Здравствуйте, ·, Вы писали:

V>>Проблема чёрного лебедя.
·>Физика это не гуманитарная наука.

Чёрнолебединая тема к физике тоже применима. В полный рост.

·>А с чего ты взял что он выдаёт СЧ? Откуда у тебя стопроцентная гарантия, что я завтра с помощью чёрнолебедного излучения не заставлю твой резистор выдавать нужные мне Ч?

Решение на резисторе — самое выгодное по соотношению (качество * скорострельность) / цена. Дёшево и сердито. Если паранойя шепчет (правильно, кстати, делает), что Доктор Зло может захватить власть над резисторным шумом, то дополнительно к резистору через XOR присобачим какой-нибудь квантовый генератор шума. Есть в КМ что-нибудь, на чём можно сделать рандом-генератор? Ходят слухи, что есть. Если паранойя не унимается, то можно собрать что-нибудь механическое. Производительность, конечно, не фонтан, но немножечко добавленной через XOR энтропии лишней не будет. На крайняк, если совсем прижало, можно дополнительно сесть самому поелозить мышкой по экрану.

Ты же понял, в чём прикол в XORом? Какую бы недотыкомку мы ни взялись доливать в общий результат, качество изделия не ухудшится. В самом худшем случае оно просто останется прежним. Даже такой гениальный ингредиент не способен ухудшить результат:

int the_worst_random_generator() {
  return 0;
}

Хочешь — сам подставь в таблички из моего прошлого письма и убедись.

·>Кстати, никогда не задумывался откуда тепловой шум берётся?

Знамо откуда. Из глобального вселенского вездесущего бардака, бесконечного как вширь, так и вглубь.

Здравствуйте, Voblin, Вы писали:


V>·>А с чего ты взял что он выдаёт СЧ? Откуда у тебя стопроцентная гарантия, что я завтра с помощью чёрнолебедного излучения не заставлю твой резистор выдавать нужные мне Ч?
V>Решение на резисторе — самое выгодное по соотношению (качество * скорострельность) / цена. Дёшево и сердито. Если паранойя шепчет (правильно, кстати, делает), что Доктор Зло может захватить власть над резисторным шумом, то дополнительно к резистору через XOR присобачим какой-нибудь квантовый генератор шума. Есть в КМ что-нибудь, на чём можно сделать рандом-генератор? Ходят слухи, что есть. Если паранойя не унимается, то можно собрать что-нибудь механическое.
Цену и сердитось пока давай отложим. С чего ты вообще взял что резистор, квантовый шум, механика и т.п. вообще заработает? Ведь насколько эта магия непробиваема — вопрос веры в то, что мы всё правильно понимаем, надежды на то, что завтра ничего не поменяется, и любви к чудесам. Ну детский сад, право слово.

V>Производительность, конечно, не фонтан, но немножечко добавленной через XOR энтропии лишней не будет. На крайняк, если совсем прижало, можно дополнительно сесть самому поелозить мышкой по экрану.
10Тб наелозить? Ну-ну... Для справки: елозение выдаёт где-то в районе трёх байт/сек. Тут каждого китайца надо будет нанять на должность Старшего Елозителя и платить за овертаймы.

V>·>Кстати, никогда не задумывался откуда тепловой шум берётся?
V>Знамо откуда. Из глобального вселенского вездесущего бардака, бесконечного как вширь, так и вглубь.
Ну понятно, как свою криптостойкую систему организовать из китайцев и резисторов, то пожалуйста — заработает наотлично, а остальное лишь серьёзные авторитетные дядьки клянутся мамой, да непонятные формулы.

Здравствуйте, ·, Вы писали:

·>10Тб наелозить? Ну-ну... Для справки: елозение выдаёт где-то в районе трёх байт/сек. Тут каждого китайца надо будет нанять на должность Старшего Елозителя и платить за овертаймы.

Ну нельзя же так, право слово. Кто когда призывал все 10ТБ мышкой навошкивать? Мышиные байты/сек — это добавка к тому, что генерится другими средствами. Даёт где-нибудь +0.0000001 добавки к общей энтропии. Можно я не буду объяснять, как сделать так, чтобы визуальный эффект этих мышиных байтов был "ё моё вашу мать всё к чертям перепуталось"? Если строго математически, то прирост энтропии копеечный, но криптоаналитический отдел Доктора Зло дружно идёт писать заявления по собственному.

V>>·>Кстати, никогда не задумывался откуда тепловой шум берётся?
V>>Знамо откуда. Из глобального вселенского вездесущего бардака, бесконечного как вширь, так и вглубь.
·>Ну понятно, как свою криптостойкую систему организовать из китайцев и резисторов, то пожалуйста — заработает наотлично, а остальное лишь серьёзные авторитетные дядьки клянутся мамой, да непонятные формулы.

