Аналог PGP с обеспечением отрицаемости и наперёд заданной секретности оффлайн?
Обсуждение в соседней теме натолкнуло на мысль: существует ли решение, аналогичное PGP и обеспечивающее для оффлайн-сообщений конфиденциальность и аутентификацию, но плюс отрицаемость и наперед заданную секретность (PFS), ну, и, желательно, тихое уведомление о прессинге. Нашел похожий вопрос на crypto.stackexchange: похоже, что готовых решений пока нет. Возможно, где-то на pgpru это уже обсуждалось, или что-то уже появилось?
комментариев: 9796 документов: 488 редакций: 5664
© Коблиц
© Кравчик
О непростых взаимоотношениях между математикой и криптографией.
Честно говоря, даже вынесение каких-то оценок по этим протоколам выше моей компетенции, даже не в курсе, до чего там эксперты договорились и в каком состоянии это всё находится.
Тут ещё Бернштейн подозревает кривые от НИСТ и ANSSI во всяком нехорошем:
http://safecurves.cr.yp.to/
комментариев: 9796 документов: 488 редакций: 5664
Короче, если хотите создать ПО для топика и сами придумать протокол, то надо уметь писать такие работы. Не знаю, насколько она верная во всех деталях, но это пример хорошей работы от китайцев. Там разобраны протоколы от Кравчука и их альтернативы, в т.ч. даны указания на создание протокола, очень близкого к теме топика: одноходового обмена ключами с отрицаемостью.
Мне кажется, что никому из участников форума написать такую работу или выявить в ней возможные ошибки — нереально. А тем более провести её через ревью, конференции, публикации и пр.
У меня после прочтения этой работы только сейчас встали в голове на место элементарные базовые понятия о различии FS и PFS за счёт понятия Freshness, что было бы важно в обсуждении в другой теме, начиная с /comment74446. О чём я чисто интуитивно и с подсказок оппонента догадался в /comment74895. Но, естественно, понятие Freshness для различения FS и PFS сам я ввести не мог. И ни о какой грамотной формализации протокола не могло быть и речи — при незнании базовых понятий.
Ну т.е., научное сообщество бьётся над проблемой отрицаемого однораундового защищённого согласования ключа с PFS больше 15 лет, на конференциях обсуждает, а тут кучка любителей-анонимусов придут и всё решат.
Нужно или ждать полностью признанного готового протокола из научных кругов. И уже его реализовать в софте. Или уж очень сильно заинтересовать своим наколеночным бездоказательным протоколом специалистов, которые бы решились его проанализировать. Но это возможно только при очень широком его распространении, как негласного шифрпанковского стандарта. И то, далеко не сразу.
комментариев: 393 документов: 4 редакций: 0
Конечно, за 10 минут нереально вникнуть в представленную Вами статью, но мне показалось, что идея сходная: я планирую использовать DH-обмен в точности из протокола OTR (это будут Session keys в терминологии статьи), и затем для отправки сообщений использовать tabby с ефемеральным ключом, уникальным для каждого сообщения (как бы key-wrapper). таким образом, получаем идеальную PFS для отправителя (приват ефемерал удаляется еще до отправки сообщения). Для получателя создается ключевое окно до следующего обмена DH в стиле OTR. Аутентификация нужна только в самом начале (см. OTR), и я все же остановился на аналоге Abadi (с использованием PGP), но можно также использовать долговременные DH-ключи (например, для мессенжеров).
Не судите строго, т.к. я очень активно влез в чужую область знаний, но это все просто оказалось очень интересно. Подробное описание предоставлю после полной отладки c-кода и, конечно же, изучения свежей китайской работы.
комментариев: 1079 документов: 58 редакций: 59
Какой судить, перед тобой только шляпу снять могу. Жду новых релизов;)
Вы думаете, эта работа проще? Ну, или вот вот эта с этой? Они написаны участниками форума, как и десяток-другой иных имеющихся работ сравнимой сложности.
