id: Гость   вход   регистрация
текущее время 19:38 23/07/2019
создать
просмотр
редакции
ссылки

Как сохранить безопасность против слежки АНБ


Теперь, когда у нас достаточно подробностей о том, как АНБ шпионит за интернетом, включая сегодняшнюю публикацию о целенаправленных действиях АНБ по ослаблению криптосистем, мы наконец можем подумать, как обезопасить себя.


Последние две недели я вместе с Guardian работал над историей вокруг АНБ и прочитал сотни сверхсекретных документов АНБ, предоставленных информатором Эдвардом Сноуденом. Я не принимал участие в сегодняшней публикации — она готовилась задолго до моего появления, — но всё прочитанное мной подтверждает сообщения Guardian.


Теперь же, как мне кажется, я готов дать ряд советов, как оградить себя от подобного противника.


Основной способ слежки АНБ за интернет-коммуникациями — это каналы связи, именно там наилучшим образом масштабируются его технические возможности. Агентство реализовало гигантские программы по автоматическому сбору и анализу сетевого трафика. Но всё, что требует от него взлома конкретных компьютеров, является значительно более рискованным и затратным, и оно идёт на подобные действия гораздо реже.


АНБ имеет доступ к магистральным каналам интернета за счёт своих тайных соглашений с телекоммуникационными компаниями — всеми компаниями из США и Великобритании, а также ряда прочих своих «партнёров» по всему миру. В случаях, когда оно не может положиться на такой «дружественный» доступ, оно идёт на всё, чтобы обеспечить скрытое прослушивание коммуникаций: подключается к подводным кабелям, перехватывает спутниковую связь и т.д.


Объёмы получаемых данных огромны, но АНБ располагает в равной мере огромными возможностями, чтобы быстро просеивать их в поисках интересующего трафика. «Интересующими» могут быть множество характеристик: источник, адресат, содержание, участники коммуникации и прочее. Все эти сведения направляются в гигантскую систему АНБ для последующего анализа.


В ещё больших объёмах АНБ собирает метаданные трафика: кто и с кем связывается, когда, как долго, каким способом. Метаданные, по сравнению с содержанием, гораздо проще хранить и анализировать, они могут иметь чрезвычайно личный характер для человека и они невероятно ценны для разведки.


Возглавляет направление по сбору данных Управление системной разведки, и объёмы ресурсов, которые оно выделяет на эти цели, просто поражает. Я читаю отчёт за отчётом, рассматривающие возможности этих программ, их функциональные детали, планы модернизации и т.д. На каждую конкретную проблему — извлечение электронных сигналов из оптических кабелей, поддержание скорости перехвата терабайтных потоков данных, отфильтровывание интересующих вещей — есть своя отдельная группа, занятая поисками решений. Охват тем глобален.


АНБ также атакует и сами сетевые устройства: маршрутизаторы, свитчи, брандмауэры. Большинство этих устройств имеют встроенные функции для прослушки; хитрость заключается в том, чтобы незаметно активировать их. Это крайне плодотворное направление взлома: маршрутизаторы реже обновляют, на них реже установлены программные средства безопасности и они, как правило, не рассматриваются в качестве уязвимого компонента.


Кроме того, АНБ направляет значительные ресурсы на взлом оконечных компьютеров. Этим делом у них занимается группа TAO — Отделение адаптированного доступа. У TAO есть меню эксплоитов, которыми оно может «обслужить» ваш компьютер (будь он под управлением Windows, Mac OS, Linux, iOS или чего-то ещё), и ряд приёмов, чтобы доставить их на ваш компьютер. Их не обнаружит ни ваш антивирус, ни, скорее всего, вы сами, даже если будете знать, что искать. По сути, это хакерские инструменты, разработанные хакерами с практически безграничным бюджетом. Что я вынес из документов Сноудена — это тот факт, что если АНБ захочет влезть в ваш компьютер, оно влезет. Точка.


АНБ решает проблему зашифрованных данных, с которыми ему приходится сталкиваться, в основном обходя криптографию, нежели используя какие-то секретные математические открытия. Во-первых, в мире полно бестолковой криптографии. К примеру, если оно обнаруживает сетевое соединение, защищённое с помощью MS-CHAP, его легко взломать и восстановить ключ. Оно взламывает слабые пользовательские пароли, используя такие же словарные атаки, которыми пользуются гражданские хакеры.


Как мы сегодня узнали, АНБ также «взаимодействует» с разработчиками средств безопасности, чтобы их коммерческие средства шифрования были уязвимы в таких местах, о которых известно только Агентству. Мы помним, что такое уже было в истории: CryptoAG и Lotus Notes — два самых ярких примера, и есть свидетельства в пользу бэкдора в Windows. Несколько человек сообщили мне ряд более свежих историй из своего недавнего опыта, и вскоре я собираюсь об этом написать. В сущности, АНБ предлагает компаниям вносить небольшие незаметные изменения в их продукты: сделать генератор случайных чисел менее случайным, каким-либо образом производить утечку ключа, добавить общую экспоненту в протокол согласования ключей и т.п. Если кто-либо обнаруживает бэкдор, он объясняется как обычная программная ошибка. И, как нам теперь известно, АНБ добилось невероятных успехов с этой инициативой.


