id: Гость   вход   регистрация
текущее время 09:11 29/03/2024
создать
просмотр
редакции
ссылки

Как сохранить безопасность против слежки АНБ


Теперь, когда у нас достаточно подробностей о том, как АНБ шпионит за интернетом, включая сегодняшнюю публикацию о целенаправленных действиях АНБ по ослаблению криптосистем, мы наконец можем подумать, как обезопасить себя.


Последние две недели я вместе с Guardian работал над историей вокруг АНБ и прочитал сотни сверхсекретных документов АНБ, предоставленных информатором Эдвардом Сноуденом. Я не принимал участие в сегодняшней публикации — она готовилась задолго до моего появления, — но всё прочитанное мной подтверждает сообщения Guardian.


Теперь же, как мне кажется, я готов дать ряд советов, как оградить себя от подобного противника.


Основной способ слежки АНБ за интернет-коммуникациями — это каналы связи, именно там наилучшим образом масштабируются его технические возможности. Агентство реализовало гигантские программы по автоматическому сбору и анализу сетевого трафика. Но всё, что требует от него взлома конкретных компьютеров, является значительно более рискованным и затратным, и оно идёт на подобные действия гораздо реже.


АНБ имеет доступ к магистральным каналам интернета за счёт своих тайных соглашений с телекоммуникационными компаниями — всеми компаниями из США и Великобритании, а также ряда прочих своих «партнёров» по всему миру. В случаях, когда оно не может положиться на такой «дружественный» доступ, оно идёт на всё, чтобы обеспечить скрытое прослушивание коммуникаций: подключается к подводным кабелям, перехватывает спутниковую связь и т.д.


Объёмы получаемых данных огромны, но АНБ располагает в равной мере огромными возможностями, чтобы быстро просеивать их в поисках интересующего трафика. «Интересующими» могут быть множество характеристик: источник, адресат, содержание, участники коммуникации и прочее. Все эти сведения направляются в гигантскую систему АНБ для последующего анализа.


В ещё больших объёмах АНБ собирает метаданные трафика: кто и с кем связывается, когда, как долго, каким способом. Метаданные, по сравнению с содержанием, гораздо проще хранить и анализировать, они могут иметь чрезвычайно личный характер для человека и они невероятно ценны для разведки.


Возглавляет направление по сбору данных Управление системной разведки, и объёмы ресурсов, которые оно выделяет на эти цели, просто поражает. Я читаю отчёт за отчётом, рассматривающие возможности этих программ, их функциональные детали, планы модернизации и т.д. На каждую конкретную проблему — извлечение электронных сигналов из оптических кабелей, поддержание скорости перехвата терабайтных потоков данных, отфильтровывание интересующих вещей — есть своя отдельная группа, занятая поисками решений. Охват тем глобален.


АНБ также атакует и сами сетевые устройства: маршрутизаторы, свитчи, брандмауэры. Большинство этих устройств имеют встроенные функции для прослушки; хитрость заключается в том, чтобы незаметно активировать их. Это крайне плодотворное направление взлома: маршрутизаторы реже обновляют, на них реже установлены программные средства безопасности и они, как правило, не рассматриваются в качестве уязвимого компонента.


Кроме того, АНБ направляет значительные ресурсы на взлом оконечных компьютеров. Этим делом у них занимается группа TAO — Отделение адаптированного доступа. У TAO есть меню эксплоитов, которыми оно может «обслужить» ваш компьютер (будь он под управлением Windows, Mac OS, Linux, iOS или чего-то ещё), и ряд приёмов, чтобы доставить их на ваш компьютер. Их не обнаружит ни ваш антивирус, ни, скорее всего, вы сами, даже если будете знать, что искать. По сути, это хакерские инструменты, разработанные хакерами с практически безграничным бюджетом. Что я вынес из документов Сноудена — это тот факт, что если АНБ захочет влезть в ваш компьютер, оно влезет. Точка.


АНБ решает проблему зашифрованных данных, с которыми ему приходится сталкиваться, в основном обходя криптографию, нежели используя какие-то секретные математические открытия. Во-первых, в мире полно бестолковой криптографии. К примеру, если оно обнаруживает сетевое соединение, защищённое с помощью MS-CHAP, его легко взломать и восстановить ключ. Оно взламывает слабые пользовательские пароли, используя такие же словарные атаки, которыми пользуются гражданские хакеры.


Как мы сегодня узнали, АНБ также «взаимодействует» с разработчиками средств безопасности, чтобы их коммерческие средства шифрования были уязвимы в таких местах, о которых известно только Агентству. Мы помним, что такое уже было в истории: CryptoAG и Lotus Notes — два самых ярких примера, и есть свидетельства в пользу бэкдора в Windows. Несколько человек сообщили мне ряд более свежих историй из своего недавнего опыта, и вскоре я собираюсь об этом написать. В сущности, АНБ предлагает компаниям вносить небольшие незаметные изменения в их продукты: сделать генератор случайных чисел менее случайным, каким-либо образом производить утечку ключа, добавить общую экспоненту в протокол согласования ключей и т.п. Если кто-либо обнаруживает бэкдор, он объясняется как обычная программная ошибка. И, как нам теперь известно, АНБ добилось невероятных успехов с этой инициативой.


