Subkeys – вопрос

Шифрование производится всеми активными в текущий момент времени подключами. Подробности в руководстве и здесь (последний абзац).

Т.е. получается что шифрование происходит, последовательно всеми подключами? Сначал зашифровывается первым, потом шифртекст зашифровывается вторым подключом и так далле пока не закончатся подключи?

Именно так. Если срок действия каких-то шифровальных подключей ещё не наступил или уже завершился, они не используются.

Попробую возразить. Ставим эксперимент. Генерируем ключ с несколькими подключами. Шифруем. Удаляем какие-либо подключи посередине. Дешифруем. Все ОК. Только если удалить то ли первый то ли последний подключ (не помню сейчас, какой именно), то дешифровка обломится.

Как такое объяснить?

Между прочим, вопрос насчет перекрытия всех 256 бит AES (напр.) с помощью генерации одновременно нескольких подключей я впервые увидел на этом сайте. В документации по PGP (у меня 8.0) ничего об этом не сказано. Или я ошибаюсь?

Буду признателен, если господин администратор даст ссылку на источник информации и прокомментирует вышеуказанный эффект.

Вы совершенно правы — это моя ошибка, которая будет исправлена. Был введён в заблуждение давишней дискуссией в одном из списков рассылки; следовало не принимать слова на веру, а проверить самостоятельно, чего я не сделал. Более того, Ваше наблюдение имеет гораздо более серьёзные последствия, чем может показаться...

Итак, уточнение. PGP НЕ производит последовательного или параллельного зашифрования подключами с совпадающими или пересекающимися сроками действия. Сеансовый симметричный ключ зашифровывается только одним шифровальным подключом, при выборе которого учитываются следующие параметры: длина подключа, дата генерации, вероятно, также, начало действия и окончание действия. Если подключи имеют разную длину, будет выбран более крупный; если подключи имеют одинаковую длину, будет выбран более новый. Это не все критерии. Так, подключ шифрования, генерируемый вместе с ключом подписания, имеет в некоторых случаях наивысший приоритет.

После подробного тестирования выложу дополнение. Ясно одно: использование подключей не может привести к последовательному зашифрованию и усилению стойкости сверх 4096 битов. Более того, в некоторых обстоятельствах (при использовании дополнительных подключей с ограниченным периодом действия и меньшей длины, чем первичный подключ) их использование может повлечь ОСЛАБЛЕНИЕ шифртекста — сеансовый ключ будет зашифрован более коротким вторичным подключом.

Это исключительно важный нюанс, являющий собой потенциальную угрозу безопасности. После дополнительной проверки отчёт будет направлен разработчикам.

Несмотря на то, что 4096 бит тоже довольно сильно, однако это повод задать разработчикам вопрос "зафига в PGP реализовывать 256 битные алгоритмы вроде Twofish или AES-256 когда ограничение ассиметричного ключа в 4096 добавляет ОТНОСИТЕЛЬНУЮ уязвимость"? При такой постановке вопроса получается, что вся мощь 256 бит реализуется только при использовании симметричного шифрования. Но PGP изначально реализован под использование ассиметричных алгоритмов, "крышующих" симметричные. Использование "только симметрички" – опция, и именно предлагается как опция. Получается что-то вроде того что нам приходится выбирать из двух зол меньшее. Либо ослабь 256 бит, либо откажись от ассиметричного шифрования. Нехорошо...

Я бы ответил следующим образом. Хотя потенциальная угроза безопасности от использования малых подключей с ограниченными периодами действия на фоне крупного подключа с неограниченным периодом действия имеет место быть (из-за чего мне самому намедни пришлось полностью заменить состав подключей собственного открытого ключа), я не считаю подключи совершенно бесполезными.

Ценность любой информации имеет тенденцию к уменьшению с течением времени. В то же время, при нынешнем уровне развития вычислительной техники и теории чисел, 4-килобитные асимметричные ключи можно считать совершенно надёжными по меньшей мере на ближайшие 50 лет при любых мыслимых затратах на их взлом. Если ежегодно / ежемесячно / ежедневно (нужное подчеркнуть) заменять 4-килобитный шифровальный подключ новым, это повысит надёжность схемы на несколько порядков, по сути перекрывая стойкость 256-битовых симметричных ключей. Однако я не считаю подобные действия целесообразными — обычно передаваемая по электронной почте информация не представляет ценности, оправдывающей прямой криптоаналитический взлом.

Если же необходимо зашифровать нечто сверхценное, что должно оставаться в тайне сотни лет (право, не могу предположить, что этим может оказаться), стоит воспользоваться симметричным шифрованием. В любом случае, при подобной ценности информации её транспортировка с соблюдением самых строгих мер безопасности будет экономически оправдана. Иначе можно последовательно зашифровать информацию несколькими асимметричными ключами и надеяться на то, что подобное зашифрование не образует группу.

Я не вижу, чтобы текущая дискуссия имела практическую применимость; она представляет исключительно теоретический интерес.