TAO также взламывает компьютеры для извлечения долгосрочных ключей. Таким образом, если вы поддерживаете VPN со сложным общим секретом для защиты данных, и АНБ посчитает их заслуживающими внимания, оно может попытаться выкрасть этот секрет. Такие операции предпринимаются только в отношении особо важных целей.


Итак, как же вам организовать безопасную связь при наличии такого противника? Сноуден дал ответ в своём интервью вскоре после обнародования своих первых документов: «Шифрование работает. Должным образом реализованные стойкие криптосистемы — одна из немногих вещей, на которую вы можете положиться».


Думаю, это правда, даже несмотря на сегодняшние откровения и провокационные намёки Джеймса Клэппера, директора национальной разведки, на «прорывные возможности криптоанализа», сделанные им в другом сверхсекретном документе. Все эти возможности заключаются в намеренном ослаблении криптографии.


Но последующая фраза Сноудена имеет не меньшую значимость: «К несчастью, оконечная безопасность столь ужасающе низка, что АНБ зачастую способно её обойти».


«Оконечная» — это программы, которые вы используете, компьютер, на котором вы их используете, и локальная сеть, в которой вы их используете. Если АНБ удастся модифицировать алгоритм шифрования или закинуть на ваш компьютер троян, никакая криптография на свете вам уже не поможет. Если вы хотите сохранить безопасность против АНБ, вам придётся пойти на всё, чтобы работе шифрования ничто не могло помешать.


Исходя из всего сказанного, у меня есть пять советов:


  1. Спрячьтесь в сети. Используйте скрытые сервисы. Используйте Tor, чтобы самому оставаться анонимным. Да, АНБ интересуют пользователи Tor, но это всё равно препятствие для его работы. Чем менее вы заметны, в тем большей вы безопасности.
  2. Шифруйте связь. Используйте TLS, используйте IPSec. Опять же, хотя АНБ целенаправленно перехватывает зашифрованные коммуникации (и, возможно, располагает специальными эксплойтами против названных протоколов), вы будете гораздо лучше защищены, чем при передаче данных открытым текстом.
  3. Исходите из того, что хотя ваш компьютер могут взломать, для АНБ это будет дополнительной работой и риском, так что, вероятно, он не взломан. Если имеете дело с чем-то действительно важным, используйте автономные не подключенные к сети системы. С тех пор, как я начал работать с документами Сноудена, я купил новый компьютер, который никогда не подключал к интернету. Когда мне нужно передать файл, я зашифровываю его на безопасном компьютере и отношу к своему сетевому компьютеру на флэшке. Чтобы расшифровать что-то, я действую в обратном порядке. Этот метод не безупречен, но достаточно хорош.
  4. Относитесь с подозрением к шифровальному ПО, особенно от крупных разработчиков. Полагаю, что большинство криптографических продуктов от больших американских компаний имеют бэкдоры для АНБ и, скорее всего, множество зарубежных тоже. Будет разумным допустить, что иностранные продукты идут в комплекте с собственными иностранными бэкдорами. АНБ проще встроить закладки в закрытое ПО, нежели в ПО с открытым исходным кодом. Системы с общими секретами более уязвимы для АНБ, за счёт как законных, так и нелегальных методов.
  5. Старайтесь использовать стандартные методы шифрования, которые должны быть совместимы с другими реализациями. Например, АНБ труднее встроить бэкдор в TLS, нежели в BitLocker, поскольку реализация TLS у одного разработчика должна быть совместимой со всеми прочими реализациями TLS, тогда как BitLocker должен быть совместим лишь самим собой, что развязывает АНБ руки при внесении изменений. И поскольку BitLocker проприетарен, вероятность обнаружения в нём этих модификаций значительно ниже. Отдавайте предпочтение симметричному шифрованию над шифрованием с открытым ключом. Предпочитайте общепринятые системы на дискретных логарифмах перед системами на эллиптических кривых; последние содержат константы, проталкиваемые АНБ при малейшей возможности.

То время, что я работаю над документами Сноудена, я использую GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit и ещё несколько вещей, о которых мне бы не хотелось распространяться. В моей программе Password Safe есть недокументированная шифровальная функция, доступная из командной строки; её я тоже использую.


Я сознаю, что большинство перечисленного невозможно для простого интернет-пользователя. Даже я сам не использую все эти инструменты для всего, над чем я работаю. И я по-прежнему, к сожалению, использую в основном Windows. С Linux было бы безопасней.