TAO также взламывает компьютеры для извлечения долгосрочных ключей. Таким образом, если вы поддерживаете VPN со сложным общим секретом для защиты данных, и АНБ посчитает их заслуживающими внимания, оно может попытаться выкрасть этот секрет. Такие операции предпринимаются только в отношении особо важных целей.


Итак, как же вам организовать безопасную связь при наличии такого противника? Сноуден дал ответ в своём интервью вскоре после обнародования своих первых документов: «Шифрование работает. Должным образом реализованные стойкие криптосистемы — одна из немногих вещей, на которую вы можете положиться».


Думаю, это правда, даже несмотря на сегодняшние откровения и провокационные намёки Джеймса Клэппера, директора национальной разведки, на «прорывные возможности криптоанализа», сделанные им в другом сверхсекретном документе. Все эти возможности заключаются в намеренном ослаблении криптографии.


Но последующая фраза Сноудена имеет не меньшую значимость: «К несчастью, оконечная безопасность столь ужасающе низка, что АНБ зачастую способно её обойти».


«Оконечная» — это программы, которые вы используете, компьютер, на котором вы их используете, и локальная сеть, в которой вы их используете. Если АНБ удастся модифицировать алгоритм шифрования или закинуть на ваш компьютер троян, никакая криптография на свете вам уже не поможет. Если вы хотите сохранить безопасность против АНБ, вам придётся пойти на всё, чтобы работе шифрования ничто не могло помешать.


Исходя из всего сказанного, у меня есть пять советов:


  1. Спрячьтесь в сети. Используйте скрытые сервисы. Используйте Tor, чтобы самому оставаться анонимным. Да, АНБ интересуют пользователи Tor, но это всё равно препятствие для его работы. Чем менее вы заметны, в тем большей вы безопасности.
  2. Шифруйте связь. Используйте TLS, используйте IPSec. Опять же, хотя АНБ целенаправленно перехватывает зашифрованные коммуникации (и, возможно, располагает специальными эксплойтами против названных протоколов), вы будете гораздо лучше защищены, чем при передаче данных открытым текстом.
  3. Исходите из того, что хотя ваш компьютер могут взломать, для АНБ это будет дополнительной работой и риском, так что, вероятно, он не взломан. Если имеете дело с чем-то действительно важным, используйте автономные не подключенные к сети системы. С тех пор, как я начал работать с документами Сноудена, я купил новый компьютер, который никогда не подключал к интернету. Когда мне нужно передать файл, я зашифровываю его на безопасном компьютере и отношу к своему сетевому компьютеру на флэшке. Чтобы расшифровать что-то, я действую в обратном порядке. Этот метод не безупречен, но достаточно хорош.
  4. Относитесь с подозрением к шифровальному ПО, особенно от крупных разработчиков. Полагаю, что большинство криптографических продуктов от больших американских компаний имеют бэкдоры для АНБ и, скорее всего, множество зарубежных тоже. Будет разумным допустить, что иностранные продукты идут в комплекте с собственными иностранными бэкдорами. АНБ проще встроить закладки в закрытое ПО, нежели в ПО с открытым исходным кодом. Системы с общими секретами более уязвимы для АНБ, за счёт как законных, так и нелегальных методов.
  5. Старайтесь использовать стандартные методы шифрования, которые должны быть совместимы с другими реализациями. Например, АНБ труднее встроить бэкдор в TLS, нежели в BitLocker, поскольку реализация TLS у одного разработчика должна быть совместимой со всеми прочими реализациями TLS, тогда как BitLocker должен быть совместим лишь самим собой, что развязывает АНБ руки при внесении изменений. И поскольку BitLocker проприетарен, вероятность обнаружения в нём этих модификаций значительно ниже. Отдавайте предпочтение симметричному шифрованию над шифрованием с открытым ключом. Предпочитайте общепринятые системы на дискретных логарифмах перед системами на эллиптических кривых; последние содержат константы, проталкиваемые АНБ при малейшей возможности.

То время, что я работаю над документами Сноудена, я использую GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit и ещё несколько вещей, о которых мне бы не хотелось распространяться. В моей программе Password Safe есть недокументированная шифровальная функция, доступная из командной строки; её я тоже использую.


Я сознаю, что большинство перечисленного невозможно для простого интернет-пользователя. Даже я сам не использую все эти инструменты для всего, над чем я работаю. И я по-прежнему, к сожалению, использую в основном Windows. С Linux было бы безопасней.


АНБ превратило саму ткань интернета с гигантскую платформу для слежки, но всё же оно не владеет тайной магией. Оно ограничено рамками тех же экономических реалий, что и все мы, и наилучший для нас способ самозащиты — сделать слежку за нами настолько дорогой, насколько это возможно.


