id: Гость   вход   регистрация
текущее время 15:21 23/08/2019
Автор темы: gegel, тема открыта 20/11/2013 11:41 Печать
Категории: инфобезопасность, защита email
http://www.pgpru.com/Форум/Криптография/АналогPGPСОбеспечениемОтрицаемостиИНаперёдЗаданнойСекретностиОффлайн
создать
просмотр
ссылки

Аналог PGP с обеспечением отрицаемости и наперёд заданной секретности оффлайн?


Обсуждение в соседней теме натолкнуло на мысль: существует ли решение, аналогичное PGP и обеспечивающее для оффлайн-сообщений конфиденциальность и аутентификацию, но плюс отрицаемость и наперед заданную секретность (PFS), ну, и, желательно, тихое уведомление о прессинге. Нашел похожий вопрос на crypto.stackexchange: похоже, что готовых решений пока нет. Возможно, где-то на pgpru это уже обсуждалось, или что-то уже появилось?



 
На страницу: 1, 2, 3, 4, 5, ... , 16, 17, 18, 19, 20 След.
Комментарии
— ZAS (20/01/2015 21:25)   <#>
> На соседней кафедре был профессор с мировым именем в теории кодов. Обратились к нему. Ничего они не сделали, в результате пришлось все делать самим. Получилось довольно коряво, однако работоспособно.


Как определили работоспособность?


Обеспечивает запас С/Ш, превосходящий требования T.З.

Слили схему кодирования противнику и в реальной войне он не смог заглушить канал? Да даже если и так, означает ли это, что в следующей войне он не заглушит?


"Мне не нужна вечная игла для примуса. Я не собираюсь жить вечно." © Остап Бендер

У ZAS'а промытые мозги по самое нехочу. Понимания нет, а гонора выше крыши.


Слова, слова, одно бла-бла-бла.

Может, есть какие-то возражения по сути предлагаемого протокола – минимальной надстройки над PGP ?

http://www.zas-comm.ru
— Гость (20/01/2015 21:51)   <#>

SNR — это ни о чём в данном случае. По всему диапазону не заглушишь.


/comment81439. Тогда завязывай с научным подходом, доказательствами, страховками, планированием и давай вперёд в средневековье, где практика — критерий истины.


Практика — критерий истины. Я ничего не шифровал и меня не прослушали, значит, моё шифрование идеально.
— ZAS (20/01/2015 22:21)   <#>
Eсть какие-то возражения по сути предлагаемого протокола – минимальной надстройки над PGP ?

Нет замечаний/предложений – не о чем говорить.

Тогда завязывай с научным подходом, доказательствами, страховками, планированием и давай вперёд в средневековье, где практика — критерий истины. Я ничего не шифровал и меня не прослушали, значит, моё шифрование идеально.


Болтун.
— Гость (20/01/2015 22:27)   <#>

Будет оформленная научная работа по протоколу, прошешедшая реферирование, — будет, о чём говорить. Без этого говорить не о чем.
— ZAS (21/01/2015 20:32)   <#>
> Eсть какие-то возражения по сути предлагаемого протокола – минимальной надстройки над PGP ?


Будет оформленная научная работа по протоколу, прошешедшая реферирование, — будет, о чём говорить.


Разница подходов: одним интересно прочтение/написание статей, другим нужны рабочие приложения. Как писал unknown, security как таковая ему лично не нужна ни в каком виде. В результате, когда предлагается доделать простую практически полезную фичу к PGP, обсуждение сьезжает к проблемам сферических коней в вакууме.

http://www.zas-comm.ru
— Гость (21/01/2015 22:50)   <#>
А не хочется браться за практику, когда заранее понятно, что с вероятностью 99% через какое-то время станет понятно, что вся эта практика даёт лишь иллюзию безопасности и элементарно ломается. Вспоминается PGP Phone Циммермана: несмотря на его популярность в своё время, сейчас там обнаружена масса дыр и того, как делать не стоило бы. Отсюда идёт вкус к правильному проектированию: теория → инженерия → образец → практика. Если теории нет, инженерия превращается в самоуспокоение. Но у нас же не форум по психологическому самоуспокоению и достижению комфорта чувств, зачем себя обманывать.


Тут уже 14 страниц обсуждений, как это сделать. Вы их все прочитали и осилили? Поняли все проблемы и трудности, осознали их? Я, например, нет. Как говорят, не освоив «А», браться за «Б» нет смысла.

Если мне лично интересная какая-то тема, я не ленюсь разобрать её полностью и все ранее высказанные аргументы, прежде чем настаивать на своей правоте. Того же требую и от других.
— unknown (22/01/2015 09:33)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Иногда всё-таки полезно иметь какую-то штуку реализованной. Вдруг раз в жизни срочно понадобится?


Да пожалуйста, я не против подхода «пусть будет сделано хоть из говна и палок, лишь бы работало». Но только в мелких некритичных решениях на уровне быдлокодинга, где теоретизирование и грамотное проектирование само по себе смешно. А как применить принцип "Just works" к безопасности — не представляю. Может быть сильное или слабое доказательство безопасности, но вот чтобы вообще никакого…
— ZAS (22/01/2015 18:32)   <#>
Тут уже 14 страниц обсуждений, как это сделать. Вы их все прочитали и осилили?