АНБ превратило саму ткань интернета с гигантскую платформу для слежки, но всё же оно не владеет тайной магией. Оно ограничено рамками тех же экономических реалий, что и все мы, и наилучший для нас способ самозащиты — сделать слежку за нами настолько дорогой, насколько это возможно.


Доверяйте математике. Шифрование — ваш друг. Хорошо обращайтесь с ними и сделайте всё от вас зависящее, чтобы они не были скомпрометированы. Это поможет вам оставаться в безопасности даже перед лицом АНБ.


© 2013 Брюс Шнайер
Перевод © 2013 SATtva

 
На страницу: 1, ... , 6, 7, 8, 9, 10, ... , 18 След.
Комментарии [скрыть комментарии/форму]
— unknown (14/09/2013 22:06)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Хамят и паясничают здесь в основном тролли, которые начинают с претензий на глубокомыслие. Даже если пытаться вытащить из их наивных мыслей какой-то конструктив, подсказывая им, как формулируются условия задачи, что из похожих идей уже давно рассматривалось в публикациях и насколько далеко от этого ушли вперёд, они всё равно возвращаются к своему уровню знаний и манер обсуждения.

На ЛОРе такого не разводят по причине большого числа посетителей, просто сносят все драгоценные посты анонимов (да и зарегенных) по большей части.

Вам в очень-очень мягкой манере попытались объяснить, что если усиление безопасности можно было бы легко обосновать, его бы давно уже внесли в доказуемую безопасность из области бездоказательной и использовали бы как методы "долгосрочно стойкой криптографии", которая вам кажется такой легкодостижимой, возможно по причине вашего собственного недостаточного знания.

То вы говорите, что "академики" сели в лужу перед АНБ, хотя в лужу сели не создатели криптопримитивов, а разработчики плохообоснованных протоколов, коммерческого железа и ПО, части шифрпанковского наива и лишь в одном месте стандартизаторы от НИСТ, отчасти IETF (что было давно известно). То ещё как-то съезжаете с темы.

В атаках на SSL типа BEAST, блочный шифр остался стойким, режим шифрования (если бы его корректно применяли) — стойким, аутентификация (опять же, при правильном применении — стойкой). А всё вместе собрали шифрпанковским способом в нестойкий, необоснованный протокол, который позволяет реально получить открытый текст при нескольких тысячах запросов к дешифрующему оракулу. Сколько таких протоколов ещё используется? Сколько уязвимостей к ним знает АНБ? Да, на практике от BEAST-атаки можно было бы спастись перестраховками (накручивать VPN против атакующего уровня местного ISP), отключать JavaScript в браузере. Но лучше создавать качественные протоколы, т.к. перестраховки больше маскируют проблемы, чем реально от них защищают. Мотивированный прицельный атакующий, который якобы можно ломать нескаскадированные шифры, может неизмеримо больше делать на уровне протоколов.
— Гость (14/09/2013 23:56)   <#>
А всё вместе собрали шифрпанковским способом в нестойкий, необоснованный протокол, который позволяет реально получить открытый текст при нескольких тысячах запросов к дешифрующему оракулу.

Не существует "серебряной пули". Нет, не было и не может быть универсального подхода к проектированию протоколов. Поскольку всегда найдется некоторая модель угроз, которая окажется неучтенной.
Критиковать всегда проще, чем разобраться для чего именно было предназначено то или иное решение. И насколько разумно его использование для других целей. Только в этом ключе и может идти конструктивный диалог или обсуждение.



Касаемо поведения unknown, то на моей памяти различными людьми здесь уже не раз было сказано о недопустимости подобного. То как он себя ведет определяет качество аудитории, что здесь собирается. Потому как unknown отсвечивает практически в каждом топике и при этом наделен полномочиями модератора.

которая вам кажется такой легкодостижимой, возможно по причине вашего собственного недостаточного знания.
Лично мною подобного не утверждалось и прекрасно знаю, что надо делать, когда кажется. А приписывание собеседнику того, что им не было сказано — один из известных приемов троллинга.

То вы говорите, что ... То ещё как-то съезжаете с темы.
Несколько собеседников, н е с к о л ь к о.
И у каждого свое мнение с желанием высказаться. Так что не надо выдумывать одного какого-то мегатролля для оправдания своего поведение.
— unknown (15/09/2013 00:52, исправлен 15/09/2013 01:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Не существует "серебряной пули". Нет, не было и не может быть универсального подхода к проектированию протоколов. Поскольку всегда найдется некоторая модель угроз, которая окажется неучтенной.

Есть формально обоснованная доказуемая безопасность. И протоколы на ней построенные тоже ломают с помощью пересмотра полноты доказательств. А есть эвристическая модель разработки (исправление багов по мере выявления). Не осилив формально обоснованную модель, как можно пытаться выдвигать то, что не укладывается даже в её рамки и требует ещё больших обоснований?