Доверяйте математике. Шифрование — ваш друг. Хорошо обращайтесь с ними и сделайте всё от вас зависящее, чтобы они не были скомпрометированы. Это поможет вам оставаться в безопасности даже перед лицом АНБ.


© 2013 Брюс Шнайер
Перевод © 2013 SATtva

 
На страницу: 1, ... , 7, 8, 9, 10, 11, ... , 18 След.
Комментарии [скрыть комментарии/форму]
— Гость (15/09/2013 23:25)   <#>
В моей программе wwwPassword Safe
Эта программа для Win, а как быть в Линукс?
— unknown (15/09/2013 23:57, исправлен 16/09/2013 00:00)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Cpm, KeePass Password Safe, KeePassX, KED Password Manager.


Password Safe:

Password Safe is now an open source project. As of May 11, 2013, the latest Windows version is 3.31. A Linux version is currently in beta.
— Гость (16/09/2013 01:12)   <#>
Если бы каскады с разными ключами были слабее отдельных шифров, то этим бы пользовались криптоаналитики. Достаточно шифртекст зашифровать ещё раз другим ключом и результат ослабнет. Это же абсурд. Очевидно каскад слабее быть не может. Но поборники академического подхода всё время пытаются свести разговор к слабости каскадов с одним ключом и замолчать каскады с разными ключами, которые скорей всего надёжней.

Сжатие может быть полезно в двух отношениях. Во-первых при атаке грубой силой (на ключ шифрования) нужно добавлять декомпрессию к алгоритму дешифровки. Если файл мал и помещается в один блок на диске, то это некоторая добавка ко времени перебора. Но если файл большой и занимает много блоков, то эта добавка увеличивает время перебора во много раз. Для декомпрессии нужно преобразовать весь файл (все блоки), в то время как для дешифровки достаточно части файла, находящейся в одном блоке. Чем больше размер файла, тем больше увеличивается время перебора, что равносильно повышению битности ключа. Но, как утверждают криптоаналитики, чаще всего дешифровка осуществляется не атакой на ключ, а анализом структуры шифртекста, и знание ключа не требуется. Как раз в этом случае, сжатие делает почти невозможным сопоставление открытого и шифртекста без знания ключа. Невозможно последовательно угадывать фрагменты открытого текста, т.к. для этого нужно уже знать весь текст. Замена всего одного символа в открытом тексте приводит к полному изменению его сжатого вида (за исключением служебных символов).

Но "академиков" такие соображения не интересуют, и местном faqe это прямо сказано. Учёные не занимаются расшифровкой и скорей всего не умеют этого делать. Их профиль не практика, а формальные доказательства.

Насчёт генератора случайных чисел, в котором могут быть закладки как программные, так и аппаратные. Для дискового шифрования часто менятся лишь пароль, а сам ключ гораздо реже, может быть раз в год. Поэтому для надёжного выбора ключа можно вообще обойтись без генератора, путём случайного набора на клавиатуре с последующим хешированием. Всего 25 латинских символов, что соответствет log2(25)=4.6 бита на символ. Понятно, что набор может иметь характерную манеру, уменьшающую случайность, а значит и битность очередного символа. В качестве оценки снизу можно считать что под каждой рукой находится 8 клавиш, нажатия на которые случайны. Это соответствует 3 битам на символ. В секунду можно нажать не менее 5 раз, т.е. 85 символов ~ 256 случайных бит набирается максимум за 17 секунд. Для подстраховки можно набрать в два раза больше, а потом хешировать sha-256. В результате получится случайный 256-битный ключ безо всяких закладок. Остаётся лишь вопрос о надёжности хеш-функции, не ухудшает ли она случайность. Может быть местные учёные ответят на этот вопрос.
— unknown (16/09/2013 02:10, исправлен 16/09/2013 02:16)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Но поборники академического подхода всё время пытаются свести разговор к слабости каскадов с одним ключом и замолчать каскады с разными ключами, которые скорей всего надёжней.

Кто ввёл понятие "каскада с одним ключом"? Он вообще не рассматривался в работах. Там максимум пытались в одной заоптимизированной конструкции в тройном каскаде сократить ключ с тройного до двойного. Вообще, каскады — это такое явление, для которого существует даже редко употребляемый термин — "криптографический фольклор". Пользуйтесь каскадами назло АНБ и особенно "академикам". А то академики — народ принципиальный. Не используют то, что не лезет в модели доказуемой безопасности. Или что не умеют формально описать. И другим не советуют поэтому использовать.


при атаке грубой силой (на ключ шифрования) нужно добавлять декомпрессию к алгоритму дешифровки.

Но если файл большой и занимает много блоков, то эта добавка увеличивает время перебора во много раз.

Брутфорс не учитывает затраты времени на один шаг. Он завязан на лимит Ландауэра. Физично, как говорит spinore.


