьшать (а это то, о чем говорится в рекомендациях NIST), а уменьшать объемы этого перебора с 2^128 до где-нибудь 2^48. Поэтому еще было бы понятно, если бы Вы разводили конспирологию на основании того, что к этому конкурсу имело какое-то отношение NSA и вообще Американское Правительство. Но придираться ко вполне безобидным пожеланиям о быстродействии - это смешно. > Я это написал с целью предупредить о нелогичности безоглядного доверия к AES. По-моему, уж логичнее и разумнее безоглядно верить всему, что говорит NSA или Дж. Буш или наш российский президент, чем быть параноиком и ходить в шапочке из алюминевой фольги. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-13 10:04 (ссылка)

DH-70 c таблицей ломается на ура. Сделав это, Вы поймете, как это вообще делается. Требование быстродействия поставлено не ради быстрого перебора на процессоре, а ради экономичной аппаратной реализации. Сам конукрс AES был объявлен потому, что люди забили на DES и NSA приходилось все чаще напрягаться на взлом экзотических методов, которые, кстати, не всегда ломались. Если бы Вы внимательнее читали Шенона, то мое срабатывание на эти пункты Вам было бы более понятно. Шапочка из фольги - это реально идея. В ней не так жарко на солнце, наверное. Нужно будет попробовать. Пойду дальше конструировать торсионный пылесос. ;) (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-13 11:46 (ссылка)

> Требование быстродействия поставлено не ради быстрого перебора на процессоре, а ради экономичной аппаратной реализации. То, что всем хотелось бы наличия экономной аппаратной реализации - об этом говорилось открыто, и совершенно необязательно выводить это дедуктивным методом. И никто этого не боялся, поскольку никакая эффективная аппаратная реализация не даст возможности ломать 128битный шифр грубой силой. > Сам конукрс AES был объявлен потому, что люди забили на DES и NSA приходилось все чаще напрягаться на взлом экзотических методов, которые, кстати, не всегда ломались. Мысль, что AES нужен был для того, чтобы NSA было удобнее ломать вражеские шифры просто смехотворна - наивно было бы думать, что после утверждения AES'а все враги США забросят свои "экзотические методы" и бросятся им пользоваться. А вот правительственные организации в самих США _обязаны_ пользоваться стнадартными средствами шифрования. Они не могут взять на вооружение "экзотический метод", не одобренный свыше (и это правильно, потому что такой метод с большой вероятностью еще хуже, чем DES). Частные организации в принципе имеют право пользоваться экзотикой, но это, как уже сказано, в большинстве случаев только облегчит взлом. В результате данные правительственных организаций США (не секретные, конечно - для них DES не применялся - но все равно неприятно) и американского бизнеса оказываются доступны ФАПСИ (у котрого тоже есть машина для выскрытия DES, там тоже не дураки). Вот поэтому и нужен был новый стандарт. Кстати, до утверждения AES рекомендовалось пользоваться 3DES'ом - он вполне надежен, единственный недостаток - жутко медленный. > Если бы Вы внимательнее читали Шенона, то мое срабатывание на эти пункты Вам было бы более понятно. Ваше срабатывание мне и так понятно, поскольку я внимательно читал книги по психиатрии и у меня большой опыт общения с параноиками - причем не только в интернетах, но и в условиях стационара. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-13 12:41 (ссылка)

Понятно, для чего хотелось всем. но повышение скорости аппаратного перебора - уязвимость. Микросхема аналогичная P-4 по размеру и заточепая на DES Может перебирать около миллиона ключей за такт. Дальше сами считайте... 128 ломать банально грубой силой будут только в случв крайней необходимости. Это не исключено, но дорого. Однако, постараются найти слабости, применить таблицу и ломать меньшее число бит. Если при наличии AES, который используют все добропорядочные америкосы, враги применит другой метод, то это уже хорошо. Во первых свои америкосы - открытая книга. Во вторых сразу видно вражий шифр альтернативным методом... Можно на нес сконцентрировать внимание, не распыляясь на джоном их Монтаны. В большинстве случаев нестандарт - лажа и ломается на коленке. Тут никто не спорит. У ФАПСИ затруднен доступ к VLSI технологиям. Я думаю, что взлом DES для них пока только в перспективе, если только не платят зверские деньги за лом на персоналках. Но у NSA нет проблем заказать микросхемы. И я даже слышал название фирмы, которая готова выполнять такие подряды. 3DES в три раза медленнее DES. Что в этом катастрофичного? О надежности сказать не могу, т.к. не вникал в алгоритм. Но я не стал бы особо надеяться на его надежность. (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-13 14:56 (ссылка)

> Понятно, для чего хотелось всем. но повышение скорости аппаратного перебора - уязвимость. Само по себе быстродействие - никак не уязвимость, зато полезное пракическое свойство. > Микросхема аналогичная P-4 по размеру и заточепая на DES Может перебирать около миллиона ключей за такт. Дальше сами считайте... В P-4 сколько транзисторов? Меньше 100 млн? Оставим на Вашей совести шифратор DES, работающий за один такт и состоящий из 100 транзисторов, потому что на самом деле на один шифратор требуется на два-три порядка больше. Впрочем, неважно. Миллион - это примерно 2^20; частота у "микросхемы, аналогичной P-4" - порядка 2^32, итого 2^52 ключей в секунду. Такая машина взломает DES, то есть переберет 2^56 ключей за 16 секунд. Действительно, круто. А за сколько она переберет 2^128 ключей? За примерно 2^50 лет. Для того, чтобы расширфовать за срок в 100 лет (2^7), потребуется 2^43 процессора, то есть где-то 10000000000000 штук. И даже если эта фантастическая микросхема будет миллиард шифрований за такт делать, все равно можно спать спокойно. > 128 ломать банально грубой силой будут только в случв крайней необходимости. Это не исключено, но дорого. Практически - это именно что исключено, см. выше. > Однако, постараются найти слабости, применить таблицу и ломать меньшее число бит. Для того, чтобы в алгоритме не было слабостей, позволяющих сократить перебор, и был устроен конкурс с открытым обсуждением. > Во вторых сразу видно вражий шифр альтернативным методом... Вы можете по шифрованному тексту определить, чем он зашифрован? Ну-ну. > У ФАПСИ затруднен доступ к VLSI технологиям. Не особенно затруднен. Заказать микросхемы и для них не проблема. Неизвестно только, есть ли практическая необходимость взламывать DES в пром. объемах - есть подозрения, что ничего интересного для ФАПСИ DES'ом не шифруется, и тратить деньги на строительство такой машины никто не будет. > 3DES в три раза медленнее DES. Что в этом катастрофичного? Да то, что и сам DES жутко медленный - в три раза медленнее AES'а. 3DES, соответсвтенно в 10 раз медленнее. При использовании 3DES (вместо AES) для шифрования трафика скорость падает вполне неиллюзорно. > О надежности сказать не могу, т.к. не вникал в алгоритм. Но я не стал бы особо надеяться на его надежность. То, что Вы, похоже, на полном серьезе считаете себя специалистом в криптографии изрядно доставляет лулзов, спасибо. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-13 15:20 (ссылка)

Про колличество транзисторов не знаю. Поэтому и сказал примерно. Сразу говорю, что при взломе не нужно повторять все операции. Там можно часть операций сделать один раз. И только фиальные придется делать каждый раз. Это примеительно к большинству методов, а не персонально к определенному. Перебрать все варианты - не значит расшифровать. Опять же читайте Шенона хоть немного... Слабости практически везде, рано или поздно, находятся. Начиная с немецкой Энигмы... Только нам о них доложат с опозданием 50-100 лет. Если это голый шифротекст, то никак. Ночаще все едет под протоколом и оболочкой. Все Джоны пользуют что-то стандартное. Так что они сразу отличаются от шпиенов. Если ФАПСИ попытается заказать микросхему для лома DESa, то кое кто начнет задавать лишние вопросы... После Шенона и Тьюринга мне специалисты по криптографии неизвестны. Они есть, но их имена мы узнаем очень не скоро... (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-13 16:10 (ссылка)

