Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>Нет. Вообще все зависит от целей. Для себя можно использовать все что хочешь. Тут придется верить криптографам, что это алгоритм хорош, а это не очень. Вся криптография держится на вере. CC>Вай! CC>А как же криптоанализ?
А что криптоанализ? По большому счету, это проверка алгоритмов на уязвимость к определенным известным типам атак. Вы же не беретесь утверждать, что завтра не появится атака, которая позволит взломать какой нибудь шифр.
A>> Сказать, что этот алгоритм объективно лучше другого, можно только об объективных параметрах. A>> Скорость работы, требуемая память, и т.п. Надежность — объективным параметром не является. CC>Просто нет слов. CC>Может я неправильно тебя понял, но ты вот тут утверждаешь что надёжность шифра объективно оценить нельзя, так?
Именно так. Объективно, абсолютной стойкостью обладают только Шенноновские криптоситемы (по Шеннону), при условии, что вы сможете сгенерировать случайную последовательность (не помню уже тервер, но она должна быть равномерно распределенной и абсолютно независимой). Ученые до сих пор спорят, есть ли во вселенной абсолютная случайность.
Это если абстрактно. А теперь приземленно. Надежность блочных криптосистем держится на доверии к S блокам. Есть методы их проверки "на вшивость". Но нет теоремы, которая бы утверждала, что при определенный условиях, вот этот S блок будет самым лучшим. Дальше хеш функции. Односторонних функций не придумали. Поэтому используют трудно обратимые функции. Трудно, не значит невозможно. Просто на данном этапе не придумали как это сделать. ЭЦП — держится на том, что сейчас не умеют быстро факторизовать числа, и на сложности обращения логарифмирования в полях. Но опять, ключевые слова "сложность", "сейчас не умеют". Т.е. нет теорем, заявляющих что этот, или иной алгоритм невозможно (или с определенной степенью сложности) взломать. А значит, нельзя сказать объективно, что один алгоритм лучше другого. Исключения, алгоритмы которые уже взломали. Они естественно хуже всех.
Вот как то так. Но, криптография, пожалуй самый надежный способ защиты информации на сегодняшний день. Лучше пока не придумали.
Здравствуйте, Acteon, Вы писали:
A>А что криптоанализ? По большому счету, это проверка алгоритмов на уязвимость к определенным известным типам атак. Вы же не беретесь утверждать, что завтра не появится атака, которая позволит взломать какой нибудь шифр.
Зато она может сказать: вот этот шифр можно сломать при таких вот условиях.
A>Объективно, абсолютной стойкостью обладают только Шенноновские криптоситемы (по Шеннону), при условии, что вы сможете сгенерировать случайную последовательность (не помню уже тервер, но она должна быть равномерно распределенной и абсолютно независимой). Ученые до сих пор спорят, есть ли во вселенной абсолютная случайность.
Т.е. тоже выходит не существует в реальности?
A>Надежность блочных криптосистем держится на доверии к S блокам.
Не все блочные построены на S-boxes.
A> Есть методы их проверки "на вшивость".
Для ГОСТ кстати критерии для "вшивости" S-box-ов так и не опубликованы. В отличие от...
A> Но нет теоремы, которая бы утверждала, что при определенный условиях, вот этот S блок будет самым лучшим.
Зато есть критерии по которым блок можно выбраковать.
A>Т.е. нет теорем, заявляющих что этот, или иной алгоритм невозможно (или с определенной степенью сложности) взломать.
Есть оценки услових, при которых алгоритм можно взломать. И сравнение этих оценок даёт объективное обоснование считать конкретный алгоритм на каком то этапе более надёжным чем остальные.
A>А значит, нельзя сказать объективно, что один алгоритм лучше другого.
Дык точно так же нельзя сказать объективно что один алгоритм быстрее другого.
Скорость работы алгоритма зависит от условий в которых он выполняется.
A>Исключения, алгоритмы которые уже взломали. Они естественно хуже всех.
Они не хуже, они просто уже непригодны к использованию.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>А что криптоанализ? По большому счету, это проверка алгоритмов на уязвимость к определенным известным типам атак. Вы же не беретесь утверждать, что завтра не появится атака, которая позволит взломать какой нибудь шифр. CC>Зато она может сказать: вот этот шифр можно сломать при таких вот условиях.
