id: Гость   вход   регистрация
текущее время 20:22 28/03/2024
создать
просмотр
редакции
ссылки

Как сохранить безопасность против слежки АНБ


Теперь, когда у нас достаточно подробностей о том, как АНБ шпионит за интернетом, включая сегодняшнюю публикацию о целенаправленных действиях АНБ по ослаблению криптосистем, мы наконец можем подумать, как обезопасить себя.


Последние две недели я вместе с Guardian работал над историей вокруг АНБ и прочитал сотни сверхсекретных документов АНБ, предоставленных информатором Эдвардом Сноуденом. Я не принимал участие в сегодняшней публикации — она готовилась задолго до моего появления, — но всё прочитанное мной подтверждает сообщения Guardian.


Теперь же, как мне кажется, я готов дать ряд советов, как оградить себя от подобного противника.


Основной способ слежки АНБ за интернет-коммуникациями — это каналы связи, именно там наилучшим образом масштабируются его технические возможности. Агентство реализовало гигантские программы по автоматическому сбору и анализу сетевого трафика. Но всё, что требует от него взлома конкретных компьютеров, является значительно более рискованным и затратным, и оно идёт на подобные действия гораздо реже.


АНБ имеет доступ к магистральным каналам интернета за счёт своих тайных соглашений с телекоммуникационными компаниями — всеми компаниями из США и Великобритании, а также ряда прочих своих «партнёров» по всему миру. В случаях, когда оно не может положиться на такой «дружественный» доступ, оно идёт на всё, чтобы обеспечить скрытое прослушивание коммуникаций: подключается к подводным кабелям, перехватывает спутниковую связь и т.д.


Объёмы получаемых данных огромны, но АНБ располагает в равной мере огромными возможностями, чтобы быстро просеивать их в поисках интересующего трафика. «Интересующими» могут быть множество характеристик: источник, адресат, содержание, участники коммуникации и прочее. Все эти сведения направляются в гигантскую систему АНБ для последующего анализа.


В ещё больших объёмах АНБ собирает метаданные трафика: кто и с кем связывается, когда, как долго, каким способом. Метаданные, по сравнению с содержанием, гораздо проще хранить и анализировать, они могут иметь чрезвычайно личный характер для человека и они невероятно ценны для разведки.


Возглавляет направление по сбору данных Управление системной разведки, и объёмы ресурсов, которые оно выделяет на эти цели, просто поражает. Я читаю отчёт за отчётом, рассматривающие возможности этих программ, их функциональные детали, планы модернизации и т.д. На каждую конкретную проблему — извлечение электронных сигналов из оптических кабелей, поддержание скорости перехвата терабайтных потоков данных, отфильтровывание интересующих вещей — есть своя отдельная группа, занятая поисками решений. Охват тем глобален.


АНБ также атакует и сами сетевые устройства: маршрутизаторы, свитчи, брандмауэры. Большинство этих устройств имеют встроенные функции для прослушки; хитрость заключается в том, чтобы незаметно активировать их. Это крайне плодотворное направление взлома: маршрутизаторы реже обновляют, на них реже установлены программные средства безопасности и они, как правило, не рассматриваются в качестве уязвимого компонента.


Кроме того, АНБ направляет значительные ресурсы на взлом оконечных компьютеров. Этим делом у них занимается группа TAO — Отделение адаптированного доступа. У TAO есть меню эксплоитов, которыми оно может «обслужить» ваш компьютер (будь он под управлением Windows, Mac OS, Linux, iOS или чего-то ещё), и ряд приёмов, чтобы доставить их на ваш компьютер. Их не обнаружит ни ваш антивирус, ни, скорее всего, вы сами, даже если будете знать, что искать. По сути, это хакерские инструменты, разработанные хакерами с практически безграничным бюджетом. Что я вынес из документов Сноудена — это тот факт, что если АНБ захочет влезть в ваш компьютер, оно влезет. Точка.


АНБ решает проблему зашифрованных данных, с которыми ему приходится сталкиваться, в основном обходя криптографию, нежели используя какие-то секретные математические открытия. Во-первых, в мире полно бестолковой криптографии. К примеру, если оно обнаруживает сетевое соединение, защищённое с помощью MS-CHAP, его легко взломать и восстановить ключ. Оно взламывает слабые пользовательские пароли, используя такие же словарные атаки, которыми пользуются гражданские хакеры.


