OTR Messaging: "Незаписываемая переписка"
Вам это понравится.
Никита Борисов и Иан Голдберг выпустили программу Off-the-Record Messaging. Это плагин для GAIM, обеспечивающий защищённую IM-переписку. Внимания заслуживает не столько этот факт, сколько особые свойства программы:
— шифрование сообщений
— аутентификация собеседников
— perfect forward secrecy
— возможность отречения (!)
PFS достигается благодаря эфемерным ключам, согласуемым по Диффи-Хеллману. Даже если текущий ключ будет скомпрометирован, секретность прежней и будущей переписки не пострадает.
Последнее свойство особенно интересно. Обычно аутентификация производится с помощью ЭЦП, но это жёстко привязывает человека к написанным словам: впоследствии он не сможет отказаться от сказанного, поскольку его сообщения заверены его закрытым ключом (этот ключ был известен ему одному).
С OTR ситуация иная. На нижнем уровне протокола с помощью закрытых ключей аутентифицируется MAC-код каждого из собеседников (MAC, или имитовставка, — это хэш-значение, зависимое от сообщения и симметричного ключа). Сами же передаваемые сообщения аутентифицируются с помощью этих MAC'ов (так каждый собеседник может быть уверен в аутентичности и целостности полученного сообщения). А раз оба собеседника знают MAC-коды друг друга, то даже если один из них решит опубликовать протокол переписки, он не сможет доказать, кто писал какие сообщения. Более того, после окончания сеанса переписки каждый из контрагентов может опубликовать MAC-коды в Сети, а раз они опубликованы, то данную беседу мог провести любой.
Вот такая хитрая штучка для тех, кто не хочет быть пойманным за язык. ;)
Версия плагина есть только под Debian или Fedora Core Linux.
комментариев: 9796 документов: 488 редакций: 5664
2) Ну всё равно какие-то параметры, которыми стороны обмениваются по согласованию будут известны прослушивающей стороне.
3) Это стеганография. Только любая стеганография использует симметричный или крайне редко асимметричный же алгоритм для внедрения сообщения в стегоконтейнер (само сообщение чаще всего тоже зашифровано, но уже не стего-, а обычным крипто- ключем).
Надеюсь, ни в одном из пунктов не шла речь об элементарном утаивании деталей реализации (security trough obscurity)
Вообще, не стоит поднимать тему якобы преждевременной кончины ассиметричной квантовой криптографии по каждому поводу. Ещё обиднее будет если все не подумав перейдут на какой-нибудь новомодный квантовостойкий ассиметричный алгоритм типа NTRU, а он окажется нестойким против неквантовых методов анализа.
Если очень будет надо, то доведут до ума McElice или всем криптосообществом разберутся со стойкостью NTRU. Просто прогресс обычно наступает тогда, когда необходимость в чём0-либо становится совсем уже явной.
Пока постквантовая криптография – это экзотика.
комментариев: 83 документов: 4 редакций: 4
Так что имхо сейчас оптимальным будет использование одновременно как можно большего количества разных асимметриков. Расчет тут делается на то, что хотя-бы один из вскрыть окажется невозможно.
комментариев: 11558 документов: 1036 редакций: 4118
ПэГусев, я выслал Вам пару сообщений (как здесь через приватную связь, так и напрямую по почте). Вы их вообще получили? Или принципиально не отвечаете?
[/offtopic]
Разве они уже к чему-то применимы? По-моему, пока речь только о математическом моделировании квантовых вычислений, но ни о реальных вычислениях. Регистры из пары кубитов не в счёт.
комментариев: 112 документов: 8 редакций: 15
Updated:
Сообщение получил. В общем и целом не возражаю.
- для используемых не RSA асимметричных алгоритмов не найдено квантовых алгоритмов взлома и не ясно будут ли они найдены.
- В случае OTR мы работаем с AES 128 => КК понижает криптостойкость до 64 бит => пароль 8 символов. Да и асимметричный ключ для согласования симметричного в протоколе OTR явно не 4096бит как это может быть выбрано в gpg (существенно меньшая длина). [Имхо, авторов OTR вообще не беспокоило что будет с информацией лет через 50, потмоу даже AES256 сделать поленились].
Я прав?комментариев: 9796 документов: 488 редакций: 5664
Понял, прочитал. Но ответа не получил. Хорошо, пусть даже вся асимметрика ломается, но в предположении, что какую-то асимметрику будет сломать сложнее (понадобятся более мощные квантовые компы), какой подход всё же надёжнее? Otr или gpg?
комментариев: 56 документов: 12 редакций: 2
http://www.ejabberd.im/mod_otr — This module does the Man in the Middle of the Off-The-Record protocol and messages can be logged
комментариев: 56 документов: 12 редакций: 2
Интересно, для gpg+jabber есть что-то подобное?
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Вот если сделать замену s/PFS/OTR//g, то фраза обретает некоторый смысл.
Но всё равно IMHO неверный.
Цель OTR – дать возможность отречения от своей "подписи" после сеанса.
Это как если бы кто-то специально генерировал и выбрасывал после сеанса в общий доступ кучу закрытых ключей, подписанных своим основным ключем, а затем справедливо утверждал – что эти ключи общедоступны и кто-угодно мог подписать одним из них какой-угодно текст.
Нечто подобное и реализуется в OTR и один из вариантов этого и предлагался на основе одноразовых MAC. А PFS это другое.