> Сразу говорю, что при взломе не нужно повторять все операции. Там можно часть операций сделать один раз. И только фиальные придется делать каждый раз. Это примеительно к большинству методов, а не персонально к определенному. Это применимо только к тем методам, которые слабали на коленке люди, не знакомые даже с азами проектирования шифров. Таких методов, действительно, большинство; но ни к одному их более-менее нормальных шифров это не применимо. К AES'у в частности. > Перебрать все варианты - не значит расшифровать. Не значит. На самом деле все еще сложнее. Но если даже просто перебор невозможен, то обсуждать дальнейшие сложности смысла уже нет. > Ночаще все едет под протоколом и оболочкой. Все Джоны пользуют что-то стандартное. Ничто мне не мешает использовать стандартный протокол, заменив в нем AES на что угодно другое. Или просто шифровать стандартными средствами информацию, зашифрованную предварительно чем-то нестандартным. Внешне все будет, как у Джонов - и для того, чтобы просто понять, что что-то тут не так, надо будет как минимум выполнить взлом AES'а - что само по себе слишком трудоемко. Так что это хреновый метод поиска подозрительного трафика. > После Шенона и Тьюринга мне специалисты по криптографии неизвестны. Это ведь только Ваша трудность, не так ли? (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-13 16:58 (ссылка)

В _ЛЮБОМ_ шифре проблематично в первой же операции использовать весь ключ, если не делать XOR. Если делать операции над ключом, то это не поможет от оптимизации. Фунция преобразования ключа тоже может быть подвергнута оптимизации. Вот для этого и нужна полная прозрачность джонов перед АНБ. Значит неломаемый, в недрах АНБ, AES является угрозой национальной безопасности США. А если так, то что мы тут обсуждаем? Вы сомневаетесь в патриотизме людей из гос.органов, проводивших конкурс? (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-13 17:29 (ссылка)

> В _ЛЮБОМ_ шифре проблематично в первой же операции использовать весь ключ Проблематично-не проблематично, но во всех нормальных шифрах подключ первого раунда зависит от всех битов исходного ключа. > Фунция преобразования ключа тоже может быть подвергнута оптимизации. Голословное утверждение - что, впрочем, уже не удивляет. > Вы сомневаетесь в патриотизме людей из гос.органов, проводивших конкурс? Нет, я сомневаюсь в том, что "неломаемый, в недрах АНБ, AES является угрозой национальной безопасности США". На мой взгляд, как раз ненадежный алгоритм, утвержденный в качестве госстандарта, представляет опасность нац. безопасности. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-14 00:55 (ссылка)

Подключ первого раунда... Если мы собрались перебрать все ключи, то идем и смотрим, как он генерируется. Может быть, перебирать мы будем не в порядке номеров, а основываясь на групировании идентичных подключей подряд... Но тут я признаю полную необосованость моих суждений о гипотетическом алгоритме. Просто стоит на все смотреть внимательно и пытаться оптимизировать... Если Вы считаете све время одну функцию, лишь слегка меняя параметры, то идея оптимизировать как-то сама напрашивается... Это палка с двумя концами. В идеале им нужно, чтобы АНБ читало на ура, но никто больше не имел шансов. Прочтение врагами и не прочтение в АНБ примерно одинаково опасны... Ну а дальше широкое поле для компромисов... Шоу с конкурсом было призвано скорее убедить публику в надежности. Реально криптоанализ не делается в круговороте такой шумихи. (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-14 01:44 (ссылка)

> Просто стоит на все смотреть внимательно и пытаться оптимизировать... Для того, повторюсь, и было публичное обсуждение, чтобы специалисты могли посмотреть внимательнее и убедиться в том, что такие оптимизации невозможны. > В идеале им нужно, чтобы АНБ читало на ура, но никто больше не имел шансов. Прочтение врагами и не прочтение в АНБ примерно одинаково опасны... Ну а дальше широкое поле для компромисов... Нет никакого "поля для компромиссов". Если NSA может читать "на ура" (то есть в промышленных объемах просматривать трафик Джонов), то это означает, что противник тоже может. Возможно, в меньших объемах и не таких скоростях. Возможно, вообще не сегодня, а только через 10 лет, когда комп. мощности подтянутся. Но в любом случае, утверждая в качестве стандарта гниловатый алгоритм, NSA просто подставляет законопослушных граждан. И при этом не получает доступа к данным плохих парней, поскольку те могут и не захотеть пользоваться AES'ом. Ниаких разумных (а не чисто параноидальных) соображений, почему АНБ должно поступать столь непатриотично, я не вижу. Кстати, за 30 лет анализа DES никаких "закладок NSA" - о которых тоже много говорилось параноиками - найдено так и не было. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-18 10:48 (ссылка)

Для того, повторюсь, и было публичное обсуждение, чтобы специалисты могли посмотреть внимательнее и убедиться в том, что такие оптимизации невозможны. А Вы уверены, что все спецы горят желанием публично признаваться, что они сломали? А Вы уверены, что если пока не сломали, то дырок нет? АНБ сильно в отрыве по технологии криптоанализа. Ихвполне устроит читать сейчас и чтобы ФАПСИ смогло читать лет через 10. (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-18 11:53 (ссылка)

> А Вы уверены, что все спецы горят желанием публично признаваться, что они сломали? Наверное, не все. Тем не менее, нашлись и такие специалисты, которые были не прочь поболтать. > А Вы уверены, что если пока не сломали, то дырок нет? Я уверен в том, что вероятность наличия дырок в AES'е значительно меньше, чем в алгоритмах, которые вообще никто никогда не обсуждал. > АНБ сильно в отрыве по технологии криптоанализа. Ихвполне устроит читать сейчас и чтобы ФАПСИ смогло читать лет через 10. Похоже, Вы не поняли. Речь не о том, что ФАПСИ в 2010 году прочтет трафик за 2000 год (это, действительно, не слишком ужасно). Речь о том, что в 2010 году ФАПСИ будет читать трафик 2010 года с той же легкостью, с которой NSA читала его в 2000. И это уже неприемлимо. Для того, чтобы поддерживать ситуацию "NSA может читать сразу, остальные - только через несколько лет", нужно регулярно обновлять стандарт шифрования. Если в AES были внесены слабости, которые позволяли NSA с легкостью взламывать его в 2001 году, то сегодня то же самое могут делать спецслужбы Китая. И вот это уже реальная угроза нац. безопасности. (Ответить) (Уровень выше) (Ветвь дискуссии)

	anonymous 2008-07-18 11:59 (ссылка)
	> Речь не о том, что ФАПСИ в 2010 году прочтет трафик за 2000 год (это, действительно, не слишком ужасно) Хотя с учетом того, что AES применяется для шифрования секретной правительственной информации (до TOP SECRET включительно), даже это может быть страшно. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-18 12:27 (ссылка)

Тут мы подошли к класификации секретности. Действительно ли посольства будут пользовать эту поделку для дипломатической переписки? Вояки будут слать тактическую информацию по радио? Под AES будут стоять команды отсрочки пуска ракет? А если джон ведет под ним грос-бух, и его прочитает китайский шпион, то так ли это страшно?(понятно, что нежелательно) АНБ сильно продвинутая контора. Вы недооцениваете их ресурсы. Они вкладывают умопомрачительные деньги в мозги и оборудование. (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-18 14:48 (ссылка)