тем больше увеличивается время перебора, что равносильно повышению битности ключа.

Вычислительно можно увеличить битность ключа бит на 20-40 максимум, от этого принципа в своё время отказались.


Как раз в этом случае, сжатие делает почти невозможным сопоставление открытого и шифртекста без знания ключа. Невозможно последовательно угадывать фрагменты открытого текста, т.к. для этого нужно уже знать весь текст.

Сжатие ≠ AONT. Вам уже ответили. Беллейр ответил криптографам, потащившим эту чушь в литературу. Сжатие не даёт ни рэндомизации, ни выравнивания распределения — он прямо указывает на это как на тривиальный факт, противоположное утверждение является систематической ошибкой, если его использовать в доказательствах. Я вам больше скажу, даже AONT не даёт рэндомизации. Рэндомизацией корректно называть только то, что может быть получено только путём увеличения размера шифртекста — введение случайного блока, затем обработка некоей функцией перед шифрованием. При расшифровании этот блок должен быть отброшен. Может быть синтетическая рэндомизация (вычисление псевдослучайного IV по номеру блока), но она и так внесена в режимы дискового шифрования — CBC-ESSIV, XTS. Единственное, что даёт сжатие — это диффузию открытого текста на больший размер блока, так это можно сделать простейшим линейным преобразованием (как в майкрософтовском дисковом шифровании Elefant Diffuser), не говоря уже об AONT. Это просто режим дискового шифрования. Ну так лучше специально спроектировать режим Wide-Block encryption (а они спроектированы, но пока в ближайшей перспективе не планируются к внедрению), а не доверять эту задачу сжатию.


Но "академиков" такие соображения не интересуют, и местном faqe это прямо сказано. Учёные не занимаются расшифровкой и скорей всего не умеют этого делать. Их профиль не практика, а формальные доказательства.

Да, они найдут различитель от случайности и скажут, что это и есть взлом. Или приведут обоснования отсутствия такого различителя. По поврежденному фрагменту архива можно найти различитель для известного текста, не говоря уже о подобранном. Академики работают с более сильной формализацией безопасности, а вы пытаетесь с более слабой формализацией достичь более сильного уровня.


Поэтому для надёжного выбора ключа можно вообще обойтись без генератора, путём случайного набора на клавиатуре с последующим хешированием.

Назад в девяностые. В /dev/random это реализовано как один из источников случайности. Ровно так и рассуждали, когда его проектировали. Иногда приходится и по клаве стучать, чтобы его наполнить. Только вот на всяких серверах с випиэнами и пр. программы переключают на /dev/urandom со всеми вытекающими. Одним дисковым шифрованием всё не ограничивается и даже это не такой тривиальный случай, как кажется.

— Гость (16/09/2013 18:30)   <#>

У вас нет ни малейшего представления ни о науке, ни о криптографии. Как влияет та или иная операция на стойкость шифра — сложный вопрос. Не доказано, что нечто улучшает (или хотя бы что не ухудшает) криптостойкость — значит, потенциально может ухудшить, поэтому ничего недоказанного не применяют.

Вот есть самолёт и есть инженерная инструкция, где всё прописано от и до: что, где и как делать. Вам захочется летать с пилотом, который на глазок будет определять, что можно и так и эдак и ещё вот такой недокументированный выкрутас сделать в воздухе? Вот в крипто так же. "Инженеры" разработали шифр и режим, он "сертифицирован" и "рекомендован", а самопал может кончиться катастрофой, и вы даже не сможете предсказать, где, в каком месте и почему.


Безопасность шифра не определяется на глазок. На глазок любое запутывание может показаться полезным, а на если применить матметоды, то оказывается, что далеко не всякое. Можно долго наворачивать, а потом прийдёт человек с формальным подходом и расколупает все эти навороты общими методами.
— Гость (16/09/2013 22:12)   <#>
В этом сообщении, посвящённом научной строгости, три раза встречается слово "исключение". Напомню, что конце 19 века физика тоже считалась законченной наукой, за небольшими исключениями, из изучения которых и возникла физика 20 века.

И я всё же рекомендовал бы вам не путать недоказанные утверждения с ложными – здоровее будете.
— Гость (16/09/2013 22:17)   <#>
Также как и с истинными.
— Гость (16/09/2013 23:55)   <#>

Мы живём в эпоху теоретического криптоанализа. ©


Может быть слабее, может быть стойче, очевидностей нет.


Если шифр сам не рандомизирует всё как надо, то зачем такой шифр? Ему уже и внешние рандомизации — как мертвому припарки, не там, так в другом месте слабость вылезет. ©

вы упёртый невежда, который последнее, что знает о криптографии — советские байки 50-летней давности, вы застряли в своём эволюционном развитии в тех годах, и не имеете ни малейшего представления о том, что такое современная криптография. Когда публика уже летит на Марс вы пытаетесь понять, как работает колесо для транспортировки грузов — именно настолько велик провал между вашими заблуждениями и современной реальностью. ©

Считайте, что ваши рассуждения утратили актуальность минимум 50 лет назад, а ваши «учителя» захламили ваши мозги ложной (на текущий момент) информацией. Выкиньте из головы вообще всё, что вы знаете, про крипто, и изучайте его с полного нуля, иначе даже на уровне понятий вы не будете понимать, о чём, собственно, другие ведут речь.