Касаемо поведения unknown, то на моей памяти различными людьми здесь уже не раз было сказано о недопустимости подобного.

Несколько собеседников, н е с к о л ь к о.

Анонимы неразделяемы и их различие непроверяемо. Так что и отвечать можно некоему коллективному анониму. Если ни одного ценного анонимного мнения не выделено, чтобы его обсуждать персонально.


По поводу поведения модераторов — критика и персональные выпады против модераторов обычно без вопросов удаляются в любом форуме. И даже любые комментарии с намёками на подобное. Никакие претензии к модерации публично не рассматриваются, пресекаются и решаются модераторами в конечном итоге всё равно между собой на основании непубличных жалоб пользователей.


Я легко признаю ограниченность своих знаний почти по всем темам. По вопросу каскадов и перестраховочной криптографии — в первую очередь. Хотелось бы вживую посмотреть на такое чудо, как признанного специалиста в этой области (хотя и Шнайер и др. уделяли внимание этой теме в середине девяностых, но разумно сошли на нет с этой мутной области). Если чего-то не знаю, то просто уведомляю о своём личном мнении, не советуя пользоваться тем, в чём не разбираешься. Никаких новых знаний, однако, анонимы здесь не предоставили. Мне всё равно, один вы там, несколько, целая бригада, каждый по отдельности или по договорённости, или ещё каким-то путём, но сейчас также будете съезжать с темы, в сторону, что "академическое сообщество не интересуется долговременной безопасностью".
. Что смешнее всего, я с этим и не спорю, я же и ввёл этот оборот, но не для того, чтобы так примитизировали и опошляли его смысл. Долговременная безопасность потребует ещё наголову более сложной теории, чем та, которая есть сейчас, а не доморощенных упражнений, основанных на упрощённых и устаревших представлениях.


Собственно, доморощенные методы перестраховочной криптографии (и прочая заведомая маргинальщина, недооценённая модераторами), внятно не сформулированные и не вынесенные на обсуждение в отдельные темы (которых и так уже более чем полно), могут быть снесены как оффтопик.

— SATtva (15/09/2013 10:25)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4088
Касаемо поведения unknown, то на моей памяти различными людьми здесь уже не раз было сказано о недопустимости подобного.

Да! Доколе! Партбилет на стол!

[admin]
Ряд анонимных комментаторов настолько охренел, что уже берёт на себя роль администрации проекта, собираясь за неё решать, чьё поведение здесь более достойно и приемлемо? Администрация проекта имеет на это напомнить, что со своим уставом в чужой монастырь соваться не принято. Если кого-то (особенно разномастных троллей) не устраивает чьё-либо поведение, их здесь никто не держит. Любому флейму у нас одно место — здесь. Благодарю за внимание.
[/admin]
— Гость (15/09/2013 11:38)   <#>

В ссылках unknown'а, приведённых в /comment70444, есть комментарии, где дан ответ: мнение мейнстрима. Подразумевается, что на вопрос «есть ли» никто не даст ответа, т.к. для этого пришлось бы опросить всех до одного представителей научного направления. По конвенции менйстрим в науке считается если не истиной, то чем-то близким к ней, поэтому мнения никому неизвестных одиночек никого не интересует. Если бы за каскадами стояло громкое топовое имя, наверное, о нём бы многие слышали (в т.ч. и unknown). Вообще, вопрос интересный, прозвучи они раньше, я мог бы спросить мнение про каскады у авторов Rijndael, но вряд ли оно было бы чем-то сильно отличным от того, что говорит unknown.


В науке нет понятия веры, есть доказанное и недоказанное. Всё, что не является доказанным, считается ложью за исключением некоторых очень особых случаев, над которыми очень долго билось сообщество, но так и не смогло их доказать несмотря на их правдоподобность. Кроме того, эти случаи должны быть важны, и к ним должно сводиться множество задач. И вот только эти случаи именуются гипотезами. Как правило, их так мало, что они либо именные, либо имеют собственные названия. Если вам за всю жизнь удастся сформулировать хотя бы одну такую проблему, которая потом станет гипотезой, считайте, что вы её прожили не зря. А недоказанные утверждения на форуме — это просто ахинея, а не гипотезы.

Наука так работает потому, что из всего множества утверждений лишь исключительно малое их количество являются верными. Чтобы получить всегда верное утверждение, надо очень долго работать над его поиском.

Ваша логика такова: мы идём по пустыне и заметили какой-то камень. Поскольку мы ещё его не изучили и не рассмотрели, есть вероятность, что это бриллиант, поэтому давайте строить свои рассуждения так, будто вероятность того, что это бриллиант, не исключена. Такой подход привёл бы к непомерному усложнению и запутыванию науки, поэтому она на него не опирается. Итак,
  1. Любое утверждение должно быть скреплено доказательством (есть редкие исключения).
  2. Тяжесть доказательства лежит на том, кто его высказал.
  3. Недоказанные утверждения не играют никакой роли, их нигде и ни в чём не берут в расчёт (есть редкие исключения), т.е. считают ложью до тех пор, пока не будет доказано обратное.