> Вояки будут слать тактическую информацию по радио? Это вряд ли, конечно. > А если джон ведет под ним грос-бух, и его прочитает китайский шпион, то так ли это страшно?(понятно, что нежелательно) Да. Вооруженный конфликт с Китаем еще не известно будет или нет, а вот экономическое противостояние уже сейчас идет в полный рост. И если Китай получит неограниченный доступ к финансовой информации американских банков, то в этом точно ничего хорошего нет. А эта информация передается через обычный интернет (в том числе - по радиоканалам, которые можно слушать абсолютно спокойно) - только зашифрованная AES'ом. > АНБ сильно продвинутая контора. Вы недооцениваете их ресурсы. Они вкладывают умопомрачительные деньги в мозги и оборудование. И Китай не стоит недооценивать. Там тоже есть и деньги, и мозги. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-19 23:39 (ссылка)
	Если на чтение каждого джона-лавочника китайцы положат кучу бабла, то это не страшно. Страшно если они все пощелкают на раз. Но AES не на столько слаб, чтобы это было возможно. Китайцы имеют крайне низкие способности в продвинутой криптографии. Так что тут можно особо не переживать. (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-20 02:05 (ссылка)

> Если на чтение каждого джона-лавочника китайцы положат кучу бабла, то это не страшно. Страшно если они все пощелкают на раз. Если алгоритм слаб, то они именно пощелкают все. Или по крайней мере, достаточно много. Если их выч. мощностей не хватало в 2001 году, значит, хвататет сегодня. Если не хвататет сегодня - хватит завтра. Так что внедрение уязвимостей в AES - это предательство нац. интересов США, в лучшем случае - отложенное на несколько лет. > Китайцы имеют крайне низкие способности в продвинутой криптографии. Так что тут можно особо не переживать. Даже если считать, что у Китая нет криптографов (хотя на самом деле они там есть), то нельзя исключать возможность покупки этими неграмотными китайцами одного из сотрудников NSA, осведомленного о секрете AES'а. Ну а если не продаются - выкрасть и пытать. И в NSA не могут игнорировать такой риск. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-20 14:49 (ссылка)

АНБ, по этому вопросу, впереди не на 10 лет, а на 50. К тому же чтение не так катастрофично. Они себе позволяли долго оставлять DES... сейчас все старое можно зачитать... Это не катастрофа? А через 10 лет сменят метод еще раз... Люди реальо осведомленные не только в АНБ не числятся в штате, но и не числятся в списках граждан США. За то у них есть отличное оперативное прикрытие на выезде и глубоко эщелонированая оборона на стационаре. Даже если кто-то догадается кого нужно красть, кража будет крайне проблематичной... А у бригады прикрытия есть стандартный приказ, в случае неизбежности похищения - застрелить. (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-20 16:35 (ссылка)

> К тому же чтение не так катастрофично. О как! А зачем тогда вообще шифровать? > Они себе позволяли долго оставлять DES... сейчас все старое можно зачитать... Это не катастрофа? DES никогда не использовался для шифрования секретной информации. > АНБ, по этому вопросу, впереди не на 10 лет, а на 50. > Люди реальо осведомленные не только в АНБ не числятся в штате, но и не числятся в списках граждан США. За то у них есть отличное оперативное прикрытие на выезде и глубоко эщелонированая оборона на стационаре. Даже если кто-то догадается кого нужно красть, кража будет крайне проблематичной... А у бригады прикрытия есть стандартный приказ, в случае неизбежности похищения - застрелить. Вам это, конечно, сообщили пришельцы?.. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-20 17:49 (ссылка)
	Массовое чтение джонов китайцами - катастрофа. Чтение одного джона за крутые деньги - мелкая неприятность. Ну так и AES не будут пользовать для реально секретной информации. :) В какой из частей моего спитча Вы подозреваете пришельцев? Это стандартные меры безопасности! (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-20 19:08 (ссылка)

> Массовое чтение джонов китайцами - катастрофа. Чтение одного джона за крутые деньги - мелкая неприятность. У нас явно отличаются взгляды на то, что отвечает интересам нац. безопасности США, а что - нет. > Ну так и AES не будут пользовать для реально секретной информации. :) ...А рекомендация использовать его для информации типа "SECRET" и "TOP SECRET" - для отвода глаз. > В какой из частей моего спитча Вы подозреваете пришельцев? Это стандартные меры безопасности! В во всех тех, которые не подтверждены доказательствами. У Вас нет (и не может быть - согласно Вашей же логике) никакой достоверной информции о том, какие меры безопасности применяются в NSA. Следовательно, все, что Вы об этом говорите - догадки (возможно, не Ваши - нечто подобное мне доводилось слышать и раньше). А когда человек выдает догадки за факты - то есть не отличает одного от другого, это и называется бредом, ничего личного. Особенно если догадки неправдоподобные. На условиях "вы проживете всю жизнь в бункере, и за вами будет ходить человек с пистолетом, который пристрелит вас в случае необходимости" трудно даже индейцев в военное время нанять. А собрать в мирное время команду лучших в стране математиков - просто невозможно. Так что либо в NSA работают авантюристы с обостренным чувством патриотизма, либо меры безопасности там другие. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-20 20:41 (ссылка)

>> Массовое чтение джонов китайцами - катастрофа. >> Чтение одного джона за крутые >> деньги - мелкая неприятность. > У нас явно отличаются взгляды на то, > что отвечает интересам нац. > безопасности США, а что - нет. За крутые деньги джон и сам продаст. В чем проблема? >> Ну так и AES не будут пользовать >> для реально секретной информации. :) > ...А рекомендация использовать его > для информации типа "SECRET" > и "TOP SECRET" - для отвода глаз. Мы уже договорились, что вояки и посольства не будут использовать эту фигню. Идем на второй круг? Нынче лбой пятый помошник второго сенатора от Монтаны ставить "TOP SECRET" и вызывает курьера, чтобы придать значимость своему посланию и своей персоне. Поэтому в АНБ пошли на встречу дурикам. Теперь ДСП публично называют "TOP SECRET". Реальные же тайны просто ушли под кодовые цифры, которые клеркам не сообщают. >> В какой из частей моего спитча >> Вы подозреваете пришельцев? >> Это стандартные меры безопасности! > В во всех тех, которые не подтверждены > доказательствами. У Вас нет (и не > может быть - согласно Вашей же логике) > никакой достоверной информции о том, > какие меры безопасности применяются в NSA. Меры физической безопасности везде одинаковые. И пули, прошу заметить, летают по все тем же траекториям, как 100 лет назад. > Следовательно, все, что Вы об этом > говорите - догадки (возможно, > не Ваши - нечто подобное мне > доводилось слышать и раньше). Этр не догадки а просто стандартные меры. > А когда человек выдает догадки > за факты - то есть не отличает > одного от другого, это и > называется бредом, ничего личного. Ну вот Вы догадываетесь, что в Австралии живут кенгуру? Но сами не видели? Значит бред! ;) > Особенно если догадки неправдоподобные. > На условиях "вы проживете всю жизнь > в бункере, На шикарной виле в живописной местности. Круизы на "яхте" летом. Отличный горнолыжный курорт зимой. И подъемнек только для Вас! А по кромке морпехи, на случай, если начнете падать... ;) > и за вами будет ходить человек с пистолетом, > который пристрелит вас в случае необходимости" Сначала он бкдет отстреливаться до последнего патрона. И не один, а целая команда. И первое подкрепление приедет через 90 секунд. Но если кранты. то застрелит. Последнее, - стандартная мера даже для рядовых армейских шифровальщиков. > трудно даже индейцев в военное время нанять. Их не особо уведомляют... > А собрать в мирное время команду лучших > в стране математиков - просто невозможно. Весь вопрос в деньгах. > Так что либо в NSA работают авантюристы > с обостренным чувством патриотизма, > либо меры безопасности там другие. ;) Поинтересутесь, числился ли К.Шенон в 1942 году в списке граждан США... (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-20 22:01 (ссылка)

