Здравствуйте, edx67, Вы писали:
E>>>Подскажите легкий для CPU и надежный аглогитм криптографии.
_>>опиши задачу, что шифровать, для чего, кто и когда будет расшифровывать, объемы данных и т.п.
E>>>Насколько я понимаю легкий может быть только симметричный алгоритм. E>>>Желательно поточный алгоритм, т.к. я думаю он более надежен чем блочный.
_>>это вторичные вопросы
E>Передача файлов например, причем в локальной сети скорость может быть до 100 Мбит/с E>Блочный не хочеться использовать, т.к. придеться выравнивать до границы блока — что не хочеться. E>И потом блочный вроде как легче взломать.
На самом деле, блочным вам тут очень даже подходит. Ведь данные по сети передаются пакетами.
У обычного блочного алгоритма есть один минус, одинаковые блоки представляются одинаковыми шифртекстами. Но это решается сцеплением блоков. Но это также и его плюс. При выпадении одного блока, все остальные все равно можно будет расшифровать.
Что могу порекомендовать в целом. Не использовать старые иностранные алгоритмы. Т.к. они в больше части были разработаны с учетом аппаратной реализации. И на процессорах они работают медленно. В отличие от советского алгоритма. Который был разработан как будто специально под 32-х битные процессоры.
Здравствуйте, edx67, Вы писали:
E>Подскажите легкий для CPU и надежный аглогитм криптографии. E>Насколько я понимаю легкий может быть только симметричный алгоритм. E>Желательно поточный алгоритм, т.к. я думаю он более надежен чем блочный.
Если кто-то готов предоставить мне готовое решение на с++ за разумные деньги, я могу заплатить.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>А что криптоанализ? По большому счету, это проверка алгоритмов на уязвимость к определенным известным типам атак. Вы же не беретесь утверждать, что завтра не появится атака, которая позволит взломать какой нибудь шифр. CC>Зато она может сказать: вот этот шифр можно сломать при таких вот условиях.
Т.е. весь криптоанализ может поделить все алгоритмы на два множества: алгоритмы с потенциальными дырами (для них придумали условия их ослабления), и "безопасные" алгоритмы (для них пока ничего не придумали). Понимаешь, весь криптоанализ держится на евристиках и слове "пока". А какой объективности тогда может идти речь? Помню нам рассказывали про теорему, следствие из которой было, что можно быстро факторизовать число, при наличии оракула (внеземной разум, омг) который дает подсказки. RSA в утиль!
A>>Объективно, абсолютной стойкостью обладают только Шенноновские криптоситемы (по Шеннону), при условии, что вы сможете сгенерировать случайную последовательность (не помню уже тервер, но она должна быть равномерно распределенной и абсолютно независимой). Ученые до сих пор спорят, есть ли во вселенной абсолютная случайность. CC>Т.е. тоже выходит не существует в реальности?
Есть два лагеря, одни верят в случайность (и как следствие свободу воли), другие нет. Лично я не верю.
A>>Надежность блочных криптосистем держится на доверии к S блокам. CC>Не все блочные построены на S-boxes.
Это я для примера. Не буду же я перечислять все основы алгоритмов.
A>> Есть методы их проверки "на вшивость". CC>Для ГОСТ кстати критерии для "вшивости" S-box-ов так и не опубликованы. В отличие от...
Это плохо. И в самом стандарте не говориться какие S-блоки правильно использовать. Но зато их можно сделать ключом. Правда если паршиво выбрать, сломаешь весь алгоритм. Я читал рекомендации к ГОСТу, там были наборы S блоков для использования.
A>> Но нет теоремы, которая бы утверждала, что при определенный условиях, вот этот S блок будет самым лучшим. CC>Зато есть критерии по которым блок можно выбраковать.
Опять таки, мы отбрасываем плохое. Хорошо, есть у нас 10 S-блоков. 8 мы выкинули, как плохие. Как объективно сказать, который из двух оставшихся лучше? А завтра придумают еще один критерий, и эти два блока тоже окажутся плохими. Я вот о чем речь веду.
A>>Т.е. нет теорем, заявляющих что этот, или иной алгоритм невозможно (или с определенной степенью сложности) взломать. CC>Есть оценки услових, при которых алгоритм можно взломать. И сравнение этих оценок даёт объективное обоснование считать конкретный алгоритм на каком то этапе более надёжным чем остальные.
A>>А значит, нельзя сказать объективно, что один алгоритм лучше другого. CC>Дык точно так же нельзя сказать объективно что один алгоритм быстрее другого. CC>Скорость работы алгоритма зависит от условий в которых он выполняется.
A>>Исключения, алгоритмы которые уже взломали. Они естественно хуже всех. CC>Они не хуже, они просто уже непригодны к использованию.
К чему я все веду. Что на основании криптоанализа и "уважаемости" криптоаналитика можно считать субъективно, что на сегодняшний момент вот эти (тут список алгоритмов) алгоритмы хорошие. Но какой из них лучше, вам никто не скажет. И вы не докажете (а ведь именно наличие доказательства отделяет субъективное от объективного), что один из этих хороших алгоритмов лучше другого.
Предположим, завтра придумают супер атаку. И окажется что только один алгоритм ей не подвержен. Да, он будет лучше всех на данный момент. Но объективно лучшим во все времена он от этого не станет.
В самой природе криптографии лежат предположения, и одно только это, делает ее субъективной. Надеюсь с этим вы спорить не станете.
Здравствуйте, Acteon, Вы писали:
A>Но это также и его плюс. При выпадении одного блока, все остальные все равно можно будет расшифровать.
Это недостаток. Представь себе простейший случай: картинка в bitmap-формате, каждый блок — небольшой прямоугольник из пикселей. Злоумышленник не может прочесть данные, но он может избирательно испортить блоки так, что поверх картинки мусорными прямоугольниками будет что-то написано, а получатель подумает, что так и должно быть.
Подскажите легкий для CPU и надежный аглогитм криптографии.
Насколько я понимаю легкий может быть только симметричный алгоритм.
Желательно поточный алгоритм, т.к. я думаю он более надежен чем блочный.
Здравствуйте, edx67, Вы писали:
E>Подскажите легкий для CPU и надежный аглогитм криптографии. E>Насколько я понимаю легкий может быть только симметричный алгоритм. E>Желательно поточный алгоритм, т.к. я думаю он более надежен чем блочный.
Самый простой и легкий — когда длина ключа равна длине сообщения
Здравствуйте, edx67, Вы писали:
E>Подскажите легкий для CPU и надежный аглогитм криптографии. E>Насколько я понимаю легкий может быть только симметричный алгоритм. E>Желательно поточный алгоритм, т.к. я думаю он более надежен чем блочный.
Алгоритм для криптографии... Все равно, что подсказать машину, что бы ездить. Но я попробую. Я так понял, тебя интересует шифрование. Оно есть двух видов: симметричное и асимметричное. Симметричное работает на порядок быстрее асимметричного ввиду алгоритмической сложности последнего (очень тяжелые вычисления над полями).
Легкий и быстрый алгоритм шифрования, родной, советский. Простой и надежный как и АК. ГОСТ 28147-89. Есть все модификации: поточный, с обратной связью, выработка иммитовставок (что-то на подобие ЭЦП). Есть готовые реализации. Пользуйся на здоровье.
Здравствуйте, Turyst, Вы писали:
T>Здравствуйте, edx67, Вы писали:
E>>Подскажите легкий для CPU и надежный аглогитм криптографии. E>>Насколько я понимаю легкий может быть только симметричный алгоритм. E>>Желательно поточный алгоритм, т.к. я думаю он более надежен чем блочный.
T>Самый простой и легкий — когда длина ключа равна длине сообщения
Совершенная криптосистема по Шеннону. Только и у нее есть слабое место, генератор случайного ключа. Т.к. абсолютную случайность... ну ученые до сих пор спорят, существует ли она. Плюс проблема передачи ключа получатели шифртекста.
A>Алгоритм для криптографии... Все равно, что подсказать машину, что бы ездить. Но я попробую. Я так понял, тебя интересует шифрование. Оно есть двух видов: симметричное и асимметричное. Симметричное работает на порядок быстрее асимметричного ввиду алгоритмической сложности последнего (очень тяжелые вычисления над полями).
A>Легкий и быстрый алгоритм шифрования, родной, советский. Простой и надежный как и АК. ГОСТ 28147-89. Есть все модификации: поточный, с обратной связью, выработка иммитовставок (что-то на подобие ЭЦП). Есть готовые реализации. Пользуйся на здоровье.