Как бы мы ни организовали свою криптографию, в любом случае у нас должна быть защищённая зона. Хотя бы комната за сейфовой дверью, хотя бы кусочек такой комнаты, хотя бы один конкретный комп. Если мы не можем организовать защищённую зону, сворачиваем манатки и идём домой. Нам ничего не светит ни с резисторами, ни с мышками, ни с КК, ни с чем. Криптография (в том числе и квантовая) защищает данные во внешнем, не защищённом мире. А внутренний мир защищают стены, двери, решётки, заборы, вооружённая охрана, злые собаки, мины, ловушки, секретки, системы идентификации, системы наблюдения, разведка, агентурная работа и прочая классика жанра. Если возникло подозрение, что Доктор Зло через спутник сканирует защищённую комнату, кладём на крышу дополнительный слой экранирования.

Кстати, а в курсе ли ты, для чего, как правило, нужна КК? Она нужна для передачи сеансовых ключей шифрования. А в курсе ли ты, откуда берутся биты этих самых ключей шифрования? Берутся они из теплового шума резисторов и/или из вошканья мышкой. То есть возвращаемся к тому же, с чего начали

Таким образом, в итоге имеем, что из плюсов КК у нас только отсутствие необходимости лично кататься на Сапсане (или на броневике, или на бизнес-джете, кому как нравится), а из минусов — рытьё канавы "Москва — Питер" плюс негибкость решения плюс немасштабируемость решения плюс в глубине сознания червячок, что на следующей хакерской конференции будет доклад про то, что с КК облом по полной программе.

Про кодовый блокнот на хакерской конференции ничего не будет. Абсолютная стойкость блокнота строго математически была доказана ещё Шенноном. В физике можно (и среди серьёзных пацанов считается, что нужно) сомневаться, а в математике — неа. Аподиктическая достоверность forever.

Здравствуйте, Voblin, Вы писали:

V>·>10Тб наелозить? Ну-ну... Для справки: елозение выдаёт где-то в районе трёх байт/сек. Тут каждого китайца надо будет нанять на должность Старшего Елозителя и платить за овертаймы.
V>Ну нельзя же так, право слово. Кто когда призывал все 10ТБ мышкой навошкивать? Мышиные байты/сек — это добавка к тому, что генерится другими средствами. Даёт где-нибудь +0.0000001 добавки к общей энтропии.
А может этого недостаточно? А надо было +0.00000011? А может эта мышиная возня это только лишняя трата времени, что наоборот ухудшит защиту? Может быть напишешь понятную формулу? Или просто клянёшься?

V>Можно я не буду объяснять, как сделать так, чтобы визуальный эффект этих мышиных байтов был "ё моё вашу мать всё к чертям перепуталось"? Если строго математически, то прирост энтропии копеечный, но криптоаналитический отдел Доктора Зло дружно идёт писать заявления по собственному.
Мышь не проскочит?

V>·>Ну понятно, как свою криптостойкую систему организовать из китайцев и резисторов, то пожалуйста — заработает наотлично, а остальное лишь серьёзные авторитетные дядьки клянутся мамой, да непонятные формулы.
V>Как бы мы ни организовали свою криптографию, в любом случае у нас должна быть защищённая зона. Хотя бы комната за сейфовой дверью, хотя бы кусочек такой комнаты, хотя бы один конкретный комп. Если мы не можем организовать защищённую зону, сворачиваем манатки и идём домой. Нам ничего не светит ни с резисторами, ни с мышками, ни с КК, ни с чем. Криптография (в том числе и квантовая) защищает данные во внешнем, не защищённом мире.
V>А внутренний мир защищают стены, двери, решётки, заборы, вооружённая охрана, злые собаки, мины, ловушки, секретки, системы идентификации, системы наблюдения, разведка, агентурная работа и прочая классика жанра. Если возникло подозрение, что Доктор Зло через спутник сканирует защищённую комнату, кладём на крышу дополнительный слой экранирования.
Вроде всё правильно говоришь, только терминологию сразу используй: доверенные Приёмник, Передатчик и недоверяемый Канал Передачи информации. Так вот криптография и работает в этой модели.

V>Кстати, а в курсе ли ты, для чего, как правило, нужна КК? Она нужна для передачи сеансовых ключей шифрования. А в курсе ли ты, откуда берутся биты этих самых ключей шифрования? Берутся они из теплового шума резисторов и/или из вошканья мышкой. То есть возвращаемся к тому же, с чего начали
Сеансовые ключи это одно из очевидных практических и ближайших коммерческих применений.