Упомянутые работы прошли через ревью и конференции, будучи в итоге опубликованными в ведущих мировых журналах по теме. Например, первые две работы вышли здесь, последняя — тут, даже фотоотчёт с конференции есть. А где вышла ваша китайская работа? STOC/FOCS/Crypto? По-моему, пока её ещё нигде нет.
Не каждая профильная кафедра может похвастать тем, что у них есть сотрудники, публикующиеся в журналах этого уровня. В ведущих исследовательских московских институтах о наличии публикаций даже в журналах меньшего ранга, которыми на Западе никого не удивить (обычные журналы для обычных нормальных публикаций), говорят с придыханием, как будто это какое-то особенное достижение.
Фундаментальный бэкграунд у всех этих работ один — прикладная математика, теория информации, CS; отличается только конкретная прикладная область. При желании можно вникнуть в другую прикладную область, систему их определений (подчас доморощенных, кривых, костыльных и бессмысленных), но это требует времени и желания. Вот если бы понимание статей затребовало знания сложных областей математики, которых легко не изучить, то был бы другой разговор. В конце концов, как говорилось в интерьвю с одним математиком (перерыл весь интернет, не могу найти),
— Насколько сложно решить задачу такого класса?
— Трудно сказать. Её могут поручить аспиранту, который будет 3-4 года заниматься только этой проблемой, и в итоге продвинется дальше, чем все остальные, чем всё мировое сообщество, в итоге доведя решение до конца. Появление такого рода внезапных решений трудно предсказать.
Т.е. оценка сверху на полное понимание статьи — три года. Это если вы вообще ничего не знаете, потому что если знаете, за три года можно сделать свою работу, лучшую, по этой же теме.
Так можно про любую задачу сказать: раз ещё не решили, значит, бьются и решают. А если приглядеться внимательней, то есть, в лучшем случае, 2-3 научных коллектива, а то и вообще всего несколько человек, которым эта задача интересна. Другие занимаются другими задачами. Лишь очень небольшое число проблем удостаивается официального статуса трудных. Это проблемы, к которым, например, сводится решение множества других важных проблем. В криптографии можно легко придумать тысячу проблем-вопросов, ответа на которых наука не знает. Это не значит, что все они трудные (нахождение и постановка действительно трудной проблемы — само по себе уже открытие, но трудность надо доказать чем-то помимо «я пробовал, и у меня не получилось решить»; например — сведением к другим трудным задачам). Это значит (обычно) только то, что никто из квалифицированной публики серьёзно за них не брался.
Предвосхищая вопросы, скажу, что лично мне PFS неинтересна до такой степени, чтобы всё бросить и сидеть год разбираться с чужими протоколами. Тем не менее, я уверен, что за год смог бы разобраться с темой, если заниматься всё время только этим. PFS могу пообсуждать, поздавать вопросы, полистать статьи, указать на какие-то нестыковки, но не более того, личного персонального интереса к конструированию новых PFS-протоколов у меня нет.
комментариев: 9796 документов: 488 редакций: 5664
По поводу ваших заслуг все в курсе, речь о специалистах в более узкой области. Хотя физиков-криптографов — достаточно много.
Продвинуть работы по крипто на значимые конференции — достаточно трудно, хотя не знаю, с чем сравнивать. Немного другие причины трудностей. А про проблемы с журналами мы уже вроде обсуждали.
Именно это часто и скрывается за громкими определениями, но реально блестящие определения и модели тоже бывают. Вот только сколько времени пройдёт, пока их признают?
комментариев: 1079 документов: 58 редакций: 59
Он не физик, он «консультант по ИБ» ☺
В CS, как и в других науках, первостепенны журналы — мне был интересен этот вопрос, и я его специально выяснял. На конференцию отправляется, как правило, сжатая статья, страниц на 10 (STOC/FOCS), потому что там жёсткий лимит на число страниц, все подробности в такой статье на опишешь. Такие статьи часто даже называют «расширенный abstract». Предполагается, что после конференции вы напишете уже полную работу по теме и отправите её в журнал, хотя не все и не всегда так делают, ленясь доводить дело до конца. При сабмите работ-abstract'ов на конференции и при сабмите статей есть требование к оформлению ссылок: если работа уже вышла как журнальная публикация, а не только как труд конференции, она должна быть процитирована как ссылка на журнал, за этим следят. Т.е. преференцию журналов с их полными статьями и развёрнутой трактовой проблемы признают, хотя быть принятым на конференцию труднее, чем в журнал. Вам понятно, что IACR — это не журнал?
