Аналог PGP с обеспечением отрицаемости и наперёд заданной секретности оффлайн?

> На соседней кафедре был профессор с мировым именем в теории кодов. Обратились к нему. Ничего они не сделали, в результате пришлось все делать самим. Получилось довольно коряво, однако работоспособно.

Как определили работоспособность?

Обеспечивает запас С/Ш, превосходящий требования T.З.

Слили схему кодирования противнику и в реальной войне он не смог заглушить канал? Да даже если и так, означает ли это, что в следующей войне он не заглушит?

"Мне не нужна вечная игла для примуса. Я не собираюсь жить вечно." © Остап Бендер

У ZAS'а промытые мозги по самое нехочу. Понимания нет, а гонора выше крыши.

Слова, слова, одно бла-бла-бла.

Может, есть какие-то возражения по сути предлагаемого протокола – минимальной надстройки над PGP ?

http://www.zas-comm.ru

SNR — это ни о чём в данном случае. По всему диапазону не заглушишь.


/comment81439. Тогда завязывай с научным подходом, доказательствами, страховками, планированием и давай вперёд в средневековье, где практика — критерий истины.


Практика — критерий истины. Я ничего не шифровал и меня не прослушали, значит, моё шифрование идеально.

Eсть какие-то возражения по сути предлагаемого протокола – минимальной надстройки над PGP ?

Нет замечаний/предложений – не о чем говорить.

Тогда завязывай с научным подходом, доказательствами, страховками, планированием и давай вперёд в средневековье, где практика — критерий истины. Я ничего не шифровал и меня не прослушали, значит, моё шифрование идеально.

Болтун.

Будет оформленная научная работа по протоколу, прошешедшая реферирование, — будет, о чём говорить. Без этого говорить не о чем.

> Eсть какие-то возражения по сути предлагаемого протокола – минимальной надстройки над PGP ?

Будет оформленная научная работа по протоколу, прошешедшая реферирование, — будет, о чём говорить.

Разница подходов: одним интересно прочтение/написание статей, другим нужны рабочие приложения. Как писал unknown, security как таковая ему лично не нужна ни в каком виде. В результате, когда предлагается доделать простую практически полезную фичу к PGP, обсуждение сьезжает к проблемам сферических коней в вакууме.

http://www.zas-comm.ru

А не хочется браться за практику, когда заранее понятно, что с вероятностью 99% через какое-то время станет понятно, что вся эта практика даёт лишь иллюзию безопасности и элементарно ломается. Вспоминается PGP Phone Циммермана: несмотря на его популярность в своё время, сейчас там обнаружена масса дыр и того, как делать не стоило бы. Отсюда идёт вкус к правильному проектированию: теория → инженерия → образец → практика. Если теории нет, инженерия превращается в самоуспокоение. Но у нас же не форум по психологическому самоуспокоению и достижению комфорта чувств, зачем себя обманывать.


Тут уже 14 страниц обсуждений, как это сделать. Вы их все прочитали и осилили? Поняли все проблемы и трудности, осознали их? Я, например, нет. Как говорят, не освоив «А», браться за «Б» нет смысла.

Если мне лично интересная какая-то тема, я не ленюсь разобрать её полностью и все ранее высказанные аргументы, прежде чем настаивать на своей правоте. Того же требую и от других.

Иногда всё-таки полезно иметь какую-то штуку реализованной. Вдруг раз в жизни срочно понадобится?


Да пожалуйста, я не против подхода «пусть будет сделано хоть из говна и палок, лишь бы работало». Но только в мелких некритичных решениях на уровне быдлокодинга, где теоретизирование и грамотное проектирование само по себе смешно. А как применить принцип "Just works" к безопасности — не представляю. Может быть сильное или слабое доказательство безопасности, но вот чтобы вообще никакого…

Тут уже 14 страниц обсуждений, как это сделать. Вы их все прочитали и осилили?

В меру своей ограниченности.