> За крутые деньги джон и сам продаст. В чем проблема? Проблема в том, что стоимость вычислений непрерывно падает, и деньги с каждым днем все менее и менее крутые. Кстати, стоимость взлома не зависит от того, в какой стране он производится - так что NSA должно тратить столь же крутые деньги. > Мы уже договорились, что вояки и посольства не будут использовать эту фигню. Идем на второй круг? Не договаривались. Я, видите ли, не берусь судить о том, какие шифры и какие каналы связи используют военные и дипломаты. Я этого не знаю, и не делаю вид, что знаю - поэтому ни соглашаться с Вашим (взятым с потолка, разумеется) мнением, ни спорить с ним не могу. > Нынче лбой пятый помошник второго сенатора от Монтаны ставить "TOP SECRET" и вызывает курьера, чтобы придать значимость своему посланию и своей персоне. Поэтому в АНБ пошли на встречу дурикам. Теперь ДСП публично называют "TOP SECRET". Реальные же тайны просто ушли под кодовые цифры, которые клеркам не сообщают. Клеркам об этом не сообщили, но сообщили Вам. Через инопланетян, разумеется. > Меры физической безопасности везде одинаковые. Это утверждение и нуждается в доказательствах - я, например, считаю, что меры могут значительно отличаться в военное и в мирное время, или в фашистском и в демократическом госудрастве. Просто проецировать увиденное в фильме "Говорящий с ветром" на быт криптоаналитиков NSA в начале XXI века не стоит. > Этр не догадки а просто стандартные меры. Этот стандарт доступен широкой публике? Если да, назовите название документа. Если нет, значит эти данные снова получены Вами от инопланетян. > Ну вот Вы догадываетесь, что в Австралии живут кенгуру? Но сами не видели? > Значит бред! ;) Если бы описание кенгуру я услышал бы в 1600 году от человека, заведомо никогда не покидавшего своей деревни - да, я бы счел это бредом. И не ошибся бы, что характерно. Есть разница между сведениями о кенгуру и о "стандартных мерах безопасности". Информация о кенгуру верифицируема - то есть каждый, кто утверждает, что видел кенгуру, также утверждает, что я могу поехать в Австралию и увидеть лично. А вот с параноидальным бредом все обстоит ровно наоборот - каждый, кто общался с инопланетянами может привести 1001 причину по которой у меня поговорить с пришельцами не выйдет. Информация принципиально не поддается проверке принципиально. Вот это и отличает научные факты от бреда. > На шикарной виле в живописной местности. Круизы на "яхте" летом. Отличный горнолыжный курорт зимой. И подъемнек только для Вас! А по кромке морпехи, на случай, если начнете падать... ;) > Сначала он бкдет отстреливаться до последнего патрона. И не один, а целая команда. И первое подкрепление приедет через 90 секунд. Но если кранты. то застрелит. Последнее, - стандартная мера даже для рядовых армейских шифровальщиков. Источник все тот же - пришельцы. Ну, или просто приключенческих романов начитались и фильмов насмотрелись. Или все-таки будет ссылка на параграф устава? Кстати, почему всегда рассказывается о том, что в случае угрозы захвата стреляют в шифровальщика, и никогда не говорится, что того, кто диктовал шифровальщику открытый текст (то есть командира того подразделения хорошо бы расстрелять) тоже бы хорошо расстрелять? (индейцев приходилось расстреливать, потому что код был идиотский - без ключа вообще, и один шифровальщик мог выболтать слишком много; при нормальной постановке дела шифровальщик знает даже меньше, чем тот, кто ему диктует телеграммы в центр). > Весь вопрос в деньгах. А на что тратить деньги, если ты заперт на вилле, куда даже проституток позвать нельзя (а если можно, то все они будут в чине не ниже капитана)? > Поинтересутесь, числился ли К.Шенон в 1942 году в списке граждан США... Поинтересуйтесь, есть ли вообще в природе "список граждан США", о котором Вы все время твердите. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-20 22:21 (ссылка)

>> За крутые деньги джон и сам >> продаст. В чем проблема? > Проблема в том, что стоимость > вычислений непрерывно падает, > и деньги с каждым днем все менее > и менее крутые. Кстати, стоимость > взлома не зависит от того, в какой > стране он производится - так что > NSA должно тратить столь же > крутые деньги. Совершенно правильно, если поле ровное. А теперь представьте себе, что АНБ разработало закладку, которая позволяет скостить половину бит. Это веселее? Ну а через 10 лет сменят систему. >> Мы уже договорились, что вояки и >> посольства не будут использовать >> эту фигню. Идем на второй круг? > Не договаривались. Я, видите ли, > не берусь судить о том, какие шифры > и какие каналы связи используют > военные и дипломаты. Надежные. Это не имеет к AES никакого отношения. Дипломаты, если не придурки, а таких в АНБ нету, пользуют одноразовый ключ. Вояки изобретают что-то закрытое, экстенсивное, многослойное, чтобы никакой шутник не проломил. Такова психология всех вояк мира. > Я этого не знаю, и не делаю вид, > что знаю - поэтому ни соглашаться > с Вашим (взятым с потолка, разумеется) > мнением, ни спорить с ним не могу. Я говорю очевидные вещи, который Вам повторит любой грамотный оперативник. >> Нынче лбой пятый помошник второго >> сенатора от Монтаны ставить "TOP SECRET" >> и вызывает курьера, чтобы придать >> значимость своему посланию и своей персоне. >> Поэтому в АНБ пошли на встречу дурикам. >> Теперь ДСП публично называют "TOP SECRET". >> Реальные же тайны просто ушли под кодовые >> цифры, которые клеркам не сообщают. > Клеркам об этом не сообщили, но сообщили Вам. Посмотрите количество допущеных к "TOP SECRET" и скорость потери ими секретных лаптей, и Вы сами поймете, что это ДСП. > Через инопланетян, разумеется. У меня связи на марсе! ;) (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-21 00:01 (ссылка)

> А теперь представьте себе, что АНБ разработало закладку, которая позволяет скостить половину бит. Это веселее? Если уж мы говорим, что AES вообще вскрывается, то значит мы уже представили, что там есть закладка, потому что вскрытие в лоб 128 битного шифра - абсурд. Но с другой стороны, если закладка есть, то значит, Китай о ней уже в курсе. Если продают ядерные секреты, то и в надежности секретов NSA не может быть 100% уверенности. > Я говорю очевидные вещи, который Вам повторит любой грамотный оперативник. Ну, то, что дипломаты используют "надежные" каналы связи и шифры - это, пожалуй, очевидно. А вот подробности - в частности, что дипломаты не используют AES - уже не столь очевидны. Ну а мнению "грамотного оперативника" по вопросам того, как работает дипсвязь я бы не особо доверял. > У меня связи на марсе! ;) Я уже понял. (Ответить) (Уровень выше)

olegmi 2008-07-20 22:46 (ссылка)

