id: Гость   вход   регистрация
текущее время 13:13 28/03/2024
Автор темы: Гость, тема открыта 18/11/2009 17:22 Печать
Категории: криптография, алгоритмы, симметричное шифрование
https://www.pgpru.com/Форум/Криптография/RC4ВзломанИлиНеВзломан
создать
просмотр
ссылки

RC4 взломан или не взломан?


Если, допустим, пропустить 3072 начальных байта кейстрима с биасом, и приделать к каждому зашифрованному сообщению рандомный nonce, хэшируя с которым пароль генерировать ключ для RC4 будет это надёжно или нет?


 
На страницу: 1, 2, 3 След.
Комментарии
— Migel (18/11/2009 21:03)   профиль/связь   <#>
комментариев: 90   документов: 0   редакций: 0
А перевод можно?
Просто как бы уже есть некоторые широкоизвесные термины, такие как ключевой поток, ВИ и т.д., зачем изобретать новые?

По теме: я бы не стал его использовать. А Ваши предложения о усилении равнозначны творчеству на тему: а переделаю я шифр, и сделаю его надежнее... К чему зачатстую это приводит, я думаю, знаете.
— Гость (18/11/2009 21:11)   <#>
А перевод можно?

Я думаю, что тот кто может ответить на мой вопрос всё понял и так. Не люблю формализм в обычном общении.
По теме: я бы не стал его использовать.

Почему?
А Ваши предложения о усилении

Вовсе даже не мои предложения.
— Migel (18/11/2009 21:19, исправлен 19/11/2009 21:01)   профиль/связь   <#>
комментариев: 90   документов: 0   редакций: 0
Судя Вашей логике я не могу ответить на этот вопрос, так что будем ждать :)

Повышение стойкости RC4
— Migel (18/11/2009 21:42, исправлен 18/11/2009 21:44)   профиль/связь   <#>
комментариев: 90   документов: 0   редакций: 0
Особо советую обратить внимание:

unknown: "Для RC4 найдено большое число различителей. Он проваливает даже статистические тесты при объеме шифртекста 2 Gb. Есть отклонения в распределении биграмм и т.д. Это не означает практического взлома, но означает дефектность алгоритма."

А это значит никакие отбросы первых байт или магические преобразования ключа не помогут.

П. С.: и учитесь поиском пользоваться + учитесь находить ответы на вопросы, берегите время специалистов. Не попугаи ведь.
— Гость (18/11/2009 22:05)   <#>
Ну так и где определённый ответ можно найти? Я бы не полез на форум, если бы нашёл что-нибудь. Если RC4 абсолютный хлам, то почему до сих пор его спокойно включает стандарт SSL?
— Migel (18/11/2009 22:48, исправлен 18/11/2009 22:58)   профиль/связь   <#>
комментариев: 90   документов: 0   редакций: 0
Смотря для чего его использовать, какой уровень безопасности нужен и т.д. Насколько важную информацию будете шифровать и т.д.
Много факторов, на которые нужно впервую очередь смотреть при выборе алгоритма шифрования.

Если не бояться, что из 10000 пользователей 10001-й поламает, то вполне можно использовать, если конечно правильно использовать.

Я бы не парил себе мозг... Для тех задач, которые мне приходиться решать, RC4 – хлам. А для Вас – нужно смотреть. Одно дело для банка, другое дело для сайта юных физиков-неатомщиков.

Кстати, сейчас развелось много фирм, чьи консультанты помогут :)
— SATtva (18/11/2009 23:02)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Если RC4 абсолютный хлам, то почему до сих пор его спокойно включает стандарт SSL?

С 40-битовым ключом, ага? А ещё там есть DES. А ещё — архитектурная ошибка...
— Гость (18/11/2009 23:03)   <#>
Утверждение "А или не А" всегда истинно, поэтому ответ на вопрос темы – да. :)
— Гость (18/11/2009 23:19)   <#>
С 40-битовым ключом, ага? А ещё там есть DES. А ещё — архитектурная ошибка...

