Простой вопрос о скорости работы SHA1 и MD5

Кстати, вот как незначительное изменение алгоритма простого "умножения" на квазигруппах вместо хэша даёт блочный шифр (из семейства Edon):

Подключ раунда называется l — лидер

a' = l ° a

b' = a' ° b = ( l ° a ) ° b

c' = b' ° c = (( l ° a ) ° b) ° c

d' = c' ° d = ((( l ° a ) ° b) ° c) ° d

и т.д. Затем обратная перестановка a'b'c'd' → d'c'b'a'.

Вот и весь раунд! Два раунда — гарантированный лавинный эффект. Никакой мороки с анализом смешивания на линейных операциях. Размер блока — любой. Никаких операций, не нужен даже XOR. Достаточно одной табличной замены. Результат гарантированно является псевдослучайной перестановкой. Для расшифровки используется обратная квазигруппа. Квазигруппа открытая (есть варианты с закрытыми и с чередованиями). Но работает только если она аморфная. Иначе м.б. нестойкость к дифф. и пр. криптоанализу., различимость к перестановкам байтов (вот где должна быть некоммутативность) и к порядку операций (неассоциативность, это если порядок скобок меняется чуть более сложным образом, чем в примере, например за счёт чуть более сложной межраундовой перестановки, здесь и морфизмы-изотопизмы вылезают). Возможна бешеная скорость при реализации в специализированном железе, универсальные алгоритмы, даже крипткодинг (ваша шутка про то, что шифр будет сам ошибки исправлять — полезно в стеганографии, связи в шумовых каналах).

А что у вас? Обещали красивую теорию.
Но видится какая-то необоснованная сложность даже не через неясность, а через запутанность. И прибитость гвоздями к какой-то специфичной реализации.

В хэш-функции не может быть ключа-пароля. Там всё должно быть открыто противнику. Вот если она работает в режиме поточного шифра, то пожалуйста, добавляйте ключ в качестве входного значения. Но опять же, без привязки к таймеру, иначе это не потоковый шифр, разворачивающий гамму из ключа, а ГПСЧ с подкачкой энтропии с внешних источников, пусть даже таких плохих, как младшие разряды таймера.

Есть коллизии? Плевать! Умножили 256 раз подряд – и все в порядке, теперь вероятность коллизий оценивается в точности и выражается таким числом, что его и на бумага написать неприлично.

Ну как-то совсем наивно-самонадеянно или непонятно, что хотели сказать. Если это хэш с размером выхода 256 бит, то вероятность коллизии при тупом переборе будет 2^-128, даже если эта функция идеальна, как случайный оракул. До каких бы размеров внутреннее состояние не накручивали, внутри него самого коллизий, допустим, будет не найти, а на выходе они будут появляться, тупо по причине конечности всех возможных значений, это же не перестановка. См. второй рисунок.

Опять же, в режиме хэша противник может не только подбирать любые значения на входе, там ведь нет и никакого ключа. Значит он видит все значения на любом раунде. Все ваши "секретные" развёрнутые таблицы, зависящие от текста замены, перестановки, перетасовки и прочие ухищрения с усложнениями бесполезны — они видны и доступны всем, всё внутреннее состояние видно на любом раунде, иначе нельзя посчитать хэш. Поэтому при проектировании универсального алгоритма Skein Шнайеру и Ко пришлось отказаться от такой идеи в шифре Threefish.

А раз разворачивание идёт только из исходного текста, без ключа, то противник будет искать коллизии не перебором, он будет подбирать "плохие" тексты, зная алгоритм и пытаясь получить "плохую" таблицу.

Сильно подозреваю, что у вас на руках в лучшем случае очень специфичный алгоритм, неуниверсальный даже по сравнению с обычными хэшами, заточенный под какое-то узкое применение, сейчас такие возможно просто не нужны. И даже если его переделывать под современные требования, то могут заинтересовать разве что какие-то отдельные решения.

Unknown!
Я не пропал, я усердно пишу ответ.
Извините, я тихоходный, соображаю медленно.

Да, и если я забыл сказать раньше — за беседу спасибо!
В меня не бросают помидорами, со мной обмениваются аргументами, это уже замечательно.

Ох, виноват, опять не сумею сказать все, что хочется и даже то, что уже как бы должен – теперь ведь приходится признать справедливыми такие упреки:

А что у вас? Обещали красивую теорию.