>> Меры физической безопасности везде одинаковые. > Это утверждение и нуждается > в доказательствах - я, например, > считаю, что меры могут значительно > отличаться в военное и в мирное время, > или в фашистском и в демократическом госудрастве. Вы говорите об интенсивности и допустимых методах. А я говорю о спектре всех возможных методов. В прочем, я не нанимался читать лекции по физической безопасности в ЛЖР. Так что считайте, что тема мне надоела. > Просто проецировать увиденное > в фильме "Говорящий с ветром" Я не только не видел этот фильм, но даже название первый раз слышу. У меня более 10 лет нет телевизора дома. > на быт криптоаналитиков NSA > в начале XXI века не стоит. Наверное не стоит. Но это не значит, что они теперь гуляют без охраны по трущебам, и покупают там марихуану у нигеров. >> Этр не догадки а просто стандартные меры. > Этот стандарт доступен широкой публике? Нет. В СССР это второй допуск был. Для частичного исполнения хватало третьего допуска. > Если да, назовите название документа. У Вас есть доступ к внутреней документации ФАПСИ? > Если нет, значит эти данные снова > получены Вами от инопланетян. Ага. И меня это УСТРАИВАЕТ. >> Ну вот Вы догадываетесь, что >> в Австралии живут кенгуру? >> Но сами не видели? >> Значит бред! ;) > Если бы описание кенгуру я услышал бы > в 1600 году от человека, заведомо > никогда не покидавшего своей > деревни - да, я бы счел это бредом. Т.е. если сказать правду. но не превести доказательств, то это бред? > И не ошибся бы, что характерно. Но кенгуру же есть! > Есть разница между сведениями > о кенгуру и о "стандартных > мерах безопасности". Вы какой ВУЗ кончали? Там даже несколько часов не читали на тему физической безопасности? > Информация о кенгуру верифицируема - то > есть каждый, кто утверждает, что видел > кенгуру, также утверждает, что я могу > поехать в Австралию и увидеть лично. > А вот с параноидальным бредом все обстоит > ровно наоборот Понятно. Жалко, что Эйнштейна не пролечили вовремя... ;) > - каждый, кто общался > с инопланетянами может привести > 1001 причину по которой у меня > поговорить с пришельцами не выйдет. > Информация принципиально не поддается > проверке принципиально. > Вот это и отличает научные факты от бреда. Ну тогда теоретическая физика наполнена бредом. Никто не видел нейтрино. Я уж не говорю о кварках... Всех лечить! >> Сначала он бкдет отстреливаться >> до последнего патрона. И не один, >> а целая команда. И первое подкрепление >> приедет через 90 секунд. Но если кранты. >> то застрелит. Последнее, - стандартная >> мера даже для рядовых армейских шифровальщиков. > Источник все тот же - пришельцы. Источник - человек, который сам сопровождал шифровальщика. > Ну, или просто приключенческих романов > начитались и фильмов насмотрелись. У меня нет телевизора. :) И романы я не особо читаю. > Или все-таки будет ссылка на параграф устава? Советскому солдату запрещено сдаваться в плен... Этого достаточно? (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-21 00:01 (ссылка)

>> Просто проецировать увиденное в фильме "Говорящий с ветром" > Я не только не видел этот фильм, но даже название первый раз слышу. У меня более 10 лет нет телевизора дома. > Источник - человек, который сам сопровождал шифровальщика. Который _говорит_, что сам сопровождал шифровальщика. Проверьте, нет ли у него дома телевизора. > Но это не значит, что они теперь гуляют без охраны по трущебам, и покупают там марихуану у нигеров. Я же придержеваюсь мнения, что именно гуляют без охраны. > Нет. В СССР это второй допуск был. Для частичного исполнения хватало третьего допуска. И у Вас, конечно же, был этот допуск, а одновременно - допуск к аналогичным документам АНБ. Звучит правдоподобно. > Т.е. если сказать правду. но не превести доказательств, то это бред? Конечно. Если много бредить, то рано или поздно случайно скажешь правду. Бред от этого не перестает быть бредом. Фантазируя в 1600 году о невиданных зверях можно случайно угадать и кенгуру - но это все равно будут фантазии, а не научное знание. > Там даже несколько часов не читали на тему физической безопасности? Про расстрел шифровальщиков, виллы и яхты - нет. > Ну тогда теоретическая физика наполнена бредом. Никто не видел нейтрино. Опыты, на основании которых говорится о нейтрино, вполне воспроизводимы. Существование нейтрино - наиболее логичное объяснение результатов этих опытов, так что эту гипотезу вполне можно принять до той поры, пока не появится лучшего объяснения. > Советскому солдату запрещено сдаваться в плен... > Этого достаточно? Нет, этого недостаточно. Во-первых, здесь не сказано, что "советский солдат в случае опасности пленения должен пристрелить шифровальщика и командира". Во-вторых, это было давно. В-третьих, это было в тоталитарном государстве. Из того, что сов. солдат не мог сдаться в плен, нельзя сделать вывод о том, что в XXI веке армия США расстреливают шифровальщиков, а NSA - математиков. (Ответить) (Уровень выше)

olegmi 2008-07-20 22:46 (ссылка)

> Кстати, почему всегда рассказывается > о том, что в случае угрозы захвата > стреляют в шифровальщика, и никогда > не говорится, что того, кто диктовал > шифровальщику открытый текст > (то есть командира того подразделения > хорошо бы расстрелять) > тоже бы хорошо расстрелять? Метод был секретен и ключи общие. Сейчас с этим уже полегче. Но топовые криптологи, работающие с закладками, явно идут по этому разряду. > (индейцев приходилось расстреливать, > потому что код был идиотский - без ключа > вообще, и один шифровальщик мог выболтать > слишком много; при нормальной постановке > дела шифровальщик знает даже меньше, чем > тот, кто ему диктует телеграммы в центр). Это сейчас. Сейчас, наверное, и строгости поубавили. >> Весь вопрос в деньгах. > А на что тратить деньги, если ты заперт > на вилле, куда даже проституток позвать > нельзя (а если можно, то все они будут > в чине не ниже капитана)? Все выдающиеся математики - чекнутые люди. Им не нужно ничего кроме математики. Семья на той же виле, и люксовые бытовые условия их устроят. Захочет уволиться, лет через 10 будет с кучей бабла передвигаться уже только с парой охранников. Но он не захочет. >> Поинтересутесь, числился ли К.Шенон >> в 1942 году в списке граждан США... > Поинтересуйтесь, есть ли вообще > в природе "список граждан США", Конечно нету. Только это основа контрразведки, а следовательно и основа государства. Не знаю точно, как в США, но в Израиле список граждан - ДСП. > о котором Вы все время твердите. Больше не буду. :) (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-21 00:01 (ссылка)

> Метод был секретен и ключи общие. Сейчас с этим уже полегче. Как любезно с Вашей стороны пересказать мне то, что я писал абзацем ниже. > Все выдающиеся математики - чекнутые люди. Им не нужно ничего кроме математики. Такими соображениями можно объяснить, почему физик соглашается работать в секретной ядерной лаборатории - на дому с водородной бомбой не поиграешь. А вот зачем математику ради того, чтобы заниматься математикой загонять себя в бункер (вместо того, чтобы работаь в гражданском университете, например) - не ясно совершенно. Впрочем, что с них взять, с чекнутых-то... (Ответить) (Уровень выше)

ivlad.livejournal.com 2008-07-17 20:46 (ссылка)

> Проблематично-не проблематично, но во всех нормальных шифрах подключ первого раунда зависит от всех битов исходного ключа. Вот тут Вы ошибаетесь. В DES, например, ключевое расписание таково, что полное использование всех бит ключа не происходит ни в каком единичном раунде. Но, разумеется, после полнораундного DES, все биты поучаствуют в шифровании. Кстати, это участие в идеале должно быть равномерным, что, насколько я помню, не так в случае DES. По-моему, даже есть соответсвующие key-related атаки. (Ответить) (Уровень выше) (Ветвь дискуссии)

	anonymous 2008-07-18 10:58 (ссылка)
	> В DES, например, ключевое расписание таково, что полное использование всех бит ключа не происходит ни в каком единичном раунде. Ну да - и к достоинствам DES'а это, вроде бы, никем не причисляется. > Но, разумеется, после полнораундного DES, все биты поучаствуют в шифровании. Уже после 2 раундов. Хотя и неравномерно, да. (Ответить) (Уровень выше) (Ветвь дискуссии)

ivlad.livejournal.com 2008-07-21 16:16 (ссылка)