Здравствуйте, edx67, Вы писали:
E>Подскажите легкий для CPU и надежный аглогитм криптографии.
опиши задачу, что шифровать, для чего, кто и когда будет расшифровывать, объемы данных и т.п.
E>Насколько я понимаю легкий может быть только симметричный алгоритм. E>Желательно поточный алгоритм, т.к. я думаю он более надежен чем блочный.
E>>Подскажите легкий для CPU и надежный аглогитм криптографии.
_>опиши задачу, что шифровать, для чего, кто и когда будет расшифровывать, объемы данных и т.п.
E>>Насколько я понимаю легкий может быть только симметричный алгоритм. E>>Желательно поточный алгоритм, т.к. я думаю он более надежен чем блочный.
_>это вторичные вопросы
Передача файлов например, причем в локальной сети скорость может быть до 100 Мбит/с
Блочный не хочеться использовать, т.к. придеться выравнивать до границы блока — что не хочеться.
И потом блочный вроде как легче взломать.
Здравствуйте, edx67, Вы писали:
A>>Алгоритм для криптографии... Все равно, что подсказать машину, что бы ездить. Но я попробую. Я так понял, тебя интересует шифрование. Оно есть двух видов: симметричное и асимметричное. Симметричное работает на порядок быстрее асимметричного ввиду алгоритмической сложности последнего (очень тяжелые вычисления над полями).
A>>Легкий и быстрый алгоритм шифрования, родной, советский. Простой и надежный как и АК. ГОСТ 28147-89. Есть все модификации: поточный, с обратной связью, выработка иммитовставок (что-то на подобие ЭЦП). Есть готовые реализации. Пользуйся на здоровье.
E>А что вы думаете по поводу RC4 или SEAL ?
Википедия вам про него все расскажет. Но в целом он признан устаревшим.
SEAL — никогда не использовал. Возможно у вас будут проблемы с получением его реализации. Т.к. он защищен патентами.
Но для чего вам шифрование надо? Отсюда будут и рекомендации.
Здравствуйте, edx67, Вы писали:
E>Передача файлов например, причем в локальной сети скорость может быть до 100 Мбит/с
Ну, в плане простоты реализации и скорости работы мне больше всех нравится RC6
E>Блочный не хочеться использовать, т.к. придеться выравнивать до границы блока — что не хочеться.
Тебе все равно придется использовать какой либо из режимов (http://en.wikipedia.org/wiki/Block_cipher_modes_of_operation)
Например тот же CFB позволяет использовать блочный шифр как потоковый.
E>И потом блочный вроде как легче взломать.
В срочном порядке ознакамливайся с теорией.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, edx67, Вы писали:
E>>Блочный не хочеться использовать, т.к. придеться выравнивать до границы блока — что не хочеться. CC>Тебе все равно придется использовать какой либо из режимов (http://en.wikipedia.org/wiki/Block_cipher_modes_of_operation) CC>Например тот же CFB позволяет использовать блочный шифр как потоковый.
Не обязательно. Есть поточные "от природы" алгоритмы. Тот же RC4. Если описать принцип их работы в двух словах, они генерируют ключ равный длине сообщения, а дальше ксорят с сообщением. Вся соль алгоритма в генерации бесконечного ключа, из секретного ключа.
E>>И потом блочный вроде как легче взломать. CC>В срочном порядке ознакамливайся с теорией.
E>>Передача файлов например, причем в локальной сети скорость может быть до 100 Мбит/с E>>Блочный не хочеться использовать, т.к. придеться выравнивать до границы блока — что не хочеться. E>>И потом блочный вроде как легче взломать.
A>На самом деле, блочным вам тут очень даже подходит. Ведь данные по сети передаются пакетами.
A>У обычного блочного алгоритма есть один минус, одинаковые блоки представляются одинаковыми шифртекстами. Но это решается сцеплением блоков. Но это также и его плюс. При выпадении одного блока, все остальные все равно можно будет расшифровать.
Выпадений не будет, т.к. используется TCP
A>Что могу порекомендовать в целом. Не использовать старые иностранные алгоритмы. Т.к. они в больше части были разработаны с учетом аппаратной реализации. И на процессорах они работают медленно. В отличие от советского алгоритма. Который был разработан как будто специально под 32-х битные процессоры.
Здравствуйте, edx67, Вы писали:
E>Здравствуйте, edx67, Вы писали:
E>>Подскажите легкий для CPU и надежный аглогитм криптографии. E>>Насколько я понимаю легкий может быть только симметричный алгоритм. E>>Желательно поточный алгоритм, т.к. я думаю он более надежен чем блочный.
E>Если кто-то готов предоставить мне готовое решение на с++ за разумные деньги, я могу заплатить.
Реализаций ГОСТа полно на просторах сети. Даже с ассемблерными вставками. Для иностранных алгоритмов можно использовать OpenSSL или CryptoAPI, если по Windows. А главное, все абсолютно бесплатно. Правда придется разбираться с документацией.
Здравствуйте, Acteon, Вы писали:
A>Не обязательно. Есть поточные "от природы" алгоритмы. Тот же RC4. Если описать принцип их работы в двух словах, они генерируют ключ равный длине сообщения, а дальше ксорят с сообщением. Вся соль алгоритма в генерации бесконечного ключа, из секретного ключа.
Камрад, мне не надо рассказывать как работает RC4, я в теме.
Я вообще то говорил о том, что даже при использовании блочных шифров можно обойтись без выравнивания до границы блока.
CC>>В срочном порядке ознакамливайся с теорией. A>Это никогда не помешает.
Я б даже сказал что базовые знания обязательны для того, чтоб правильно использовать готовые алгоритмы, не наделав при этом ошибок, которые могут свести на нет все потуги по прикручиванию шифрования.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>Не обязательно. Есть поточные "от природы" алгоритмы. Тот же RC4. Если описать принцип их работы в двух словах, они генерируют ключ равный длине сообщения, а дальше ксорят с сообщением. Вся соль алгоритма в генерации бесконечного ключа, из секретного ключа.
CC>Камрад, мне не надо рассказывать как работает RC4, я в теме. CC>Я вообще то говорил о том, что даже при использовании блочных шифров можно обойтись без выравнивания до границы блока.
Ну значит edx67 почитает, и проникнется духом поточных шифров.
CC>>>В срочном порядке ознакамливайся с теорией. A>>Это никогда не помешает. CC>Я б даже сказал что базовые знания обязательны для того, чтоб правильно использовать готовые алгоритмы, не наделав при этом ошибок, которые могут свести на нет все потуги по прикручиванию шифрования.
К сожалению, в большинстве случаев, даже этих обязательных базовых знаний нет. Сколько раз мне говорили: "Мы хотим защитить вот это файл, зашифруй нам его". При этом даже понятия не имели, а где же будет потом храниться ключ шифрования (зашит в коде). Вот где защита.
Здравствуйте, Acteon, Вы писали:
A>Что могу порекомендовать в целом. Не использовать старые иностранные алгоритмы.
Не согласен со словом "иностранные". Чем они объективно хуже?
A>Т.к. они в больше части были разработаны с учетом аппаратной реализации. И на процессорах они работают медленно.
Это не так. К примеру кандидаты на AES разрабатывались с учётом эффективности как аппаратной так и программной реализации.
A> В отличие от советского алгоритма. Который был разработан как будто специально под 32-х битные процессоры.
Он построен на сети Фейстеля. Которая кстати используется в куче других шифров.
Впрочем это всё измеряется.
По твоему выходит что к примеру иностранные Twofish и RC6 есть гуано а построенный на тех же принципах старый ГОСТ есть конфетка?
Здравствуйте, edx67, Вы писали:
E>Если кто-то готов предоставить мне готовое решение на с++ за разумные деньги, я могу заплатить.
С тебя пиво: http://rsdn.ru/forum/alg/2758606.aspx
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>Что могу порекомендовать в целом. Не использовать старые иностранные алгоритмы. CC>Не согласен со словом "иностранные". Чем они объективно хуже?
A>>Т.к. они в больше части были разработаны с учетом аппаратной реализации. И на процессорах они работают медленно. CC>Это не так. К примеру кандидаты на AES разрабатывались с учётом эффективности как аппаратной так и программной реализации.
Я имел ввиду реально старые, такие как DES. А что, используют же до сих пор хеш MD5 который уже не выдерживает никакой критики.
A>> В отличие от советского алгоритма. Который был разработан как будто специально под 32-х битные процессоры. CC>Он построен на сети Фейстеля. Которая кстати используется в куче других шифров. CC>Впрочем это всё измеряется.