Т.е. весь криптоанализ может поделить все алгоритмы на два множества: алгоритмы с потенциальными дырами (для них придумали условия их ослабления), и "безопасные" алгоритмы (для них пока ничего не придумали). Понимаешь, весь криптоанализ держится на евристиках и слове "пока". А какой объективности тогда может идти речь? Помню нам рассказывали про теорему, следствие из которой было, что можно быстро факторизовать число, при наличии оракула (внеземной разум, омг) который дает подсказки. RSA в утиль!
A>>Объективно, абсолютной стойкостью обладают только Шенноновские криптоситемы (по Шеннону), при условии, что вы сможете сгенерировать случайную последовательность (не помню уже тервер, но она должна быть равномерно распределенной и абсолютно независимой). Ученые до сих пор спорят, есть ли во вселенной абсолютная случайность. CC>Т.е. тоже выходит не существует в реальности?
Есть два лагеря, одни верят в случайность (и как следствие свободу воли), другие нет. Лично я не верю.
A>>Надежность блочных криптосистем держится на доверии к S блокам. CC>Не все блочные построены на S-boxes.
Это я для примера. Не буду же я перечислять все основы алгоритмов.
A>> Есть методы их проверки "на вшивость". CC>Для ГОСТ кстати критерии для "вшивости" S-box-ов так и не опубликованы. В отличие от...
Это плохо. И в самом стандарте не говориться какие S-блоки правильно использовать. Но зато их можно сделать ключом. Правда если паршиво выбрать, сломаешь весь алгоритм. Я читал рекомендации к ГОСТу, там были наборы S блоков для использования.
A>> Но нет теоремы, которая бы утверждала, что при определенный условиях, вот этот S блок будет самым лучшим. CC>Зато есть критерии по которым блок можно выбраковать.
Опять таки, мы отбрасываем плохое. Хорошо, есть у нас 10 S-блоков. 8 мы выкинули, как плохие. Как объективно сказать, который из двух оставшихся лучше? А завтра придумают еще один критерий, и эти два блока тоже окажутся плохими. Я вот о чем речь веду.
A>>Т.е. нет теорем, заявляющих что этот, или иной алгоритм невозможно (или с определенной степенью сложности) взломать. CC>Есть оценки услових, при которых алгоритм можно взломать. И сравнение этих оценок даёт объективное обоснование считать конкретный алгоритм на каком то этапе более надёжным чем остальные.
A>>А значит, нельзя сказать объективно, что один алгоритм лучше другого. CC>Дык точно так же нельзя сказать объективно что один алгоритм быстрее другого. CC>Скорость работы алгоритма зависит от условий в которых он выполняется.
A>>Исключения, алгоритмы которые уже взломали. Они естественно хуже всех. CC>Они не хуже, они просто уже непригодны к использованию.
К чему я все веду. Что на основании криптоанализа и "уважаемости" криптоаналитика можно считать субъективно, что на сегодняшний момент вот эти (тут список алгоритмов) алгоритмы хорошие. Но какой из них лучше, вам никто не скажет. И вы не докажете (а ведь именно наличие доказательства отделяет субъективное от объективного), что один из этих хороших алгоритмов лучше другого.
Предположим, завтра придумают супер атаку. И окажется что только один алгоритм ей не подвержен. Да, он будет лучше всех на данный момент. Но объективно лучшим во все времена он от этого не станет.
В самой природе криптографии лежат предположения, и одно только это, делает ее субъективной. Надеюсь с этим вы спорить не станете.
Для примера. Алгоритмы на эпилептических кривых. Доказано отсутствие субэкспотенциальных методов перебора для этих типов алгоритмов, в отличие от обычных алгоритмов. Делает ли это обычные алгоритмы плохими (объективно)? Я не знаю (т.к. по сути они лишь помогают сократить длину ключа, что вроде и не плохо). Хорошо конечно было бы использовать их. Но как-то очень медленно мир переходит на эти алгоритмы.
Здравствуйте, 0xDEADBEEF, Вы писали:
DEA>Здравствуйте, edx67, Вы писали:
E>>Если кто-то готов предоставить мне готовое решение на с++ за разумные деньги, я могу заплатить. DEA>С тебя пиво: http://rsdn.ru/forum/alg/2758606.aspx
E>>Блочный не хочеться использовать, т.к. придеться выравнивать до границы блока — что не хочеться. CC>Тебе все равно придется использовать какой либо из режимов (http://en.wikipedia.org/wiki/Block_cipher_modes_of_operation) CC>Например тот же CFB позволяет использовать блочный шифр как потоковый.