Безопасность реально используемых вариантов не доказана ⇒ они не безопасны. А если ещё и есть рассмотрение общих модельных конструкций, где доказано, что каскадирование может ухудшить криптостойкость, то, тем более, к каскадам будут относиться ещё подозрительней.


Если даже для идеальных шифров не всё так гладко, то откуда взяться уверенности, что для неидеальных будет лучше?


(4) использование каскадов — это безопасновательные вы???ны выпендрёж. :-)

Кстати, содержимое FAQ на тему каскадов, возможно, устарело. Может быть, unknown'у стоило бы как-то чётче отразить там мысль?


Приведите конкретные цитаты, где это утверждалось.

Во-первых, в обсуждении про AONT (unknown выше дал ссылку) было сказано, что рандомизация открытого текста едва ли может быть сделана надёжно. Во-вторых, «шифрование без ключа» — абсурдное словосочетание, нет такого понятия. Рандомизация ≠ шифрование.


dmsetup (научил вас на свою голову, каюсь) не имеет никакого отношения к сжатию ФС. В принципе можно представить, что он мог бы что-то рандомизировать с сохранением объёма (перемешивая блоки), но и это делать незачем, как уже неоднократно было отмечено.


Сжатие данных ≠ AONT, первое лишь создаёт иллюзию рандомизации и если и работает где-то, то исключительно по причине безопасности через неясность.


Абсолютную безопасность данным даст только OTP, но тогда придётся где-то хранить и охранять гамму, что эквивалентно охране самого текста, поэтому рекомендую «криптологам в погонах» охранять свои секреты по-старинке пропускным режимом, по крайней мере, до того момента, как появятся квантовые носители информации с безусловным безопасным квантовым шифрованием, направление которого развивается в ряде работ вами ругаемыми «академиками» уже сейчас.


Если понимать вычислительную стойкость шифра буквально, то ни про один реальный шифр не доказано, что он вычислительно стойкий.


Интересный факт. Надо запомнить.


Тоже голосую за ответ на /comment70496. Пункты понятные, высказано конкретно. Если к ним нет претензий, можно что-то такое вынести в FAQ (ну, или попрость Гостя (14/09/2013 20:53) добавить туда это).


Модель, в рамках которой доказывают безопасность протокола, делают как можно более общей и универсальной заведомо. «Модель угроз, которая окажется неучтёной» — этот нонсенс. Хорошо обоснованные протоколы могут работать десятилетиями, прежде чем там нароют хоть что-то, отдалённо свидетельствующее об их небезопасности (да и то, чисто теоретически).


Это про SSL/BEAST? Ну так расскажите нам, почему эти проблемы в SSL были неизбежны, а то пока только тупорылое хамство от вас свищет во все стороны.




Свинья под дубом в её классическим исполнении.


Один из оравы троллей нарвался, потом другой из-за его спины. Сами нарвавшиеся пытаются мимикрировать друг под друга и никак не показывать того, что они разные. Когда человек оборачивается, то отвечает одному из них, на что тот всё валит на другого и начинает «базар» «ты меня с кем-то попутал». Может, вас уже пора запереть обратно в обезьянник?

А, может, гость просто троллит, и все посты принадлежат одному ему (это даже для зареганных ников не всегда легко проверить, а чего говорить про анонимных...).


Это опять вы? Никакого уважительного мнения к тому, кто засоряет форум ложными сообщениями, нет и быть не может. Когда нечего сказать по существу, разыгрывать карту «мне не нравится тон собеседника» — последнее дело. Не несите чушь на публичном форуме, и не будет к вам «неуважительного» отношения. В другом месте вам бы ответили ещё короче и ещё конкретней.


Это бесполезное занятие. Я с этого гостя уже однажды пытался выжать конструктив, но ничего не получилось. Те, от кого можно узнать что-то полезное, ведут себя иначе, и уровень аргументов у них другой.


Местное ГБ может делать то же самое: устраивать саботаж любых сообщений по существу, разводить срачи и троллинг, отвлекая сообщество от обсуждения важных проблем. Также оно может замусоривать сайт ложными сообщениями, чтобы у того, кто в не в теме, сложился «плюрализм» мнений, который бы никуда нельзя было бы пришить.

Пользуясь тем, что многие пишут под гостями, это даёт возможность любому прийти сюда и начать рассказывать «как оно на самом деле» с таким видом, будто бы это истина в последней инстанции, а все другие дураки кругом. Может, уже пора 4.2 ввести в правила? А то надоело тратить по 10 часов на объяснение всем и каждому, почему они не правы.