Ну, положим, не обещал выложить все, что знаю, этого не могу, не положено, но хотя бы без частных решений, на уровне общих принципов, которые уже стали предметом разговора…

Тогда первое: насчет единицы сдаюсь, в самом деле, если умножение в квазигруппах использовать вот так напрямую, когда выход хэш-функции есть произведение элементов блока {a, b, c, d, e…}, единица портит дело, на единицу умножай не умножай – толку никакого.

Я об этом не подумал как следует, потому что нужды не было. Во-первых, тот простейший способ порождения квазигрупп, о котором говорилось выше (без усложнений перестановкой строк и столбцов), дает квазигруппы без единицы. Никаких луп! Ассоциативности тоже нет, а коммутативность бывает – это как больше нравится, можно выбрать субстратом абелеву группу, а можно и неабелеву. Во-вторых, как-то не думал, что квазигруппы используются вот так просто, в лоб, – как раз это наивность.

Между тем у знающих людей есть предположения, что гораздо наивнее те методы, которые я расхваливаю, но показывать не хочу, обхожусь какими-то косвенными описаниями, обиняками, околичностями и метафорами (оно на четырех ногах, покрыто шерстью, говорит «мяу» и ловит мышей). Конечно, так и должно быть, когда обсуждается кот в мешке, я могу сколько угодно топать ногами и кричать, что кот очень хороший, но у других людей остается законный повод в этом сомневаться – это вообще закон жизни, закон торговли, а криптографии он касается особо, здесь никто никому но слово верить не обязан.
А что делать? Ну не могу я все выложить в подробностях! Самому хочется, а не могу.

Только в одно прошу поверить на слово: в том ашкелонском изделии, о котором я выдаю сведения по капле, есть разные решения, но наивных нет. Есть решения тихие и аккуратные, вполне корректные и доказательные, есть рискованные, дикие, наглые, как кавалерийская атака, но наивных нет. Я видел архивы, видел всю историю этой разработки, так вот, наивных решений не было уже в версиях 1999 года. Были раньше, но отсеялись.

По этому поводу для начала вот что: композиция (суперпозиция) алгебраических операций из разных групп ADD-XOR-ADD-XOR… действительно некоммутативна, к тому же дает сильную нелинейность выхода, только это не квазигруппа, у этой операции арность другая. Квазигруппа бинарна, у нас какие-то A и B, они могут быть чем угодно, буквами, числами, строками, пуговицами от пиджака, но их всего два, а между ними мы ставим всего один знак, обозначающий операцию, какой-то крестик или бюлетку, и эта бюлетка означает, что действие выполняется по таблице с известными свойствами: если в множестве объектов, которому принадлежат A и B, всего n элементов, таблица имеет размер n×n, при этом каждая ее строка и каждый столбец является перестановкой – всякий элемент множества содержится в ней ровно один раз. Других требований нет, но эти обязательны. Таблицу умножения конечной группы можно рассматривать как частный (и редкий) случай таблицы умножения квазигруппы, потому что она отвечает всем названным условиям, но не наоборот – квазигруппу нельзя представить как случай группы, у квазигруппы общность больше. Да, а многоместные операции это совсем другое дело. Эта замечательная штука ADD-XOR-ADD-XOR… многоместна, тут не то чтобы разных алгебр многовато, тут многовато сомножителей, операндов – она не бинарна, арность у нее другая, по числу сомножителей. И нет никакого способа представить операцию над четырьмя разными объектами операцией над двумя объектами.

Ну, либо я опять чего-то не понял, различающихся операндов всего два, а различных операций над ними производится много – в надежде, что результат будет сложнее (или лучше в каком-то другом смысле):
A (add) B (xor) A (mul) B (and) A (add) B (mul) A (or) B (xor) A (add) B…
Только вот это и есть наивность. Всю эту композицию можно навертеть так, что будет выполнима, причем однозначно выполнима обратная операция, а можно навертеть так (с логическими операциями), что обратной операции не существует. Либо алгебра, либо не алгебра, либо уравнения решаются, либо не решаются… А если алгебра, то какая алгебра? Ну, выписываем всю таблицу умножения и смотрим, на что она похожа. Строки таблицы имеют вид A (×) B = C – то есть операция теперь как бы одна, значит, о кольцах и полях толковать нечего, значит, либо группа, либо квазигруппа, второе более вероятно. Но зачем такие сложности, если сделать квазигруппу намного проще? И много разных, горазо больше, чем композиций из других операций (это утверждение требует комментария, но о функционалах рассуждать не будем, не поместится).

