id: Гость   вход   регистрация
текущее время 18:37 29/03/2024
создать
просмотр
ссылки

Чем лучше сжимать диски TrueCrypt под Linux и Windows ?


Может я многого хочу. Но раньше были какие-то утилиты для сжатия информации "на лету", возможно ли сегодня повесить такое на смонтированный диск TC? В доках написано, что для ОС это обычный диск с которым можно делать все тоже самое, что и с обычным логическим диском.
Какими утилитами можно их сжимать наиболее безопасно с точки зрения вероятности потери данных в томе TC ?
Интересуют все операционные системы.


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Комментарии
— Гость (30/05/2013 21:59)   <#>
Да и Масленников не совсем прав, когда пишет, что теперь мол оригинальные тексты шифрованных телеграмм якобы можно спокойно показывать в телекамеры.

Это справедливо только для шифров конца 80-г начала 90-х гг. В аппаратуре того времени (она и сейчас используется) использовались балалайки, водка, медведи – шифры на регистрах сдвига (ЛРР/РСЛОС). И вообще, Масленников – кандидат наук, полковник ФАПСИ, а чего добился ты?и если он говорит, что нельзя шифртелеграммы раскрывать, значит так оно и есть.

В ряде стран научное сообщество представленно людьми далекими от "компьютерной грамотности". Привыкшими не заморачиваться по поводу пустяков и формальностей.

Вот этому и придумали LaTeX.

если гамму представить в виде числа в двоичной форме исчисления, то количество нулей и единиц должно быть одинаковым.

идет именно через тот факт, что гамма содержит равное количество нулей и единиц

Вы путаете: вероятность появления единиц и нулей.

Потому любой «блочный шифр» фактически сводится к генерации и наложению гаммы. Что возвращает к «одноразовому блокноту» и оценке стойкости исходя из свойств накладываемой гаммы.

Опять же, вернемся к Масленникову. Помните, как он описывал балалайку? Она состоит из регистра сдвига (счетчика) и функции усложнения? Так вот, ГОСТ 28147-89 имеет ту же архитектуру (ВНЕЗАПНО): при режиме гаммирования сложение по модулю 2^32 с константами играет роль счетчика, а "зашифрование по 32 циклам" роль функции усложения. То же самое справедливо и для любого иного блочного шифра в режиме CTR.

«Высокоуважаемый Генералисимус Верховный Главнокомандующий и Президент Первой Демократической Банановой Республики».

Zendian Problem?)

В одном зашифровать случайную гамму одним ключом и одним шифром. В другом — ксор этой гаммы с открытым текстом, но пошифрованный другим ключом и другим шифром. Нечто среднее между разделением секрета на одноразовых блокнотах и каскадным шифрованием.

А разве "другой ключ!=другой шифр"?. В модели идеального блочного шифра.

В качестве рандомизации можно использовать такой метод: сначала вычисляется MAC от всего открытого текста, а потом эта MAC используется в качестве IV для блочного шифра в режиме CFB/CBC. Итог: все биты текста зависят от всех битов.

Подход такой, что если увеличение степени энтропии «открытого текста» позволит выиграть лишний год-два, то игра стоит свеч

Обычно рассматриваются несколько большие порядки: сотни и тысячи лет.

Бернштейн утверждал, что после изучения и обоснования стойкости всех режимов шифрования сообщений без аутентификации, никакой режим, кроме счётчика, не нужен якобы теперь вообще

Ну почему же: представьте, что есть сообщение в несколько тысяч блоков и чтобы расшифровать одну часть, нам нужно начинать все сначала? Конечно, этот пример искусственный и на практике весь шифртекст можно разделять на логические структуры (например, записи в БД), но, все же, CBC/CFB нужны.
— unknown (30/05/2013 22:20, исправлен 30/05/2013 22:21)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Стандартно используемый термин звучит как равномерное плоское распределение.



Верное замечание! Хорошо улавливаете суть. Но есть же ещё любители каскадов из неидеальных разных шифров. Вот они и могут перестраховывать этим свои каскады.



Итог: мы получим простейший вариант нерандомизированного шифрование (stateful encryption), если только не засунем ещё один IV в открытый текст. И не всё так просто с такими режимами: в реальности и сами такие режимы предлагаются обоснованно более сложные и их доказательства стойкости непросты.