CC>По твоему выходит что к примеру иностранные Twofish и RC6 есть гуано а построенный на тех же принципах старый ГОСТ есть конфетка?
Нет. Вообще все зависит от целей. Для себя можно использовать все что хочешь. Тут придется верить криптографам, что это алгоритм хорош, а это не очень. Вся криптография держится на вере. Сказать, что этот алгоритм объективно лучше другого, можно только об объективных параметрах. Скорость работы, требуемая память, и т.п. Надежность — объективным параметром не является.
Вообще, со своего опыта могу сказать, что хватит даже элементарных алгоритмов. Т.к. не это сейчас узкое место, а человек. Управление ключами — вот реальная головная боль.
Здравствуйте, Acteon, Вы писали:
A>Нет. Вообще все зависит от целей. Для себя можно использовать все что хочешь. Тут придется верить криптографам, что это алгоритм хорош, а это не очень. Вся криптография держится на вере.
Вай!
А как же криптоанализ?
A> Сказать, что этот алгоритм объективно лучше другого, можно только об объективных параметрах. A> Скорость работы, требуемая память, и т.п. Надежность — объективным параметром не является.
Просто нет слов.
Может я неправильно тебя понял, но ты вот тут утверждаешь что надёжность шифра объективно оценить нельзя, так?
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>Нет. Вообще все зависит от целей. Для себя можно использовать все что хочешь. Тут придется верить криптографам, что это алгоритм хорош, а это не очень. Вся криптография держится на вере. CC>Вай! CC>А как же криптоанализ?
А что криптоанализ? По большому счету, это проверка алгоритмов на уязвимость к определенным известным типам атак. Вы же не беретесь утверждать, что завтра не появится атака, которая позволит взломать какой нибудь шифр.
A>> Сказать, что этот алгоритм объективно лучше другого, можно только об объективных параметрах. A>> Скорость работы, требуемая память, и т.п. Надежность — объективным параметром не является. CC>Просто нет слов. CC>Может я неправильно тебя понял, но ты вот тут утверждаешь что надёжность шифра объективно оценить нельзя, так?
Именно так. Объективно, абсолютной стойкостью обладают только Шенноновские криптоситемы (по Шеннону), при условии, что вы сможете сгенерировать случайную последовательность (не помню уже тервер, но она должна быть равномерно распределенной и абсолютно независимой). Ученые до сих пор спорят, есть ли во вселенной абсолютная случайность.
Это если абстрактно. А теперь приземленно. Надежность блочных криптосистем держится на доверии к S блокам. Есть методы их проверки "на вшивость". Но нет теоремы, которая бы утверждала, что при определенный условиях, вот этот S блок будет самым лучшим. Дальше хеш функции. Односторонних функций не придумали. Поэтому используют трудно обратимые функции. Трудно, не значит невозможно. Просто на данном этапе не придумали как это сделать. ЭЦП — держится на том, что сейчас не умеют быстро факторизовать числа, и на сложности обращения логарифмирования в полях. Но опять, ключевые слова "сложность", "сейчас не умеют". Т.е. нет теорем, заявляющих что этот, или иной алгоритм невозможно (или с определенной степенью сложности) взломать. А значит, нельзя сказать объективно, что один алгоритм лучше другого. Исключения, алгоритмы которые уже взломали. Они естественно хуже всех.
Вот как то так. Но, криптография, пожалуй самый надежный способ защиты информации на сегодняшний день. Лучше пока не придумали.
Здравствуйте, Acteon, Вы писали:
A>А что криптоанализ? По большому счету, это проверка алгоритмов на уязвимость к определенным известным типам атак. Вы же не беретесь утверждать, что завтра не появится атака, которая позволит взломать какой нибудь шифр.
Зато она может сказать: вот этот шифр можно сломать при таких вот условиях.
A>Объективно, абсолютной стойкостью обладают только Шенноновские криптоситемы (по Шеннону), при условии, что вы сможете сгенерировать случайную последовательность (не помню уже тервер, но она должна быть равномерно распределенной и абсолютно независимой). Ученые до сих пор спорят, есть ли во вселенной абсолютная случайность.
Т.е. тоже выходит не существует в реальности?
A>Надежность блочных криптосистем держится на доверии к S блокам.
Не все блочные построены на S-boxes.
A> Есть методы их проверки "на вшивость".
Для ГОСТ кстати критерии для "вшивости" S-box-ов так и не опубликованы. В отличие от...
A> Но нет теоремы, которая бы утверждала, что при определенный условиях, вот этот S блок будет самым лучшим.
Зато есть критерии по которым блок можно выбраковать.
A>Т.е. нет теорем, заявляющих что этот, или иной алгоритм невозможно (или с определенной степенью сложности) взломать.
Есть оценки услових, при которых алгоритм можно взломать. И сравнение этих оценок даёт объективное обоснование считать конкретный алгоритм на каком то этапе более надёжным чем остальные.
A>А значит, нельзя сказать объективно, что один алгоритм лучше другого.
Дык точно так же нельзя сказать объективно что один алгоритм быстрее другого.
Скорость работы алгоритма зависит от условий в которых он выполняется.
A>Исключения, алгоритмы которые уже взломали. Они естественно хуже всех.
Они не хуже, они просто уже непригодны к использованию.
Для примера. Алгоритмы на эпилептических кривых. Доказано отсутствие субэкспотенциальных методов перебора для этих типов алгоритмов, в отличие от обычных алгоритмов. Делает ли это обычные алгоритмы плохими (объективно)? Я не знаю (т.к. по сути они лишь помогают сократить длину ключа, что вроде и не плохо). Хорошо конечно было бы использовать их. Но как-то очень медленно мир переходит на эти алгоритмы.
Здравствуйте, 0xDEADBEEF, Вы писали:
DEA>Здравствуйте, edx67, Вы писали:
E>>Если кто-то готов предоставить мне готовое решение на с++ за разумные деньги, я могу заплатить. DEA>С тебя пиво: http://rsdn.ru/forum/alg/2758606.aspx
E>>Блочный не хочеться использовать, т.к. придеться выравнивать до границы блока — что не хочеться. CC>Тебе все равно придется использовать какой либо из режимов (http://en.wikipedia.org/wiki/Block_cipher_modes_of_operation) CC>Например тот же CFB позволяет использовать блочный шифр как потоковый.
Здравствуйте, edx67, Вы писали:
E>>>Блочный не хочеться использовать, т.к. придеться выравнивать до границы блока — что не хочеться. CC>>Тебе все равно придется использовать какой либо из режимов (http://en.wikipedia.org/wiki/Block_cipher_modes_of_operation) CC>>Например тот же CFB позволяет использовать блочный шифр как потоковый.
E>Что лучше CFB или OFB ?
Там ж блок схемы нарисованы и расписаны свойства все. Выбирай исходя из требований задачи.
Если ты хочешь просто получить потоковый шифр из блочного то используй OFB. Она просто генерит с помощью блочного шифра некую последовательность, которая XORится с шифруемым сообщением. Т.е. чуть ли не потоковый шифр в чистом виде. Расшифровка делается точно так же.
E>Как заполнять Initialization vector ?
Это просто какое то начальное значение от которого стартует генерация последовательности.
Здравствуйте, Acteon, Вы писали:
A>Здравствуйте, CreatorCray, Вы писали:
A>Для примера. Алгоритмы на эпилептических кривых. Доказано отсутствие субэкспотенциальных методов перебора для этих типов алгоритмов, в отличие от обычных алгоритмов. Делает ли это обычные алгоритмы плохими (объективно)? Я не знаю (т.к. по сути они лишь помогают сократить длину ключа, что вроде и не плохо). Хорошо конечно было бы использовать их. Но как-то очень медленно мир переходит на эти алгоритмы.
А толку с того что ключ стал короче? Это далеко не всем нужно.
Да и потом, для RSA сгенерил пару простых и всё, остальные параметры пары ключей элементарно вычисляются.
А для эллиптики выбрать качественную кривую довольно таки ресурсоёмкая задача. Алгоритмы для оценки кривой изрядно сложнее и медленнее алгоритмов, нужных для шифрования на этой самой эллиптике.
Потому и есть набор рекомендуемых NIST кривых, чтоб народ не парился с генерацией своих.
Здравствуйте, Acteon, Вы писали:
A>"безопасные" алгоритмы (для них пока ничего не придумали).
"Это не их заслуга, это наша недоработка"
Они не безопасные, они — малоизученые. Такие алгоритмы как правило нигде в серьёзных местах не применяют. Именно потому, что ещё не оценены вектора атак на них.