> Ну да - и к достоинствам DES'а это, вроде бы, никем не причисляется. сложно сказать. это by design так. DES - синтетический, многораундный алгоритм, и относительная простота каждого раунда в нем продиктована, пожалуй, возможностью реализации и способностью челрвека ее понять и оценить стойкость. я в общем н вижу причины, почему сами по себе синтетические алгоритмы плохи. необходимость использования всех бит ключа в каждом раунде здесь особой роли не играет, если после окончания всех раундов все биты ключа будут использованы > Уже после 2 раундов. Хотя и неравномерно, да. по-моему, каждый бит используется примерно в 14 раундах их 16, так что, строго говоря, после трех (Ответить) (Уровень выше) (Ветвь дискуссии)

	anonymous 2008-07-21 17:19 (ссылка)
	> по-моему, каждый бит используется примерно в 14 раундах их 16, так что, строго говоря, после трех После двух. Все биты, не использовавшиеся в первом раунде, используются во втором. (Ответить) (Уровень выше)

	ivlad.livejournal.com 2008-07-17 20:41 (ссылка)
	> Там можно часть операций сделать один раз. судя по Вашим комментариям, Вы внимательно просмотрели алгебраическую структуру AES. Сообщите, пожалуйста, какие именно части Вы предлагаете вычислять заранее? Очень интересно. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-18 10:35 (ссылка)
	Когда проводился конкурс AES, я уже перестал получать зарплату за критографию. Так что сори, я не разбирал этот вопрос. То, что я здесь выдаю, - общие методы для всех алгоритмов. (Ответить) (Уровень выше) (Ветвь дискуссии)

ivlad.livejournal.com 2008-07-19 15:10 (ссылка)

то есть на деле, ничего про time-memory tradeoff Вы про AES сказать не можете, кроме того, что он теоретически существует. Знаете, это не секрет. Техника эта была придумана очень давно и применялась уже для DES. В ходе дизайна и публичной проверки AES она была известна, и AES ей успешно противостоит, поскольку произведение показателей времени на память для любых их значений таково, что атака эта практически не может быть реализована. а для Вашего сведения, в самом алгоритме AES стадии предвычислений нет. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-20 01:16 (ссылка)
	Не может быть реализована при текущих ПРЕДПОЛОЖЕНИЯХ о полном отсутствии слабостей и рыночных ценах на чипы. При том, что условия подозрительно ломят в понятную сторону... Как это объяснить? Если сертифицированый банк под AES еще чем-то пошифруется, то ему дадут за это по мозгам? (Ответить) (Уровень выше) (Ветвь дискуссии)

ivlad.livejournal.com 2008-07-21 16:21 (ссылка)

> Если сертифицированый банк под AES еще чем-то пошифруется, то ему дадут за это по мозгам? нет, не дадут. америка - не россия. да и в россии, думаю, не дадут. у нас по закону нужно использовать сертифицированное крипто, но что там под ним, дело десятое. правда, такие вещи надо делать осторожно, потому что двойное шифрование может в теории привести к неприятным последствиям. Например, про 3des было специальное исследование, не является ли он группой. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-21 16:48 (ссылка)
	В РФ за это точно дадут по голове... Если способ в принципе другой и размеры блоков не совпадают, то я не думаю, что там будет что ловить... (Ответить) (Уровень выше) (Ветвь дискуссии)

	ivlad.livejournal.com 2008-07-22 11:16 (ссылка)
	> Если способ в принципе другой и размеры блоков не совпадают, то я не думаю, что там будет что ловить... забавно, но мне опасность образования группы из двух алгоритмов представляется куда более реальной, чем возможность табличного перебора (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-22 14:05 (ссылка)
	Если DES+AES - да. Есть опасность. Я бы насторожился. Если RSA+DES, то это полная дохлятина. Подумайте, как бы Вы это ломали... (Ответить) (Уровень выше)

	olegmi 2008-07-16 19:19 (ссылка)
	http://lj.rossia.org/users/olegmi/249148.html Это о проблематичности заказа микросхем... (Ответить) (Уровень выше)

	olegmi 2008-07-13 12:45 (ссылка)
	Пишу довесок, потому что американский шпиен не вовремя нажал клавишу "отправить". :) Имейте в виду, что я в карюлях не хожу. Моя параноя работает только на криптографическом и смежных полях. А там и следует быть параноиком. (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-13 16:31 (ссылка)

> Моя параноя работает только на криптографическом и смежных полях. А там и следует быть параноиком. Из того, что каждый эксперт по безопасности - параноик, не следует, что каждый параноик автоматически становится экспертом по безопасности. Хотя внешнее сходство есть. Но есть и разница - причины испуга экспертов всегда рациональны, и он может их изложить человеческим языком; параноик же просто боится всего подряд, даже того, чего бояться нет смысла (например, существования быстрой аппаратной реализации), а в ответ на просьбу пояснить свою мысль, начинает рассказывать про то, что "мы же не знаем...", "власти скрывают..." и тоннами выдавать на-гора догадки о том, у какой спецслужбы какие возможности и мотивы. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-13 16:44 (ссылка)
	Из того, что каждый эксперт по безопасности - параноик, не следует, что каждый параноик автоматически становится экспертом по безопасности. Совершенно согласен. :) У меня простые принципы. Если кто-то сначала борется против надежных шифров, а потом резко объявляет конкурс на НАДЕЖНЫЙ шифр, в этом что-то есть. Вам напомнить как репресировали автора PGP? (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-13 17:29 (ссылка)

> У меня простые принципы. Если кто-то сначала борется против надежных шифров, а потом резко объявляет конкурс на НАДЕЖНЫЙ шифр, в этом что-то есть. Вам напомнить как репресировали автора PGP? Циммермана репрессировали не за создание PGP, а за его экспорт. Экспорт надежной криптографии из США действительно противозаконен. А вот создание для внутренних нужд вполне законно, за это никого никогда не преследовали, так что никаких оснований подозревать, что правительство США "борется против надежных шифров" нет. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-14 00:59 (ссылка)
	Ну почему же... Есть шифры, которые можно вывозить и АНБ только поблагодарит... Что еще больше удивляет, что теперь ему дают вывозить свободно. Можете пойти на сайт и сами скачать... Вывод: пошел на компромис и приделал дыру... (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-14 01:44 (ссылка)

> Что еще больше удивляет, что теперь ему дают вывозить свободно. Можете пойти на сайт и сами скачать... Вывод: пошел на компромис и приделал дыру... "Вывод", разумеется, сделан из чистого страха и невежества. В свое время исходные тексты PGP были распечатаны и вывезены в Европу (это абсолютно легальная операция с точки зрения американского экспортного законодателтьства). Там они были осканированы и откомпилированы, полученный продукт распространялся через отдельный сайт PGP International, и основной сайт отсылал всех не-американских пользователей туда. Таким образом, экспорт как таковой не производился - так что и повода для претензий не стало. И сейчас, когда PGP принадлежит NAI, при попытке что-нибудь купить у них, пользователя не из США перебрасывает на европейское подразделение. Хотя теперь-то, если я ничего не путаю, уже нет тех строгостей в регулировании экспорта криптографии. Все исходные тексты, кстати, и по сей день остаются доступными для ознакомления. Если найдете там что-то подозрительное - сообщайте, я уверен, это многим будет интересно. А просто рассказ о том, что Вы подозреваете всех во всем разве что Вашего лечащего врача может заинтересовать. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-14 11:07 (ссылка)

Я отлично помню ту шумиху с вывозом книги. и помню, что еще накануне скачал PG. Так о чем там была война? В исходных текстах одной из версий нашли "корпоративные ключи". Я это тоже хорошо помню... Значит в других сделано это же, но более акуратно. У меня есть исходник. Я его смотрел. Там много внимания уделено борьбе со свопингом. ФАПСИ любист анализаровать своп. Так что не зря... Но исходник слишком большой и болеемутный, чем openSSL. Меня это обломило. Все равно я не смогу препахать и осмыслить все эти мегабайты. Мне есть чего еще делать в жизни... (Ответить) (Уровень выше) (Ветвь дискуссии)

	anonymous 2008-07-14 11:39 (ссылка)
	> В исходных текстах одной из версий нашли "корпоративные ключи". Я это тоже хорошо помню... Значит в других сделано это же, но более акуратно. Чего-чего? (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-18 10:31 (ссылка)
	Кажется, в версии 7.*, но я е поручусь за давностью, Была дыра. позволяющая извне в тихаря добавить "корпоративный ключ" ко всем шифрованым сообщениям. если сильно интересно, можно пошерстить поисковиком архивы. (Ответить) (Уровень выше) (Ветвь дискуссии)

	anonymous 2008-07-18 11:25 (ссылка)
	> если сильно интересно, можно пошерстить поисковиком архивы. Если не трудно, пошерстите, пожалуйста. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-18 12:12 (ссылка)

http://www.pgpru.com/faq/kljuchi#h43-7 Корпоративные пользователи могут восстановить свой закрытый ключ, даже если забудут ключевую фразу. Реально ли такое для частных пользователей? Да, с некоторыми ограничениями это возможно. За подробными инструкциями обращайтесь в "Руководство пользователя PGP". ===================== Теперь это превратилось в фичу? О чем тут еще говорить? Оригинал об уязвимости еще ищу. (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-18 15:10 (ссылка)