В меру своей ограниченности.

Мне кажется, следует определить, что такое оффлайн. Оффлайн = корреспонденты посылают сообщения только по необходимости и в соответствии с возможностями доставки. Нельзя автоматически посылать запросы и ожидать ответов, или рассчитывать на определенное время и порядок обмена письмами. Соответственно, решения, где требуется протокольный стек с хранением промежуточных состояний, считаются непригодными. В том и трудность.

unknown, спасибо за ccылку на статью по ORKE. Красиво.

я не против подхода «пусть будет сделано хоть из говна и палок, лишь бы работало».


Пожалуйста. Kорреспонденты переписываются по PGP, и в каждое письмо вкладывают новый открытый ключ. На котором другая сторона шифрует контент ответного письма. Этот вариант прост, и предлагался вначале треда. PFS против пассивной атаки обеспечивается.

http://www.zas-comm.ru
— gegel (22/01/2015 20:31, исправлен 22/01/2015 20:36)   профиль/связь   <#>
комментариев: 393   документов: 4   редакций: 0
unknown, спасибо за ccылку на статью по ORKE.

Присоединяюсь. А работы по теме все идут и идут...
В статье есть интересная ссылка file[21]
Прослеживается сходство с элементами fileIKE Онионфона. Кстати, если будет возможность, посмотрите и мой протокол свежим взглядом (раздел 7.4). Понимаю, что подход в виде ревью не совсем корректный, но пока без вариантов.


Kорреспонденты переписываются по PGP, и в каждое письмо вкладывают новый открытый ключ.

PFS – да. Но вопрос отрицаемой аутентификации остается открытым: или вы оставляете доказательство владения корневым ключом, или ваш корреспондент не уверен, что переписывается именно с вами. А на фоне попыток аутентификации неизбежно появляются вопросы: уязвимость к UKS, к KCI, а также защиты идентификаторов от пассивного и активного атакующего.
В многопроходных конструкциях решить это легче (я пытался это сделать в своем 6-проходном протоколе Онионфона), но через почту это практически нереально. А красивые одно- и двух-проходные протоколы (включая ранее упоминаемый в теме и симпатичный мне fileNIDA) реально bleeding edge – публикаций масса, но ноль практических применений.

— Гость (23/01/2015 05:07)   <#>

Хочу обратить внимание на протокол Tor'а. Его создавали правильно: от теории к практике, а не через "just works", поэтому когда дошло дело до реальных атак и серьёзных атакующих, всё оказалось не так плохо — АНБ до сих пор ломает голову. А есть I2P, за который как только взялись исследователи, так сразу же обнаружили массу тривиальных атак с полным разрушением анонимности, его безопасность стоит на одном честном слове.


Можно и что-то промежуточное: периодически время от времени по желанию сверять текущие сеансовые ключи по доверенному каналу.
— unknown (23/01/2015 09:39)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Не совсем. Его делали на основе самых консервативных протоколов обмена ключей, но Provable Security для базового криптопротокола была получена от других авторов уже задним числом. Поэтому атаку на навязывание слабых DH-модулей в самом начале они всё-таки пропустили.
— gegel (23/01/2015 09:46)   профиль/связь   <#>
комментариев: 393   документов: 4   редакций: 0
по доверенному каналу

Это в случае, если он существует. На практике это часто так и есть. Но не в теоретических моделях (CK, eCK, не говоря уже о моделях отрицаемости). С другой стороны, данные модели иногда не совсем очевидны с точки зрения практики, порождают притянутые к ним за уши протоколы с целью вписаться в модель и не более того, например, NAXOS.
С другой стороны, доказательства приводят в стандартных моделях, и без них протокол обычно не доходит до практической реализации.
— unknown (23/01/2015 11:09)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Пока не разбирал. Режет глаза то, что конкатенация (объединение) у вас обозначены через | вместо ||. Там \parallel надо или что-то такое.
— gegel (23/01/2015 11:43)   профиль/связь   <#>
комментариев: 393   документов: 4   редакций: 0
Там \parallel надо или что-то такое.

Спасибо, поправлю. И уважаемого Гостя учту.
— ZAS (23/01/2015 19:16)   <#>
Хочу обратить внимание на протокол Tor'а. Его создавали правильно: от теории к практике, а не через "just works", поэтому когда дошло дело до реальных атак и серьёзных атакующих, всё оказалось не так плохо — АНБ до сих пор ломает голову. А есть I2P, за который как только взялись исследователи, так сразу же обнаружили массу тривиальных атак с полным разрушением анонимности, его безопасность стоит на одном честном слове.


Оставьте протоколы; не в них дело. Иллюзия безопастности TOR основана на вере в некомпрометированность DA. Весьма наивная точка зрения, учитывая силы и интересы, которые за этим стоят. DA – гвоздь всей концепции. Плюс к тому атаки на клиента, как со стороны выхода из TOR, так и cо стороны входа.
На страницу: 1, 2, 3, 4, 5, ... , 16, 17, 18, 19, 20 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3