Мы живём в эпоху теоретического криптоанализа. © Сейчас никто не думает в рамках «насколько легко практически ломать шифр». Шифр, по современным меркам, может быть тотально сломан и уязвим даже несмотря на то, что до практического восстановления открытого текста там как до Луны пешком.


Да, потому что в таких соображениях нет никакого смысла. Шифр бракуют ещё за миллион шагов до возможности осуществления тех атак (практического взлома), о которых вы говорите. И даже за миллион шагов, т.е. на уровне теоретического криптоанализа, доказать уязвимость шифра очень непросто. Каждое нахождение такой теоретической уязвимости — больше событие в криптографии.


Ага, а вы умеете. Раз говорите о каскадах, вы готовы расшифровать, допустим, уже теоретически в некоторой степени сломанный AES? Практическая расшифровка для современных шифров невозможна, если только вы не знаете чего-то такого, чего не знает весь мир, но последние утечки говорят о том, что взлом современных симметричных шифров не под силу даже АНБ — вместо этого они предпочитают либо встраивать бэкдоры в их реализации, либо запудривать мозги при принятии стандартов на протоколы. Да, и уязвимость в протоколое получить можно и при стойких криптопримитивах.


Они опираются не на уловки, а на научный подход. Неуниверсальные уловки — удел гэбни.


При шифровании диска случайность требуется всего один раз? А как же режимы шифрования, векторы инициализации?


Было уже сказано:

Ну, тогда что-нибудь типа этого можно привести в пример.

что является ссылкой на

Ну да, его там сжимали, черз S/P блоки пропускали, это затрудняет анализ, но это биективное преобразование без ключа, когда-то так поломали экстрактор случайности (генератор случайных чисел из шума, работающий по схожему принципу), после чего доказали, что все экстракторы должны строиться на небиективных сжимающих функциях.

И какой бы ни была информация в данном случае, она будет иметь отклонения от случайной, что отразится на статистике, чем больше блоков, тем больше будет утечка информации о ключе.
<...>
Можно ли востаносить псевдослучайную последовательность без знания ключа?
Вопрос обычно ставят так — можно ли для начала найти различитель от идеальной псевдослучайной функции?


Оно было упомянуто не для того, чтобы вас покормить, а чтобы быть более точным и учесть все возможные случаи.


От того, что вы здесь 20 раз слово-в-слово повторите свои бредовые аргументы, полностью игнорируя то, что вам отвечают, истиности в них не прибавится ни грамма. Разговор на эту тему давно окончен [1], [2].
— Гость (17/09/2013 00:03)   <#>
Брутфорс не учитывает затраты времени на один шаг. Он завязан на лимит Ландауэра

В чём измерять затраты на взлом – времени или электроэнергии – вопрос вторичный. Электроэнергию, имеющую эквивалент в деньгах, можно достать, а время – нет. Если ресурсы атакующего ограничены мощностью (энергия в единицу времени), то критерием целесообразности взлома является именно время. По поводу лимита Ландауэра (это опять же теоретическая гипотеза, а не практичесий критерий) имются сомнения. Утверждается что на создание каждого бита информации нужно затратить энергию, а при уничтожении битов энергия выделяется. Но чтобы уничтожить информацию на зашифрованном диске, достаточно уничтожить ключ шифрования. Размер ключа одинаков при разных объёмах диска, и значит выделение энергии при его уничтожении не зависит от количества потерянной информации.

Назад в девяностые. В /dev/random это реализовано как один из источников случайности.

Вот именно, что один из многих источников, каждый из которых может иметь слабые места. Много ли пользователей проверяло содержимое исходного кода? Плюс ещё вопрос доверия к разработчику. Способ с набором на клавиатуре исключает необходимость разбираться в коде, разбираться в стойкости ГСЧ, доверять разработчкам. Т.е. не требует квалификации и необходимости полагаться на чью-то аккуратность и порядочность. Разумеется для шифрования сетевых соединений это вряд ли годится, хотя тоже применимо если заранее накопить энтропию в файле и указать его как источник случайности в конфигурационном файле сетевого приложения.

У вас нет ни малейшего представления ни о науке, ни о криптографии.