Кроме того, к конференционным трудам вы не можете написать комментарий, если нашли ошибку в чужой статье. Максимум, вы можете подготовить отдельный доклад по теме нахождения ошибки и выступить с ним на этой же конференции позже, в другой год. Однако, если результат закоммичен в виде журнальной статьи, есть официальные comments, которые рассматривает редактор, и которые, возможно, даже проходят реферирование внешними оппонентами при надобности. Т.е. если кто-то накосячил в журнальной публикации, и я нашёл у него ошибку, я могу срубить на публикации этой ошибки новую публикацию для себя. Эта новая comments-публикация, даже если состоит из одного абзаца — официально признаваемая статья, её можно указать в CV, в списке публикаций, у неё есть журнальные номера томов/страниц, на неё можно ссылаться. А как поймать за хвост того, который наговорил кучу всего на конференции? А вот никак, несмотря на престиж конференций.
Вспомните, что писал Голдрайх про конференции (пост убит): PC просто формирует «программу конференции»: он не «судит» работы, а только отбирает те, которые ему «больше понравились». Конечно, у хороших работ шансов понравиться больше, но это не тщательное судебное разбирательноство, как то, что идёт в журналах, где вы можете сраться со своими офиициальными анонимными оппонентами, редактором и даже жаловаться наверх главному редактору на то, что редактор по вашей секции журнала завернул вашу статью (это всё официальные возможности; как это делать, описано на сайтах журналов). Если вы послали работу на конференцию, и её не приняли, вы часто даже не знаете, почему; вам не отправляется никакого ответа с критикой. В некоторых случаях его отправляют, но у вас нет возможности на него ответить, даже один раз (разве что вы будете неофициально писать письма в PC с требованием разобраться).
Применительно к данной работе я не говорю, что она непременно должна выйти в топовой конференции, я только указываю на то, что она ещё ни разу не проходила рецензию (а в процессе рецензии текст может быть существенно переработан по требованию редактора). Всё, что мы, как люди со стороны, можем оценить — это наукообразность статьи: насколько аккуратно оформлено, насколько нам понятно введение, корректно ли проставлены ссылки на те утверждения, что мы не понимаем, и т.д. А специалист может (не говорю, что это касается данной работы, это просто общее утверждение) при всём этом читать ту же работу и видеть совершенно другое, как то: первая половина статьи — растянутый на полработы творческий обзор ранних хорошо известных результатов, не содержащий новизны, а другая половина — тривиальное следствие из уже ранее где-то опубликованных результатов, которое добавляет так мало новизны к уже известному, что на принятие в журнал вся работа явно не тянет. Ну, это уже не говоря о таких банальностях, как просто ошибки, ложь и нестыковки в работе, видные профессионалам в области, но не видные нам.
Кстати, что касается шифрпанка, вы же сами говорили о том, что часть из них потом стали «академиками», начав заниматься исследованиями на вполне приличном уровне с другими соавторами. Помимо ярких неукладыващихся в общую картику примеров Меркля, Визнера и Диффи есть и другие, просто не такие громкие, когда у человека были действительно интересные идеи, опережающие своё время, но продвинуть он их смог совсем не сразу, и до этого момента его в лучшем случае непонимали, а в худшем — откровенно смеялись.
