RC4 взломан или не взломан?
Если, допустим, пропустить 3072 начальных байта кейстрима с биасом, и приделать к каждому зашифрованному сообщению рандомный nonce, хэшируя с которым пароль генерировать ключ для RC4 будет это надёжно или нет?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 90 документов: 0 редакций: 0
Просто как бы уже есть некоторые широкоизвесные термины, такие как ключевой поток, ВИ и т.д., зачем изобретать новые?
По теме: я бы не стал его использовать. А Ваши предложения о усилении равнозначны творчеству на тему: а переделаю я шифр, и сделаю его надежнее... К чему зачатстую это приводит, я думаю, знаете.
Я думаю, что тот кто может ответить на мой вопрос всё понял и так. Не люблю формализм в обычном общении.
Почему?
Вовсе даже не мои предложения.
комментариев: 90 документов: 0 редакций: 0
Повышение стойкости RC4
комментариев: 90 документов: 0 редакций: 0
unknown: "Для RC4 найдено большое число различителей. Он проваливает даже статистические тесты при объеме шифртекста 2 Gb. Есть отклонения в распределении биграмм и т.д. Это не означает практического взлома, но означает дефектность алгоритма."
А это значит никакие отбросы первых байт или магические преобразования ключа не помогут.
П. С.: и учитесь поиском пользоваться + учитесь находить ответы на вопросы, берегите время специалистов. Не попугаи ведь.
комментариев: 90 документов: 0 редакций: 0
Много факторов, на которые нужно впервую очередь смотреть при выборе алгоритма шифрования.
Если не бояться, что из 10000 пользователей 10001-й поламает, то вполне можно использовать, если конечно правильно использовать.
Я бы не парил себе мозг... Для тех задач, которые мне приходиться решать, RC4 – хлам. А для Вас – нужно смотреть. Одно дело для банка, другое дело для сайта юных физиков-неатомщиков.
Кстати, сейчас развелось много фирм, чьи консультанты помогут :)
комментариев: 11558 документов: 1036 редакций: 4118
С 40-битовым ключом, ага? А ещё там есть DES. А ещё — архитектурная ошибка...
Ну, скажем так, длина ключа в RC4 никогда не была проблемой. Она может составлять до 256 байт. Triple-DES там действительно есть, и NIST оценивает его как достаточно надёжный алгоритм. А архитектурная ошибка это давно известная проблема до которой никому не было дела, поскольку она затрагивает только экзотические случаи применения SSL.
Но всё же эта тема не про SSL, а про RC4.
комментариев: 90 документов: 0 редакций: 0
Если так уверены? Зачем тогда спрашиваем? Используйте на здоровье...
Поломают, тогда поймете :)
Не надёжность, а доверие криптографической общественности.
Неконструктивно.
комментариев: 90 документов: 0 редакций: 0
У меня, если чесно, нету никакой заинтересованности переубеждать Вас в чем-то.
комментариев: 11558 документов: 1036 редакций: 4118
Если мне не изменяет склероз, RC4 был добавлен в SSL прежде всего ради экспортных реализаций с 80- и 40-битовыми ключами, а не за какие-то особые заслуги.
DES, именно DES с одним ключом.
Собственно, я об этом вспомнил, только чтобы показать несостоятельность Вашей логики в апеллировании к SSL.
Сыграло свою роль и то, что выбор потоковых шифров был невелик. К тому же, 40-битовая версия RC4 это дела минувших дней, сейчас там 128 битный вариант.
Мне кажется, что в актуальной специфкации SSL я не видел требований к включению DES.
комментариев: 9796 документов: 488 редакций: 5664
Пусть автор поксорит множества, порождаемые своими вопросами :)
SHA-1, например, тоже взломан, хотя практической атаки продемонстрировано не было. Но не выкинули же его мгновенно из всех стандартов.
RC4 разрешается временно (на свой страх и риск) использовать для старых приложений в целях совместимости с применением примерно тех костылей, что вы сказали.
В новых приложениях RC4 использовать не рекомендуется.
RC4 был заявлен в конкурс NESSIE, ещё до того, как на него были открыты серьёзные атаки, но уже тогда по многим возражениям криптографов его сняли с конкурса (читайте отчёты NESSIE если вам интересны подробности).
Собственно в отчёте NESSIE из 342 страниц по поводу RC4 уделили маленький абзац:
На нём поставили крест, ещё до того как были открыты более серьёзные атаки, которые пока ещё можно обойти костылями в практическом использовании.
Пока никакого доверямого стойкого потокового шифра нет вообще, его ещё долго будут тащить в стандартах, но уже не включат в качестве кандидата ни в один конкурс на новый.
Конкурс NESSIE в итоге не смог выдвинуть в финалисты ни одного потокового шифра.
Сейчас медленно, муторно и без гарантии на успех проходит конкурс потоковых шифров eStream, одной из мотиваций проведения которого, было придумать что-нибудь вместо RC4, а то с теорией потоковых шифров (как и хэшей) вообще как-то плохо дела обстоят.
Пока доверяемо стойких потоковых шифров не существует рекомендуется использовать блочные в режиме поточного, например AES-counter.