CTR поблочно распараллеливается и считается с любого места хоть при зашифровании, хоть при расшифровании (в отличие от CBC, который можно только расшифровывать с любого места), не даёт утечек вида 2b/2 (в отличие от CBC и др.). А вообще, для недискового шифрования лучше всего скоро будет подходить Keccak или какое иное Duplex-Sponge-шифрование. Все эти CTR'ы могут уйти в историю.



Уже сейчас не нужны.

— Гость (30/05/2013 22:46)   <#>
если только не засунем ещё один IV в открытый текст

Ну, это само собой подразумевается) Насколько мне известно, перед вычислением MAC всегда добавляется IV.

Все эти CTR'ы могут уйти в историю

Уже сейчас не нужны.

Пройдет еще несколько лет, прежде чем классические режимы шифрования уйдут из реальных приложений (openpgp, openssl). Тот же openpgp уже сколько лет тащит за собой в целях совместимости архаичный 3DES.
— Гость (31/05/2013 02:45)   <#>

Дисковое шифрование считается номинально типом «non-mallebable»?

За ссылки спасибо, проглядел. Можно будет об этом подумать. Действительно:

Secure: Information theoretic security.

The disadvantage of unconditionally secure secret sharing schemes is that the storage and transmission of the shares requires an amount of storage and bandwidth resources equivalent to the size of the secret times the number of shares. If the size of the secret were significant, say 1 GB, and the number of shares were 10, then 10 GB of data must be stored by the shareholders.

Напрягает только то, что оно объём жрёт линейным образом по числу частей, но хорошо, хоть так, чем вообще ничего.


Камни всегда есть, главное — чтобы был дорабатываемый до нужной формы прототип, потому что, если даже в идеальном случае какую-то схему нельзя реализовать с безусловной безопасностью, то, тем более, глупо надеяться, что безусловная безопасность появится вдруг в комбайнере, эту схему использующем.
— unknown (31/05/2013 10:08, исправлен 31/05/2013 12:45)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Для information-theoretic это, пожалуй, неотъемлемое свойство. Только вычислительная безопасность позволяет уменьшать размер секрета до небольшого ключа.


Более правильным решением, возможно, является генерация гаммы R1, больше размера сообщения. Затем эта гамма пропускается через Randomness Extractor типа "Stronge" в рамках конструкции Exposure-Resilient Function (ERF) или Almost-Perfect Resilient Functions (APRF) — вроде как она инф.-теор. стойкая.


Экстрактор (или ERF на его основе) сжимает исходную гамму Ext : R1R2. Открытый текст P ксорится с гаммой R2: C = PR2


Если существует информационно-стойкая ERF, то достаточно опубликовать R1 и C.


Потеря битов в R1 приведёт к невозможности получения R2: получится абсолютно другая R2, по которой невозможно восстановить связь с R1 и никакая часть P не расшифруется.


К требованию стойкости добавляется, что если известна часть P и по ней можно вычислить часть R2, то это не должно приводить к утечке сведений о R1 так, чтобы была возможности получить сведения о каких-то других фрагментах R2. Но это вроде как входит в определение ERF.


Понятно, что такие ERF должны строиться не на обычных хэшах, а на специальных конструкциях.


Хотелось бы как-то перемешать гамму с шифртекстом, причём безусловно безопасно, так, чтобы было всё равно, какую часть битов мы раскрываем атакующему: первые n/2 из n штук или случайно выбранные n/2 из n штук

Чтобы на выходе не было явного разделения на C и R2?


Вот с этим сложнее. Или нарисовывается "проблема курицы или яйца", или представляются какие-то монстрообразные конструкции с суперэкспоненциальным ростом числа гамм. Может на выходе какие-то случайно выглядящие коды коррекции ошибок прикручивать? Которые могут сильно жрать память, если их использовать не поблочно.


Хотя, не силён в этой области, просто не знаю готового ответа. И подозреваю, что за этим стоит какая-то очень сложная задача.


Например:


The construction of the AONT, as suggested by Rivest in 1997, called the package transform, is only computationally secure. Stinson, in 2001, had provided the definition of an AONT having the property of information-theoretic security. He had also provided a construction of a linear (s, q) – AONT that is unconditionally secure. The linear implementation of AONT has a non-randomizing property that did not rule out known- and chosen- plaintext attacks against it. We have used a method of randomizing the input (following Stinson’s method) to prevent such attacks. Thus, by randomizing input, the linear (s, q) – AONT prevents cryptanalytic attacks.

Собственно, вот fileработа. Осторожно! Индусы пишут в MS ворде.