Да, а многоместные операции (настоящие многоместные – сколько мест, столько и разных сомножителей) штука хорошая, и я их видел в архивных версиях этого ашкелонского изделия за 1997 и 1998 год. О, там как раз шло развитие всяких экзотических идей – от многоместных операций к многоместным предикатам, условным предикатам, потом венец всего, против восьми строк ассемблерного кода на полях написана дефиниция: многоместный условно-рекурсивный предикат. Так и слышно наглое хихиканье автора!

Конечно, это стеб, но накручена эта дикая смесь алгебры и логики была не по наивности и не из любви к стебу, там причина простая: не было в руках приличного генератора случайных чисел, чем-то готовым автор не хотел воспользоваться из упрямства (у нас все свое!), а сам не мог придумать какую-то простую конструкцию, получались только сложные. Ну, например, векторный арифметический генератор, в нем была сложная система вложенных счетчиков переменной длины, с переменным шагом, с изменением шага и длины по условиям, такая система раскачивающихся маятников – какую-то минимальную устойчивость ей придавали три переменные с фиксированным периодом изменения (у одной цикл 256, у другой 255, у третьей 253) — их сумма имела гарантированный период чуть больше 16 миллионов, распределение, близкое к равномерному, отвратительное по регулярности чередование четных и нечетных (как натуральный ряд не прячь, он лезет наружу!), а еще десятка два переменных нужны были только затем, чтобы замаскировать эту регулярную структуру, внести в нее хаос, удлинить период… Очень причудливая вещь! И эти переменные, изменявшиеся по смутным и таинственным законам, встречались во внутреннем цикле этой машинки – и там связывались такой же смутной и таинственной функцией, в которой были алгебраические операции, логические операции, операции, выполнявшиеся по условию, операции, выполнявшиеся безусловно… Ага, вот этот самый многоместный условно-рекурсивный предикат, хи-хи! По-русски так: функция от неизвестного числа неизвестных величин, над которыми произодится неизвестное число неизвестных операций. Мрак! Генератор неопределенности…

Все это было очень, очень сложно, но потом вся эта ахинея пропадает, уже к 2000 году все авгиевы конюшни вычищены. Потому что появился настоящий генератор. Настоящий, алгебраический – каждый следующий символ порождается ровно одной алгебраической операцией. Положим, операция не совсем простенькая, не такая, которую можно исполнить в один такт процессора, но это уже алгебра, свойства выходной последовательности известны, предсказуемы, поэтому не надо ничего мудрить и накручивать, пытаясь еще как-то от себя повлиять на распределение и длину периода. И вот тут можно полагать окончание наивного и романтического периода – когда большие сложности кончаются, вместо них появляются средства простые и понятные. Но тут же и начинаются большие секреты. Уж очень все просто! Не наивно, а именно просто.
Поэтому этот упрек несправедлив:

Ну как-то совсем наивно-самонадеянно или непонятно, что хотели сказать.

Пожалуй, не наивно, не самонадеянно, а именно непонятно, это из дальнейшего видно, что не сумел объяснить, о чем речь, там не хэш 256 бит, там другое.

Там задача простая – функция инициализации, иначе ключевое расписание.
У нас есть некая перестановка – вернее сказать, что нам нужна некая перестановка, потому что шифрующие функции работают с перестановками, генератору для работы нужен по меньше мере один S-блок, асинхронный шифр использует S-блоки, хэши используют S-блоки, S-блоки нужны всем, всегда, везде… Нам нужно, чтобы эта перестановка на алфавите 256 символов была похожа на случайную в некотором очень точном и строгом смысле – любой символ на любом месте с равной вероятностью. Еще нам нужно, чтобы эта перестановка полностью зависела от пароля, предложенного пользователем, — полностью, целиком, сильнейшим образом, чтобы при изменении хоть одного бита в пароле вся эта строка была другой, ни один из 256 символов не остался на месте (ну, это, пожалуй, фигура речи, вроде как не оставить камня на камне – на самом деле хотя бы одна неподвижная точка с вероятностью 1/e останется всегда, при самом честном перетасовывании колоды). Еще нам нужно, чтобы перестановка была случайной или похожей на случайную в некотором другом смысле, тоже точном и строгом – чтобы она никогда, никогда не повторялась, всякий раз была другой – даже при многократном использовании одного и того же пароля. Вот такой списочек условий и требований. А теперь спрашиваем: эти условия совместны или несовместны? Отвечаем не задумываясь, громко и отчетливо: нет, несовместны!