A> Понимаешь, весь криптоанализ держится на евристиках и слове "пока". А какой объективности тогда может идти речь?
Сломать можно всё. Неломаемых алгоритмов нет. Ну, кроме классического случая "одноразового блокнота".
A>Помню нам рассказывали про теорему, следствие из которой было, что можно быстро факторизовать число, при наличии оракула (внеземной разум, омг) который дает подсказки.
A>>> Есть методы их проверки "на вшивость". CC>>Для ГОСТ кстати критерии для "вшивости" S-box-ов так и не опубликованы. В отличие от... A>Это плохо. И в самом стандарте не говориться какие S-блоки правильно использовать. Но зато их можно сделать ключом. Правда если паршиво выбрать, сломаешь весь алгоритм. Я читал рекомендации к ГОСТу, там были наборы S блоков для использования.
Даже рекомендуемые блоки нельзя проверить на ослабленность.
Потому ГОСТ я лично вообще всерьёз не рассматриваю для применения в своих проектах.
Потому как неполон и плохо изучен.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>Здравствуйте, CreatorCray, Вы писали:
A>>Для примера. Алгоритмы на эпилептических кривых. Доказано отсутствие субэкспотенциальных методов перебора для этих типов алгоритмов, в отличие от обычных алгоритмов. Делает ли это обычные алгоритмы плохими (объективно)? Я не знаю (т.к. по сути они лишь помогают сократить длину ключа, что вроде и не плохо). Хорошо конечно было бы использовать их. Но как-то очень медленно мир переходит на эти алгоритмы. CC>А толку с того что ключ стал короче? Это далеко не всем нужно. CC>Да и потом, для RSA сгенерил пару простых и всё, остальные параметры пары ключей элементарно вычисляются. CC>А для эллиптики выбрать качественную кривую довольно таки ресурсоёмкая задача. Алгоритмы для оценки кривой изрядно сложнее и медленнее алгоритмов, нужных для шифрования на этой самой эллиптике. CC>Потому и есть набор рекомендуемых NIST кривых, чтоб народ не парился с генерацией своих.
Короче ключ, быстрее вычисления. Хотя я могу ошибаться, с эллиптическими кривыми я не работал. Так, из университетского курса помню. А "сгенерил пару простых" тоже задача не для детского садика. Я правда не в курсе, отказались ли в RSA от вероятностной генерации простых чисел, или это дело в вкуса. Но в Белоруссии используется метод на основе малой теоремы Ферма (генерируются точно простые числа, и это можно доказать, т.к. по стандарту требуется сохранять последовательность переменных для их генерации). Может и в России тоже, я просто не в курсе. Мы у вас украли только алгоритм шифрования.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>"безопасные" алгоритмы (для них пока ничего не придумали). CC>"Это не их заслуга, это наша недоработка" CC>Они не безопасные, они — малоизученые. Такие алгоритмы как правило нигде в серьёзных местах не применяют. Именно потому, что ещё не оценены вектора атак на них.
Я тут имел ввиду хорошо изученные алгоритмы. Их "безопасность" держится на том, что никто пока не придумал атаку. А вот представь ситуацию. В неком институте в США нашли как можно быстро сломать, допустим, RSA. Я что-то сильно сомневаюсь, что они растрезвонят об этом всему миру. Да, они начнут подготовку к переходу на новый стандарт. Но параллельно смогут получать доступ к закрытой информации все тех, кто пользуется этим алгоритмом. И даже когда перейдут на новый стандарт, официально это произойдет не по причине найденной атаки, а по любой другой выдуманной причине (у нового алгоритма циферки красивые получаются ). Возможно и КГБ давно нашло такую уязвимость в ГОСТе, но тихо молчит. Ой, у вас же ФСБ. КГБ это у нас.
A>> Понимаешь, весь криптоанализ держится на евристиках и слове "пока". А какой объективности тогда может идти речь? CC>Сломать можно всё. Неломаемых алгоритмов нет. Ну, кроме классического случая "одноразового блокнота".
Это да. Основной момент здесь затраты на злом и выгода от полученной информации.
Слабость этого алгоритма, как я уже говорил, в генераторе псевдослучайных чисел. Хотя аппаратные генераторы сейчас очень даже ничего.
A>>>> Есть методы их проверки "на вшивость". CC>>>Для ГОСТ кстати критерии для "вшивости" S-box-ов так и не опубликованы. В отличие от... A>>Это плохо. И в самом стандарте не говориться какие S-блоки правильно использовать. Но зато их можно сделать ключом. Правда если паршиво выбрать, сломаешь весь алгоритм. Я читал рекомендации к ГОСТу, там были наборы S блоков для использования. CC>Даже рекомендуемые блоки нельзя проверить на ослабленность. CC>Потому ГОСТ я лично вообще всерьёз не рассматриваю для применения в своих проектах. CC>Потому как неполон и плохо изучен.
CC>
Ну мне в этом плане особого выбора не оставляют. Государственные системы требуют стандартизированных алгоритмов. Но если бы мне нужно что-то было спрятать, я бы воспользовался целой кучей алгоритмов и их разных реализаций. Хоть это и не увеличивает криптостойкость с теоретической точки зрения (в отличие от использования случайного алгоритма). Это увеличит практическую сложность взлома. А пароль я выберу 123456.
Кстати, немного оффтопа по поводу взлома. При расследовании одного кибер преступления, нужно было открыть зашифрованный файл. Так вот, был составлен словарь перебора на основании кэшей, свопа и прочего мусора (в который мог попасть пароль из памяти). И расшифровали же. "Нет жестким дискам в защищенных системах!".
Здравствуйте, Acteon, Вы писали:
A>А "сгенерил пару простых" тоже задача не для детского садика.
С генерацией кривой математики в разы больше, причём всегда.
A> Я правда не в курсе, отказались ли в RSA от вероятностной генерации простых чисел, или это дело в вкуса.
Ну конкретно для RSA совершенно пофигу каким путём получена пара простых, лишь бы отвечали определённым критериям "надёжности".
A> Но в Белоруссии используется метод на основе малой теоремы Ферма (генерируются точно простые числа, и это можно доказать, т.к. по стандарту требуется сохранять последовательность переменных для их генерации).
Интересно, где в РБ он используется? Больше всего интересно зачем. Правительственные организации вроде как не имеют права использовать вражий алгоритм для защиты госсекретов. А у остальных, нормальных организаций, паранойя не развита в достаточной степени чтоб настолько геморроиться. Точные методы до жути непрактичны из-за черепашьей скорости вычислений на secure размерностях генерируемых простых.
A> Может и в России тоже, я просто не в курсе. Мы у вас украли только алгоритм шифрования.
У "вас" это у кого? В случае с RSA красть его надо было у Ривеста и компании. Впрочем патент на RSA уже давно протух.
Здравствуйте, Acteon, Вы писали:
A>Я тут имел ввиду хорошо изученные алгоритмы. Их "безопасность" держится на том, что никто пока не придумал атаку.
Чем лучше изучен, тем меньше вероятность что такая атака всё ещё есть.
Впрочем со временем с появлением новых идей может открыться новый класс атак, но от этого не застрахован вообще никто.
A>Да, они начнут подготовку к переходу на новый стандарт.
Это и будет тревожным звонком. Причём раз сломали они то есть вероятность того, что кто то ещё уже сломал и теперь их читает. Поэтому будет срочный отказ от использования.
A>Ой, у вас же ФСБ. КГБ это у нас.
Тыб в профиль посмотрел сначала
A>Кстати, немного оффтопа по поводу взлома. При расследовании одного кибер преступления, нужно было открыть зашифрованный файл. Так вот, был составлен словарь перебора на основании кэшей, свопа и прочего мусора (в который мог попасть пароль из памяти). И расшифровали же. "Нет жестким дискам в защищенных системах!".
Слабо верится в такие совпадения. Пруфлинк?
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>А "сгенерил пару простых" тоже задача не для детского садика. CC>С генерацией кривой математики в разы больше, причём всегда.
Не буду спорить, т.к. просто не знаю.
A>> Я правда не в курсе, отказались ли в RSA от вероятностной генерации простых чисел, или это дело в вкуса. CC>Ну конкретно для RSA совершенно пофигу каким путём получена пара простых, лишь бы отвечали определённым критериям "надёжности".
Если разводить паранойю, то критерии надежности то вероятностные. Да мы можем проверить эти простые числа с любой вероятность, но не со стопроцентной. Но это дело вкуса.