Как мы сегодня узнали, АНБ также «взаимодействует» с разработчиками средств безопасности, чтобы их коммерческие средства шифрования были уязвимы в таких местах, о которых известно только Агентству. Мы помним, что такое уже было в истории: CryptoAG и Lotus Notes — два самых ярких примера, и есть свидетельства в пользу бэкдора в Windows. Несколько человек сообщили мне ряд более свежих историй из своего недавнего опыта, и вскоре я собираюсь об этом написать. В сущности, АНБ предлагает компаниям вносить небольшие незаметные изменения в их продукты: сделать генератор случайных чисел менее случайным, каким-либо образом производить утечку ключа, добавить общую экспоненту в протокол согласования ключей и т.п. Если кто-либо обнаруживает бэкдор, он объясняется как обычная программная ошибка. И, как нам теперь известно, АНБ добилось невероятных успехов с этой инициативой.


TAO также взламывает компьютеры для извлечения долгосрочных ключей. Таким образом, если вы поддерживаете VPN со сложным общим секретом для защиты данных, и АНБ посчитает их заслуживающими внимания, оно может попытаться выкрасть этот секрет. Такие операции предпринимаются только в отношении особо важных целей.


Итак, как же вам организовать безопасную связь при наличии такого противника? Сноуден дал ответ в своём интервью вскоре после обнародования своих первых документов: «Шифрование работает. Должным образом реализованные стойкие криптосистемы — одна из немногих вещей, на которую вы можете положиться».


Думаю, это правда, даже несмотря на сегодняшние откровения и провокационные намёки Джеймса Клэппера, директора национальной разведки, на «прорывные возможности криптоанализа», сделанные им в другом сверхсекретном документе. Все эти возможности заключаются в намеренном ослаблении криптографии.


Но последующая фраза Сноудена имеет не меньшую значимость: «К несчастью, оконечная безопасность столь ужасающе низка, что АНБ зачастую способно её обойти».


«Оконечная» — это программы, которые вы используете, компьютер, на котором вы их используете, и локальная сеть, в которой вы их используете. Если АНБ удастся модифицировать алгоритм шифрования или закинуть на ваш компьютер троян, никакая криптография на свете вам уже не поможет. Если вы хотите сохранить безопасность против АНБ, вам придётся пойти на всё, чтобы работе шифрования ничто не могло помешать.


Исходя из всего сказанного, у меня есть пять советов:


  1. Спрячьтесь в сети. Используйте скрытые сервисы. Используйте Tor, чтобы самому оставаться анонимным. Да, АНБ интересуют пользователи Tor, но это всё равно препятствие для его работы. Чем менее вы заметны, в тем большей вы безопасности.
  2. Шифруйте связь. Используйте TLS, используйте IPSec. Опять же, хотя АНБ целенаправленно перехватывает зашифрованные коммуникации (и, возможно, располагает специальными эксплойтами против названных протоколов), вы будете гораздо лучше защищены, чем при передаче данных открытым текстом.
  3. Исходите из того, что хотя ваш компьютер могут взломать, для АНБ это будет дополнительной работой и риском, так что, вероятно, он не взломан. Если имеете дело с чем-то действительно важным, используйте автономные не подключенные к сети системы. С тех пор, как я начал работать с документами Сноудена, я купил новый компьютер, который никогда не подключал к интернету. Когда мне нужно передать файл, я зашифровываю его на безопасном компьютере и отношу к своему сетевому компьютеру на флэшке. Чтобы расшифровать что-то, я действую в обратном порядке. Этот метод не безупречен, но достаточно хорош.
  4. Относитесь с подозрением к шифровальному ПО, особенно от крупных разработчиков. Полагаю, что большинство криптографических продуктов от больших американских компаний имеют бэкдоры для АНБ и, скорее всего, множество зарубежных тоже. Будет разумным допустить, что иностранные продукты идут в комплекте с собственными иностранными бэкдорами. АНБ проще встроить закладки в закрытое ПО, нежели в ПО с открытым исходным кодом. Системы с общими секретами более уязвимы для АНБ, за счёт как законных, так и нелегальных методов.
  5. Старайтесь использовать стандартные методы шифрования, которые должны быть совместимы с другими реализациями. Например, АНБ труднее встроить бэкдор в TLS, нежели в BitLocker, поскольку реализация TLS у одного разработчика должна быть совместимой со всеми прочими реализациями TLS, тогда как BitLocker должен быть совместим лишь самим собой, что развязывает АНБ руки при внесении изменений. И поскольку BitLocker проприетарен, вероятность обнаружения в нём этих модификаций значительно ниже. Отдавайте предпочтение симметричному шифрованию над шифрованием с открытым ключом. Предпочитайте общепринятые системы на дискретных логарифмах перед системами на эллиптических кривых; последние содержат константы, проталкиваемые АНБ при малейшей возможности.