Почему несовместны – это можно объяснить, нужны рассуждения несложные, но строгие, чисто алгебраические по духу. Нам нужно сделать объект A зависимым от объекта B, эту необходимость можно выразить другими словами: сделать A функцией от B, произвести в A преобразование, зависимое от B, поставить паре объектов A и B в соответствие какой-то третий объект C – последняя формулировка содержательнее всех, в самом общем смысле создание зависимости можно обозначить как умножение, мы умножили A на B и получили C. Принцип настолько общий, что его нельзя заменить чем-то другим, это первая страница учебника алгебры… И на той же странице ненавязчиво указаны условия выполнимости этой операции. Первейшее – замкнутость, A и B должны принадлежать одному множеству или одному типу объектов, и их произведение тоже не должно выходить за пределы того же множества. Умножили число на число и получили число, умножили подстановку на подстановку и получили подстановку… Тогда это алгебра, в ней может обнаружиться единственность произведения и, соответственно, разрешимость уравнений. А если левый и правый множитель принадлежат множествам с разным количеством элементов, уже никак не получится алгебра, где у каждого уравнения только одно решение. Левый множитель у нас подстановка (перестановка) 256 символов, одна из всех 256! возможных, правый множитель строка произвольной длины, от 1 до 512 символов, какое-то размещение (с повторениями), а произведение опять перестановка из того же набора 256! различных. Ну? Кажется, все ясно, строк длиной 512 символов больше, чем строк длиной 256 символов (уже неважно, перестановок или размещений), а строк длиной 2 символа гораздо меньше. Можно ли задать умножение так, чтобы деление было выполнимо всегда, чтобы и левый и правый множители можно было заменить неизвестным иксом и уравнения решались? Дудки! Только в одну сторону. Можно задать умножение так, что потом будет выполнимо деление произведения на правый множитель, это вопрос технический, зависит от того, какими процедурами и операциями нижнего уровня (над буквами) составлено это умножение строк, но обеспечить делимость на левый множитель невозможно никак, никакими ухищрениями – результат всегда будет неопределенным, всегда будет множество подходящих решений. Поганая алгебра с коллизиями – и она всегда будет поганой, ее качества можно регулировать только в одном отношении: подбирать процедуру умножения так, чтобы коллизии были насколько возможно редкими. Наихудший результат – произведение принимает всего 256 различных значений, вероятность коллизии 1/256 (но при этом разрешимость уравнений влево сохраняется, деление выполнимо), наилучший результат – 256! различных произведений, возможно любое из них, причем с равной вероятностью.

Вот где задача – добиться хотя бы этого результата!
Научиться умножать перестановку на размещение, строку любой длины, при этом не слишком увеличить количество элементарных операций по сравнению, например, с какой-то более «естественной» алгеброй, обыкновенным умножением подстановок, симметрической группой из учебника. Ну, так экономно не получается, получается что-то вроде половины квадрата этого количества (при умножении на строку той же длины, 256 символов), но главное – вопрос о вероятности коллизий. Здесь в теории не все гладко, причем нет надежды на скорые успехи. Зато эмпирические решения есть! Надежнейшие. Допустим, мы не можем доказать, что умножение заданной перестановки на строку «Пролетарии всех стран, соединяйтесь!» и на строку «В лесу родилась елочка, в лесу она росла» даст совпадение результата с вероятностью немногим более 1/256!. Зато мы можем доказать с точностью, что вероятность совпадения меньше 1/256 – доказательство будет строгим, только его ценность кажется смехотворна. Ну, это только на первый взгляд, потому что мы можем повторять процедуру умножения столько раз, сколько захочется, причем таблицы умножения всякий раз другие. Опять используются те же перестановки, сиречь S-блоки, а их у нас мно-о-ого! Они порождаются быстро и в неограниченном количестве. Дальше понятно, правило умножения вероятностей. Однако результат надо поправить: возведение числа 1/256 в степень 256 дает десять в минус шестисотой, а реально вероятность коллизии не может стать меньше 1/256! – всех различных произведений только 256!, это только десять в пятисотой. Но уж тут пустяки, сотней нулей больше, сотней нулей меньше…

Да, и последнее замечание по поводу поганых алгебр: с самом общем смысле любая криптографическая система в целом представляет собой алгебру именно с этими свойствами – полуразрешимую: шифрование есть умножение объекта на объект, мы умножаем «Войну и мир» (длинную строку) на пароль (короткую строку) и получаем произведение, шифртекст, это опять длинная строка, не короче левого множителя. В буквенной записи все то же самое A × B = C — только теперь этот крестик, знак действия обозначает AES или RC4, или IDEA. Дальше те же свойства: деление на правый множитель выполнимо, а вот деление на левый весьма проблематично само по себе, при самых общих условиях, и его еще всячески стараются затруднить особыми приемами.