A>> Но в Белоруссии используется метод на основе малой теоремы Ферма (генерируются точно простые числа, и это можно доказать, т.к. по стандарту требуется сохранять последовательность переменных для их генерации). CC>Интересно, где в РБ он используется? Больше всего интересно зачем. Правительственные организации вроде как не имеют права использовать вражий алгоритм для защиты госсекретов.
Не совсем понял про вражеский алгоритм. Но генерация простых — это математика. И она абсолютно объективна. Какая разница, кто придумал алгоритм, если он дает действительно простые числа. И любой (ну практически) математик может это проверить. Вот было бы так в криптографии, не было бы и споров про надежность. Но увы.
А используются простые числа в РБ только для ЭЦП (модифицированная схема Эль-Гамаля с оптимизацией в виде умножения по Монтгомери). У нас по стандарту 10 уровней надежности. Сейчас считается, что 3-го достаточно для текущего развития технологий.
CC>А у остальных, нормальных организаций, паранойя не развита в достаточной степени чтоб настолько геморроиться. Точные методы до жути непрактичны из-за черепашьей скорости вычислений на secure размерностях генерируемых простых.
Да, на 10 уровень простые числа могут генерировать порядка суток. Но ведь это только один раз.
A>> Может и в России тоже, я просто не в курсе. Мы у вас украли только алгоритм шифрования. CC>У "вас" это у кого? В случае с RSA красть его надо было у Ривеста и компании. Впрочем патент на RSA уже давно протух.
А, ну если ты не из России, тогда у "вас", это у "них".
Здравствуйте, CreatorCray, Вы писали:
A>>Да, они начнут подготовку к переходу на новый стандарт. CC>Это и будет тревожным звонком. Причём раз сломали они то есть вероятность того, что кто то ещё уже сломал и теперь их читает. Поэтому будет срочный отказ от использования.
Ну срочно, то срочно. Но секретно. Смысл, что обыватель об этом узнает последним.
A>>Ой, у вас же ФСБ. КГБ это у нас. CC>Тыб в профиль посмотрел сначала
А епт, земляк. Ну форум просто русский.
A>>Кстати, немного оффтопа по поводу взлома. При расследовании одного кибер преступления, нужно было открыть зашифрованный файл. Так вот, был составлен словарь перебора на основании кэшей, свопа и прочего мусора (в который мог попасть пароль из памяти). И расшифровали же. "Нет жестким дискам в защищенных системах!". CC>Слабо верится в такие совпадения. Пруфлинк?
К сожалению нет. Это нам преподаватель рассказывал на практической криминалистике связанной с киберпреступлениями.
Здравствуйте, Acteon, Вы писали:
A>>>Кстати, немного оффтопа по поводу взлома. При расследовании одного кибер преступления, нужно было открыть зашифрованный файл. Так вот, был составлен словарь перебора на основании кэшей, свопа и прочего мусора (в который мог попасть пароль из памяти). И расшифровали же. "Нет жестким дискам в защищенных системах!". CC>>Слабо верится в такие совпадения. Пруфлинк?
A>К сожалению нет. Это нам преподаватель рассказывал на практической криминалистике связанной с киберпреступлениями.
Сомнения мои вызваны тем, что операм такие дела проще раскрывать как в том анекдоте про модифицированную атаку со словарём: берём словарь поувесистее и бьём по голове подследственного пока он не скажет пароль.
Все нормальные средства шифрования чистят критические данные после работы. Разве только что тул для шифрования был использован крайне хреновый, но тогда это просто халява а не взлом.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
CC>Сомнения мои вызваны тем, что операм такие дела проще раскрывать как в том анекдоте про модифицированную атаку со словарём: берём словарь поувесистее и бьём по голове подследственного пока он не скажет пароль.
Это всегда очень хороший и действенный метод взлома.
CC>Все нормальные средства шифрования чистят критические данные после работы. Разве только что тул для шифрования был использован крайне хреновый, но тогда это просто халява а не взлом.
Проблема не в очистке паролей. А в самом механизме буферизации и кэширования. Т.е. в момент времени, когда пароль находится в памяти, он может быть закэширован процессором. Дальше, ничего не мешает операционной системе оптимизировать память, и сбросить его в своп. Своп проходит через дисковый кеш, где тоже может задержаться пароль. Так что тут не все так просто.
Да даже если маски шоу ворвутся к тебе, во время работы программы, и ты выдернешь питание. Пароль, в течении пяти минут где-то, все еще можно будет снять с памяти.
В этом плане смарт-карты с внутренней реализацией криптографических алгоритмов на много безопаснее. Т.к. секретные ключи не покидают смарт-карту. А из взлом, дело затратное. Где-то читал оценки, 50 000$ на взлом смарт-карты.
Здравствуйте, Acteon, Вы писали:
CC>>Сомнения мои вызваны тем, что операм такие дела проще раскрывать как в том анекдоте про модифицированную атаку со словарём: берём словарь поувесистее и бьём по голове подследственного пока он не скажет пароль. A>Это всегда очень хороший и действенный метод взлома.
Терморектальная криптография круче!
CC>>Все нормальные средства шифрования чистят критические данные после работы. Разве только что тул для шифрования был использован крайне хреновый, но тогда это просто халява а не взлом.
A>Проблема не в очистке паролей. А в самом механизме буферизации и кэширования. Т.е. в момент времени, когда пароль находится в памяти, он может быть закэширован процессором.
Куда закэширован? Во внутренний кэш проца что ли?
Единственное место, куда он может попасть — своп. Но в своп не попадают те страницы, которые в данный момент активно используются.
Для особых параноиков есть nonpaged pool.
A> Дальше, ничего не мешает операционной системе оптимизировать память, и сбросить его в своп.
В своп выкидываются самые старые страницы памяти. Чтоб туда попал пароль надо постараться.
A>Своп проходит через дисковый кеш, где тоже может задержаться пароль.
Своп пишется напрямую, он не кэшируется.
A>Да даже если маски шоу ворвутся к тебе, во время работы программы, и ты выдернешь питание.
По правильному будет не выдёргивать питание а жать кнопочку, по которой будет выполняться размонтирование криптоконтейнеров и wipe из драйвера (Ring0) всех важных данных в памяти с последующими автоматическими зачистками остальных потенциально опасных мест и жёстким ребутом.
A>Пароль, в течении пяти минут где-то, все еще можно будет снять с памяти. Это не про нашу страну.
Никто не будет париться с компом если нет гарантий точно вытащить оттуда что либо.
Куда проще и эффективнее попрессовать самого человека, если уж маски-шоу.
A>В этом плане смарт-карты с внутренней реализацией криптографических алгоритмов на много безопаснее. Т.к. секретные ключи не покидают смарт-карту. А из взлом, дело затратное.
Есть такое. Но область их практического применения довольно таки ограничена.
A>Где-то читал оценки, 50 000$ на взлом смарт-карты.
В данном контексте это смешные деньги.
Здравствуйте, CreatorCray, Вы писали:
A>>Проблема не в очистке паролей. А в самом механизме буферизации и кэширования. Т.е. в момент времени, когда пароль находится в памяти, он может быть закэширован процессором. CC>Куда закэширован? Во внутренний кэш проца что ли? CC>Единственное место, куда он может попасть — своп. Но в своп не попадают те страницы, которые в данный момент активно используются. CC>Для особых параноиков есть nonpaged pool.
A>> Дальше, ничего не мешает операционной системе оптимизировать память, и сбросить его в своп. CC>В своп выкидываются самые старые страницы памяти. Чтоб туда попал пароль надо постараться.
A>>Своп проходит через дисковый кеш, где тоже может задержаться пароль. CC>Своп пишется напрямую, он не кэшируется.
На жесткий диск все пишется через его контроллер. И уже сам контроллер решает, кешировать или нет.
Я к чему вел. Что система может организовывать потоки данных таким образом, что пароль (или часть пароля), может сохраниться в системе (где-то). Компьютеры ведь разрабатывались не как криптомашины. Отсюда и все недостатки.
Просто отдаленный пример. Занимаемся распространением страшного, запрещенного порно. Перед приходом маски шоу мы почистили все картинки, перезаписали их несколько раз (одного кстати не достаточно, есть методики восстановления, но не в нашей стране). Но какой-то умник печатал одну из таких картинок на принтере. И криминалисты восстанавливают пул печати, и мы в тюрьме.
A>>Да даже если маски шоу ворвутся к тебе, во время работы программы, и ты выдернешь питание. CC>По правильному будет не выдёргивать питание а жать кнопочку, по которой будет выполняться размонтирование криптоконтейнеров и wipe из драйвера (Ring0) всех важных данных в памяти с последующими автоматическими зачистками остальных потенциально опасных мест и жёстким ребутом.