Ну, скажем так, длина ключа в RC4 никогда не была проблемой. Она может составлять до 256 байт. Triple-DES там действительно есть, и NIST оценивает его как достаточно надёжный алгоритм. А архитектурная ошибка это давно известная проблема до которой никому не было дела, поскольку она затрагивает только экзотические случаи применения SSL.
Но всё же эта тема не про SSL, а про RC4.
— Migel (18/11/2009 23:35, исправлен 18/11/2009 23:35)   профиль/связь   <#>
комментариев: 90   документов: 0   редакций: 0
Это уже похоже на рекламу... Пытаемся доказать надежность RC4 тем, что он входит в какой-то там стандарт?)

Если так уверены? Зачем тогда спрашиваем? Используйте на здоровье...
Поломают, тогда поймете :)
— Гость (18/11/2009 23:39)   <#>
Пытаемся доказать надежность RC4 тем, что он входит в какой-то там стандарт?

Не надёжность, а доверие криптографической общественности.

Если так уверены? Зачем тогда спрашиваем? Используйте на здоровье...
Поломают, тогда поймете :)

Неконструктивно.
— Migel (18/11/2009 23:42)   профиль/связь   <#>
комментариев: 90   документов: 0   редакций: 0
Я не пытаюсь Вам что-то доказать. Спосили – ответил, не верите – Ваше личное дело.
У меня, если чесно, нету никакой заинтересованности переубеждать Вас в чем-то.
— SATtva (18/11/2009 23:43)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ну, скажем так, длина ключа в RC4 никогда не была проблемой.

Если мне не изменяет склероз, RC4 был добавлен в SSL прежде всего ради экспортных реализаций с 80- и 40-битовыми ключами, а не за какие-то особые заслуги.

Triple-DES там действительно есть

DES, именно DES с одним ключом.

Собственно, я об этом вспомнил, только чтобы показать несостоятельность Вашей логики в апеллировании к SSL.
— Гость (19/11/2009 00:17)   <#>
Если мне не изменяет склероз, RC4 был добавлен в SSL прежде всего ради экспортных реализаций с 80- и 40-битовыми ключами, а не за какие-то особые заслуги.

Сыграло свою роль и то, что выбор потоковых шифров был невелик. К тому же, 40-битовая версия RC4 это дела минувших дней, сейчас там 128 битный вариант.

DES, именно DES с одним ключом.

Собственно, я об этом вспомнил, только чтобы показать несостоятельность Вашей логики в апеллировании к SSL.

Мне кажется, что в актуальной специфкации SSL я не видел требований к включению DES.
— unknown (19/11/2009 08:52, исправлен 19/11/2009 09:43)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Утверждение "А или не А" всегда истинно, поэтому ответ на вопрос темы – да. :)


Пусть автор поксорит множества, порождаемые своими вопросами :)

SHA-1, например, тоже взломан, хотя практической атаки продемонстрировано не было. Но не выкинули же его мгновенно из всех стандартов.

RC4 разрешается временно (на свой страх и риск) использовать для старых приложений в целях совместимости с применением примерно тех костылей, что вы сказали.

В новых приложениях RC4 использовать не рекомендуется.

RC4 был заявлен в конкурс NESSIE, ещё до того, как на него были открыты серьёзные атаки, но уже тогда по многим возражениям криптографов его сняли с конкурса (читайте fileотчёты NESSIE если вам интересны подробности).

Собственно в отчёте NESSIE из 342 страниц по поводу RC4 уделили маленький абзац:


RC4 is the facto standart for stream ciphers (see [451] for detailed description). The second output byte of RC4 can be easily distinguished from a random one [349]. Although this can be easily overcome, the keystream still be distinguished from a random output [197] and the key shedule has severe weakness [196]. There is also no form of rekeying defined for RC4. Therefore RC4 was not considered by NESSIE


На нём поставили крест, ещё до того как были открыты более серьёзные атаки, которые пока ещё можно обойти костылями в практическом использовании.
Пока никакого доверямого стойкого потокового шифра нет вообще, его ещё долго будут тащить в стандартах, но уже не включат в качестве кандидата ни в один конкурс на новый.

Конкурс NESSIE в итоге не смог выдвинуть в финалисты ни одного потокового шифра.

Сейчас медленно, муторно и без гарантии на успех проходит конкурс потоковых шифров eStream, одной из мотиваций проведения которого, было придумать что-нибудь вместо RC4, а то с теорией потоковых шифров (как и хэшей) вообще как-то плохо дела обстоят.

Пока доверяемо стойких потоковых шифров не существует рекомендуется использовать блочные в режиме поточного, например AES-counter.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3