Меня совершенно не интересует ваше мнение о моих представлениях, тем более что оно не соответствует действительности. Ваш пост не несёт полезной информации. В сравнении с ответом unknownа, вы создаёте информационный шум.
— Гость (17/09/2013 00:35)   <#>
Практическая расшифровка для современных шифров невозможна, если только вы не знаете чего-то такого, чего не знает весь мир, но последние утечки говорят о том, что взлом современных симметричных шифров не под силу даже АНБ

Для этого и существуют спецслужбы, в том числе анб, чтобы добывать информацию о "чём-то таком, чего не знает весь мир". Или они не входят в вашу модель угрозы? Утечки это далеко не истина. И почему-то существуют разные nsa suite a и b, первый из которых засекречен. Раз секретят, значит не так уверены в стойкости, в отличие от вас.

Они опираются не на уловки, а на научный подход. Неуниверсальные уловки — удел гэбни.

Уловки это одна из тех вещей, которые соединяют теорию с практикой. Теория без способности её применить бесполезна с точки зрения результата.

При шифровании диска случайность требуется всего один раз? А как же режимы шифрования, векторы инициализации?

Если более точно, то три раза – ключ, iv и соль для пароля. Речь шла о способе, а не о количестве раз. Можно набить побольше случайности, а потом её скриптом извлекать.
— Сноуден (17/09/2013 01:25)   <#>

Недоказанные утверждения не берут в расчёт. Использование недоказанных утверждений в доказательстве делает всё доказательство ложным.* А раз разница между недоказанными и заведомо ложными сообщениями при использовании научного метода прослеживается слабо, их грубо относят к одному классу, поэтому считайте, что это во многом синонимы.

Недоказанные утверждения, в общем-то, даже хуже (полностью) ложных, т.к. несут ноль информации о чём-либо. Утверждение о том, что нечто всегда ложно — инверсия истины и потому в некотором смысле разновидность истины. Опираясь на всегда ложные утверждения можно много чего наковырять. А если утверждение недоказано, это, как правило, означает не его абсолютную истиность или ложность, а то, что утверждение недоформуировано, т.е. в нём не произведена должная дифференциация между случаями. При внимательном изучении, как правило, оказывается, что в каких-то случаях недоказанное утверждение верно, а в других ложно, но имея ноль информации о том, каковы эти случаи, мы имеем вообще ноль полезной информации из этого (недоказанного) утверждения.

Когда доказывают утверждения, чтобы сделать их них теоремы, совокупное утверждение разбивают на правдоподобные недоказанные куски, после чего доказывают каждый кусок отдельно. Если вы из 100 кусков не смогли доказать хотя бы один, всё доказательство (и все доказательства других кусков) не имеет никакого смысла для доказательства основного утверждения.

Это легко показать на простом примере: вы можете произвести 100 правильных математических преобразований над уравнением, но если среди них есть хотя бы одно некорректное (деление на ноль), то ответ, в общем случае, будет неверным. Более того, введя деление на ноль в одном из сотен шагов, вы можете «доказать» всё, что угодно, — например, равенство любых чисел или любых алгебраических выражений.

Такие недоказанные куски — классический случай протечек в доказательствах, их часто очень трудно найти. Могу привести примеры из практики:
  1. В этой работе на стр. 36 приведён Appendix A — это доказательство теоремы 1 со стр. 5. Этот Appendix A опирается на одно очевидно неверное утверждение, из-за чего всё доказательство ошибочно. Позже это доказательство было целиком убрано и заменено на на другое (и это ещё очень повезло, что люди смогли быстро пофиксить). В этой же работе на стр. 38 сказано «can be similarly proved» — а это неудачная попытка закрыть другую обнаруженную протечку. Кстати, закрыли очень неудачно, потому что потом оказалось, что оно если и может быть «proved», то не «simiraly»: есть шаги в [22], которые не обобщаются на рассматриваемый случай.
  2. В этой работе на стр. 4 есть ошибка, из-за чего одно из утверждений аннотации вида «мы показали, что...» является по факту непоказанным (доказательство не работает во многих случаях). Кстати, ошибка совершенно глупая и очевидная, она скорее из-за невнимательности, но исправить её нельзя. По крайней мере, корректное доказательство мне неизвестно. Стоит отметить, что эта ошибка потом переползла в этот обзор, а, может, и не только в него. Кстати, все статьи уже давно опубликованы в журналах, поэтому можно срубить эррату.
  3. В [cencored] работе есть ошибка на стр. [cencored], из-за которой целиком вся статья отправляется в мусорное ведро: все утверждения статьи неверны. Ошибка не лежит на поверхности, но ничего особенного из себя не представляет (обычная невнимательность при расчётах). Она тоже опубликована в порядочном журнале, но писать эррату не надо, если нет горячего желания решать проблемы с политическим убежищем, сидя в аэропортах.
В качестве лёгкого домашнего упражнения: найдите ошибки в примерах 1, 2 и 3. Они простые, лежат на поверхности, даже ручку с бумажкой в руки брать не надо — достаточно логики и взгляда на формулы.