То время, что я работаю над документами Сноудена, я использую GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit и ещё несколько вещей, о которых мне бы не хотелось распространяться. В моей программе Password Safe есть недокументированная шифровальная функция, доступная из командной строки; её я тоже использую.


Я сознаю, что большинство перечисленного невозможно для простого интернет-пользователя. Даже я сам не использую все эти инструменты для всего, над чем я работаю. И я по-прежнему, к сожалению, использую в основном Windows. С Linux было бы безопасней.


АНБ превратило саму ткань интернета с гигантскую платформу для слежки, но всё же оно не владеет тайной магией. Оно ограничено рамками тех же экономических реалий, что и все мы, и наилучший для нас способ самозащиты — сделать слежку за нами настолько дорогой, насколько это возможно.


Доверяйте математике. Шифрование — ваш друг. Хорошо обращайтесь с ними и сделайте всё от вас зависящее, чтобы они не были скомпрометированы. Это поможет вам оставаться в безопасности даже перед лицом АНБ.


© 2013 Брюс Шнайер
Перевод © 2013 SATtva

 
На страницу: 1, ... , 4, 5, 6, 7, 8, ... , 18 След.
Комментарии [скрыть комментарии/форму]
— Гость (12/09/2013 02:17)   <#>
вероятность же сделать хуже – ничтожна и гораздо меньше вероятности взлома одного из шифров.

Каскад, при котором ключи на оба шифра одинаковые, сводится к попытке улучшения одного единственного шифра


А каскад, при котором ключи разные? Например как в 3DES? Он чем плох?

PS
Не уверен, что и при одинаковых так уж легко сводится к одному – расшифровать зашифрованный высокоэнтропийный текст сложнее, чем регулярный, потому что, например, непонятно, когда останавливать перебор. Ну и не обязательно взлом шифра означает нахождение ключа по шифротексту. Вообще, если допустить, что в подвалах АНБ стоит специализированное устройство по взлому, заточенное под стандартный шифр, то даже небольшие отклонения могут оказаться ему уже не по зубам, типа как соль для радужных таблиц. Важно только, что-бы эти отклонения не ухудшали, и каскад для этого весьма подходит.
— Гость (12/09/2013 09:03)   <#>

Потому, что плюшки (деньги, гранты, известность, публикации в респектабельных журналах) можно заработать только на изучении того, что интересно многим, а не полутора анонимам.


Сводится просто по определению. Вы заменяете один блочный шифр другим, который в свою очередь состоит из двух конструкций, но это один блочный шифр. У него такие же размеры входа, выхода и ключа.


Это наивные рассуждения. Кажется, в топиках про каскады они уже неоднократно озвучивались. В лучшем случае, это даст безопасность через неясность.


Если речь о практическом криптоанализе, то обычная цель — найти открытый текст по шифртексту, а ключ сам по себе никакой ценности, как правило, не имеет.


Этот аргумент принимается, но надо отдавать себе отчёт в том, что это безопасность через неясность и игра в уловки. К ней стоит обращаться только в самую последнюю очередь, когда все более обоснованные методы уже применены, но всё ещё считаются недостаточными.
— Гость (12/09/2013 09:49)   <#>
когда все более обоснованные методы уже применены, но всё ещё считаются недостаточными
А у нас сейчас именно такой случай. Академики с громким хлюпом сели в лужу, они распинаются о доказуемой безопасности на своих конференциях, а АНБ тихо посмеивается прослушивая всех. Нам нужна реальная безопасность, пусть не доказуемая и ненаучная, но чтобы она была.

Как вариант, предлагаю в каждой программе делать свой оригинальный шифр и ставить его в каскад со стандартным, при независимых ключах. И каждую новую версию этот шифр хоть немного, да менять. Если АНБ умеет взламывать стандартный шифр, они заебутся ломать миллионы комбинаций стандартый + самодельный. А если стандартный шифр не ломается, эта схема по крайней мере не хуже.
— Гость (12/09/2013 10:07)   <#>

Сообщество, которому в первую очередь интересны "плюшки", не достойно носить звания академического. Впрочем, сейчас даже третьесортные парикмахерскме переименовывают себя в "Академии красоты", а уборщицы именуется "клининг-менеджерами".