Напоминает это:

Распространение таких взглядов очень выгодно АНБ и всем спецслужбам. Открытое академическое сообщество их всегда раздражало и ещё до девяностых были попытки судебных преследований и требований неразглашения материалов (например в случае с протоколом аутентификации Фейге-Фиата-Шамира). Сейчас открытые наезды прекратились, зато стало выгодно распространять несоответствующие реальности слухи, изолировать академическое сообщество от разработчиков программ и пропагандировать популистско-шифрпанковский подход, который подхватывается малограмотными нонкорформистами на ура.

Местное ГБ на форуме занимается тем же самым? Может, именно поэтому unknown их так нервирует больше всех, как единственный, больше других пропагандирующий научный подход?


От специалиста по пыткам слышу. На ЛОРе для таких предусмотрено правило 4.2, гласящее о том, что вызывающе неверная информация подлежит сносу, и никого не волнует, по теме эта информация или не по теме, т.е. никакого плюрализма мнений по вопросам, с которыми всем всё и так ясно (ибо зачем срач по каждому поводу? срачей и так хватает).


Я скажу даже больше: читаю этот форум по большей части потому, что есть посты unknown'а. Если его здесь не будет, говорить по существу будет тут не с кем и не о чем, да и смысла в этом не будет, хотя какой смысл об это объяснять... моська — она на то и моська, чтобы лаять на слона. Мог бы сказать и намного более веские аргументы, чем эти, что стало бы сюрпризом для всех, включая членов проекта, да не буду — незачем троллям об этом знать.


Один из лучших постов unknown'а, прочитал с удовольствием. Аргументы чёткие, ясные, хорошо проговорены.


По-моему, это какой-то общий тренд, который наблюдается в топиках почти на любую тему. Общий вид: приходит «спец» и с видом всезнающего что-то вещает, не трудясь привести никаких аргументов в пользу своего мнения. На все вопросы следует ответ вида «и я должен учить вас?», т.е. «кому надо, тот знает». Создаётся такое впечталение, что сюда приходят не за тем, чтобы взаимообогатиться знаниями, а за тем, чтобы узнать, как много знает открытое сообщество по сравнению с ними. Если выясняется, что знает, то всё ОК. Если чего-то не знает, то про это молчок. Цели что-то рассказать другим своими постами-заклинаниями не прослеживается даже очень отдалённо.


В ИКСИ ведомственных структурах другого не умеют [1], [2], [3], [4], [5], [6], [7], [8], [9]. Их методы зародились ещё раньше, чем шифрпанк, поэтому они ещё не доросли даже до последнего. Что нового мы узнали на форуме от сотрудников силовых структур:
1. Существует идеальный блочный шифр.
2. ГОСТ лучше всех. Нападки на ГОСТ исключительно политические, а так шифр просто идеальный.
3. Сертификационный криптоанализ — буржуйская тема, поэтому в топку его.
4. В Егорове и Бабаше написан такой криптоанализ, что академическая наука не знавала ничего подобного.
5. Никакой универсальности шифров нет, открытый текст надо рандомизировать перед шифрованием. Видимо, в профильных вузах этому до сих пор учат.
6. В ведомственные структуры люди идут, чтобы изучить историю спецсвязи.
7. От отрицаемого шифрования всем будет один лишь вред.
8. Они знают, как правильно пытать людей, и не считают пытки и выбивание показаний чем-то зазорным.
Список можно продолжать и продолжать, но смысл ясен: пишут на форуме ахинею ⇒ сотрудники силовых структур (и gyhsal, в частности) здесь не нужны.

P.S. Пост писался до публикации предыдущего поста SATtva'ы, поэтому повторно редактировать его с учётом удалённых не стал.
— SATtva (15/09/2013 12:06)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4088
На ЛОРе для таких предусмотрено правило 4.2, гласящее о том, что вызывающе неверная информация подлежит сносу, и никого не волнует, по теме эта информация или не по теме, т.е. никакого плюрализма мнений по вопросам, с которыми всем всё и так ясно (ибо зачем срач по каждому поводу? срачей и так хватает).

Подумаю над этим, зашкал неконструктива тоже начинает утомлять.

Я скажу даже больше: читаю этот форум по большей части потому, что есть посты unknown'а.

В значительной мере +1.
— ntldr (15/09/2013 13:04)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Каскады имеют смысл только с независимым ключом, а получение такого ключа — само по себе проблема, поскольку обычно используют KDF или PRNG, а это уже ломает доказательство неухудшения.