*Строго говоря, неоконченным, что эквивалентно отсутствию доказательства. Соответственно, выдача неоконченного доказательства за оконченное есть ложь; такие доказательства иногда называют ошибочными.
— Наиля_Аскерова (17/09/2013 02:09)   <#>
Есть спор. Есть предмет спора. Есть стороны, участвующие в споре. Есть сторонний наблюдатель с покорномъ. С позиции неангажированного стороннего наблюдателя могу сказать, что каждая из сторон по-своему права и неправа одновременно. Довольно частое явление, если пытаться объективно рассматривать предмет спора и свою точку зрения, высказываемую в споре, соотнося её с точкой зрения оппонента.
Правота академических кругов и их измышлений базируется на научном подходе и академических же канонах. Ок. Правота пользовательского практического подхода определяется на глазок здравым смыслом, ресурсами, целями и задачами, лежащими в практической плоскости. Два этих подхода объединяет только предмет, в данном случае СКЗИ и их использование в общем и целом. В остальном, что хорошо пользователю, то академику смерть. Утверждение обратимо. В то же время практика должна базироваться на теории ровно до тех условных границ, в каждом конкретном случае своих, когда следование теоретическим выкладкам идет в ущерб их практической реализации.

Скажите мне, господа академики, на кой чёрт адекватному параноику или рядовому юзеру принимать во внимание тот факт, что алгоритм и(или) его реализация уязвимы к таким-то теоретически моделируемым атакам, проведение которых возможно лишь с привлеченим вселенских ресурсов? Есть разница между тем, чему учат в автошколе, тем, чему учат в школе контраварийного вождения и тем, что предлгает реальная дорога? Более того, выживание в экстремальной ситуации зачастую происходит не "благодаря", а "вопреки" теории.

Скажите мне, господа хорошие, на кой чёрт академику принимать во внимание тот факт, что вам достаточно на глазок и на коленке сварганить тему и не спалиться? У них иная система координат и они действуют, исходя из своего положения в ней и требований, предъявляемых ею, а не исходя из обывательских мнений и соображений, которые, казалось бы, лежат на поверхности, но на деле далеки от истины в частных случаях. Что, кстати, абсолютно верно с точки зрения науки.

Если говорить о принятии пользователем научных догм и постулатов, то у каждого пользователя свой подход к проблеме. Дело науки — обосновать, доказать, опубликовать. Дело юзера — принять, применить, отклонить в любых непротиворечащих друг другу сочетаниях. Баста.

P. S. Упертость — свойство, присущее многим. И академикам, и обывателям. Достойно лучшего применения, чем в циклических спорах. Но новые ворота подчас так соблазнительны.
— Гость (17/09/2013 02:26)   <#>

Обоснуйте их, опубликуйте, тогда будет ещё одна научная работа, а вас будут цитировать и ссылаться на ваше мнение. Войдёте в историю, как-никак.


Это практическая оценка снизу. И не надо так рьяно нападать на теорию и противопоставлять её практике, а то смотрится так, будто вы сами себе на лбу написали «я не осилил».


Нет, недостаточно. Уничтожение ключа создаёт лишь видимость уничтожения информации — для тех, кто не владеет алгоритмами её взлома, они её практически на данный момент не могут (полностью) восстановить. Впрочем, даже из самых общих утверждений понятно, что наличие шифртекста к открытому тексту — это масса информации (в строгом смысле) об открытом тексте. То, что мы не можем ею воспользоваться на практике — это другой вопрос. Абсолютным шифрованием является только OTP, и вот здесь всё получается так, как вы сказали: чтобы уничтожить бит сообщения, надо уничтожить один бит гаммы (ну, или шифртекста). И вот при OTP информация реально теряется в полноценном смысле этого слова (и криптографически, и математически и физически).


Зависит (см. выше).


В рамках группы, стоящей за проектом, несогласия по вопросу каскадов, как видно из обсуждений в этом топике, нет, но вы с этим несогласны. Т.е. вы считаете, что здесь все участники проекта неправы за исключением вас и горстки анонимных троллей, что побуждает вас встать в модераторскую позу и вещать о том, чьи посты несут информацию, а чьи — только шум? По-моему, на предыдущих страницах всё уже обсуждено, но вы продолжаете переливать из пустое в порожнее вместо того, чтобы осмыслить ранее сказанное в этом треде.


Можно допустить, что они что-то такое знают в области криптографии, чего не знает весь мир, но не ограничивать их знания сверху глупо. Законы развития мира едины, обмен информацией между миром ГБ и открытым всё равно есть, как бы ни старалось создать заслонку ГБ, поэтому считать, что ГБ всесильно и может всё — глупость. Правильнее сказать, что они могут чуть больше (за счёт административного ресурса) и знают чуть больше (за счёт независимого вложения в крипто), но концептуально это не меняет расклад сил.

Особенно чётко видна корреляция между силой спецслужб конкретного государства и знаниями открытого сообщества того же государства; почему-то про спецслужбы Сомали мы ничего не слышим, зато про спецслужбы западных государств с развитой открытой наукой что-то, бывает, проскакивает.