На этом с погаными алгебрами покончено, это умножение строк разной длины самое смутное место в ашкелонской разработке (хотя технически все выглядит просто, даже забавно), а вот что касается красивых алгебр и вообще обещанной красивой теории… Ну очень хочется взять и вот так все выложить! Только нельзя. А как бы это противоречие обойти? Ну, опять всякие косвенные описания. Напрямик успел брякнуть только один раз, уже что-то такое было про многомерные векторные пространства. Так что теперь, когда всплывают какие-то несуразные цифры – 48 S-блоков, да еще обратные к ним, да еще чистые копии, да еще копии, параметризованные таймером, — я прошу не смеяться сразу, а просто сделать усилие, пытаться вообразить, что этот инструмент у вас в руках. И что вы с ним сделаете? Пожмете плечами и выкинете за ненадобностью? Сомневаюсь. Любой криптограф, любой алгебраист хотя бы разочек прикинет в уме самую ближайшую, самую очевидную возможность использования этой махины – переход к векторным исчислениям. Да, да, вот эти строки символов { e, f, g, h, i, k …}, которые мы называем векторами условно, для красоты слога, становятся векторами на самом деле, в точном смысле, то есть наборами координат, у нас это теперь адреса, указатели, и используются не они сами, а адресуемые элементы, после разыменования: { A[0][e], A[1][f], A[2][g], A[3][h], A[4][i], A[5][k]…} Ох, не хочу все выкладывать, просто намекаю, что это не просто замена переменной, тут последствия обширнейшие… Как раз тут возможна красивая теория – если кто умеет еее построить. Только вчера обсуждался противоположный случай: если мы побуквенно складываем «Евгения Онегина» с «Мертвыми душами», то нет разницы, какая алгебра при этом используется, группа или квазигруппа, статистика от этого не меняется, сумму можно моментально разложить на слагаемые… А вот в случае перехода даже к такому скромненькому векторному пространству из 48 строк по 256 символов меняется многое, все меняется, последствия обширные. Скажем, есть такое странное следствие: один из хэшей в этой системе не блочный. Вот так – все хэши на свете блочные, только размерами блоков отличаются, а этот не блочный, он поточный, он работает с очередным байтом, ему этого достаточно. Но это не какая-нибудь хилая сумма Флетчера, это довольно мощный хэш разрядностью 32 байта, а можно и больше… Эх, жаль, не могу все показать.

Да, а вот нужны и кому-то эти методы – какие-то из них в отдельности или все вместе, — это вопрос. Мне не кажется, что эти методы очень специфичны и заточены под какой-то особый случай, напротив, при первом ознакомлении меня поразило, как часто в комментариях встречаются слова «любой» и «всякий» — это признак универсальности. Пароль любой длины, гамма любой длины, хэш любой длины, шифры любой скорости, асинхронный еще и читается с любого места… Любой, всякий, какой угодно, на любой вкус – уж хоть что-нибудь из этого набора кому-то пригодится.

Скоро сказка сказывается, да не скоро дело делается. Сказал Ивану Царевичу Агафон Моисеевич. И сказал, что знает как явить чудо-чудное, диво-дивное. Только злая колдунья, обернувшись жабой душащей, наложила чары злодейские и не дала поделиться тайной древнею с добрым молодцем.

Можете не торопиться, рассказывать свою сказку в таком темпе и объёме как вам удобно.

Всё что про алгебры — это справедливо, это всё описано и для криптографии общий подход такой есть: P x K = C — любое шифрование как абстрактная алгебраическая операция.

Смутно что-то вырисовывается, очертания кота в мешке проступают. Или его муляжа.

А вот насчёт исследований по использованию векторных пространств и решёток мало в курсе. Есть и такое направление, развивается себе в сторонке, но в мэйнстрим не попадает.

Много есть экзотических направлений. Многие что-то обещают. Практический выход, как и от любых исследований, маловероятен. Никто не знает точно, что именно окажется востребованным.