По опрелелению может и сводится, но не в плане лёгкости взлома при наличии специализированных устройств, а возможность наличия таковых вы тоже не исключаете.

Ткните, если не лень. Мне интересно, как в принципе можно расшифровать зашифрованный неизвестным ключом высокоэнтропийный текст.

Я имел ввиду ситуацию, когда в каскаде из двух шифров с одинаковым ключом один взломан настолько, что восстанавливается даже ключ.

Вот я и хочу внести ясность в вопрос, как вносить изменения в стандартные схемы шифрования безопасным (т.е. неухудшающим) способом. Каскады представляются мне именно таким вариантом.
— unknown (12/09/2013 22:34)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Начнём с того, что академиеский подход в симметричном шифровании состоит в выборе самой простой преобразующей функции из всех возможных, с последующим обоснованием её стойкости. Если обоснование (условное доказательство стойкости) окажется достаточным в рамках известных критериев, то задача считается выполненной. Перестраховки закладываются в рамках параметров, которые известно как работают в рамках изученного. Например, по числу раундов часто делают запас, а по размеру ключа (в симметричном крипто) — практически никогда. Также не делают необоснованных усложнений в дизайне шифра, не делают наворотов в раундовой функции и пр. — академическое сообщество не захочет такое анализировать (а АНБ не поморщится, им же не для открытых публикаций), сложность и запутанность не гарантирует безопасность. При усложнении функции вылезет, к примеру, пропущенный невозможный дифференциал, который никто не заметит по причине сложности. Зато вероятность его обнаружить будет вносить большее ослабление, чем усиление, даваемое сложностью функции. Благими намерениями сами шифрпанко-ориентированные криптографы внесут уязвимости на радость АНБ, оставив потребителей без работ по анализу.

А у нас сейчас именно такой случай. Академики с громким хлюпом сели в лужу, они распинаются о доказуемой безопасности на своих конференциях, а АНБ тихо посмеивается прослушивая всех. Нам нужна реальная безопасность, пусть не доказуемая и ненаучная, но чтобы она была.

Распространение таких взглядов очень выгодно АНБ и всем спецслужбам. Открытое академическое сообщество их всегда раздражало и ещё до девяностых были попытки судебных преследований и требований неразглашения материалов (например в случае с протоколом аутентификации Фейге-Фиата-Шамира). Сейчас открытые наезды прекратились, зато стало выгодно распространять несоответствующие реальности слухи, изолировать академическое сообщество от разработчиков программ и пропагандировать популистско-шифрпанковский подход, который подхватывается малограмотными нонкорформистами на ура. SATtva привёл ссылки на Фелтона:
  1. Явный бэкдор — сложно, открытое академическое сообщество обнаружит (подозрение на константы ГПСЧ на эллиптических кривых).
  2. Можно продвигать теоретически стойкие, но легкоуязвимые при малейших ошибках в реализации стандарты. Большинство программеров не понимают тонкостей и подводных камней крипто.
  3. Можно просто саботировать разработку, устраивая цирк, обструкцию и тонкий троллинг, только не на форуме, а в комитете по стандарту — при разработке согласования ключей для IPSEC частично так и вышло. Полностью не нагнули, но зафейлили стандарт. Способ работает, когда стандарт не чисто алгоритмическо-криптографический, а верхнего прикладного уровня, как тот же IPSEC. Теоретиков от него можно отстранить, да и неинтересно им, зато подогнать побольше левых айтишников и технических специалистов, которым спустить сверху криптографическую часть, уведя в сторону от содержательного её обсуждения.

Против неформалов возможен четвёртый путь — отлично должна работать пропаганда вульгарного шифрпанковского популизма: давайте здесь сделаем побольше, тут накрутим посильнее, там запутаем помощнее. Нафиг слушать теоретиков, хочется же своими руками сделать что-то, чтобы обломить АНБ и прочее ГБ. В итоге, получается что-то наподобие /dev/random в Linux. Где наворачивали-наворачивали и получили пшик на выходе. Более слабый, чем менее ресурсоёмкие конструкции от теоретиков.