V>Таким образом, в итоге имеем, что из плюсов КК у нас только отсутствие необходимости лично кататься на Сапсане (или на броневике, или на бизнес-джете, кому как нравится), а из минусов — рытьё канавы "Москва — Питер" плюс негибкость решения плюс немасштабируемость решения плюс в глубине сознания червячок, что на следующей хакерской конференции будет доклад про то, что с КК облом по полной программе.
В общем случае КК даёт возможность передавать информацию с _уникальной_ возможностью обнаружить подслушивание канала передачи с наперёд заданной и точно рассчитанной гарантией.

V>Про кодовый блокнот на хакерской конференции ничего не будет. Абсолютная стойкость блокнота строго математически была доказана ещё Шенноном. В физике можно (и среди серьёзных пацанов считается, что нужно) сомневаться, а в математике — неа. Аподиктическая достоверность forever.
Я живу не в математическом мире, а в физическом.
Как ты посчитаешь математически вероятность перехвата блокнотика на Сапсане? Что сделать чтобы добавить ещё пару девяток к этой гарантии?

Здравствуйте, grey_olli, Вы писали:


DM>>они не старые, а вполне себе современные.
_>если законы имеет смысл только на некоторой области пространства а не на всей вселенной, то таки старые

с чего вдруг только на части?

DM>>ЭПР СТО не противоречит, поскольку быстрее скорости света инфу там не передать — сначала надо физически частицы разнести.
_>после того как вы разнесёте две частицы не потеряв их связности можно передавать с их помощью информацию непреырвно и быстрее скорости света — воздействие на 1ю частицу быстрее скорости света оказывается на другом конце.

это называется нелокальность. ну или дальнодействие. сверхсветового движения здесь нет.

Здравствуйте, Voblin, Вы писали:

V>Здравствуйте, grey_olli, Вы писали:

_>>Другая среда даст большее рассеивание, т.е. решить можно количественным способом.
V>Насколько я понимаю схему КК, там всё завязано на то, что манипуляции производятся над конкретными единичными фотонами. Количественный способ не канает, т.к. количество зафиксировалось на цифре 1.
да, манипуляция производится с конечным единичным фотоном который спарен с удаленным фотоном. Проверку нелокальности взаимодействий до этого делали регистрируя изменения на фотоне который вернулся
по кольцу оптики, при этом длина кольца из оптики должна быть достаточно велика чтобы первый фотон ещё не долетел, а изменения на втором фотоне уже доступны. Что касается количественного способа — когда вам
семафорят издалека закрывая и открывая поток света не важно сколько света из изначального потока не попало к вам на сетчатку — главно чтобы того что добралось хватило на уровне чуствительности да-нет.
Никто не мешает вам отправить 100500 связанных пар в состоянии 1 и по двум десяткам из них определить одно закодированное в них всех состояние — именно это я имел ввиду про количественное решение.
Причём в дальнейшем, когда нелокальность окончательно докажут, скорее всего, не обязательно будет отправлять второй фотон туда же куда улетел первый.

Здравствуйте, ·, Вы писали:

·>А может этого недостаточно? А надо было +0.00000011? А может эта мышиная возня это только лишняя трата времени, что наоборот ухудшит защиту? Может быть напишешь понятную формулу? Или просто клянёшься?

Занудство с энтропиями, безусловно, имеет определённый теоретический смысл, но давай я тебе приведу пример, когда внесение весьма небольшой энтропии ставит криптоаналитический отдел Доктора Зло перед практически не решаемой (на текущем уровне развития технологий) задачей.

Допустим, мы с помощью мышиной возни сгнерили 256 бит (всего-то 32 байта) ключа, и алгоритмом AES зашифровали гигабайт данных. Итого сколько там у нас долилось энтропии при пересчёте на 1 бит? Легко посчитать. Получается 0.00000003. К сведению: говорят, этот самый 256-битный AES разрешён в США для использования в top-secret переписке.

·>Мышь не проскочит?
В сочетании с другими приёмами точно не проскочит.

·>В общем случае КК даёт возможность передавать информацию с _уникальной_ возможностью обнаружить подслушивание канала передачи с наперёд заданной и точно рассчитанной гарантией.

Давай попробуем порассуждать. Допустим, А и Б сподобились и замутили себе КК. Прорыли канаву, проложили оптику. На стороне А поставили квантовую коробочку КК_А, на стороне Б — соответственно КК_Б. Понадеявшись на магию, не стали охранять кабель. Злой М не будь дурак купил абсолютно функциональные коробочки, и где-то в болотах Тверской области сделал такую врезочку:
КК_А ------- КК_fakeБ -- КК_fakeА ------- КК_Б

C уникальной возможностью обнаружить подслушивание по-прежнему всё в порядке?