Даже если ваш метод стоящий, то рассчитывать можно в лучшем случае на публикации. На патентователей алгоритмов даже их коллеги смотрят как на собак на сене. Те оправдываются, что они не сами, а их работодатель так заставляет и иногда делают исключения для некоммерческого использования. А патентованный алгоритм всё равно и анализируют неохотно — тоже могут сказать, давайте за деньги и по контракту мы вам проанализируем и сделаем публикации, а то чего работать ради ваших прибылей. А уж и использовать патентованные алгоритмы подавно мало кто хочет.

Асимметрику ещё можно патентануть. Сначала Райвист и Ко (но при этом были и бесплатные аналоги на дискретных логарифмах), затем эллиптические кривые (а проф. Бернштейн придумал альтернативный метод генерации кривых специально, чтобы обойти патент и вернуть метод свободному человечеству, АНБ скупило все патенты и попыталось отдать их в свободный доступ), сейчас вот асимметрика на квазигруппах. Ну если вас привлекают спекуляции, можете попробовать выманить у кого-то деньги.

Ну если вас привлекают спекуляции, можете попробовать выманить у кого-то деньги.

Выманить — это звучит грубо. А главное, это несправедливо по сути. Речь не о том, чтобы у ребенка конфетку хитростью выманить. И даже не о том, чтобы дешево купить и дорого продать.

Речь о работе.
Автор потратил на эту работу восемь лет, потом бросил ее и даже вспоминать не хочет. Через два года она перешла в мои руки, и я уже пять лет с ней разбираюсь, появилась кой-какая теория.
Ладно, я старенький, пенсионер, но что-то мне помнится, что раньше, когда я работал, мне платили за это деньги. Небольшие, но платили. Все остальные люди тоже не видели ничего дурного в том, чтобы брать за свою работу деньги. И только сейчас вдруг узнал, что есть особого рода занятия — если ты не детишек математике учил и не чужие рукописи в издательстве вычитывал, а сам сочинил шифр, написал его реализацию или снабдил теорией, за это просить денег стыдно, это спекуляция...

Ой, пардон, обещал ведь не оффтопить на темы политики, морали и права,
оффтопить только по математике... Просто не сдержался, ну никак не понимаю, почему я что-то кому-то должен дарить, а если не хочу, так меня осудят как собаку на сене. И еще бы свое дарить, а то чужое...

Нет, лучше в шахматный кружок запишусь! И еще в нашем городе есть литобъединение — тоже для пенсионеров, старички и старушки пописывают стихи и прозу, а к праздникам мэрия даже выделяет небольшую суммы на издание этой белиберды...

Так и другим авторам платят. Гранты и зарплату. За то, чтобы они открыто публиковали свои идеи. Ну если они на какое закрытое ведомство работают, то за то, чтобы открыто не публиковали. А затем платят пенсию. Как и большинству обычных наёмных сотрудников.

Может, все эти ашкелонские секреты советского происхождения уже давно имеют аналог в открытых источниках. Ещё сложнее найти открытый аналог по неоправдавшимся и свёрнутым направлениям, которые авторы забрасывают. Бывает и такой аналог находится.

если ты не детишек математике учил и не чужие рукописи в издательстве вычитывал, а сам сочинил шифр, написал его реализацию или снабдил теорией, за это просить денег стыдно, это спекуляция...

На гранты и научные ставки люди живут. Криптографы ничем не отличаются от математиков или там, астрономов, толку, что наука эта прикладная. Ну впёрлась, простите, вам фикс-идея с патентом :-) Смешно право-слово. Так-то кто ж вам запретит — патентуйте, только деньги потратите. Мало у кого во всём мире есть прибыль от патентов. И то, люди себе сначала создали имя на публикациях. А вам ещё и переуступил идею кто-то, пусть даже она ему и не нужна. Т.е. вы как автор публикаций будете неинтересны и невостребованы, если только не вытащите того крановщика из Ашкелона, но это уже ваше дело, конечно, чем вы заинтересуете. Вот только кого? Где рынок криптоалгоритмов? Его нет. Это хотя и прикладное, но всё бесплатное в большинстве своём, как таблица умножения или способ получения бозонов в ускорителе.

Допустим, оффтоп теперь я первый ввернул. Но уже не столько для морализаторства и тем более не для политики, просто считаю, что с таким подходом шансы были бы крайне малы, даже у молодых и преуспевающих коренных жителей "золотого миллиарда". Скорее их вынудят патент перекупить корпорации, которые заберут всю прибыль или будут использовать в патентных войнах. А автору — гроши, ну в лучшем случае, хороший оклад по контракту, а так — все деньги всё равно уплывут дельцам если будут ещё.