Здравствуйте, edx67, Вы писали:
E>>>Блочный не хочеться использовать, т.к. придеться выравнивать до границы блока — что не хочеться. CC>>Тебе все равно придется использовать какой либо из режимов (http://en.wikipedia.org/wiki/Block_cipher_modes_of_operation) CC>>Например тот же CFB позволяет использовать блочный шифр как потоковый.
E>Что лучше CFB или OFB ?
Там ж блок схемы нарисованы и расписаны свойства все. Выбирай исходя из требований задачи.
Если ты хочешь просто получить потоковый шифр из блочного то используй OFB. Она просто генерит с помощью блочного шифра некую последовательность, которая XORится с шифруемым сообщением. Т.е. чуть ли не потоковый шифр в чистом виде. Расшифровка делается точно так же.
E>Как заполнять Initialization vector ?
Это просто какое то начальное значение от которого стартует генерация последовательности.
Здравствуйте, Acteon, Вы писали:
A>Здравствуйте, CreatorCray, Вы писали:
A>Для примера. Алгоритмы на эпилептических кривых. Доказано отсутствие субэкспотенциальных методов перебора для этих типов алгоритмов, в отличие от обычных алгоритмов. Делает ли это обычные алгоритмы плохими (объективно)? Я не знаю (т.к. по сути они лишь помогают сократить длину ключа, что вроде и не плохо). Хорошо конечно было бы использовать их. Но как-то очень медленно мир переходит на эти алгоритмы.
А толку с того что ключ стал короче? Это далеко не всем нужно.
Да и потом, для RSA сгенерил пару простых и всё, остальные параметры пары ключей элементарно вычисляются.
А для эллиптики выбрать качественную кривую довольно таки ресурсоёмкая задача. Алгоритмы для оценки кривой изрядно сложнее и медленнее алгоритмов, нужных для шифрования на этой самой эллиптике.
Потому и есть набор рекомендуемых NIST кривых, чтоб народ не парился с генерацией своих.
Здравствуйте, Acteon, Вы писали:
A>"безопасные" алгоритмы (для них пока ничего не придумали).
"Это не их заслуга, это наша недоработка"
Они не безопасные, они — малоизученые. Такие алгоритмы как правило нигде в серьёзных местах не применяют. Именно потому, что ещё не оценены вектора атак на них.
A> Понимаешь, весь криптоанализ держится на евристиках и слове "пока". А какой объективности тогда может идти речь?
Сломать можно всё. Неломаемых алгоритмов нет. Ну, кроме классического случая "одноразового блокнота".
A>Помню нам рассказывали про теорему, следствие из которой было, что можно быстро факторизовать число, при наличии оракула (внеземной разум, омг) который дает подсказки.
A>>> Есть методы их проверки "на вшивость". CC>>Для ГОСТ кстати критерии для "вшивости" S-box-ов так и не опубликованы. В отличие от... A>Это плохо. И в самом стандарте не говориться какие S-блоки правильно использовать. Но зато их можно сделать ключом. Правда если паршиво выбрать, сломаешь весь алгоритм. Я читал рекомендации к ГОСТу, там были наборы S блоков для использования.
Даже рекомендуемые блоки нельзя проверить на ослабленность.
Потому ГОСТ я лично вообще всерьёз не рассматриваю для применения в своих проектах.
Потому как неполон и плохо изучен.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>Здравствуйте, CreatorCray, Вы писали:
A>>Для примера. Алгоритмы на эпилептических кривых. Доказано отсутствие субэкспотенциальных методов перебора для этих типов алгоритмов, в отличие от обычных алгоритмов. Делает ли это обычные алгоритмы плохими (объективно)? Я не знаю (т.к. по сути они лишь помогают сократить длину ключа, что вроде и не плохо). Хорошо конечно было бы использовать их. Но как-то очень медленно мир переходит на эти алгоритмы. CC>А толку с того что ключ стал короче? Это далеко не всем нужно. CC>Да и потом, для RSA сгенерил пару простых и всё, остальные параметры пары ключей элементарно вычисляются. CC>А для эллиптики выбрать качественную кривую довольно таки ресурсоёмкая задача. Алгоритмы для оценки кривой изрядно сложнее и медленнее алгоритмов, нужных для шифрования на этой самой эллиптике. CC>Потому и есть набор рекомендуемых NIST кривых, чтоб народ не парился с генерацией своих.
