Инструменты тестировщика
NIST пиарит набор утилит для тестирования исходников в том числе пару для криптографических протоколов. Но сразу оговаривается, что
DISCLAIMER: Certain trade names and company products are mentioned in the text or identified. In no case does such identification imply recommendation or endorsement by the National Institute of Standards and Technology (NIST), nor does it imply that the products are necessarily the best available for the purpose.
В любом случае какие-то критерии отбора в список не могут не быть. Хоть о них (критериях) достоверно не известно, но – это первый вопрос для обсуждения.
Прогнав один и тот же код через разные анализаторы, можно получить разные результаты. Пишите, плз, об известных вам инструментах. Желательно с инструкцией о том, как ими пользоваться.
http://samate.nist.gov/index.p.....urity_Analyzers.html
комментариев: 301 документов: 8 редакций: 4
Это неправильное заключение, правильное — то, что открытости исходников самой по себе недостаточно для безопасности, хотя она этому способствует.
Зависит от конкретной программы: для некоторых существует, для других — нет. Чем менее популярен софт, тем, при прочих равных, он, скорей всего, менее безопасен.
комментариев: 301 документов: 8 редакций: 4
Автор прибедняется
Не смею надеяться, что специалисты доведут идею до ума, чтобы разговаривать об адекватном/неадекватном приходилось не на пальцах.
комментариев: 511 документов: 2 редакций: 70
комментариев: 301 документов: 8 редакций: 4
Дельный совет для корпораций. Они так и делают в анализе своего кода: Майкрософт, например, использовала PREfast и PREfix. А криптография вообще не для того, чтобы в ней понимать кому попало. Ничего, что какой-то Вася ломал Винду как два пальца отряхнуть, на таких умельцев есть другие корпорации – производители антивирусов, теперь и в криптографии по вашей ссылке обнаружилось универсальное, идеальное средство с низким порогом вхождения. Зачетный пост с одной поправкой: я – не корпорация, себя обманывать не стану.
комментариев: 511 документов: 2 редакций: 70
комментариев: 301 документов: 8 редакций: 4
Вам про Фому, а Вы про Ерёму…
Выделю специально для pgprubot
Совет "открывайте, читайте", "изучайте его, ищите" совсем никак не канает. Это называется флейм, офтопик или ещё каким-то не хорошим словом, но в отличие от других аналогичных постов в других темах почему-то не удаляются.
комментариев: 301 документов: 8 редакций: 4
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 301 документов: 8 редакций: 4
SATtva, а Вы сами-то эксперт или где? От теории 2005-го года до "practical malleability attack against" cbc в 2013 году прошло 8 лет и пальма первенства не Ваша. Слабо Вам выбрать другой тип атаки, которой подвержен cbc в теории, и не известна практически, чтобы реализовать её самостоятельно в образовательных целях? К утилитам шифрования как разновидности компьютерных программ в полной мере относятся слова Дейкстры: "Тестирование программ может служить для доказательства наличия ошибок, но никогда не докажет их отсутствия." Глупость – это будет, например, когда Вы не сможете реализовать атаку, но заявите, что там типа "всё адекватно".
комментариев: 11558 документов: 1036 редакций: 4118
Кажется, Вы не поняли. Ваша отсылка к атаке на CBC — это ровно то, что я имел в виду под неадекватными режимами шифрования. CBC при использовании в FDE подвержен fingerprinting/malleability-атакам, это давно известно, и сегодня никто в своём уме не использует CBC для дискового шифрования. Существует несколько режимов, [доказуемо] устойчивых к атакам этого типа.
комментариев: 301 документов: 8 редакций: 4
Я осознано не нагружаю Вас предложением взламывать cmc, eme или xts. Это не тема форума. А вот cbc – это хороший полигон для доказательства своих экспертных знаний на практике. На деле же проходит очень много времени между предположением о возможности успешной атаки и её реализацией.
Это просто снобизм. Простой человек, пытаясь защитить свои данные, узнает, что использует не те алгоритмы шифрования, возможно, в самый не подходящий момент. Ведь он не обязательно сразу вычитает всё, что используют суровые
челябинскиешифровальщики. Да и понять всё правильно – очень сложно. Я вот, например, только совсем недавно узнал, что умалчивание эксперта [назначенного судом] об обстоятельствах, имеющих значение для дела, в экспертизе является разновидностью заведомо ложного заключения.p.s. ход мысли не понравится известной касте, но судья в суде – это тоже просто эксперт. Эксперт в области законодательства.
комментариев: 301 документов: 8 редакций: 4
Почему делопроизводством в суде занимается народ без специального it-шного образования? Компьютерные науки не менее сложные, чем юриспруденция. Но тыкать кнопочки в Word’e не настолько сложно, как заниматься самозащитой своих прав в гражданском деле. Для применения компьютера на рабочем месте в офисе достаточно прочитать 100%-ный самоучитель или справочник листов на 200. Почему юриспруденцию не упростили до сих пор?
комментариев: 511 документов: 2 редакций: 70
Потому, что это управленцы, а управление на этой планете везде так устроено. Мнение высказывают эксперты, но эксперты ничего не решают, но при этом не несут управленческих, политических и иных рисков. Роль управленцев (в частности — судей) — заслушать умных людей, со всем согласиться и поставить галочку под решением, которое последние предложили. Знать заранее ничего не нужно — эксперты с нуля всё объяснят и про компьютер и про IT применительно к ситуации. Как следствие, судью можно вообще заменить присяжными с улицы, а прочих управленцев — кухарками.
комментариев: 301 документов: 8 редакций: 4
На каждое Ваше предложение в очередной раз возникают по несколько дополнительных вопросов с неочевидными ответами на них. Опять флейм, опять офтопик…
На самом же деле есть два ответа на поставленный мной вопрос – либо не хотят, либо не могут. В лицемерии не признаются. Следовательно, остается слабо. В контексте с обсуждаемыми в теме вопросами, этого достаточно для подтверждения аналогии. Или кто-то скажет, что они могут, но не хотят?