Наконец, комментарий от SATtv'ы верный. Это искажённое восприятие, что симметричное крипто хуже обосновано теоретически, раз не опирается на одну твёрдо сформулированную математическую проблему. На симметричные алгоритмы полно непрактичных атак ("мы живём в эпоху сертификационного криптоанализа" — не помню чья цитата), но блочные шифры — это то, в чём профессиональные криптографы уверены больше всего (с хэшами разговор особый — стойкий хэш создать сложнее). И меньше всего верят в какие-то секретные подвалы АНБ по этой части. И Шнайер говорит ровно о том же. Вспоминается, что когда стали ивестны названия шифров из NSA Suite A, никто из профессиональных криптографов не высказал интереса — решили, что там нет ничего сильно отличающегося от открытой науки, на что стоило бы смотреть. Способ универсального взлома алгебраическом криптоанализом от Куртуа против всех шифров не сработал — он пока носит такие же ограничения, как и любой другой способ. Его успех в том виде, как изначально предсказывалось ранее был бы столь же сенсационным, как и нахождение способа лёгкой факторизации.

А вот насчёт асимметричной криптографии Шнайер опасается. Да, есть "сложная задача". Выглядит красиво. Но нет ни доказательств сводимости, ни доказательств оценок на затраты по появлению новых методов. Если нет фиксированной оценки, в которую можно было бы загнать размеры ключа, чтобы как в симметричном сказать — это соответствует 128-битной стойкости по числу щагов, это 256-битной — это уже показатель реально худшей обоснованности. Да, серьёзный скачок в алгоритмах факторизации был только в 90-е годы, но никто не гарантирует, что это не произойдёт ещё и не произвойдёт в направлении ECC. Если нет ни реального полного доказательства сводимости к трудной задаче, ни оценок на затраты при сводимости, ни в более широком аспекте, что сама задача трудная, то вопрос — где больше "безопасности через неясную неизвестность" — в симметрике или асимметрике совершенно неочевиден. У многих специалистов и теоретический, и практический скепсис в области асимметрики. Прогресс исследований в альтернативных асимметричных алгоритмах в рамках поиска квантовостойкости (шифрование на решётках, кодах) удручает — изобретение всё новых методов взлома обычными методами не вселяет никакой уверенности.


Возвращаясь к началу поста. Сообщество пытается строить безопасность на том, что изучено и работает. А не по принципу "давайте наворотим, вдруг сработает". Вот каскады, немотря на массу публикаций, неизучены. Раз что-то непонятно и неизучено, оно скорее по умолчанию считается небезопасным, чем безопасным. Наконец, если построят все варианты моделей каскадов, как у нас уже ранее обсуждалось, в рамках всех формальных моделей PRP/PRF-идеальной безопаности, то вместо каскада станет ясно, как создать очередной более стойкий шифр. Его и создадут, когда придёт время, а не потому что кому-то "хочется здесь и сейчас" — это не рынок в духе "любой каприз за ваши деньги". Специалисту непонятно, что даёт хоть десятерной каскад, кроме ощущения мнимой крутости. Есть единственная информационно-стойкая модель построения каскадов, когда разными шифрами шифруются разные куски гаммы одноразового блокнота. Откуда косвенно следует, что все остальные модели могут быть хуже или лучше друг друга, но не могут быть лучше этого предельного случая. Ещё соображение — если наибольшее сомнение вызывает асимметричная часть протокола, то нет смысла там прикрываться каскадом, когда ключ от него защищён асимметрикой.

Наконец, в академическом сообществе принципиально никто не против каскадов и много чего остального. При одном условии. Нужно отказаться от понятия стойкости криптопримитивов на уровне доказуемой безопасности и ввести новую парадигму перестраховочной криптографии. А теперь посмотрим на вещи реально — большинство (даже топовые программеры уровня разработчиков Tor) не осилило построение протоколов на простой парадигме доказуемой безопасности (где криптопримитивы считаются идеально стойкими) и лепит как попало эвристическим способом из того, что под руку попадётся. К чему это приводит видно на примере OpenSSL. А теперь представьте, что для перестраховочной криптографии будет разработан свой формальный язык (иначе это не область научных исследований). Да он же будет на порядки сложнее сегодняшних извращений с оракулами! Его тем более никто не осилит, а написанные с кучей заплат и наслоений протоколы просто будет сложней анализировать. Чем сложнее система, тем больше шансов зафейлить не в исходном примитиве, а в режиме использования, ещё больше в протоколе.
— Гость (13/09/2013 00:01)   <#>
Похоже что unknown написал столь длинный (и информативный) пост в ответ на это утверждение