Короче ключ, быстрее вычисления. Хотя я могу ошибаться, с эллиптическими кривыми я не работал. Так, из университетского курса помню. А "сгенерил пару простых" тоже задача не для детского садика. Я правда не в курсе, отказались ли в RSA от вероятностной генерации простых чисел, или это дело в вкуса. Но в Белоруссии используется метод на основе малой теоремы Ферма (генерируются точно простые числа, и это можно доказать, т.к. по стандарту требуется сохранять последовательность переменных для их генерации). Может и в России тоже, я просто не в курсе. Мы у вас украли только алгоритм шифрования.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>"безопасные" алгоритмы (для них пока ничего не придумали). CC>"Это не их заслуга, это наша недоработка" CC>Они не безопасные, они — малоизученые. Такие алгоритмы как правило нигде в серьёзных местах не применяют. Именно потому, что ещё не оценены вектора атак на них.
Я тут имел ввиду хорошо изученные алгоритмы. Их "безопасность" держится на том, что никто пока не придумал атаку. А вот представь ситуацию. В неком институте в США нашли как можно быстро сломать, допустим, RSA. Я что-то сильно сомневаюсь, что они растрезвонят об этом всему миру. Да, они начнут подготовку к переходу на новый стандарт. Но параллельно смогут получать доступ к закрытой информации все тех, кто пользуется этим алгоритмом. И даже когда перейдут на новый стандарт, официально это произойдет не по причине найденной атаки, а по любой другой выдуманной причине (у нового алгоритма циферки красивые получаются ). Возможно и КГБ давно нашло такую уязвимость в ГОСТе, но тихо молчит. Ой, у вас же ФСБ. КГБ это у нас.
A>> Понимаешь, весь криптоанализ держится на евристиках и слове "пока". А какой объективности тогда может идти речь? CC>Сломать можно всё. Неломаемых алгоритмов нет. Ну, кроме классического случая "одноразового блокнота".
Это да. Основной момент здесь затраты на злом и выгода от полученной информации.
Слабость этого алгоритма, как я уже говорил, в генераторе псевдослучайных чисел. Хотя аппаратные генераторы сейчас очень даже ничего.
A>>>> Есть методы их проверки "на вшивость". CC>>>Для ГОСТ кстати критерии для "вшивости" S-box-ов так и не опубликованы. В отличие от... A>>Это плохо. И в самом стандарте не говориться какие S-блоки правильно использовать. Но зато их можно сделать ключом. Правда если паршиво выбрать, сломаешь весь алгоритм. Я читал рекомендации к ГОСТу, там были наборы S блоков для использования. CC>Даже рекомендуемые блоки нельзя проверить на ослабленность. CC>Потому ГОСТ я лично вообще всерьёз не рассматриваю для применения в своих проектах. CC>Потому как неполон и плохо изучен.
CC>
Ну мне в этом плане особого выбора не оставляют. Государственные системы требуют стандартизированных алгоритмов. Но если бы мне нужно что-то было спрятать, я бы воспользовался целой кучей алгоритмов и их разных реализаций. Хоть это и не увеличивает криптостойкость с теоретической точки зрения (в отличие от использования случайного алгоритма). Это увеличит практическую сложность взлома. А пароль я выберу 123456.
Кстати, немного оффтопа по поводу взлома. При расследовании одного кибер преступления, нужно было открыть зашифрованный файл. Так вот, был составлен словарь перебора на основании кэшей, свопа и прочего мусора (в который мог попасть пароль из памяти). И расшифровали же. "Нет жестким дискам в защищенных системах!".
Здравствуйте, Acteon, Вы писали:
A>А "сгенерил пару простых" тоже задача не для детского садика.
С генерацией кривой математики в разы больше, причём всегда.
A> Я правда не в курсе, отказались ли в RSA от вероятностной генерации простых чисел, или это дело в вкуса.