Нужна научная школа и традиции, общепризнанные основы, а судя по той точки зрения, что вы здесь на форуме привили, криптография от этого далека. Даже на уровне основ в одной и той же области работает несколько школ, совершенно непонимающих друг друга, чего в других областях знаний (той же математике) просто немыслимо. И я сомневаюсь, что положение скоро исправится. Возможно, криптографию как отдельную науку со своими «методами» упразднят точно так же, как когда-то упразднили евгенику, заменив её научно обоснованной генетикой. Т.е. просто покажут, что криптография — новый раздел формальной математики (теории сложности), и все проблемы криптографии могут быть сформулированы как формальные вопросы в рамках этой математики. Может быть, получится как с Ньютоном: известная история гласит, что он в своё время ввёл понятие производной, тем самым заложив основы анализа, для решения задач на механику. Но мы же сейчас понимаем, что никакой особой производной в механике нет, это просто применение анализа (математики) к конкретной задаче.
P.S. Я, кстати, собирался
перечитатьпрочитать обсуждения в этом топике, но много их, сложные, поэтому вынес на потом.У меня нет вопросов с востребованностью и успешной коммерциализацией при условии, что это «будет сделано», но нейтральный (не под ФСБ) бизнес на безопасности в России невозможен (наверное, даже в Сколково; вон, не зря же люди скрывают). К тому же, людские ресурсы могут не окупать такие бюрократические препоны.
комментариев: 1079 документов: 58 редакций: 59
комментариев: 9796 документов: 488 редакций: 5664
Отдать проект коммерсам и контролирующим их службам на съедение в обмен на печеньки.
комментариев: 1060 документов: 16 редакций: 32
Судя по тому, сколько акций обычно остаётся у основателей успешных проектов, когда эти проекты становятся успешными, это обычный путь развития :)
комментариев: 1079 документов: 58 редакций: 59
*IT-бизнеса.
Ну я более завуалировано описал, но тоже прямо. Это двояко, нужно понимать, какую роль человек занимает под солнцем, один все все-равно не вытащит, и здесь "кесарю – кесарево", соответственно в коммерсах нет ничего плохого, если изначально оговорить о запрете игры в одни ворота. Приведу обезличенный пример. Как знаешь, сказки начинаются: "Жили-были...", так и я начну, только это уже не сказка: в конце 90х, начале 00х, одни парни из Питера спаяли схему и накодили софт, ну короче почти готовый мобильник вышел, немного денег было, бОльшую часть заняли, поехали на Урал и в Новосибирск искать производственные площадки в аренду, нашли, привлекли еще денег, устали отбиваться от полу-бандосовских "предложений", на рынок вывести сами не смогли, разрабы все-таки, а в команду никого не наняли. Так вот продали контрольный пакет одной московской компании, одной из дочек Согаза, та в свою очередь переформатировала разработку на голосовое управление (ну не гуглопоиск, а попроще, просто достойно точка-точка передача голоса была), и перепродали производителю мобильных, который до конца 00х был лидером на рынке, парни питерские получали, как ты сказал "свои печеньки", и занимались своими проектами, а мобильный производитель, как уже успели догадаться был Nokia. Вот скажи, как на это смотреть? Да, берет гордость, что основная изюминка передачи голоса в Nokia – наша, отечественная разработка, и в тоже время может и мы сами могли потеснить рынок. И второе – да, парни придумали, старались, а тут их так обломали своими "печеньками", но печеньки то достойные были и я думаю, если парни не дураки – сделали на них не менее достойные и уже самостоятельные проекты.
Опять таки, нужно перестраховываться изначально, разработчики привыкли обучаться по мануалам, а в коммерсовской части маны не помогают, здесь каждую минуту шаблон рвется, соответственно нужно достойных людей в команду брать, чтобы потом не разочаровываться, да, согласен, контрольный пакет тяжело себе оставить, но есть пара десятков ходов, используя которые можно смело восстановить справедливость и добиться того, чтобы разработка велась так, как ее видит основатель.
комментариев: 9796 документов: 488 редакций: 5664
Опенсорсный проект в области безопасности имеет интерес быть только по свободной лицензии. Если очень большой, то может собирать донейты (некоторые и от этого принципиально отказываются). Если он приносит прибыль (даже свободный софт) — это как-то сразу подозрительно,
как Ubunta. Не может проект в этой сфере быть коммерческим вообще никак.