Эта тема не раз обсуждалась, есть пост даже в этом топике:

Вспоминается, что когда стали ивестны названия шифров из NSA Suite A, никто из профессиональных криптографов не высказал интереса — решили, что там нет ничего сильно отличающегося от открытой науки, на что стоило бы смотреть.

Гуглите. Я считаю, что не стоит в честь вас повторять все те уже высказанные аргументы. Обсуждение NSA Suite A и аргументы за/против здесь всплывает ровно столько, сколько существует сам сайт. Если подвести черту под ранними обсуждениями, то она сводится примерно к вышеуказанной цитате, т.е. никаких глубоких выводов из этой подстраховки NSA не следует. Кроме того, противоположная АНБ сторона, ФСБ, тоже ничем не блещет:

Что стоит за его утверждениями о монстроподобности если не DES, то даже ГОСТ — непонятно. Приведённый им шифр Ангстрем интересен на то момент, но ничего особенного сейчас он из себя не представляет (при неисследованной стойкости) на фоне остального открыто известного. Хэш Масленникова не прошёл первые этапы конкурса SHA-3, на фоне массы других инновационных и претенциозных наработок тоже ничем особо не выделился.

что может наталкивать на всё те же выводы.


Разумная теория покрывает всё множество практических случаев. Если угодно, теория — это и есть обобщение, экстракт, эссенция полезного, что можно (часто только потенциально, после бесконечного числа усилий) выудить из практического опыта, сводящегося к методу проб и ошибок, поэтому не стоит их противопоставлять. Цель теории — сделать так, чтобы никакие уловки не работали. Консервативно считается, что если всё так плохо, то и уловки вас не спасут. Если вы хотите защититься от крайних случаев, то надо не уловки городить, а доразвивать теорию, которая бы защищала от всего класса уловок.

Уловки — самый крайний случай, по существу ничего не решающий ни при защите, ни при нападении, т.к. научное знание интересуют только воспроизводимые, масштабируемые методы, а не принцип медведя. В «О безопасности через неясность и о единой точке отказа» unknown очень чётко изложил, чем уловки (а это и есть по сути принцип медведя) плохи.
— Гость (17/09/2013 03:03)   <#>

Речь идёт не о споре «теоретики vs практики», а о чём-то типа «официальная научная медицина vs знахарство» или «наука vs народные мифы».

Если говорить о практическом подходе, то обыватель при такой модели угрозы уже всё потерял, и пить боржоми ему поздно. Если обыватель пытается что-то предпринять против, это смотрится, как оборона мыши против слона. Но мыши не верят, сначала разводя истерику, а потом успокаивая себя ложными ощущениями безопасности. На unknown'а тут льют ушаты грязи во многом и потому, что он отбирает у этих хомячков чувство своей защищённости. Если мыши хотят воевать со слонами, им надо стать хотя бы львами, т.е. мыслить не на мышинном уровне пространства, а на уровне более глобальном и серьёзном — том, в котором работают животные покрупнее. И если даже «академики», как вы их называете, ничего толком не могут предложить и даже предположить (с их точки зрения противник, делающий практическим взлом AES, почти всесилен, а они по сравнению с ним такие же мыши), то что говорить об обывателях и их уловках?


Атаки никогда не становятся слабее. © «Практический взлом вследствие криптографической нестойкости»: примеры ВНЕЗАПНОГО фейла с RC4 и MD5 очень показательны. В конце концов, если достаточно выполнять рекомендации по выбору криптопримитивов, почему бы их не не выполнять? Зачем сочинять уязвимые аутентификации вида hash(message+key) или hash(key+message+key), а то и тривиально взламываемые hash(key+message) [посмотрите, сколько статей на хабре с такими «велосипедами»] вместо того, чтобы воспользоваться готовым, проработанным и доказанным HMAC? Шифрпанк ради шифрпанка?


Кто вам говорит, что народного поверья достаточно, чтобы не спалиться? То, что противник не знает каких-то деталей схемы или не догадается до них — уловка, часто не имеющая под собой никакой основы. Более того, есть множество случаев, когда все эти уловки тривиально раскалывали. Тем не менее, народ не учится на своих ошибках, и каждый думает, что уж он-то точно умнее всех остальных, сочинявших эти уловки до него.
— Гость (17/09/2013 09:10)   <#>
Ваша манера вести разговор явно провокационная, т.к. вы пытаетесь разделить всех на две группы ("теоретики" и "практики") и противопоставить. Зачем вам это надо – по глупости, обусловленной переразвитым эго и стайным инстинктом, или по злому умыслу – можно только гадать. Я пишу только от себя, а не от вымышленного вами "сообщества практиков" и аргументирую ответы на конкретные вопросы, причём нигде не отрицал академический подход. Отвечать лично вам не считаю нужным, т.к. ваши хамские обороты не заслуживают внимания.
На страницу: 1, ... , 7, 8, 9, 10, 11, ... , 18 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3