Ну конкретно для RSA совершенно пофигу каким путём получена пара простых, лишь бы отвечали определённым критериям "надёжности".
A> Но в Белоруссии используется метод на основе малой теоремы Ферма (генерируются точно простые числа, и это можно доказать, т.к. по стандарту требуется сохранять последовательность переменных для их генерации).
Интересно, где в РБ он используется? Больше всего интересно зачем. Правительственные организации вроде как не имеют права использовать вражий алгоритм для защиты госсекретов. А у остальных, нормальных организаций, паранойя не развита в достаточной степени чтоб настолько геморроиться. Точные методы до жути непрактичны из-за черепашьей скорости вычислений на secure размерностях генерируемых простых.
A> Может и в России тоже, я просто не в курсе. Мы у вас украли только алгоритм шифрования.
У "вас" это у кого? В случае с RSA красть его надо было у Ривеста и компании. Впрочем патент на RSA уже давно протух.
Здравствуйте, Acteon, Вы писали:
A>Я тут имел ввиду хорошо изученные алгоритмы. Их "безопасность" держится на том, что никто пока не придумал атаку.
Чем лучше изучен, тем меньше вероятность что такая атака всё ещё есть.
Впрочем со временем с появлением новых идей может открыться новый класс атак, но от этого не застрахован вообще никто.
A>Да, они начнут подготовку к переходу на новый стандарт.
Это и будет тревожным звонком. Причём раз сломали они то есть вероятность того, что кто то ещё уже сломал и теперь их читает. Поэтому будет срочный отказ от использования.
A>Ой, у вас же ФСБ. КГБ это у нас.
Тыб в профиль посмотрел сначала
A>Кстати, немного оффтопа по поводу взлома. При расследовании одного кибер преступления, нужно было открыть зашифрованный файл. Так вот, был составлен словарь перебора на основании кэшей, свопа и прочего мусора (в который мог попасть пароль из памяти). И расшифровали же. "Нет жестким дискам в защищенных системах!".
Слабо верится в такие совпадения. Пруфлинк?
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>А "сгенерил пару простых" тоже задача не для детского садика. CC>С генерацией кривой математики в разы больше, причём всегда.
Не буду спорить, т.к. просто не знаю.
A>> Я правда не в курсе, отказались ли в RSA от вероятностной генерации простых чисел, или это дело в вкуса. CC>Ну конкретно для RSA совершенно пофигу каким путём получена пара простых, лишь бы отвечали определённым критериям "надёжности".
Если разводить паранойю, то критерии надежности то вероятностные. Да мы можем проверить эти простые числа с любой вероятность, но не со стопроцентной. Но это дело вкуса.
A>> Но в Белоруссии используется метод на основе малой теоремы Ферма (генерируются точно простые числа, и это можно доказать, т.к. по стандарту требуется сохранять последовательность переменных для их генерации). CC>Интересно, где в РБ он используется? Больше всего интересно зачем. Правительственные организации вроде как не имеют права использовать вражий алгоритм для защиты госсекретов.
Не совсем понял про вражеский алгоритм. Но генерация простых — это математика. И она абсолютно объективна. Какая разница, кто придумал алгоритм, если он дает действительно простые числа. И любой (ну практически) математик может это проверить. Вот было бы так в криптографии, не было бы и споров про надежность. Но увы.
А используются простые числа в РБ только для ЭЦП (модифицированная схема Эль-Гамаля с оптимизацией в виде умножения по Монтгомери). У нас по стандарту 10 уровней надежности. Сейчас считается, что 3-го достаточно для текущего развития технологий.
CC>А у остальных, нормальных организаций, паранойя не развита в достаточной степени чтоб настолько геморроиться. Точные методы до жути непрактичны из-за черепашьей скорости вычислений на secure размерностях генерируемых простых.
Да, на 10 уровень простые числа могут генерировать порядка суток. Но ведь это только один раз.
A>> Может и в России тоже, я просто не в курсе. Мы у вас украли только алгоритм шифрования. CC>У "вас" это у кого? В случае с RSA красть его надо было у Ривеста и компании. Впрочем патент на RSA уже давно протух.
А, ну если ты не из России, тогда у "вас", это у "них".
Здравствуйте, CreatorCray, Вы писали:
A>>Да, они начнут подготовку к переходу на новый стандарт. CC>Это и будет тревожным звонком. Причём раз сломали они то есть вероятность того, что кто то ещё уже сломал и теперь их читает. Поэтому будет срочный отказ от использования.