Я вот в DC реализовал каскады только из-за того, что они есть в TC, и их хотят определенные параноики. Что же касается практики, то есть смысл оптимизировать использование шифров по их производительности на конкретном железе. Все три шифра, реализованные в DC (AES, Twofish и Serpent), своими особенностями реализации как раз покрывают спектр доступных процов: там, где один работает хуже, другой работает лучше. Например:
  1. Twofish быстрее остальных на процах AMD Phenom 2, т.к. там медленный SSE2, и нет аппаратного AES. Twofish быстрее всех там, где нельзя сделать специфичную оптимизацию. Generic-код Twofish'а быстрее, чем generic-коды AES/Seprent, поэтому его логично использовать, например, на древних процессорах от AMD.
  2. AES работает быстрее всех там, где он аппаратный — это новые Intel'ы и VIA C6 / VIA Nano.
  3. Serpent работает быстрее всех на тех Intel'ах, где нет аппаратного AES (он очень удачно ложится на SSE/AVX). В частности, Serpent на AVX намного быстрее AES, который на параллельные инструкции не ложится. Seprent самый быстрый на дешевых ноутбуках с Intel Atom (у Atom'а нет аппаратного AES, зато очень неплохо работает sse).
Что касается стойкости, то, по-моему мнению, [тотальное IMHO] самый стойкий — Serpent, потом идет Twofish, и самый слабый — AES.

A вот RNG в DC у меня конкретно перестраховочный в лучшем шифрпанковском стиле :) Доказательств его стойкости нет, но сам RNG обсуждался на pgpru.com, unknown критиковал мои (на тот момент тоже шифрпанковские, к сожалению, аргументы), но позже его критика, по возможности, была учтена. Правда, на тот момент, когда это делалось, со стандартами на RNG было плохо. Я как-то думал переделать эту часть (RNG) на современные стандарты (на что-нибудь, совместимое со стандартом NIST), но не знаю, стоит ли, потому что эти стандарты мне кажутся большим компромиссом в сторону производительности, а я там не гигабайты рандомом заполняю, а всего лишь генерирую ключи.

Старая статья с описанием текущего RNG опубликована здесь. Внизу там есть «Быстрый ГПСЧ для генерации больших объёмов случайных чисел» — это 1 в 1 стандарт AES_CTR_DBRG. Я от него уже отказался в одной из промежуточных версий, эта часть убрана вообще. Раньше для заполнения раздела рандомом использовался отдельный быстрый RNG, а сейчас я тупо шифрую нули тем же способом, что и данные, на случайном ключе — это упрощает код и уменьшает потенциальную площадь атаки. В новой версии RNG ещё и источников энтропии малость прибавилось, но статью обновить я забыл.

Стандартные схемы, особенно с учетом выявленного бекдора в стандарте, мне показались сомнительными. Моя схема тоже не идеал, хотя как стандарт она бы точно не прошла, т.к. сильно медленная. Более стойкой, чем моя схема, я считаю PRNG Fortuna, которая от Шнайера, но это тоже не стандарт и дикая перестраховка, у неё нет даже референсной реализации. :( Я уже думал поменять RNG в DC на Fortuna'у, и, возможно, так и сделаю в будущем, но на стандарты врядли буду менять.


Видимо, в профильных вузах этому до сих пор учат. Я это очень часто слышу от тех, кто якобы учился криптографии, у кого в вузе был соответствующий курс, и на всяких форумах это частое мнение. Для меня это звучит дико. Если шифр сам не рандомизирует всё как надо, то зачем такой шифр? Ему уже и внешние рандомизации — как мертвому припарки, не там, так в другом месте слабость вылезет.

А сжатие для рандомизации — это вообще дикая дичь. Сжатие сжимает, но его рандомизационные свойства вообще никак не нормируются. Понимаю еще PRP типа как от KeccaK'а, но сжатие... оно — вдвойне дичь еще хотя бы потому, что оно дает на выходе другой размер данных (чаще меньше, но иногда и больше), что повлечёт за собой дополнительные требования к условиям применения, которые могут «не лезть» в схему. Например, дисковое шифрование со сжатием на порядок сложнее реализовать, чем просто шифрование, и проблем открывается больше. В том числе, могут открыться побочные каналы атаки (сжатие меняет размер зависимым от plaintext'а образом, через что может утекать plaintext). Собственно, атаки на SSL и были основаны на этом факте: подмешиваем в plaintext контролируемые нами данные, наблюдаем изменение степени сжатия, изменяем данные и т.д. Делаем это до тех пор, пока не будет вычислен plaintext. Казалось бы, эта атака очевидная, но разработчики SSL её проглядели. Мешать в кучу сжатие и дисковое шифрование я бы точно не взялся.
— Гость (15/09/2013 17:57, исправлен 15/09/2013 18:16)   <#>

Только что запустил benchmark TrueCrypt'а на стареньком двухядерном AMD:

Algorithm Encryption (200Mb) Decryption (200Mb) Encryption (1Gb) Decryption (1Gb)
AES 152 MB/s 149 MB/s 148 MB/s 151 MB/s
Twofish 100 MB/s 97.6 MB/s 101 MB/s 100 MB/s
Serpent 73.5 MB/s 74.0 MB/s 71.4 MB/s 75.1 MB/s
AES-Twofish 61.4 MB/s 59.6 MB/s 61.7 MB/s 60.6 MB/s
Serpent-AES 49.3 MB/s 50.1 MB/s 49.1 MB/s 48.7 MB/s
Twofish-Serpent 42.1 MB/s 43.0 MB/s 42.3 MB/s 42.0 MB/s


Скорее всего дело в банальной путанице, рандомизация есть двух видов. Первая — через перемешивание данных, привычная всем кто контужен криптографией.
Вторая — сокращение избыточности информации. Известна тем, кто погружался в вопросы кодирования информации. Когда нормальное распределение на выходе является следствием оптимального кодирования информации.
Иначе говоря, если информация записана(закодирована) оптимальным образом(сжата), то напоминает выхлоп аппаратного ГСЧ. Вот потому в голове у выпускников и сидит, что самый простой способ рандомизации — это сжать информацию.


[admin]
Флейм и обсуждение политики модерирования удалены. В другой раз буду сносить всё сообщение.
[/admin]

— SATtva (15/09/2013 18:13)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4088
Только что запустил benchmark TrueCrypt'а на стареньком двухядерном AMD

Your results may be different depending on the actual cipher implementation details.
— Гость (15/09/2013 18:46)   <#>

Предполагаю, что для DC результаты были бы другими. ntldr когда-то приводил скрин с бенчмарками, но он был для Intel с аппаратным ускрорением, как я помню. Скрин был даже в википедии, но сейчас почему-то исчез оттуда.

Гость (15/09/2013 17:57), предлагаю вам не ныть тут, а быть мужиком: взять, да запилить свой ресурс по криптографии с блэкджеком без unknown'а и с годными криптографами вроде вас. В конце концов, есть же сайты помимо здешнего, что вас на pgpru.com так заклинило? Люди пишут, что по ссылке трудится много бывших, вам там понравится, вас там примут с распростёртыми объятиями. И, вообще, посмотрите, как много замечательных сайтов вокруг, куда более близких к вам по духу: [1], [2], [3], [4] [internet-law.ru, похоже, сдох].
— SATtva (15/09/2013 18:50)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4088
internet-law.ru, похоже, сдох
Работает.
— Гость (15/09/2013 19:30)   <#>
Гость (15/09/2013 18:46), у вас какие-то проблемы в жизни? Сходите займитесь сексом или спортом. Не приставайте к людям из-за своих тараканов и со своими проекциями.

Пусть этот проект спокойно помрет/выродится из-за дебилизма SATtva. Дай дорогу дураку — жизнь сама поставит на место зарвавшегося быдло провинциала.
Главное в этом процессе, чтобы человека предупредили, а не наблюдали молча, как он катится под уклон из-за проблем самореализацией.
— SATtva (15/09/2013 19:34)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4088
Предупредили, спасибо. Дальше мы как-нибудь сами, Вы не против?

Офф-топик и флейм закончен, все свободны.
— unknown (15/09/2013 21:04)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Тоже голосую за ответ на /comment70496. Пункты понятные, высказано конкретно. Если к ним нет претензий, можно что-то такое вынести в FAQ (ну, или попрость Гостя (14/09/2013 20:53) добавить туда это).

Мне непонятен ответ на эти пункты. Я не рискну дать правильный законченный ответ даже на основании обобщения мнения исследователей. Вывести обобщённое мнение сообщества здесь сложно, скорее большинство исследователей скажут "не знаю, это за пределами моей области". Модели в работах противоречивы, за счёт чего автору удалось добиться коллапса стойкости, мне разобраться не удалось, было ли это кем-то подтверждено независимо, мне неизвестно. Все случаи влияния KDF я тоже не знаю как принято рассматривать. Насколько там критична (не)идеальность самой KDF по отношению к (не)идеальности блочных шифров.

Я допускаю, что теоретически может быть создан блочный шифр (а ещё лучше т.н. универсальный симметричный криптопримитив) с максимально свободной масштабируемостью и параметризацией (по блоку, ключу, числу раундов, числу входов для управляющих векторов, размеру внтреннего состояния). Стандартные значения параметров будут внесены в стандарт, но будут описаны пути безопасного увеличения всех параметров для перестраховщиков и тех, кто может позволить себе потратить больше ресурсов под специфические области применения, не теряя универсальность криптопримитива. Это будет теоретически и практически полезнее, чем мучать каскады, но пока до этого не дошли. Опять же, масштабируемость и параметризация скорее возможны не как самоцель, а как побочный эффект универсализации если будет создана какая-то удачная в этом плане структура шифрующей функции.
— Гость (15/09/2013 23:09)   <#>
Unknown, спасибо за развёрнутый ответ.
На страницу: 1, ... , 6, 7, 8, 9, 10, ... , 18 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3