Ну тут уж как с ориентируешься. Естественно правильно еще и нажать волшебную кнопку, и мощнейшее электромагнитное излучение уничтожит все данные на жестком диске. А компьютер расплавит в раскаленной лаве.
A>>Пароль, в течении пяти минут где-то, все еще можно будет снять с памяти. CC> Это не про нашу страну. CC>Никто не будет париться с компом если нет гарантий точно вытащить оттуда что либо. CC>Куда проще и эффективнее попрессовать самого человека, если уж маски-шоу.
Много чего не про нашу страну. У нас быть киберпреступникам с минимальной грамотностью пока безопасно. Нет крутых лабораторий, которые могли бы с твоим компом фокусы провернуть.
A>>Где-то читал оценки, 50 000$ на взлом смарт-карты. CC>В данном контексте это смешные деньги.
Ну если человек украл скажем 10 тысяч, и что бы это доказать, надо взломать смарт-карту, тут подумают.
Здравствуйте, Acteon, Вы писали:
A>На жесткий диск все пишется через его контроллер. И уже сам контроллер решает, кешировать или нет.
Вытащить данные из кэша контроллера винта куда более сложная задача с очень скромными шансами на успех.
A>Просто отдаленный пример. Занимаемся распространением страшного, запрещенного порно. Перед приходом маски шоу мы почистили все картинки, перезаписали их несколько раз (одного кстати не достаточно, есть методики восстановления, но не в нашей стране).
Т.е. вся скрываемая инфа изначально лежит в открытом виде? О чём можно в принципе дальше говорить?
A> Но какой-то умник печатал одну из таких картинок на принтере. И криминалисты восстанавливают пул печати, и мы в тюрьме.
Скорее уж находят распечатку прямо в лотке принтера. Раз уж хозяин настолько полный идиот.
A>Ну если человек украл скажем 10 тысяч, и что бы это доказать, надо взломать смарт-карту, тут подумают.
Сыграют с ним в слоника, потом в ласточку и сам всё отдаст и расскажет.
Слабое звено тут человек а не шифры.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>На жесткий диск все пишется через его контроллер. И уже сам контроллер решает, кешировать или нет. CC>Вытащить данные из кэша контроллера винта куда более сложная задача с очень скромными шансами на успех.
Я не знаю, т.к. не специалист в этой области. Может нечего сверхъестественного здесь и нет. Большинство людей уверено, что если они удалили файл, то он удалился. Навсегда! Но мы то знаем... Да что там, я был уверен, что если файл перезаписать один раз, то уж точно все в порядке. А и вот нет. Есть методы восстановления.
A>>Просто отдаленный пример. Занимаемся распространением страшного, запрещенного порно. Перед приходом маски шоу мы почистили все картинки, перезаписали их несколько раз (одного кстати не достаточно, есть методики восстановления, но не в нашей стране). CC>Т.е. вся скрываемая инфа изначально лежит в открытом виде? О чём можно в принципе дальше говорить?
Как минимум в момент создания она будет открытой. Создавать сразу зашифрованные картинки... тут талант нужен.
Немного фантазии, и можно представить себе весь тех. процесс. Есть художник, он рисует носорогов (носороги в той вселенной страшное зло). Рисунки оцифровываются, оригиналы сжигаются. Оцифровки печатаются, складываются в зашифрованный архив, оригинальные файлы затираются. Печатные носороги сразу сбываются, т.е. на руках их нет. Таким образом организатор думает, что он защищен. А пул печати его выдаст.
A>> Но какой-то умник печатал одну из таких картинок на принтере. И криминалисты восстанавливают пул печати, и мы в тюрьме. CC>Скорее уж находят распечатку прямо в лотке принтера. Раз уж хозяин настолько полный идиот.
Смысл был в том, что очень сложно контролировать все каналы информации. Что-то где-то да и сохраниться. Очевидное, распечатка в лотке, будет сразу уничтожено. А есть еще и скрытое, пул печати, про который надо знать. Вы беретесь заявить, что знаете все?
A>>Ну если человек украл скажем 10 тысяч, и что бы это доказать, надо взломать смарт-карту, тут подумают. CC>Сыграют с ним в слоника, потом в ласточку и сам всё отдаст и расскажет. CC>Слабое звено тут человек а не шифры.
А я и не утверждал обратное. Отчасти по этому крутые защитные методы не приживаются. Т.к. они требуют образованности и знаний для их использовании. А не записи ПИН кода к карте на самой карте.
Здравствуйте, Acteon, Вы писали:
A>Я не знаю, т.к. не специалист в этой области. Может нечего сверхъестественного здесь и нет. Большинство людей уверено, что если они удалили файл, то он удалился. Навсегда! Но мы то знаем... Да что там, я был уверен, что если файл перезаписать один раз, то уж точно все в порядке. А и вот нет. Есть методы восстановления.
Там много нюансов.
В принципе есть методы восстановления по остаточной намагниченности, но это всё имеет море ограничений и применимо далеко не для любого HDD.
A>>>Просто отдаленный пример. Занимаемся распространением страшного, запрещенного порно. Перед приходом маски шоу мы почистили все картинки, перезаписали их несколько раз (одного кстати не достаточно, есть методики восстановления, но не в нашей стране). CC>>Т.е. вся скрываемая инфа изначально лежит в открытом виде? О чём можно в принципе дальше говорить?
A>Как минимум в момент создания она будет открытой. Создавать сразу зашифрованные картинки... тут талант нужен.
Таланта не нужно. Берём тот же TrueCrypt и сразу работаем на шифрованном диске. Есть и другие решения, которые шифруют вообще весь HDD, включая загрузочные области и системные диски.
Всё давно придумано.
A>Немного фантазии, и можно представить себе весь тех. процесс. Есть художник, он рисует носорогов (носороги в той вселенной страшное зло). Рисунки оцифровываются, оригиналы сжигаются. Оцифровки печатаются, складываются в зашифрованный архив, оригинальные файлы затираются. Печатные носороги сразу сбываются, т.е. на руках их нет. Таким образом организатор думает, что он защищен. А пул печати его выдаст.
Что подразумевается под пулом печати? В винде это просто каталог для временных файлов, в котором лежат посылаемые на печать изображения. После печати они как правило удаляются.
Нет никаких технических трудностей обезопасить себя от с этого направления.
Художник пострадает исключительно от собственного невежества.
A>Смысл был в том, что очень сложно контролировать все каналы информации. Что-то где-то да и сохраниться. Очевидное, распечатка в лотке, будет сразу уничтожено. А есть еще и скрытое, пул печати, про который надо знать. Вы беретесь заявить, что знаете все?
Не очень. Ставим систему в виртуальную машину, диски виртуальной машины лежат в криптоконтейнере. Всё.
Что б там где ОС не сохраняла — всё закрыто одинаково.
A>А я и не утверждал обратное. Отчасти по этому крутые защитные методы не приживаются. Т.к. они требуют образованности и знаний для их использовании.
Они нужны для защиты информации при передаче или от кражи носителей с информацией (или хакнули и выкачали файлы)
Но если вместе с шифрованной инфой в руки попадает ещё и носитель с ключом (человек например) то колво направлений атак направленных на раскрытие информации возрастает
Система надёжна настолько, насколько надёжно самое слабое её звено.
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, Acteon, Вы писали:
A>>Для примера. Алгоритмы на эпилептических кривых.
RO>А сколько кривых эпилептиков нужно запереть в подвале для реализации этих алгоритмов?
Если эпилептики будут эллиптические, то хватит двух. Икса и Игрика.
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, Acteon, Вы писали:
A>>Но это также и его плюс. При выпадении одного блока, все остальные все равно можно будет расшифровать.
RO>Это недостаток. Представь себе простейший случай: картинка в bitmap-формате, каждый блок — небольшой прямоугольник из пикселей. Злоумышленник не может прочесть данные, но он может избирательно испортить блоки так, что поверх картинки мусорными прямоугольниками будет что-то написано, а получатель подумает, что так и должно быть.
Я прекрасно знаю, что недостаток. Но и достоинство тоже. Такой режим использования алгоритма может пригодиться при передаче по нестабильным каналам. А может и не пригодиться. Однозначно заявить, что для всех случаев этот режим не подойдет, не правильно.
Вот видите, сколько все нужно сделать и предусмотреть. И все это к криптографии имеет немного отдаленное отношение.