> Теперь это превратилось в фичу? Что значит "превратилось"? Это всегда и было фичей. То, что в этой фиче был баг - другое дело. > Оригинал об уязвимости еще ищу. Наверное, Вы об этом. Да, была такая история. Действительно баг и действительно серьезный. Но вряд ли он сделан преднамеренно по просьбе плохих парней - атака с использованием этого бага не столь уж незаметна, и пройдет только в том случае, если беззаботный пользователь игнорирует предупреждения, выдаваемые ему компьютером. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-18 18:43 (ссылка)
	Это я помню, но тот баг был 7.* Зря я не вел досье... :( Хотя и так ясно, что вся муть ломается. :((( (Ответить) (Уровень выше)

	olegmi 2008-07-14 11:11 (ссылка)
	Интересно, что будет, если ввезти в США действительно надежную криптографию? (Ответить) (Уровень выше) (Ветвь дискуссии)

	anonymous 2008-07-14 11:39 (ссылка)
	Да ничего не будет. Пользуйтесь самодельным одноразовым блокнотом, никто и слова не скажет. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-18 10:27 (ссылка)
	Если средний джон изобразит "самодельный одноразовый блокнот" то это будет ломаться на ура. А если случится чудо, м джоны таки серьезно займутся блокнотным делом, то главному организатору очень скоро будут кранты. (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-18 11:12 (ссылка)

> Если средний джон изобразит "самодельный одноразовый блокнот" то это будет ломаться на ура. Когда я говорил "самодельный одноразовый блокнот" я имел в виду именно самодельный одноразовый блокнот. > А если случится чудо, м джоны таки серьезно займутся блокнотным делом, то главному организатору очень скоро будут кранты. Главный организатор - это кто? Автор брошюры (или странички в интернете) "как сделать одноразовый блокнот"? Да ничего ему не будет. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-18 11:54 (ссылка)

Вы пробовали сгенерить мегабайт энтропии руками? Лично у меня на это уйдет неделя писания исходников, если с нуля. Но это у меня. А как это будет делать джон? Или он копи-пастом размножит секретную фразу "fuck_u" и использует это в качестве маски? Один мой сослуживец реально думал, что этнтропию можно генерить подсчетом CRC32 от предидущих 4 байт. Ну а инициализировал он эту муть от таймера. И это продвинутый програмист с опытом! А что мы будем ждать от джона? Чтобы организовать блокноты, нужно написать прогу. Найдется куча законов, по которым посадят ее автора. В крайнем случае - автомобильная катастрофа. (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-18 14:23 (ссылка)

> Чтобы организовать блокноты, нужно написать прогу. Еще раз - я говорил про одноразовый блокнот. Прогу писать не надо, надо брать два листа бумаги и игральную кость. Мегабайт энтропии вовсе не требуется - для того, чтобы осбудить с друзьями готовящийся теракт, нужны гораздо меньшие объемы гаммы. Да, устроить нелегальный обмен песнями Бритни Спирс не получится. Но, увы, именно лаконичные парни представляют гораздо больший интерес для NSA, чем те, кто занимается файлообменом. > Лично у меня на это уйдет неделя писания исходников, если с нуля. Но это у меня. > Один мой сослуживец ... инициализировал он эту муть от таймера. И это продвинутый програмист с опытом! А что мы будем ждать от джона? А из чего собираетесь получать энтропию Вы, если не секрет? (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-18 19:00 (ссылка)

Игральная кость никогда не имеет нормальной балансироваки. Так делать нельзя. К тому же только програмисты смогут реально использовваь этот метод. Энтропию я беру из двух источников. 1. регистр тиков проца. Но читать регистр нужно не подряд, а опереться на дополнительные события(клава, крыса, сик винта или сидюка) или хотя бы задержать чтение слипом, если компьютер не простаивает. 2. wav с локального микрофонна + rar -m5 Оба источника содержат только маленькую часть энтропии. Поэтому их нужно тщательно размешать, снизив по дороге объем раз в 10 минимум. Реально топчу раз в 100-1000, в зависимости от сопутствующих обстоятельств, чтобы не ломать голову над степенью случайности. (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-18 21:41 (ссылка)

> Игральная кость никогда не имеет нормальной балансироваки. Так делать нельзя. Сверхточная балансировка в данном случае не критична. А на наличие грубых отклонений кость легко проверить. Поэтому так делать можно, NSA ничего расшифровать не сможет. Я гарантирую это. > К тому же только програмисты смогут реально использовваь этот метод. О том, что такое одноразовый блокнот, и как им пользоваться, я впервые услышал в семь лет от своего родственника, служившего в 1960-ых в ВДВ. Программистом он не был. (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-20 01:28 (ссылка)

Смотря какой разбаланс, сколько и как шифровать. Если маска и расбаланс 10%, то уже через 10к появятся мутные кореляции. Если абсолтный сдвиг, - кажется то же, но я не обдумал хорошо. Если диференциальный сдвиг, то это полегче, но такой метод требует безошибочности исполнения... Солдаты ВДВ приравнивабтся к компьютерам. :) А у гражданских будет проблема, если подряд три одинаковых числа. Наверняка соблазнятся одно убрать... (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-20 02:10 (ссылка)

> Смотря какой разбаланс, сколько и как шифровать. Если маска и расбаланс 10%, то уже через 10к появятся мутные кореляции. Если абсолтный сдвиг, - кажется то же, но я не обдумал хорошо. Если диференциальный сдвиг, то это полегче, но такой метод требует безошибочности исполнения... Звучит довольно бессвязно. > А у гражданских будет проблема, если подряд три одинаковых числа. Наверняка соблазнятся одно убрать... Это, конечно, нехорошо, но тоже не критично. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-20 14:40 (ссылка)
	Переформулирую. Попустим, у Вас есть для каждого знака Pn от 0 до 35. Вы можете сделать Cn=(Mn+Pn)%36. Но если балансировка плохая, то могут возникнуть кореляции. А можно Cn=(Mn+P0+P1+...+Pn)%36. Так надежнее. Но одна ошибка исполнителя и последующий текст будет нечитабельным... (Ответить) (Уровень выше)

	olegmi 2008-07-20 14:41 (ссылка)
	Вот на всех этих мелких проколах блокнот и колется... (Ответить) (Уровень выше) (Ветвь дискуссии)

anonymous 2008-07-20 16:30 (ссылка)