Нам нужна реальная безопасность, пусть не доказуемая и ненаучная, но чтобы она была

с которым вряд ли тут многие согласятся. Для безопасности наиболее эффективен системный и научный подход – это очевидно. Просто непонятно утверждение о бессмысленности каскадов. Шифруем одним шифром со своим ключом, далее другим шифром с другим ключом. Если алгоритм одного из шифров оказался слаб, то другой спасает ситуацию. Это разве не дополнительный уровень безопасности? То же самое и с сетевым соединением – если один протокол имеет слабое место, то нижележащий может предотвратить успешную атаку. Вероятность взлома обоих алгоритмов ниже, чем одного из них.

В итоге, получается что-то наподобие /dev/random в Linux. Где наворачивали-наворачивали и получили пшик на выходе.

Если /dev/random недостаточно случаен и не годится для генерации ключей, то что нужно использовать взамен?

Можно просто саботировать разработку, устраивая цирк, обструкцию и тонкий троллинг, только не на форуме, а в комитете по стандарту — при разработке согласования ключей для IPSEC частично так и вышло. Полностью не нагнули, но зафейлили стандарт.

Что лишний раз доказывает – представителей спецслужб категорически нельзя допускать до участия в создании стандартов. Их квалификация не имеет значения, т.к. свои познания они используют во вред, а не на благо общества, выполняя возложенную государством функцию по обману "баранов".
— unknown (13/09/2013 00:43, исправлен 13/09/2013 00:47)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Из "уязвим к предсказанию внутреннего состояния в некоторых ситуациях или предсказанию некоторого значения гаммы влево-вправо" не следует однозначно, что:


Т.е., в большинстве сценариев использования это не имеет значения. Также как и коллизионно-нестойкие хэши не критичны при хэшировании пароля в ключ.


Единственно, где это критично для рядового пользователя — генерация ключей для разделов полнодискового шифрования из инсталлятора системы, где реально накоплено мало энтропии. В Debian вроде всерьёз рассматривали в инсталляторе предлагать на выбор опцию включить havege, поскольку иначе может быть неоткуда собрать случайность.

— Гость (13/09/2013 01:25)   <#>
Т.е. /dev/random всё же не пшик, как вы выразились, а нормальный источник материала для ключей. И как он может быть слабее или сильнее решений от теоретиков – это либо чистая случайность, либо нет (не считая затраты ресурсов). Если нет и происходит значительное сужение пространства ключей, т.е. существенная потеря случайных битов, то это просто негодный генератор. Тогда лучше самому случайно набрать на клавиатуре несколько тысяч символов, а потом захешировать. Ключи не так часто создаются, потому вполне приемлемый вариант.
— Гость (13/09/2013 02:19)   <#>

Вы не поняли. Плюшки берутся не с потолка, а являются критерием полезности для науки и общества. Если нечто считается неинтересным, зачем это изучать, выпуская деньги налогоплательщиков в трубу? И полезность определяется более-менее объективными критериями: она либо должна быть поддержана уже существующими экспертами, либо предмет изучения должен иметь большое распространение в реальности. В FAQ о том же:

Крайне маловероятно, что какой-нибудь профессор из университета получит грант на исследование работы любителя.

Научным сотрудникам необходимо отчитываться перед руководством за потраченные деньги налогоплательщиков и проведённое в рабочих целях время. Подумайте, как факт успешного криптоанализа алгоритма неизвестного автора может послужить материалом для интересной работы, которую мог бы где-то представить уже известный специалист?


Вы ходите по ссылкам, которые я даю? Вы прочитали топики, на которые они указывают? Прошли по ссылкам в них? Всё же на поверхности:

In a previous paper we analyzed multiple modes of operation and showed that the security of many multiple modes is significantly smaller than expected. In this paper we extend these results, with new cryptanalytic techniques, and show that all the (cascaded) triple modes of operation are not much more secure than a single encryption

Или ещё вот:

многократное зашифрование PGP может образовывать группу. Это значит, что криптостойкость сообщения, последовательно зашифрованного ключом1 и ключом2, может быть эквивалентна единичному зашифрованию некоторым ключом3.


