Квантовая криптография: "за" и "против"
"А надо ли оно вообще?", задался вопросом Киви Берд в хорошей критической статье "Квантовая криптонеопределенность". Помимо объективной критики квантовых коммуникаций приводит интересный обзор последних событий в классической криптографии, связанных прежде всего с некоторыми заявлениями и действиями бесспорного авторитета криптографии — АНБ США.
комментариев: 9796 документов: 488 редакций: 5664
Ускорители и термоядерные установки – это тоже сейчас вещи дорогие и малопрактичные. Но в будущем все может измениться.
Стоимость квантовых установок снижается, проектируются протоколы квантовой аутентификации и наверняка знания из этих работ еще пригодятся.
Критика квантового крипто в современном мире по большей части верна, но так категорично отрицать его будущее я бы лично не стал.
И компакт-диски и лазерная запись, казались когда-то дорогой полуфантастической игрушкой.
Насчет документов АНБ. Наши компетентные органы тоже пишут в официальных инструкциях, что для защиты гос. тайны должен использоваться ГОСТ-89.
Хотя их представители на одной конференции в России вроде бы еще четыре года назад заявляли, что ГОСТ устарел в криптоаналитическом смысле и ему
можно предложить замену, правда новый "ГОСТ" будет предоставляться только по закрытой подписке. Понятия не имею, насколько правда это или просто слухи.
Думаю, что документы АНБ – это тоже лишь формальные инструкции, отражающие лишь внешнюю политику организации по данному вопросу. Настоящие сведения и
внутренние распоряжения все равно останутся засекреченными. А потом выяснится, что под секретными коммуникациями национальной важности они понимали смарт-карты для открывания
дверей в подсобных помещениях своего ведомства.
У меньшинства (но все-таки у значительного количества) криптографов довольно скептическое отношение к AES-Rijndael. Многократное использование одного и тоже
(единственного) S-блока в ходе одного раунда, алгебраическая структура этого S-блока, плохие статистические характеристики развернутых ключей (вычисленных раундовых подключей).
Распространено мнение, что по стойкости RIJNDAEL был самым слабым среди пяти шифров-финалистов. Его выбрали только потому, что и NIST и NSA выдвинули очень жесткие требования
по универсальности, экономичности, быстродействию, простоте реализации шифра. Здесь ему действительно нет равных среди шифров такого уровня стойкости.
Требования NSA к шифрам были конечно своеобразны. Возможность распараллеливания (удобно для серверов, работающих с большими потоками данных, но одновременно это облегчает потенциальные атаки на шифр).
Быстрый алгоритм разворачивания подключей (удобно для смарт-карт и низкопроизводительных устройств с быстрой сменой ключа, но это снижает стойкость ключевого расписания и облегчает ряд атак),
отсутствие слабых ключей (иногда проще сделать более стойкий алгоритм с ничтожно малым подмножеством слабых ключей, чем полностью их исключить, но ослабить сам алгоритм) и т.д.
Кстати, если вспомнить более ранний алгоритм Blowfish, то он как раз имеет значительный запас стойкости как раз из-за того, что он не соотвествует ни одному из этих требований.
Даже если бы его удалось переделать на 128-битовый блок (что безуспешно пыталась сделать команда Шнайера перед созданием Twofish), конкурс AES он бы не прошел и даже в финалиcты не попал бы.
Значительный плюс AES – постоянно гарантированный поток внимания исследователей к нему (так как он является стандартом). Но говорить о его абсолютной стойкости на основании директив АНБ я думаю не стоит.
комментариев: 1515 документов: 44 редакций: 5786
Насколько я слышал, blowfish c 64-ю "раундами" не рекомендуют использовать для защиты диска объёмом более 2х гигабайт. Якобы имеется возможность в OpenBSD менять параметры, но мне кажется что нужного здесь нет. Я не прав? Или всё-таки есть обход проблемы?
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 9796 документов: 488 редакций: 5664
Размер блока blowfish – фиксирован – 64 бит
Число раундов – фиксировано, но может быть теоретически увличено – 16
Макс. размер ключа – 448 бит
Это всё разные параметры, не надо их путать.