·>Как ты посчитаешь математически вероятность перехвата блокнотика на Сапсане? Что сделать чтобы добавить ещё пару девяток к этой гарантии?

Если я отвёз коробочку лично, то вероятность перехвата строго равна моей степени доверия самому себе. Большей надёжности в любом случае достичь невозможно.

·>Я живу не в математическом мире, а в физическом.

А также экономическом и социальном. Об эффектах, оказываемых этими мирами, тоже забывать не нужно:

1. Квантовый компьютинг, а конкретно алгоритм Шора, поднял большой кипеж на тему "а как же нам защищать свои данные после того, как поломается RSA?". От пацанов потребовали (наверно... не знаю... вполне вероятно), чтобы они не только ломали, но и попытались что-нибудь построить. Они попытались. На мой взгляд, получилось не очень. Но накал страстей удалось хоть как-то снизить.

2. Если пользоваться кодовым блокнотиком, то это слишком просто и дёшево. Разработчики и производители супер-пупер аппаратуры оказываются не у дел, исследовательские центры закрываются, экономический крах и запустение. Экскаваторы ржавеют, рабочие голодают, научные сотрудники переквалифицируются в продавцов-консультантов. С точки зрения экономики чудовищно сложное и безумно дорогое решение всегда лучше простого и дешёвого. В таких условиях попытка критического анализа эффективности и надёжности дорогого решения должна считаться саботажем и караться расстрелом на месте.

Здравствуйте, Voblin, Вы писали:

V>Допустим, мы с помощью мышиной возни сгнерили 256 бит (всего-то 32 байта) ключа, и алгоритмом AES зашифровали гигабайт данных. Итого сколько там у нас долилось энтропии при пересчёте на 1 бит? Легко посчитать. Получается 0.00000003. К сведению: говорят, этот самый 256-битный AES разрешён в США для использования в top-secret переписке.
А почему ты так в этом уверен? Потому что понял "непонятные формулы", не так ли?

V>·>Мышь не проскочит?
V>В сочетании с другими приёмами точно не проскочит.
Мамой клянёшься? Я не понимаю чем эти твои рассуждения лучше? Всё то же самое: "чистый magic... На чём это знание основано? Серьёзные авторитетные дядьки клянутся мамой, что мышь не проскочит.". Одно различие — ты не серьёзный авторитетный дядька.

V>C уникальной возможностью обнаружить подслушивание по-прежнему всё в порядке?
Ты путаешь две разные уязвимости: подслушивание (eavesdropping) и aтаку посредника (man-in-the-middle).

V>·>Как ты посчитаешь математически вероятность перехвата блокнотика на Сапсане? Что сделать чтобы добавить ещё пару девяток к этой гарантии?
V>Если я отвёз коробочку лично, то вероятность перехвата строго равна моей степени доверия самому себе. Большей надёжности в любом случае достичь невозможно.
Ну понятно. Тупо субъективное мнение.
А вдруг тебя усыпят газом или введут в гипноз? Или торсионным полем тебе память сотрут? Чёрного лебедя покажут? Т.е. все те твои "доводы" подходят и к твоему методу. А вот КК:

The security of quantum key distribution can be proven mathematically without imposing any restrictions on the abilities of an eavesdropper, something not possible with classical key distribution.

Кино, конечно, но посмотри всякую там голливудщину типа Mission impossible или Now you see me какие бывают фантазия и abilities of an eavesdropper чтобы доверять даже самому себе.

V>·>Я живу не в математическом мире, а в физическом.
V>А также экономическом и социальном. Об эффектах, оказываемых этими мирами, тоже забывать не нужно:
V>1. Квантовый компьютинг, а конкретно алгоритм Шора, поднял большой кипеж на тему "а как же нам защищать свои данные после того, как поломается RSA?". От пацанов потребовали (наверно... не знаю... вполне вероятно), чтобы они не только ломали, но и попытались что-нибудь построить. Они попытались. На мой взгляд, получилось не очень. Но накал страстей удалось хоть как-то снизить.
Это к чему? А раньше можно было тупо конвертик сургучной печатью заклеить и доверенным гонцом послать любую секретную депешу. И никаких таких твоих новомодных блокнотиков и XOR-ов не надо.

V>2. Если пользоваться кодовым блокнотиком, то это слишком просто и дёшево. Разработчики и производители супер-пупер аппаратуры оказываются не у дел, исследовательские центры закрываются, экономический крах и запустение. Экскаваторы ржавеют, рабочие голодают, научные сотрудники переквалифицируются в продавцов-консультантов. С точки зрения экономики чудовищно сложное и безумно дорогое решение всегда лучше простого и дешёвого. В таких условиях попытка критического анализа эффективности и надёжности дорогого решения должна считаться саботажем и караться расстрелом на месте.
Бред.