Я уже за выходные потерял мысль спора. Но сейчас у меня в голове вертится несколько тезисов:
1. Какой уровень образования должно иметь лицо, которое что то пытается спрятать от властей (конкурентов). И здесь не только специфические знания из защиты информации, но и техническая грамотность.
2. Выбор алгоритма шифрования должен соответствовать выбранной методологии его использования. И, даже если это и кажется банальным, такая методология должна быть. А не как обычно: "давайте все зашифруем".
3. При всей своей субъективности и недоказанности математическая основа криптографии намного крепче людей. Которые, увы, в большинстве случаев — "слабое звено". Это одна из причин, почему не приживается квантовая криптография. Канал передачи и сейчас можно защитить. Но вот кто защитит информацию от людей.
Здравствуйте, Acteon, Вы писали:
A>1. Какой уровень образования должно иметь лицо, которое что то пытается спрятать от властей (конкурентов). И здесь не только специфические знания из защиты информации, но и техническая грамотность. A>2. Выбор алгоритма шифрования должен соответствовать выбранной методологии его использования. И, даже если это и кажется банальным, такая методология должна быть. А не как обычно: "давайте все зашифруем".
Дык защита чего либо это всегда комплекс мер. Просто "а давайте зашифруем" даёт очень небольшой прирос защищённости, грубо говоря "от дурака". Грубо говоря шифруя что либо мы просто переносим "статус секрета" с данных на ключ шифрования. И теперь проблема заключается в том, как обезопасить ключ и среду, в которой выполняется работа с шифрованными данными.
A>3. При всей своей субъективности и недоказанности математическая основа криптографии намного крепче людей. Которые, увы, в большинстве случаев — "слабое звено". Это одна из причин, почему не приживается квантовая криптография.
Квантовая криптография пока очень далека от практического применения по техническим причинам.
A> Канал передачи и сейчас можно защитить. Но вот кто защитит информацию от людей.
Есть методики противостояния выбиванию паролей. Но и их можно "хакнуть", другой момент что надо знать какая именно методика применяется чтоб правильно ей противодействовать.
A>З.Ы. А ты еще помнишь о чем мы вообще спорим?
Мне вообще то было интересно чем жё по твоему мнению так хорош ГОСТ.
По ходу обсуждения скатились на оценки надёжности и объективность этих оценок.
Потом вообще на методы "взлома" шифров госорганами в теории и на практике
Здравствуйте, Roman Odaisky, Вы писали:
RO>Это недостаток. Представь себе простейший случай: картинка в bitmap-формате, каждый блок — небольшой прямоугольник из пикселей. Злоумышленник не может прочесть данные, но он может избирательно испортить блоки так, что поверх картинки мусорными прямоугольниками будет что-то написано, а получатель подумает, что так и должно быть.
Это плохо потому, что выдаёт какие блоки одинаковы в plaintext
Т.е. уже хоть и крайне малое но всё же раскрытие информации.
Здравствуйте, Acteon, Вы писали:
A>Я прекрасно знаю, что недостаток. Но и достоинство тоже. Такой режим использования алгоритма может пригодиться при передаче по нестабильным каналам.
Каким образом?
Есть много режимов в которых порча блока не приводит к порче последующих блоков (см. OFB).
Есть специально разработанные режимы для расшифровки произвольного места (самый простой: CTR, более навороченные см тут: http://en.wikipedia.org/wiki/Disk_encryption_theory)
A> Однозначно заявить, что для всех случаев этот режим не подойдет, не правильно.
Скажем так: это самый небезопасный режим, использовать его на практике не рекомендуется.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>Я прекрасно знаю, что недостаток. Но и достоинство тоже. Такой режим использования алгоритма может пригодиться при передаче по нестабильным каналам. CC>Каким образом? CC>Есть много режимов в которых порча блока не приводит к порче последующих блоков (см. OFB). CC>Есть специально разработанные режимы для расшифровки произвольного места (самый простой: CTR, более навороченные см тут: http://en.wikipedia.org/wiki/Disk_encryption_theory)
A>> Однозначно заявить, что для всех случаев этот режим не подойдет, не правильно. CC>Скажем так: это самый небезопасный режим, использовать его на практике не рекомендуется.
Его можно использовать как хеш функцию. Или для защиты мелких данных (паролей, хеш значений). В общем везде, где размер данных не превышает размера блока. Т.е. я не могу сказать, что 100% это треш, и ни при каких условиях его нельзя использовать.
Здравствуйте, CreatorCray, Вы писали:
CC>Это плохо потому, что выдаёт какие блоки одинаковы в plaintext CC>Т.е. уже хоть и крайне малое но всё же раскрытие информации.
Я имел в виду не это, а то, что устойчивость к повреждениям шифрованного текста скорее вредна, чем полезна.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>1. Какой уровень образования должно иметь лицо, которое что то пытается спрятать от властей (конкурентов). И здесь не только специфические знания из защиты информации, но и техническая грамотность. A>>2. Выбор алгоритма шифрования должен соответствовать выбранной методологии его использования. И, даже если это и кажется банальным, такая методология должна быть. А не как обычно: "давайте все зашифруем". CC>Дык защита чего либо это всегда комплекс мер. Просто "а давайте зашифруем" даёт очень небольшой прирос защищённости, грубо говоря "от дурака". Грубо говоря шифруя что либо мы просто переносим "статус секрета" с данных на ключ шифрования. И теперь проблема заключается в том, как обезопасить ключ и среду, в которой выполняется работа с шифрованными данными.
Так большинство так и шифруют, от дурака.
A>>3. При всей своей субъективности и недоказанности математическая основа криптографии намного крепче людей. Которые, увы, в большинстве случаев — "слабое звено". Это одна из причин, почему не приживается квантовая криптография. CC>Квантовая криптография пока очень далека от практического применения по техническим причинам.
Да, но тем не менее уже работоспособна.
A>> Канал передачи и сейчас можно защитить. Но вот кто защитит информацию от людей. CC>Есть методики противостояния выбиванию паролей. Но и их можно "хакнуть", другой момент что надо знать какая именно методика применяется чтоб правильно ей противодействовать.
Можно какой нибудь пример. Никогда не сталкивался с таким.
A>>З.Ы. А ты еще помнишь о чем мы вообще спорим? CC>Мне вообще то было интересно чем жё по твоему мнению так хорош ГОСТ. CC>По ходу обсуждения скатились на оценки надёжности и объективность этих оценок. CC>Потом вообще на методы "взлома" шифров госорганами в теории и на практике
Лично меня ГОСТ привлек своей простотой. Обычная схема Фейстеля, простая и понятная. Я уже раньше сравнивал его с автоматом Калашникова. Да, сейчас есть много современных алгоритмов. Которые признаются более криптостойкими. Но наши спецслужбы его используют. Спецслужбы РФ его используют. В СССР его использовали. Возможно его мало изучали, а возможно, что так ничего и не нашли. Реальных причин, ну кроме отсутствия заданных S блоков, его не использовать я не вижу. Это в случае, если надо самому реализовывать. А в случае взять готовое... То тут отталкиваемся от существующих реализаций того что есть. Но тогда уже надо доверять реализации.
Здравствуйте, Acteon, Вы писали:
CC>>Квантовая криптография пока очень далека от практического применения по техническим причинам. A>Да, но тем не менее уже работоспособна.
Но пока для практических целей неприменима.
A>>> Канал передачи и сейчас можно защитить. Но вот кто защитит информацию от людей. CC>>Есть методики противостояния выбиванию паролей. Но и их можно "хакнуть", другой момент что надо знать какая именно методика применяется чтоб правильно ей противодействовать. A>Можно какой нибудь пример. Никогда не сталкивался с таким.
Пример:
Имеем смарткарту, через которую осуществляется доступ к шифрованным данным и которая в себе содержит ключ и алгоритм доступа к ним.
Также она содержит пароль активации, который знает человек. Правильный пароль разрешает доступ, любой другой — инициирует уничтожение данных на смарткарте.
При захвате человека и карты, необходимо выдать похитителям любой неверный пароль. После ввода неверного пароля дальнейший допрос человека смысла не имеет.
Более того, никак нельзя проверить что ...надцатый пароль, который из него выпытали — верный.
Само собой расчёт не на домохозяек, которых и допрашивать то не особо надо — сами всё сдадут с первого раза.
A>Лично меня ГОСТ привлек своей простотой. Обычная схема Фейстеля, простая и понятная.
Оно то так, но вот с SBox-ами авторы подгадили.
A>Но наши спецслужбы его используют. Спецслужбы РФ его используют. В СССР его использовали.
Ибо закон о госсекретах требует отечественную (т.е. гарантированно без шанса закладок) разработку.