Ну срочно, то срочно. Но секретно. Смысл, что обыватель об этом узнает последним.
A>>Ой, у вас же ФСБ. КГБ это у нас. CC>Тыб в профиль посмотрел сначала
А епт, земляк. Ну форум просто русский.
A>>Кстати, немного оффтопа по поводу взлома. При расследовании одного кибер преступления, нужно было открыть зашифрованный файл. Так вот, был составлен словарь перебора на основании кэшей, свопа и прочего мусора (в который мог попасть пароль из памяти). И расшифровали же. "Нет жестким дискам в защищенных системах!". CC>Слабо верится в такие совпадения. Пруфлинк?
К сожалению нет. Это нам преподаватель рассказывал на практической криминалистике связанной с киберпреступлениями.
Здравствуйте, Acteon, Вы писали:
A>>>Кстати, немного оффтопа по поводу взлома. При расследовании одного кибер преступления, нужно было открыть зашифрованный файл. Так вот, был составлен словарь перебора на основании кэшей, свопа и прочего мусора (в который мог попасть пароль из памяти). И расшифровали же. "Нет жестким дискам в защищенных системах!". CC>>Слабо верится в такие совпадения. Пруфлинк?
A>К сожалению нет. Это нам преподаватель рассказывал на практической криминалистике связанной с киберпреступлениями.
Сомнения мои вызваны тем, что операм такие дела проще раскрывать как в том анекдоте про модифицированную атаку со словарём: берём словарь поувесистее и бьём по голове подследственного пока он не скажет пароль.
Все нормальные средства шифрования чистят критические данные после работы. Разве только что тул для шифрования был использован крайне хреновый, но тогда это просто халява а не взлом.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
CC>Сомнения мои вызваны тем, что операм такие дела проще раскрывать как в том анекдоте про модифицированную атаку со словарём: берём словарь поувесистее и бьём по голове подследственного пока он не скажет пароль.
Это всегда очень хороший и действенный метод взлома.
CC>Все нормальные средства шифрования чистят критические данные после работы. Разве только что тул для шифрования был использован крайне хреновый, но тогда это просто халява а не взлом.
Проблема не в очистке паролей. А в самом механизме буферизации и кэширования. Т.е. в момент времени, когда пароль находится в памяти, он может быть закэширован процессором. Дальше, ничего не мешает операционной системе оптимизировать память, и сбросить его в своп. Своп проходит через дисковый кеш, где тоже может задержаться пароль. Так что тут не все так просто.
Да даже если маски шоу ворвутся к тебе, во время работы программы, и ты выдернешь питание. Пароль, в течении пяти минут где-то, все еще можно будет снять с памяти.
В этом плане смарт-карты с внутренней реализацией криптографических алгоритмов на много безопаснее. Т.к. секретные ключи не покидают смарт-карту. А из взлом, дело затратное. Где-то читал оценки, 50 000$ на взлом смарт-карты.
Здравствуйте, Acteon, Вы писали:
CC>>Сомнения мои вызваны тем, что операм такие дела проще раскрывать как в том анекдоте про модифицированную атаку со словарём: берём словарь поувесистее и бьём по голове подследственного пока он не скажет пароль. A>Это всегда очень хороший и действенный метод взлома.
Терморектальная криптография круче!
CC>>Все нормальные средства шифрования чистят критические данные после работы. Разве только что тул для шифрования был использован крайне хреновый, но тогда это просто халява а не взлом.
A>Проблема не в очистке паролей. А в самом механизме буферизации и кэширования. Т.е. в момент времени, когда пароль находится в памяти, он может быть закэширован процессором.
Куда закэширован? Во внутренний кэш проца что ли?
Единственное место, куда он может попасть — своп. Но в своп не попадают те страницы, которые в данный момент активно используются.
Для особых параноиков есть nonpaged pool.
A> Дальше, ничего не мешает операционной системе оптимизировать память, и сбросить его в своп.
В своп выкидываются самые старые страницы памяти. Чтоб туда попал пароль надо постараться.
A>Своп проходит через дисковый кеш, где тоже может задержаться пароль.
Своп пишется напрямую, он не кэшируется.