Здравствуйте, ·, Вы писали:

V>>В сочетании с другими приёмами точно не проскочит.
·>Мамой клянёшься? Я не понимаю чем эти твои рассуждения лучше? Всё то же самое: "чистый magic... На чём это знание основано? Серьёзные авторитетные дядьки клянутся мамой, что мышь не проскочит.". Одно различие — ты не серьёзный авторитетный дядька.

Мамой клянусь, ты пытаешься убедить меня в том, что криптографически стойкий генератор случайных чисел в нашей Вселенной невозможен. Честно скажу, меня это изрядно веселит.

V>>C уникальной возможностью обнаружить подслушивание по-прежнему всё в порядке?
·>Ты путаешь две разные уязвимости: подслушивание (eavesdropping) и aтаку посредника (man-in-the-middle).

То есть КК не стойка к MITM-атаке? Дожили... То есть мало того, что нужно от Москвы до Питера прорыть канаву, но и ещё организовать круглосуточное патрулирование охранной зоны кабеля?
Прикольно.

·>А вдруг тебя усыпят газом или введут в гипноз? Или торсионным полем тебе память сотрут? Чёрного лебедя покажут? Т.е. все те твои "доводы" подходят и к твоему методу.

А если я это не я, и всё происходящее — это шизофренические видения разрушенного сознания? Предлагаю прекратить валять дурака.

·>Это к чему? А раньше можно было тупо конвертик сургучной печатью заклеить и доверенным гонцом послать любую секретную депешу. И никаких таких твоих новомодных блокнотиков и XOR-ов не надо.

Можно ещё в качестве "аргумента" предложить вариант "честному человеку нечего скрывать"

V>>... должна считаться саботажем и караться расстрелом на месте.
·>Бред.

Полностью согласен. Рафинированный бред

Здравствуйте, Voblin, Вы писали:

V>>>В сочетании с другими приёмами точно не проскочит.
V>·>Мамой клянёшься? Я не понимаю чем эти твои рассуждения лучше? Всё то же самое: "чистый magic... На чём это знание основано? Серьёзные авторитетные дядьки клянутся мамой, что мышь не проскочит.". Одно различие — ты не серьёзный авторитетный дядька.
V>Мамой клянусь, ты пытаешься убедить меня в том, что криптографически стойкий генератор случайных чисел в нашей Вселенной невозможен. Честно скажу, меня это изрядно веселит.
Я пытаюсь убедить, что аргументы о КК в твоём

Автор: Voblin
Дата: 14.02.17

сообщении и прочие черные лебеди бессмысленны, они точно так же применимы и к защищаемым тобой вещам, типа ГСЧ.

V>>>C уникальной возможностью обнаружить подслушивание по-прежнему всё в порядке?
V>·>Ты путаешь две разные уязвимости: подслушивание (eavesdropping) и aтаку посредника (man-in-the-middle).
V>То есть КК не стойка к MITM-атаке? Дожили... То есть мало того, что нужно от Москвы до Питера прорыть канаву, но и ещё организовать круглосуточное патрулирование охранной зоны кабеля?
V>Прикольно.
Нет, конечно. Защита от MITM просто делатеся классическими способами.

V>·>А вдруг тебя усыпят газом или введут в гипноз? Или торсионным полем тебе память сотрут? Чёрного лебедя покажут? Т.е. все те твои "доводы" подходят и к твоему методу.
V>А если я это не я, и всё происходящее — это шизофренические видения разрушенного сознания? Предлагаю прекратить валять дурака.
Ты валять первый начал про чёрных лебедей.

Здравствуйте, ·, Вы писали:

·>Я пытаюсь убедить, что аргументы о КК в твоём

Автор: Voblin
Дата: 14.02.17

сообщении и прочие черные лебеди бессмысленны, они точно так же применимы и к защищаемым тобой вещам, типа ГСЧ.

Нужно аккуратно применять всякие прекрасные циничные концепции типа чёрных лебедей. "Правды всё равно нет, поэтому гуляй, рванина" — путь в никуда. Нужно чётко проводить разграничение, где у нас надёжное знание, а где возможно появление чёрных лебедей. Фактура, даваемая физикой, весьма надёжна, но никогда не даёт 100%. Наука развивается, и казавшиеся некогда незыблемыми многократно проверенные истины (типа, например, закона сохранения массы) уточняются и оказываются правдой лишь частично. Это абсолютно нормальная ситуация. Меняются парадигмы, старые теории становятся частными случаями более общих. Но это никак не означает, что "правды нет". Два плюс два остаётся по-прежнему четыре вне зависимости от политической конъюнктуры и того, покупаем мы или продаём. Идеальной защиты не бывает, но из этого вовсе не следует, что можно превратить дело в постмодернистский фарс и лепить горбатого так, как того душенька пожелает.