Выше был написан /comment70254:

Такой наивняк уже обсуждали.

У вас есть, что к этому добавить по существу? Прочитайте всё, что относится к «Усиление криптостойкости». Если после этого будет, что сказать, скажите. Пересказывать по 10-ому разу те обсуждения здесь снова смысла нет, вопрос в сообществе снят (по кр. мере, до появления новой информации по теме).

Если вы писатель, а не читатель, дискуссия невозможна. Ссылки даны, вся информация по ним есть. Для pgpru эти дискуссии — пройденный этап.
— Гость (13/09/2013 03:32)   <#>

Такое впечталение, что с OpenSSH, OpenVPN и TLS произошло ровно то же самое, иначе я не могу объяснить, зачем вместо DH там позволяется использовать статический ключ для шифрования (прощай forward secrecy), чем многие и пользуются. Передача пароля открытым текстом по шифрованному каналу при аутентификации перед MITM'ером — также весёлая тонкость, о которой мало кто знает. У меня нет никого объяснения этому идиотизму, кроме как сознательному бэкдору на уровне стандартов (или безграничной глупости тех, кто эти стандарты придумывал). Anonymous mode, как и DH, в OpenVPN тоже сама по себе не появляется.


Если известны только имена, там не на что смотреть. Или они сами шифры из этого набора тоже раскрыли? Не слышал об этом. Вроде секретность этих шифров и есть смысл существования NSA Suite A.


Некоторые аргументы:
  • В асимметрике есть надежда на то, что будут доказаны 2 теоремы (сводимость RSA к NP-трудной задаче и неравенство P≠NP), после чего никто не сможет сказать, что «я нашёл быстрый алгоритм, но никому не скажу о нём». Если это произойдёт, это позволит перевести асимметрику (точнее, её часть) на реальсы формальной теории сложности, эта часть криптографии станет математикой.
  • Что же касается симметричных шифров, они не станут математикой, по всей видимости, никогда, там даже надеяться не на что. Точнее, теоретически можно себе вообразить, что для какого-то блочного шифра будет строго доказано, что самая быстрая атака на него требует минимум такого-то числа шагов по времени и такого-то объёма памяти, но блочные шифры устроены настолько сложно и запутанно, что я очень сомневаюсь в практической реализуемости такого подхода. Тот факт, что безопасность блочных шифров оценивают, исходя не из методов теории сложности, а исходя из идеализированных моделей, зная заранее, что ни один шифр не может быть идеальным, говорит о том, что всё совсем плохо.
Это не отменяет того, что сказал unknown, а органично дополняет. :-)


Это ключевая фраза, подчёркивающая основное отличие между научными методами и народными поверьями (или между академической криптографией и шифрпанком).


Классический принцип «worse is better» во всей красе. :)


Хардварный RNG (в нём тоже могут быть бэкдоры от производителя, но как один из источников случайности он вполне сойдёт).


К обсуждению на форумах, как это показывает практика pgpru.com, тоже.


На форумах то же самое. Была даже мысль собрать все их посты в одну кучу хохмы ради. Как они садятся в лужу при обсуждении шифров — тоже показательно.


Могут быть неочевидные случаи использования, при которых из-за каких-то side channel attacks будет понижаться безопасность. Программная среда очень сложная, все случаи там наперёд не предсказать. Случайным числам, если по-серьёзному, на детерминистичной машине (компьютер) взяться вообще неоткуда. Чем лучше противник знает окружение (что просиходило в сети в нужные моменты времени, какие программы и в каком порядке запускались, какие паразитные излучения были от ПК в те моменты), тем точнее он может предсказать состояние пула.
— Гость (13/09/2013 05:55)   <#>

А неспециалисту очень даже понятно – каскад даёт защиту на случай взлома некоторых, (но не всех) входящих в него шифров.
— Гость (13/09/2013 06:59)   <#>

Вы смешиваете интересность и полезность. Это разные вещи, и моё убеждение состоит в том, что академическое сообщество должно заниматься именно интересными вещами, в резуьтате будет получаться и больше полезных вещей, которыми уже должно заниматься сообщество прикладников. См., например, статью Вигнера "Непостижимая эффективность математики в естественных науках"

> Вы ходите по ссылкам, которые я даю?
Вообще-то я спросил несколько другое
Ткните, если не лень. Мне интересно, как в принципе можно расшифровать зашифрованный неизвестным ключом высокоэнтропийный текст.
ну да ладно...


the security of many multiple modes is significantly smaller than expected.
Безопасность мультимоды может быть значительно меньше ожидаемой, но всё равно значительно больше одиночной.