> Вот на всех этих мелких проколах блокнот и колется... Блокнот не колется. Даже с более крупными проколами - для советских блокнотов случайные числа вообще живой человек генерировал. Абсолютная надежность шифроблокнота определяется не столько тем, что любые открытые тексты равновероятны, сколько тем, что их вероятность не равна 0. Поэтому некоторая неслучайность гаммы не критична. > Попустим, у Вас есть для каждого знака Pn от 0 до 35. Вы можете сделать Cn=(Mn+Pn)%36. Но если балансировка плохая, то могут возникнуть кореляции. Теоретически - это нехорошо. Практически - эти корреляции не помогут расшифровать текст. > А можно Cn=(Mn+P0+P1+...+Pn)%36. Так надежнее. Очевидно, что по надежности это эквивалентно С'n=C(n)-C(n-1)=M(n)-M(n-1)+Pn=M'n+Pn, где M'(n)=M(n)-M(n-1). Да, разбаланс гаммы будет от этого несколько уменьшен. Иными словами, того же (в смысле надежности) результата можно добиться, записывая на бумагу не результаты бросков, а разность между текущим и предыдущим броском. Поскольку корреляцию между бросками можно исключить, то это улучшит гамму. В этом случае можно не бояться того, что > Но одна ошибка исполнителя и последующий текст будет нечитабельным... Впрочем, есть и более простые способы улучшить качество гаммы. Но, повторюсь, особой необходимости в этом нет. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-20 17:45 (ссылка)
	Сейчас - может Вы и правы. Но тут скорее лингвистов нужно подключать. Я над ломом этого дела думал мало, так что не рискнул бы делать смелые ходы. Лучше этим не увлекаться. (Ответить) (Уровень выше)

	olegmi 2008-07-13 01:03 (ссылка)
	=Чушь, повторенная дважды, не перестает быть чушью. =параноидальные статьи. =А на идиотов, ага. Для анонимщиков у меня усиленые правила хорошего поведения. Прошу воздержаться в моем журнале от эмоционально перегруженых и брутальных выражений. Это же относится ко ВСЕМ анонимщикам с пустым журналом. Дополнительно сообщаю: я професиональный параноик. (Ответить) (Уровень выше) (Ветвь дискуссии)

(Комментарий удалён)

	olegmi 2008-07-13 09:51 (ссылка)
	Это мой дневник и соблюдать тут правила приличного общества Вам придется. Вот этот пасквиль стираю за матерщину. (Ответить) (Уровень выше)

	rblaze.livejournal.com 2008-07-21 19:11 (ссылка)
	Энергетические требования посчитайте, к таблицам и к перебору. Ну буквально как в Applied Cryptography написано. Потом прикиньте, сколько именно бит ключа надо сэкономить на "небольшой слабости", чтобы угля на перебор хватило. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-22 01:13 (ссылка)
	Мне нравится ваша идея. Но возникает вопрос, для какой технологии считать энергетику. Для 350nm, для 90nm или для чего-то еще совсем другого? (Ответить) (Уровень выше)

	ivlad.livejournal.com 2008-07-17 20:55 (ссылка)
	и, кстати, чем Вам не угодил размер блока в 128 бит? (Ответить) (Ветвь дискуссии)

	olegmi 2008-07-18 09:08 (ссылка)
	А чем Вам не угодил размер блока 16 бит? (Ответить) (Уровень выше) (Ветвь дискуссии)

	ivlad.livejournal.com 2008-07-19 15:05 (ссылка)
	а где в AES используется размер блока 16 бит? (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-20 01:29 (ссылка)
	Не используется. Но ответьте, почему Вас не устроит 16 бит, и я отвечу, почему меня не устроит 128. :) (Ответить) (Уровень выше) (Ветвь дискуссии)

	ivlad.livejournal.com 2008-07-21 16:22 (ссылка)
	2^16 можно таблично представить. вы хотите 2^128 представлять таблично? да и потом, 2^16 - это шифрование биграмм. уязвимо для статистического анализа. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-21 16:43 (ссылка)
	Вот и я считаю то же самое относительно 128. Если не прямо сейчас, то в угрожающе близком будущем. За 10 лет винты выросли на 3 порядка. Если случится какой-то прорыв в технологии хранения, то много чего ляжет в криптологии... (Ответить) (Уровень выше) (Ветвь дискуссии)

ivlad.livejournal.com 2008-07-21 18:46 (ссылка)

bc -l 2^128/(2^10)^4 309485009821345068724781056.00000000000000000000 это терабайт 2^128/(2^10)^5 302231454903657293676544.00000000000000000000 петабайт 2^128/(2^10)^6 295147905179352825856.00000000000000000000 эксабайт 2^128/(2^10)^7 288230376151711744.00000000000000000000 зеттабайт 2^128/(2^10)^8 281474976710656.00000000000000000000 йоттобайт 2^128/(2^10)^9 274877906944.00000000000000000000 бронтобайт в общем рост "на три порядка" вообще ничего не изменит. даже рост на 10 порядков ничего не изменит - таблично подобрать шифр будет нельзя - не то, что в угрожающе близком будущем, но, скорее всего, не в ближайшее столетие. я не помню оценку числа атомов в Галактике, но по-моему, ее порядок сравним с 2^128. так что пока мы Галактики не будем использовать в качестве винчестеров, бояться табличного подбора не нужно. мне кажется, вы бы и сами могли проделать эту операцию умножения, если бы захотели подумать, а не потроллить. :) впрочем, как вы справедливо заметили комментатору выше - ваш журнал, можете творить, что хотите. :) (Ответить) (Уровень выше) (Ветвь дискуссии)

olegmi 2008-07-21 19:17 (ссылка)

Я понимаю, что цифра астрономическая. Но надо мной еще висит призрак частичной таблицы. В одном моле вещества содержится 6.022045E+23 молекул. Один моль воды весит 18 гр. Земля имеет массу 6E+24 кг Т.е. примерно 2^160 молекул есть на земле. Но я утверждаю, что может существовать технология, которая требует для хранения информации менее одной молекулы вещества на бит. Таким образом катастрофический прорыв технологии превращается из совершенно невозможного в крайне маловероятный. А это уже для нашей задачи неприемлимо... О принадлежности дневника я сказал только в рамках соблюдения некоторых правил человеческого общения. Т.е. не переходить на личности, не материться грязно и т.д. Это никак не ограничевает высказывание мнений по существу. (Ответить) (Уровень выше) (Ветвь дискуссии)

	ivlad.livejournal.com 2008-07-22 11:02 (ссылка)
	> Таким образом катастрофический прорыв технологии превращается из совершенно невозможного в крайне маловероятный. ммм. как вы представляете себе технологию, позволяющую хранить 2^128 блоков размером 2^7 бит? и, кстати, а каким алгоримтмом вы предлагаете пользоваться вместо AES? (Ответить) (Уровень выше) (Ветвь дискуссии)

	ivlad.livejournal.com 2008-07-22 11:17 (ссылка)
	да, кстати, это размер таблицы для одного ключа. таблиц таких - 2^128 или 2^256, если хотите. (Ответить) (Уровень выше) (Ветвь дискуссии)

	olegmi 2008-07-22 13:51 (ссылка)
	Такие таблицы не имеют смысла. Кто их будет заполнять? (Ответить) (Уровень выше)

olegmi 2008-07-22 13:28 (ссылка)

Во первых, я не уверен, что нужно хранить полную таблицу. Я зажегся ка раз на подозрение, что и неполной может хватить... Объясню примитивно хранение без молекулы. Представьте себе коаксиалку в 100 м. длиной. В нее льют изернет со скоростью 100М. Значит в коаксиалке хранится примерно 70 бит информации. Увеличьте плотность потока, поместите все в жидкия азот. Возьмите сверхпроводник. Возьмите оптоволокно. Барьер молекулы на бит рано или поздно рухнет. Носителями информации вполне могут быть кванты излучения. Нет теоретического противопоказания для этого. Алгоритм зависит от целей. Я не могу дать советы, не зная цели применения. Мало того, гросбух джона, возможно, и следует шифровать под AES. Мое алармистское выступление сводится к тому, что не следует безоглядно верить AES. Особено этот совет относится к тем, кто плохо относится к дяде сэму. Для фанатов могу предложить кубический DES Может быть кому-то понравится. :) А может и с кубическим AES стоит поиграть? Лично для своих ПИСЕМ я решил: s=m^MD5(DH-1000()) и так каждые 128 бит. (Ответить) (Уровень выше)