A>Да даже если маски шоу ворвутся к тебе, во время работы программы, и ты выдернешь питание.
По правильному будет не выдёргивать питание а жать кнопочку, по которой будет выполняться размонтирование криптоконтейнеров и wipe из драйвера (Ring0) всех важных данных в памяти с последующими автоматическими зачистками остальных потенциально опасных мест и жёстким ребутом.
A>Пароль, в течении пяти минут где-то, все еще можно будет снять с памяти. Это не про нашу страну.
Никто не будет париться с компом если нет гарантий точно вытащить оттуда что либо.
Куда проще и эффективнее попрессовать самого человека, если уж маски-шоу.
A>В этом плане смарт-карты с внутренней реализацией криптографических алгоритмов на много безопаснее. Т.к. секретные ключи не покидают смарт-карту. А из взлом, дело затратное.
Есть такое. Но область их практического применения довольно таки ограничена.
A>Где-то читал оценки, 50 000$ на взлом смарт-карты.
В данном контексте это смешные деньги.
Здравствуйте, CreatorCray, Вы писали:
A>>Проблема не в очистке паролей. А в самом механизме буферизации и кэширования. Т.е. в момент времени, когда пароль находится в памяти, он может быть закэширован процессором. CC>Куда закэширован? Во внутренний кэш проца что ли? CC>Единственное место, куда он может попасть — своп. Но в своп не попадают те страницы, которые в данный момент активно используются. CC>Для особых параноиков есть nonpaged pool.
A>> Дальше, ничего не мешает операционной системе оптимизировать память, и сбросить его в своп. CC>В своп выкидываются самые старые страницы памяти. Чтоб туда попал пароль надо постараться.
A>>Своп проходит через дисковый кеш, где тоже может задержаться пароль. CC>Своп пишется напрямую, он не кэшируется.
На жесткий диск все пишется через его контроллер. И уже сам контроллер решает, кешировать или нет.
Я к чему вел. Что система может организовывать потоки данных таким образом, что пароль (или часть пароля), может сохраниться в системе (где-то). Компьютеры ведь разрабатывались не как криптомашины. Отсюда и все недостатки.
Просто отдаленный пример. Занимаемся распространением страшного, запрещенного порно. Перед приходом маски шоу мы почистили все картинки, перезаписали их несколько раз (одного кстати не достаточно, есть методики восстановления, но не в нашей стране). Но какой-то умник печатал одну из таких картинок на принтере. И криминалисты восстанавливают пул печати, и мы в тюрьме.
A>>Да даже если маски шоу ворвутся к тебе, во время работы программы, и ты выдернешь питание. CC>По правильному будет не выдёргивать питание а жать кнопочку, по которой будет выполняться размонтирование криптоконтейнеров и wipe из драйвера (Ring0) всех важных данных в памяти с последующими автоматическими зачистками остальных потенциально опасных мест и жёстким ребутом.
Ну тут уж как с ориентируешься. Естественно правильно еще и нажать волшебную кнопку, и мощнейшее электромагнитное излучение уничтожит все данные на жестком диске. А компьютер расплавит в раскаленной лаве.
A>>Пароль, в течении пяти минут где-то, все еще можно будет снять с памяти. CC> Это не про нашу страну. CC>Никто не будет париться с компом если нет гарантий точно вытащить оттуда что либо. CC>Куда проще и эффективнее попрессовать самого человека, если уж маски-шоу.
Много чего не про нашу страну. У нас быть киберпреступникам с минимальной грамотностью пока безопасно. Нет крутых лабораторий, которые могли бы с твоим компом фокусы провернуть.
A>>Где-то читал оценки, 50 000$ на взлом смарт-карты. CC>В данном контексте это смешные деньги.
Ну если человек украл скажем 10 тысяч, и что бы это доказать, надо взломать смарт-карту, тут подумают.
). Возможно и КГБ давно нашло такую уязвимость в ГОСТе, но тихо молчит. Ой, у вас же ФСБ. КГБ это у нас. 
Но если бы мне нужно что-то было спрятать, я бы воспользовался целой кучей алгоритмов и их разных реализаций. Хоть это и не увеличивает криптостойкость с теоретической точки зрения (в отличие от использования случайного алгоритма). Это увеличит практическую сложность взлома. А пароль я выберу 123456. 