Зато, fileработа японцев подтвердила мои догадки: информационно-стойкая AONT Стинсона на самом деле нестойка к атакам с известным и подобранным шифртекстом. А навешанная японцами конструкция на разделении секретов Шамира поверх схемы Стинсона непрактична из-за большого роста размера сообщений (экспоненциальный, а не линейный рост). Вот такой вот безусловно стойкий AONT. Зато предложенный ими вычислительно-стойкий AONT на линейных кодах (оказывается, с кодами не так всё сложно) приводит к увеличению размера сообщения всего на один блок.


Сомневаюсь, что результат арабов и индийцев из предыдущей работы по созданию безусловно стойкой AONT более доверяем или лучше на практике.


Вот где бы ещё найти работу по материалам этого коллоквиума? Там и ERF (in either an information-theoretic or computational sense) и AONT:

we give the first definitions and constructions of ERF's and AONT's (in the standard model, without "random oracles"). Moreover, we prove lower bounds showing that our constructions achieve nearly optimal parameters (in both the information-theoretic and computational settings).

До этого у них вышла работа file"Exposure-Resilient Functions and All-Or-Nothing Transforms". Но в ней нет инф.-теор. безопасности, скорее всего в других работах будут такие же пессимистичные оценки, как у японцев, которые вроде бы доказали размер минимальных затрат на накладные расходы.



В идеале. На практике — только невнедрённые Wide-block режимы. А для Narrow Block — не совсем полная модель «non-mallebable».

— gyhsal (31/05/2013 13:42)   <#>
Более правильным решением, возможно, является генерация гаммы R1, больше размера сообщения.
Экстрактор (или ERF на его основе) сжимает исходную гамму Ext: R1 → R2. Открытый текст P ксорится с гаммой R2: C = P ⊕ R2
Если существует информационно-стойкая ERF, то достаточно опубликовать R1 и C.

Чтобы любой желающий мог сжать исходную гамму R1 получив R2, с которой потом поксорить шифротекст :)
На базе какого секрета в этой схеме гамма R1 сжимается экстрактором типа "Stronge"(Strong?) в рамках конструкции ERF или APRF?
— unknown (31/05/2013 14:36, исправлен 31/05/2013 15:41)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Именно для этого. Чтобы таким путём получить AONT.



В AONT-преобразовании нет секретов. Открытый текст обратно из шифртекста может получить любой желающий — оно для всех свободно обратимо без ключа. Это как архив без пароля, это преобразование само по себе шифрованием не является. Секретным оно становится, если какие-то биты неизвестны (утрачены, переданы с ошибками, нерасшифрованы в последующем слое шифрования уже с секретным ключом). Хотели "рэндомизацию", намертво связывающую все биты открытого текста максимально стойким способом — получайте. Не знаете части битов открытого текста — криптоанализ будет невозможен (затруднён). Если это вам надо для последующего усиления шифрования, к примеру. Или для передачи сообщения по квантовым или шумовым каналам с последующим согласованием ошибок между двумя сторонами, но так, что это будут не те ошибки, которые нужно согласовать третьей (прослушивающей) стороне.


Собственно, разница между ERF(x) и AONT(x) в том, что ERF может безопасно выставлять напоказ часть результата для случайного x, а AONT(x) — для любого x.

— gyhsal (31/05/2013 16:21)   <#>
Хотели "рэндомизацию", намертво связывающую все биты открытого текста максимально стойким способом — получайте. Не знаете части битов открытого текста — криптоанализ будет невозможен (затруднён).

Надо будет почитать про варианты оценки степени связанности. Понятно, что в случае повреждения нескольких бит упакованного «исходного текста» проведение распаковки затруднено тем, что множество вариантов будет иметь мощность больше единицы.
— Гость (01/06/2013 08:37)   <#>

Интересное свойство. Трудно даже вообразить, как сделать так, чтобы потеря небольшого числа битов в R1 приводила к вами описанному.


Если PUn, то нет смысла считать, что атакующий что-то знает о P. Если же P неслучайно, то имеет смысл рассматривать только тот вариант, когда оно (предположительно) известно атакующему полностью, и он хочет лишь проверить гипотезу, что там действительно лежит P, наша же цель — не дать ему этого.


Нет, скорее «так должно получается из-за того (мы хотим этого добиться), что атакующий не должен знать, какие именно биты в R2 (ну, или в C) он в итоге угадал/вычислил правильно». Вы сами понимаете, что если у него есть полное знание о P, то совпадение значений нескольких битов в P с теми, что предполагал атакующий — взлом системы.