В любом практическом применении технологий защиты данных есть конкретный перечень видов атак, от которых мы защищаемся. От всех остальных типов атак мы или не защищаемся, или защищаемся, но совсем другими средствами. Шифрование нужно для передачи данных через канал, защищённость которого априорно считается равной нулю. Конкретная техническая задача. Ни от козней Дьявола, ни от брюшного тифа, ни от падения астероида, ни от зомби-апокалипсиса мы не защищаемся. Есть секретные данные, есть незащищённый канал, есть потребность эти данные через этот канал передать. Всё. Точка. Задача или решается, или не решается, или решается с известными допущениями.

Применительно к ставшим сейчас традиционными методам шифрования (симметричные и асимметричные алгоритмы) допущения известны. По большому счёту все эти методы плохи, потому что в подавляющем большинстве случаев суммарная информационная энтропия набора "данные + ключ" оказывается меньше номинального количества бит в сообщении. Асимметричные алгоритмы, к тому же, "заложены" на предположение о невозможности за разумное время с разумными затратами ресурсов восстановить секретный ключ из открытого. Поэтому, применяя традиционные методы, нужно постоянно держать руку на пульсе текущей ситуации и молиться о том, что в недрах секретных лабораторий секретные математики не придумали какую-нибудь секретную теорему.

Блокнотик стоит особняком. У него размер ключа равен размеру сообщения, и поэтому его стойкость зависит только от того, удалось ли под завязку набить ключ энтропией. Что такое информационная энтропия, мы знаем. Откуда её можно брать — тоже. Там нет никаких чёрных лебедей, и никогда не было, потому что изначально исходили из предположения, что лебеди бывают вообще любые, а дефекты базовой аксиоматики (в данном случае это математическая теория связи) по-любому относятся уже или к козням Дьявола, или к зомби-апокалипсису, от которых по условиям ТЗ мы не защищаемся. Поэтому достаточно просто сделать всё правильно по инструкции. Тупо выполнить все пункты, и всё будет ОК.

Теперь смотрим внимательно на КК. Элемент неопределённости, даваемый лебединой белизной учебника квантовой физики — не самая большая гнусность этого метода. В конце концов, традиционные методы шифрования в этом плане просто хуже. Основная гнусность КК заключается в том, что он не решает задачу, сформулированную в ТЗ. Напомню, в ТЗ говорилось о способе передать секретные данные через априорно ненадёжный канал. Решение, предлагаемое КК: а давайте построим априорно надёжный канал. Извините, ребята, но это сразу фэйл. Дальше можно даже в подробности не вдаваться. В ТЗ сказано, что канал ненадёжный, и это существенный пункт.

Блокнотик выдерживает этот существенный пункт ТЗ. Доставка ключа — подготовительное мероприятие, которое передачей данных не считается. Если на то пошло, это скорее доставка аппаратуры, которая делается заблаговременно. Данные же передаются по мере возникновения потребности по открытому каналу через все тернии публичного Интернета. Всё в точном соответствии с ТЗ.

Итого простыми словами: в ситуации, когда нам нужна надёжная передача данных по открытому каналу, КК сразу идёт лесом, потому что оно про другое. Остаются удобные и практичные, но принципиально ненадёжные традиционные технологии, и не настолько практичный, но принципиально непробиваемый блокнотик.

Здравствуйте, Voblin, Вы писали:

V>·>Я пытаюсь убедить, что аргументы о КК в твоём

Автор: Voblin
Дата: 14.02.17

сообщении и прочие черные лебеди бессмысленны, они точно так же применимы и к защищаемым тобой вещам, типа ГСЧ.
V>Нужно аккуратно применять всякие прекрасные циничные концепции типа чёрных лебедей. "Правды всё равно нет, поэтому гуляй, рванина" — путь в никуда. Нужно чётко проводить разграничение, где у нас надёжное знание, а где возможно появление чёрных лебедей. Фактура, даваемая физикой, весьма надёжна, но никогда не даёт 100%. Наука развивается, и казавшиеся некогда незыблемыми многократно проверенные истины (типа, например, закона сохранения массы) уточняются и оказываются правдой лишь частично. Это абсолютно нормальная ситуация. Меняются парадигмы, старые теории становятся частными случаями более общих. Но это никак не означает, что "правды нет". Два плюс два остаётся по-прежнему четыре вне зависимости от политической конъюнктуры и того, покупаем мы или продаём. Идеальной защиты не бывает, но из этого вовсе не следует, что можно превратить дело в постмодернистский фарс и лепить горбатого так, как того душенька пожелает.
Как-будто математика в этом отношении безгрешна. Даже в базовых понятиях... Вначале нуль не признавали, потом отрицательные числа, а уж корень из минус единицы — чисто магия, удел авторитетных дядек только. А в нашей теме помянуть P =? NP уж точно стоит...