многократное зашифрование PGP может образовывать группу. Это значит, что криптостойкость сообщения, последовательно зашифрованного ключом1 и ключом2, может быть эквивалентна единичному зашифрованию некоторым ключом3.
А если не ограничиваться только PGP? Я думаю, что такая вероятность будет ничтожной.

Короче, моя мысль состоит в том, что каскады более полезны, чем вредны. Но рассуждения местного сообщества (из 2-3 человек) строятся так, что создают у неискушённого человека искажённое об этом представление и он может начать бояться каскадов – "как бы чего не вышло..."

PS
spinore, я заметил у вас систематическую (или даже системную) ошибку – вы о не доказанных строго вещах (какова значительная часть криптографии) любите вещать говорить как о доказанных строго. Учитесь у unknown'а быть не столь категоричным. ;)
— Гость (13/09/2013 07:20)   <#>

А если не отказываться и не вводить, есть кто против? Не нейтрален, типа "каскады бесполезны", а именно против – "каскады ухудшают стойкость"?
— Гость (13/09/2013 07:37)   <#>


Идеальный симметричный шифр это полиномиально односторонняя функция, и если существование такового будет доказано, это будет также доказательством P≠NP
— Гость (13/09/2013 08:38)   <#>

Ну, тогда что-нибудь типа этого можно привести в пример. Вообще, в ФПП есть целая подсекция посвящённая практическому криптоанализу.


Если говорить серьёзно, то переход на каскады — это ловля блох, а все рассуждения в этом топике — абстрактное философствование о гипотетическом всесильном противнике. Если в рамках такой философии считать, что противник уже настолько силён, что щёлкает AES, как орех, то тогда разумно предположить, что и про каскады он знает намного больше нашего, а, значит, считать какие-то вероятности по взлому каскадов ничтожными на фоне вероятности взлома AES — ловля комаров на фоне слонов. Т.е. нужно соизмерять порядки величин, о которых мы говорим, их вероятности. Как бы сказали в физике, «опускать эффект порядка 10-2, но гнаться за учётом эффекта 10-10, нефизично».

Я тоже думал о каскадах, активно участвовал в старых их обсуждениях, предполагал (для себя) перейти на каскадное шифрование, но по мере вникания в тему это желание улетучилось. Думаю, лучше сосредоточиться на корректности реализации, страхуя её двойным шифрованием с помощью разных программ. Как опцию, можно выбрать и разные шифры.

Про сами шифры unknown в своё время написал в ответ на TwoFish vs AES:

Ага, все бегом побежали перешифровывать разделы с AES на Twofish
Один из создателей Twofish (David Wagner) заявлял примерно следующее: "Не используйте Twofish, используйте Rijndael. С Twofish всё в порядке, но про проблемы с AES в случае новых достижений криптографии, шансы узнать гораздо больше".

Т.е., «как вы думаете, если бы TwoFish привлёк к себе столько же внимания исследователей, что и AES, сколько бы его уязвимостей было бы уже известно?». Конечно, как на самом деле, никто не знает, остаются одни спекуляции.


Есть одноразовый блокнот (с его непрактичностью всё ясно) и идеальный блочный шифр. Про последний unknown всё сказал (по-вашему, это живой пример того, что P≠NP?), т.е. как полезная для криптографии конструкция он не нужен хотя бы потому, что он менее практичен, чем OTP.

А если рассматривать не идеальный шифр, а идеализированный(?), то в топике про KeccaK unknown привёл объяснение, почему доказано, что он также не существует (как и множество других идеальных конструкций).


Типа чего? В этом топике речь в основном идёт о том, что если безопасность недоказана, то её нет. Шифрпанки думают иначе: если недоказано, что небезопасно, то безопасность есть. Прочувствуйте глубину в разнице подходов. :)


Не совсем так. В академическом языке эти слова почти полные синонимы.


Если дословно, то занимаются тем, что имеет смысл с точки зрения логики развития самой науки. Такие задачи по определению называют интересными или полезными (т.е. таковыми для для самой науки). Как правило, да, потом оказывается, что они полезны и в прикладном аспекте.
На страницу: 1, ... , 4, 5, 6, 7, 8, ... , 18 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3