В шахматы играть и стихи писать в пенсионном возрасте конечно хорошо, но покоя вам не даёт мечта о чём то большем, пусть и скромном. Ну хоть и это само по себе хорошо.

А математические байки с удовольствием почитаю. Думаю, не я один. В угадайки могу поиграть ещё по мере знаний и интереса к теме. Но то, что многие активные посетители сайта — противники коммерческого подхода с закрытием идей вас предупредили сразу. Вас в общем-то поняли и приняли. Думаю и вы нас поймёте.

А математические байки с удовольствием почитаю. Думаю, не я один. В угадайки могу поиграть ещё по мере знаний и интереса к теме. Но то, что многие активные посетители сайта — противники коммерческого подхода с закрытием идей вас предупредили сразу. Вас в общем-то поняли и приняли. Думаю и вы нас поймёте.

Да, встретили меня хорошо. Я это оценил.

Можно ведь было ждать худшего. Человек, который утверждает, что у него на руках действующая модель вечного двигате, пардон, нового шифра или хэша, он безумец по определению. Того и гляди набросится и покусает...

Ну, обошлось и прекрасно, не знаю, что там выйдет с этим ашкелонским изделием, но новым знакомствам я рад, получил от переписки массу удовольствия, узнал много нового.

Агафон, друг, вот ты где!

Агафон, друг, вот ты где!

Тута я, тута...

Ну, безумец или не безумец. Всякие тут были :-)

Просто так, для справки. Конкурс AES закончился ещё в 2000 году. Уже тогда условием участия был отказ победителя от патентования, любых коммерческих притязаний и полная передача шифра в общественное достояние. Многие участники сразу отказались от патентов, не дожидаясь того, победят или нет. Некоторые вышли в финал патентованными, а раз не победили, то и не стали отзывать патент, но теперь они никому не нужны.

В конкурсе SHA-3 условие ещё жёстче: все участники обязаны отказаться от патентования и от любых коммерческих прав на хэш к моменту подачи заявки на конкурс, неважно, победит их алгоритм или нет.

Мне неизвестно ни одного случая коммерчески успешного патентования симметричного алгоритма после 2000 года. Crypto AG пытались патентовать производные от шифра IDEA, дескать они сами будут поддерживать исследования вокруг своих алгоритмов. Ага — никто с валом публикаций против непатентованного AES не сравнится, а их шифры уже забылись и пылятся где-то. Кто их купил?

SONY пыталась свои шифры изобретать и патентовать, но у них копирайтный маразм, они профукали из-за этого массу изобретений, не только шифры, но и куча их фирменных стандартов никому не нужна. Шифры они предполагали использовать только в DRM-индустрии и т.д.

Даже если вы полностью раскроете устройство шифра, масса шансов, что его завернут: публикация плохо оформлена, ссылки на литературу старые, про современные тенденции автор не в курсе, на известных конференциях автор не засветился (а на поездки нужны время, деньги, здоровье), не заработал себе репутацию на взломе чужих шифров и т.д. Репутация же строится не на изобретении шифра, это может быть уже скорее пик карьеры.

Нужна годами накопленная в разных изданиях масса всяких опубликованных исследований по теории функций таких, функций сяких, видов криптоанализа всякого, по построению протоколов из готовых шифров и прочих алгоритмов. Тогда может скажут, "да знаем такого исследователя. Он делал интересный доклад по бент-функциям, а в позапрошлом году по бранч-критериям, а в этом году публиковался по MDS-матрицам и открыл способ оптимизации построения каких-то векторных отображений. Что-вы говорите, он даже свой шифр опубликовал, да интересно.". Как-то так

А кота в мешке, да не от автора, да с претензией сразу на патент не возьмут изучать даже забесплатно, хоть там всё трижды гениально. Нужна именно куча сил и времени, чтобы раскручивать это самому уже после полного раскрытия. И не ради прибыли, по крайней мере от патента. Может поэтому у малоизвестного пенсионера или крановщика без наработанной публично репутации в этом деле, как это им ни печально, особых шансов нет.

Может поэтому у малоизвестного пенсионера или крановщика без наработанной публично репутации в этом деле, как это им ни печально, особых шансов нет.

Можно подумать, что кому-то, кроме автора — тролля и графомана, это не было очевидно с самого начала. Развели тут только словоблудие на 6 страниц.
Но unknown, конечно, спасибо, его всегда интересно читать.