V>В любом практическом применении технологий защиты данных есть конкретный перечень видов атак, от которых мы защищаемся. От всех остальных типов атак мы или не защищаемся, или защищаемся, но совсем другими средствами. Шифрование нужно для передачи данных через канал, защищённость которого априорно считается равной нулю. Конкретная техническая задача. Ни от козней Дьявола, ни от брюшного тифа, ни от падения астероида, ни от зомби-апокалипсиса мы не защищаемся. Есть секретные данные, есть незащищённый канал, есть потребность эти данные через этот канал передать. Всё. Точка. Задача или решается, или не решается, или решается с известными допущениями.
Правильно. Но понятие "нулевая защищённость" бессмысленный термин. Каждый вид защиты направлен на вполне конкретный тип атак.

V>Применительно к ставшим сейчас традиционными методам шифрования (симметричные и асимметричные алгоритмы) допущения известны. По большому счёту все эти методы плохи, потому что в подавляющем большинстве случаев суммарная информационная энтропия набора "данные + ключ" оказывается меньше номинального количества бит в сообщении. Асимметричные алгоритмы, к тому же, "заложены" на предположение о невозможности за разумное время с разумными затратами ресурсов восстановить секретный ключ из открытого. Поэтому, применяя традиционные методы, нужно постоянно держать руку на пульсе текущей ситуации и молиться о том, что в недрах секретных лабораторий секретные математики не придумали какую-нибудь секретную теорему.
Что значит "плохи"? Они имеют вполне определённый круг применимости. Блокнотик плох по-своему, но и его используют где уместно (см. OTP, например). Иначе почему его все не используют как самый верный?

V>Блокнотик стоит особняком. У него размер ключа равен размеру сообщения, и поэтому его стойкость зависит только от того, удалось ли под завязку набить ключ энтропией. Что такое информационная энтропия, мы знаем. Откуда её можно брать — тоже. Там нет никаких чёрных лебедей, и никогда не было, потому что изначально исходили из предположения, что лебеди бывают вообще любые, а дефекты базовой аксиоматики (в данном случае это математическая теория связи) по-любому относятся уже или к козням Дьявола, или к зомби-апокалипсису, от которых по условиям ТЗ мы не защищаемся. Поэтому достаточно просто сделать всё правильно по инструкции. Тупо выполнить все пункты, и всё будет ОК.
Это в теории, в математике. Притом эта теорема об "идеальной защите блоктнотом" постулирует теоретическую безопасность передачи блокнотика. А на практике блокнот как-то надо регулярно передавать практически. Т.е. с т.з. теории создать ещё один канал передачи данных, специальный, для блокнотика. Со своими характеристиками безопасности уже зависящих не от математики, а от физики. Насколько легко подделать голографическую наклейку? Можно ли блокнотик скопировать без вскрытия, каким-нибудь хитрым новым секретным образом в секретной лаборатории? И в конце-концов — хватит ли нам этого канала для наших нужд?

V>Теперь смотрим внимательно на КК. Элемент неопределённости, даваемый лебединой белизной учебника квантовой физики — не самая большая гнусность этого метода. В конце концов, традиционные методы шифрования в этом плане просто хуже. Основная гнусность КК заключается в том, что он не решает задачу, сформулированную в ТЗ. Напомню, в ТЗ говорилось о способе передать секретные данные через априорно ненадёжный канал. Решение, предлагаемое КК: а давайте построим априорно надёжный канал. Извините, ребята, но это сразу фэйл. Дальше можно даже в подробности не вдаваться. В ТЗ сказано, что канал ненадёжный, и это существенный пункт.
Что значит ненадёжный? По каким видам атак? Просто MITM может другими средствами проверяться, банальным shared key, а надёжное создание секретного материала с гарантией непрослушки может быть обеспечено КК.

V>Блокнотик выдерживает этот существенный пункт ТЗ. Доставка ключа — подготовительное мероприятие, которое передачей данных не считается. Если на то пошло, это скорее доставка аппаратуры, которая делается заблаговременно. Данные же передаются по мере возникновения потребности по открытому каналу через все тернии публичного Интернета. Всё в точном соответствии с ТЗ.
Это нечестно. Ты подменил вопрос надёжности криптосистемы (все мероприятия), на надёжность некоторого узла. Я тебе тогда проще решение предложу. Выкини блокнотик и просто вози саму информацию на Сапсане. Даже XOR никакой не нужен.