Здравствуйте, Acteon, Вы писали:
A>Его можно использовать как хеш функцию. Или для защиты мелких данных (паролей, хеш значений). В общем везде, где размер данных не превышает размера блока.
В принципе можно.
A> Т.е. я не могу сказать, что 100% это треш, и ни при каких условиях его нельзя использовать.
Там написано: не рекомендуется.
Это означает "можешь использовать, если хочешь, но мы бы так делать не стали".
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>>> Канал передачи и сейчас можно защитить. Но вот кто защитит информацию от людей. CC>>>Есть методики противостояния выбиванию паролей. Но и их можно "хакнуть", другой момент что надо знать какая именно методика применяется чтоб правильно ей противодействовать. A>>Можно какой нибудь пример. Никогда не сталкивался с таким. CC>Пример: CC>Имеем смарткарту, через которую осуществляется доступ к шифрованным данным и которая в себе содержит ключ и алгоритм доступа к ним. CC>Также она содержит пароль активации, который знает человек. Правильный пароль разрешает доступ, любой другой — инициирует уничтожение данных на смарткарте. CC>При захвате человека и карты, необходимо выдать похитителям любой неверный пароль. После ввода неверного пароля дальнейший допрос человека смысла не имеет. CC>Более того, никак нельзя проверить что ...надцатый пароль, который из него выпытали — верный. CC>Само собой расчёт не на домохозяек, которых и допрашивать то не особо надо — сами всё сдадут с первого раза.
А, про это я знал. Сам использовал карты, которые блокируются навсегда, после третьего ввода неверного пароля. Я думал какие нибудь техники разделяемого секрета, для доступа к критическим данным. Или медитация и противодействие допросам.
A>>Лично меня ГОСТ привлек своей простотой. Обычная схема Фейстеля, простая и понятная. CC>Оно то так, но вот с SBox-ами авторы подгадили.
Как где-то читал, в этом есть и небольшое преимущество. Если S блоки окажутся слабыми, то, в случае закрепления их в законодательстве, их придется менять закон. А в нашем случае, немного все проще. Естественно, это не огромный плюс. Так, маленький бонус.
A>>Но наши спецслужбы его используют. Спецслужбы РФ его используют. В СССР его использовали. CC>Ибо закон о госсекретах требует отечественную (т.е. гарантированно без шанса закладок) разработку.
Именно. А дальше уже принимается во внимание уровень доверия. Самому проверить алгоритм на криптостойкость не представляется возможным. Значит, нужно кому то доверять. А так хочется верить своему государству. В конце концов, при гос. применение криптографии все ключи шифрования есть еще и государства. Так что спец службы всегда ими могут воспользоваться.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>> Т.е. я не могу сказать, что 100% это треш, и ни при каких условиях его нельзя использовать. CC>Там написано: не рекомендуется. CC>Это означает "можешь использовать, если хочешь, но мы бы так делать не стали".
Согласен. Хотя видел системы защиты, где это единственный режим шифрования. Я очень удивился, когда зашифровал массив ноликов, и получил один и тот же шифртекст. Неприятный был сюрприз.
Здравствуйте, Acteon, Вы писали:
A>А, про это я знал. Сам использовал карты, которые блокируются навсегда, после третьего ввода неверного пароля. Я думал какие нибудь техники разделяемого секрета, для доступа к критическим данным.
Разделяемый секрет не поможет при захвате всех тех, кто его знает.
A> противодействие допросам.
Капсула цианида в фальшзубе, ага
А про допросы посмотри отличный фильм Unthinkable.
Здравствуйте, Acteon, Вы писали:
A>Согласен. Хотя видел системы защиты, где это единственный режим шифрования. Я очень удивился, когда зашифровал массив ноликов, и получил один и тот же шифртекст. Неприятный был сюрприз.
Ну, это многое говорит об уровне знаний разработчиков.
Впрочем если эту систему используют чтоб спрятать порнуху от мамы то сойдёт
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>А, про это я знал. Сам использовал карты, которые блокируются навсегда, после третьего ввода неверного пароля. Я думал какие нибудь техники разделяемого секрета, для доступа к критическим данным. CC>Разделяемый секрет не поможет при захвате всех тех, кто его знает.
Но делает все немного сложнее. Особенно когда оба необходимых человека, по разную сторону двери. Вообще было бы интересно почитать про военные системы защиты.
Это как отрезают руки для сканера отпечатков. Вырывают глаза для сканеров сетчатки. Хотя сейчас в них наверно есть датчики определения сердцебиения.
CC>А про допросы посмотри отличный фильм Unthinkable.
Надо будет посмотреть. Краткое описание напомнило мне про сериал 24. Там тоже допросы ого. Третий сезон так и вовсе нечто. Рекомендую.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>Согласен. Хотя видел системы защиты, где это единственный режим шифрования. Я очень удивился, когда зашифровал массив ноликов, и получил один и тот же шифртекст. Неприятный был сюрприз. CC>Ну, это многое говорит об уровне знаний разработчиков.
Так а где взять нормальных разработчиков. Их выпускают может по нескольку штук в год. Именно со знанием криптографии и защиты информации. Печально.
CC>Впрочем если эту систему используют чтоб спрятать порнуху от мамы то сойдёт
Здравствуйте, Acteon, Вы писали:
A>>>Согласен. Хотя видел системы защиты, где это единственный режим шифрования. Я очень удивился, когда зашифровал массив ноликов, и получил один и тот же шифртекст. Неприятный был сюрприз. CC>>Ну, это многое говорит об уровне знаний разработчиков. A>Так а где взять нормальных разработчиков. Их выпускают может по нескольку штук в год. Именно со знанием криптографии и защиты информации. Печально.
Брать толковых и учить.
Всё равно те знания что дают в универе это лишь базовые и частично подустаревшие знания (впрочем это зависит от препода). Дальше надо всё равно учиться применять это всё на практике, нарабатывать опыт.
CC>>Впрочем если эту систему используют чтоб спрятать порнуху от мамы то сойдёт A>Порнуху от мамы можно и хайдом файлов прятать.
Ну хорошо, от папы.
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, Acteon, Вы писали:
A>>>>Согласен. Хотя видел системы защиты, где это единственный режим шифрования. Я очень удивился, когда зашифровал массив ноликов, и получил один и тот же шифртекст. Неприятный был сюрприз. CC>>>Ну, это многое говорит об уровне знаний разработчиков. A>>Так а где взять нормальных разработчиков. Их выпускают может по нескольку штук в год. Именно со знанием криптографии и защиты информации. Печально. CC>Брать толковых и учить. CC>Всё равно те знания что дают в универе это лишь базовые и частично подустаревшие знания (впрочем это зависит от препода). Дальше надо всё равно учиться применять это всё на практике, нарабатывать опыт.
Легче сказать, чем сделать. Я на компьютерную безопасность попал вообще случайно. Места на информатике закончились. О чем я нисколько не жалею. Но со всей группы, человек пять только что-то понимали. И только пару из них потом работали по специальности. Т.е. база есть лишь у такого мало числа людей. А развивают ее и того меньше. Да, со временем набор наверно увеличат, будет больше народу выходить. Но пока специалистов в нашей стране очень мало.
Прикладную криптографию возможно поднять и самому. Но в ее основе, серьезная такая математика, по книжкам которую не выучить.
CC>>>Впрочем если эту систему используют чтоб спрятать порнуху от мамы то сойдёт A>>Порнуху от мамы можно и хайдом файлов прятать. CC>Ну хорошо, от папы.
А от папы в Windows/System32/
Сестры и братья — вот кто враги любителей порнографии.
RSA в утиль! 
). Возможно и КГБ давно нашло такую уязвимость в ГОСТе, но тихо молчит. Ой, у вас же ФСБ. КГБ это у нас. 
Но если бы мне нужно что-то было спрятать, я бы воспользовался целой кучей алгоритмов и их разных реализаций. Хоть это и не увеличивает криптостойкость с теоретической точки зрения (в отличие от использования случайного алгоритма). Это увеличит практическую сложность взлома. А пароль я выберу 123456. 
Да, сейчас есть много современных алгоритмов. Которые признаются более криптостойкими. Но наши спецслужбы его используют. Спецслужбы РФ его используют. В СССР его использовали. Возможно его мало изучали, а возможно, что так ничего и не нашли. Реальных причин, ну кроме отсутствия заданных S блоков, его не использовать я не вижу. Это в случае, если надо самому реализовывать. А в случае взять готовое... То тут отталкиваемся от существующих реализаций того что есть. Но тогда уже надо доверять реализации.