Мне неизвестно ни одного случая коммерчески успешного патентования симметричного алгоритма после 2000 года.

Unknown!
Сведения, которые вы сообщаете, полезные, но грустные. Очень грустные.

Ну, так и хочется заняться запрещенным делом — начать жаловаться на жизнь, несправедливость законов, ущербность общественной морали и несовершенство мироздания в целом. Очень тянет в эту сторону, но ведь пустое это дело... Толку никакого, разве что для души польза: "утоли моя печали..."

Хотя, надо сказать, что некоторые обстоятельства такого рода были известны и раньше. Автор, который сейчас крановщиком в Ашкелоне (или Ашдоде, черт его возьми!), в прошлой жизни имел другую специальность, имел по этой специальности приличную репутацию, вообще считался человеком солидным. Поэтому, когда вдруг заинтересовался криптографией, над ним не смеялись, его познакомили с такими же серьезными, солидными людьми средних лет, у которых тоже была приличная репутация по своей специальности — как раз по криптографии. Ну, вообще по те временам редкая специальность, но закон жизни состоит в том, что через трех знакомых можно выйти на английскую королеву, а уж на парочку-троечку полковников из восьмерки и подавно. Приятные люди, очень недурные математики, проявили внимание, не поленились, смотрели... Но интересно не только экспертное заключение по существу вопроса, еще интереснее последовавшее заключение по поводу житейских возможностей и перспектив этого изобретения. Один из экспертов, вежливо улыбаясь, попросил обратить внимание, кто он теперь и чем занимается. Он даже перестал читать лекции на каком-то мутном факультете защиты информации (не помню, в каком это вузе), он купил небольшой цветочный магазин... Ага, голубчик, можешь заметить, что меня эта специальность больше не кормит, а ты надеешься, что тебя она прокормит?

Это было давно, в середине девяностых, после этого автор из упрямства продолжал свои занятия, довел свою систему до какой-то логической завершенности — и бросил. Уехал в другую страну и пошел в крановщики. Даже это далось с трудом, экзамен надо сдавать, язык надо знать, а для каких-то других занятий надо знать язык получше...

Выходит, владелец цветочного магазина был прав, извлечь из своей выдумки какую-то пользу автору не удалось. Но это совсем не расположило его к мысли подарить ее человечеству. Как бы не так! Совершенно наоборот! Подарки можно делать друзьям, знакомым, родственникам, а человечество в целом — это слишком абстрактно, имперсонально. Сам автор заниматься этой выдумкой больше не хочет, его сын тоже не хочет, зато есть Агафон Моисеевич, которому все равно больше делать нечего, в парке с другими старыми дураками в шахматы играет, вот пусть займется, если ему интересно, могу даже в соавторы взять или просто доверенность на представительство выписать... Да, оказалось интересно. Но практические перспективы, похоже, те же самые — уж лучше было сразу купить цветочный магазин, это практичнее!

Так что вообще непонятно, кто еще занимается криптографией, кому это надо — купили бы себе каждый по цветочному магазину, и дело с концом...

сам сочинил шифр, написал его реализацию или снабдил теорией, за это просить денег стыдно

Я, конечно, очень извиняюсь, но образование то в СССР – бесплатное было!

вообще непонятно, кто еще занимается криптографией

Я вот вообще думаю что чем меньше разница между потенциальной (замыслом) и движущей (мотивами) энергиями, тем вероятнее успех. Это типа такое применение принципа наименьшего действия ;) Залог успеха – искренность и непосредственность!

То есть что-то стоящее можно открыть если основной мотив изучения – узнать, а не получить за эти знания какие-то иные блага, и наука много не потеряет если те, кто пошёл туда не за истиной, пойдут торговать цветочками.

[offtop]
На сайте http://kroogi.com цену за скачиваемую музыку определяет сам пользователь. Так вот, ненулевую сумму платят 28 человеке из 100 – в среднем по $3. Видео
[/offtop]

[offtop]
А причём здесь музыка? Или даже популярное ПО?
Это модели добровольных пожертвований, наподобие Crowdfunding/Donationware.
При самой по себе спорности эффективности такой модели даже для творчества/ПО/небольших проектов, для заявленной цели она совсем не подходит, т.к. завязана на лёгкость оценки результата любым желающим и массовость. Пусть даже нишевую массовость среди своих — "непопсовость".
[/offtop]