V>Итого простыми словами: в ситуации, когда нам нужна надёжная передача данных по открытому каналу, КК сразу идёт лесом, потому что оно про другое. Остаются удобные и практичные, но принципиально ненадёжные традиционные технологии, и не настолько практичный, но принципиально непробиваемый блокнотик.
КК решает вполне конкретную атаку — eavesdropping. Всё.

Здравствуйте, ·, Вы писали:

·>КК решает вполне конкретную атаку — eavesdropping. Всё.

Любая криптография — это именно защита от ивздроппинга. Только у КК предлагается физически строить отдельный надёжный канал, а у других товарищей всё сильно гибче. Другие виды криптографии работают даже тогда, когда физически коннект через халявный Wi-Fi неизвестного происхождения в каком-нибудь далёком аэропорту.

·>Блокнотик плох по-своему, но и его используют где уместно (см. OTP, например). Иначе почему его все не используют как самый верный?

Ни в коем случае не спорю. Много возни с этими одноразовыми ключами. Тем не менее, долгое время основная проблема была в том, что хранение больших объёмов данных было дорогой и муторной задачей. Отправлять шпиона в командировку с обозом, везущим перфокарты — не совсем оптимально. Но теперь-то можно соорудить какое-нибудь аппаратное решение размером с флэшку, которое одноразово защитит, например, 32ГБ переписки. Много это или мало? Если фильмы качать, то мало, а если банковские транзакции, то на всю жизнь хватит. Приходишь в банк, открываешь VIP-счёт, получаешь USB-фишку и пин-код, и твоя переписка с банком намертво защищена. Как сделать так, чтобы ни один "добрый человек", временно завладев фишкой, не смог скопировать ключ — задача интересная, но решаемая. Мне кажется, удешевление флэш-памяти даёт неплохой шанс сделать блокнотик массовой технологией. Не для всех применений, конечно, но некоторые экологические ниши он вполне может занять. А что касается КК, то, опять же, как мне кажется, для массового применения эта штука не годится.

Здравствуйте, Voblin, Вы писали:


V>Любая криптография — это именно защита от ивздроппинга. Только у КК предлагается физически строить отдельный надёжный канал, а у других товарищей всё сильно гибче. Другие виды криптографии работают даже тогда, когда физически коннект через халявный Wi-Fi неизвестного происхождения в каком-нибудь далёком аэропорту.
Это да... на сегоддняшний день всё плохо, конечно, одно дело условно-безопасный инет на мобильнике за сто баксов, а другое дело супер-пупер оборудование для реализации хз чего кое-как работающего, притом часто с дырявой реализацией. Но всё же это только самые первые идеи, первые и не самые удачные попытки реализации.

Although QKD still requires authentication to prevent man-in-the-middle attacks, it can
make use of either information-theoretically secure symmetric key authentication or computationally
secure public key authentication: even when using public key authentication, we argue that QKD
still offers stronger security than classical key agreement.

И сколько уж криптосистем до сегодняшнего дня поломали.. не счесть.

V>·>Блокнотик плох по-своему, но и его используют где уместно (см. OTP, например). Иначе почему его все не используют как самый верный?
V>Ни в коем случае не спорю. Много возни с этими одноразовыми ключами. Тем не менее, долгое время основная проблема была в том, что хранение больших объёмов данных было дорогой и муторной задачей. Отправлять шпиона в командировку с обозом, везущим перфокарты — не совсем оптимально. Но теперь-то можно соорудить какое-нибудь аппаратное решение размером с флэшку, которое одноразово защитит, например, 32ГБ переписки. Много это или мало? Если фильмы качать, то мало, а если банковские транзакции, то на всю жизнь хватит. Приходишь в банк, открываешь VIP-счёт, получаешь USB-фишку и пин-код, и твоя переписка с банком намертво защищена. Как сделать так, чтобы ни один "добрый человек", временно завладев фишкой, не смог скопировать ключ — задача интересная, но решаемая.
Она условно-решаемая. Т.е. защита от копирования флешки всегда будет традиционной борьбой технологий нападения и обороны.
Копирование квантового состояния же — задача физически нерешаемая, просто исходя из свойств нашего мира.

V>Мне кажется, удешевление флэш-памяти даёт неплохой шанс сделать блокнотик массовой технологией. Не для всех применений, конечно, но некоторые экологические ниши он вполне может занять.
RSA SecurID tokens вроде давно вовсю используются. Шестизначное десятичное число в минуту — оказывается достаточно для надёжной аутентификации на сегодняшний день.

V>А что касается КК, то, опять же, как мне кажется, для массового применения эта штука не годится.
Да её в массы пока никто и не двигает. Кванты вообще пока удел только супер-богатых организаций.