комментариев: 9796 документов: 488 редакций: 5664
PKCS #5 PBKDF2 – это стандарт получения ключа из пароля. Параметр -K – число раундов в реализации стандарта, где парольная фраза многократно по числу раундов хэшируется с солью. А шифруется всё стандартным блуфишем.
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 9796 документов: 488 редакций: 5664
Выйдет, хотя можно считать это несущественной слабостью. При превышении допустимых размеров данных растёт вероятность коллизий блоков шифртекста в соответствии с парадоксом дней рождения. Можно доказать, что два блока открытого текста одинаковы, не зная ключа. А такая утечка данных облегчает другие виды атак.
Шифрами с размером блока 64 бита нельзя шифровать данные больше 2(64/2) = 232 =32 гигабайта. Но в зависимости от параноидальности требований этот абсолютный предел может быть уменьшен до 2Gb и даже до нескольких мегабайт.
Шифрами с размером блока 128 бит (AES, Twofish и др.) можно шифровать данные 2(128/2) = 264 = 256 эксабайтов.
комментариев: 1515 документов: 44 редакций: 5786
Квантовая криптография обеспечивает надежную защиту от пассивного прослушивания линии, но совершенно бесполезна против активных атак (невозможно узнать, кто сидит на другом конце провода), а значит требует применения классических систем аутентификации.
В чем же тогда плюсы, по сравнению с традиционными системами?
Если кого-то сильно гложет параноя, то целесообразней будет изобрести протокол на основе обычных алгоритмов, обладающий огромным запасом прочности.
К примеру, при установлении соединения делать выработку ключа и аутентификацию одновременно по нескольким ассимитричным криптоалгоритмам (RSA, DSA, ECC, HFE, и.т.д.), для шифрования данных использовать каскад шифров (к примеру AES->twofish->serpent->idea->blowfish->tea->rc6->rc4->cast128), а для hmac использовать конструкцию из нескольких хешей (md5, sha1, sha512, whirpool).
Неужели избыточная безопасность такой системы будет недостаточна для каких либо целей? Гложет параноя – удлинить каскад, добавить хешей на основе всех известных блочных шифров, в список асимметрики добавить с десяток малоизвестных схем. Параноя не пропадает – отказаться от асимметрики вобще. Если параноя всеравно не отпускает, то надо лечиться, а не квантовую криптографию изобретать.
комментариев: 11558 документов: 1036 редакций: 4118
А для чего гранитная облицовка офисам банков и корпораций? Для
понтовпрестижа.Вообще-то нет такой штуки как "квантовая криптография" (по словам Калласа, многих проблем можно было бы избежать, если бы авторы этой методики придумали для неё какое-нибудь другое обыденное название). То, что зачастую так называют, есть квантовое согласование ключа. То есть всё это дорогущее оборудование и принцип неопределённости Гейзенберга используются сторонами только чтобы выработать общий секретный ключ, который в дальнейшем используется в обычных криптографических алгоритмах.
Вообще, если бы передо мной стояла проблема безопасного согласования ключа, на решение которой было бы выделено 100 тыс. USD (примерно столько стоит оборудование QKD), я бы лучше нанял бронетанковую колонну с взводом автоматчиков, а ключ передал с этим эскортом в стильном алюминиевом кейсе.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 1515 документов: 44 редакций: 5786
Если я не ошибаюсь, нет этой проблемы :-) Всегда можно понять прослушивают ли канал, переизлучение же там не используется вроде бы.
А вы знаете о том, что когда сделают первый квантовый компьютер все существующие наработки классического крипто порастут известными органами? А представьте себе, что через каких-нибудь 20-30 лет, например, некоторые службы получат возможность зная ваш открытый ключ расшифровать всё что им когда-либо было зашифровано втечение всех этих лет? Нужны какие-то новые методы, чтобы противостоять этому криптоанализу.
А сама связь – не такая дорогая: обычное оптоволокно, по нему шлют фотоны... ничего сложного. мерят поляризацию.
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 9796 документов: 488 редакций: 5664
Не все
а это про blowfish
комментариев: 11558 документов: 1036 редакций: 4118
А если в существующую QKD-линию сделать врезку, поставить два промежуточных "чёрных ящика" и провести обычный man-in-the-middle?