Мне кажется, следует определить, что такое оффлайн. Оффлайн = корреспонденты посылают сообщения только по необходимости и в соответствии с возможностями доставки. Нельзя автоматически посылать запросы и ожидать ответов, или рассчитывать на определенное время и порядок обмена письмами. Соответственно, решения, где требуется протокольный стек с хранением промежуточных состояний, считаются непригодными. В том и трудность.

unknown, спасибо за ccылку на статью по ORKE. Красиво.

я не против подхода «пусть будет сделано хоть из говна и палок, лишь бы работало».

Пожалуйста. Kорреспонденты переписываются по PGP, и в каждое письмо вкладывают новый открытый ключ. На котором другая сторона шифрует контент ответного письма. Этот вариант прост, и предлагался вначале треда. PFS против пассивной атаки обеспечивается.

http://www.zas-comm.ru

unknown, спасибо за ccылку на статью по ORKE.

Присоединяюсь. А работы по теме все идут и идут...
В статье есть интересная ссылка [21]
Прослеживается сходство с элементами IKE Онионфона. Кстати, если будет возможность, посмотрите и мой протокол свежим взглядом (раздел 7.4). Понимаю, что подход в виде ревью не совсем корректный, но пока без вариантов.

Kорреспонденты переписываются по PGP, и в каждое письмо вкладывают новый открытый ключ.

PFS – да. Но вопрос отрицаемой аутентификации остается открытым: или вы оставляете доказательство владения корневым ключом, или ваш корреспондент не уверен, что переписывается именно с вами. А на фоне попыток аутентификации неизбежно появляются вопросы: уязвимость к UKS, к KCI, а также защиты идентификаторов от пассивного и активного атакующего.
В многопроходных конструкциях решить это легче (я пытался это сделать в своем 6-проходном протоколе Онионфона), но через почту это практически нереально. А красивые одно- и двух-проходные протоколы (включая ранее упоминаемый в теме и симпатичный мне NIDA) реально bleeding edge – публикаций масса, но ноль практических применений.

Хочу обратить внимание на протокол Tor'а. Его создавали правильно: от теории к практике, а не через "just works", поэтому когда дошло дело до реальных атак и серьёзных атакующих, всё оказалось не так плохо — АНБ до сих пор ломает голову. А есть I2P, за который как только взялись исследователи, так сразу же обнаружили массу тривиальных атак с полным разрушением анонимности, его безопасность стоит на одном честном слове.


Можно и что-то промежуточное: периодически время от времени по желанию сверять текущие сеансовые ключи по доверенному каналу.

Не совсем. Его делали на основе самых консервативных протоколов обмена ключей, но Provable Security для базового криптопротокола была получена от других авторов уже задним числом. Поэтому атаку на навязывание слабых DH-модулей в самом начале они всё-таки пропустили.

по доверенному каналу

Это в случае, если он существует. На практике это часто так и есть. Но не в теоретических моделях (CK, eCK, не говоря уже о моделях отрицаемости). С другой стороны, данные модели иногда не совсем очевидны с точки зрения практики, порождают притянутые к ним за уши протоколы с целью вписаться в модель и не более того, например, NAXOS.
С другой стороны, доказательства приводят в стандартных моделях, и без них протокол обычно не доходит до практической реализации.

Пока не разбирал. Режет глаза то, что конкатенация (объединение) у вас обозначены через | вместо ||. Там \parallel надо или что-то такое.

Там \parallel надо или что-то такое.

Спасибо, поправлю. И уважаемого Гостя учту.

Хочу обратить внимание на протокол Tor'а. Его создавали правильно: от теории к практике, а не через "just works", поэтому когда дошло дело до реальных атак и серьёзных атакующих, всё оказалось не так плохо — АНБ до сих пор ломает голову. А есть I2P, за который как только взялись исследователи, так сразу же обнаружили массу тривиальных атак с полным разрушением анонимности, его безопасность стоит на одном честном слове.

Оставьте протоколы; не в них дело. Иллюзия безопастности TOR основана на вере в некомпрометированность DA. Весьма наивная точка зрения, учитывая силы и интересы, которые за этим стоят. DA – гвоздь всей концепции. Плюс к тому атаки на клиента, как со стороны выхода из TOR, так и cо стороны входа.