Тем не менее, это неплохо. За статьи спасибо, я их почитаю на свежую голову, когда отыщу время.


Ценой принципа косолапого, да. Мы знаем. Когда-нибудь вся вычислительно-стойкая криптография отправится на кладбище, где ей как раз самое место, а её место займёт формальная математика с формальными доказательствами и информационно-теоретической безопасностью без криптографических сюрпризов через каждые n лет «по вновь открывшимся обстоятельствам». Практическое применение на текущий период времени — единственное, что оправдывает существование криптографии, но ценности, как искусства и науки, я за ней не вижу. Доказательство того, что существование ICM и других идеальных примитивов противоречит математике — толстые гвозди в гроб криптографии.


И Леонид и Евгений говорят по-русски. Можно написать и спросить, если оно действительно того стоит.


Эту работу ранее уже просматривал, ещё после первых ваших постов в этом топике. Ощущения те же. Ну, и нет безусловной безопасности ⇒ в топку.


Narrow Block — то, что сейчас реально используется в дисковом шифровании? Т.е. всякие LUKS и тому подобные системы.


Эту концовку не понял. Зачем Алисе и Бобу согласовывать ошибки с атакующим? Какой-то абсурдный протокол бы получился.


Понятно. С первого прочтения смысл, правда, не улавливается, так как можно понять иначе: есть xX, и «случайный x» — это случайно выбранный аргумент из X, где само множество X может быть какими угодно, и совсем неслучайным. Реально же имелось в виду xUn в определении ERF. Смысл я понял, информация интересная. Можно сказать, что меня интересует скорее AONT, чем ERF, если перефразировать вышесказанное.
— Гость (01/06/2013 08:49)   <#>

Кранты всем формулам в тексте, да.
— unknown (01/06/2013 14:58, исправлен 01/06/2013 15:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

А что в этом удивительного? Обычный хэш — это тоже разновидность экстрактора. Для него такое свойство естественно. Потеряйте 128 бит на входе и дайте противнику их подбирать, пока у него выход не совпадёт.



Для этого обязательна рэндомизация P за счёт добавления к нему случайного блока, который впоследствии отбрасывается.



Верно. Конкретно XTS, LRW, CBC-ESSIV (и его близкий аналог в BSD).



Ну не по часу же мне каждую формулировку обдумывать для форума :) Здорово подмечаете неточности, хоть на публикацию вам отдавай.


Это отсылка к шумовой криптографии и каналам Винера. Если сторона A передаёт сообщение стороне B в канале с внешним (естественным, физическим, квантовым) шумом без кодов коррекции ошибок, то сторона B может затем по проверочным (но не корректирующим) кодам дать ответ стороне A, в каких битах (скорее блоках с битами) у B получились ошибки. A будет передавать повторно эти и только эти блоки, пока у A и B не получится общий массив. У прослушивающей стороны E сбойные блоки будут в других местах и запись сеанса согласования блоков ей не поможет. Затем A и B с помощью экстрактора выведут общий ключ из своих согласованных массивов и он будет одинаковым. Сторона E по частичному знанию исходного массива, по которому согласовывался ключ, не получит о нём никакой информации, если экстрактор инф.-теор. стойкий и параметры передачи в канали подобраны так, что собрать массив без согласования будет за пределами физической возможности измерительных приборов. С E, естественно, никто согласовывать нужные ей биты не будет, поэтому A и B должны быть между собой аутентифицированы.



А между ними есть переходы и построения одного на основе другого, поэтому их часто изучают в общих работах.

— Гость (02/06/2013 00:18)   <#>

Удивительно то, что такую конструкцию можно сделать безусловно безопасной. Хэш-то строится по принципу запутывания, там наворачивается много-много всего, и каждую операцию строго обосновывать не надо, а теперь сравните конструкцию хэшей и экстракторов. Если экстрактор — зачастую простая математическая функция, выписываемая в одну строчку, то даже самый простой хэш — очень сложный алгоритм, в который приходится вникать, перечитывая десятки страниц.


... чем некотрые здесь активно и пользуются. Дело не в том, что мало кто подмечает неточности. Обычно публика рассуждает так: часть текста не ясна — ничего страшного, если только она им жизненно не важна. Если пытаться понять каждое слово в каждом комментарии в интернете, можно с ума сойти, оно того не стоит. Да и смысла во многих комментариях попросту нет, ваши же комментарии веские и серьёзные, поэтому стараюсь их прорабатывать, учиться у вас. Нет времени читать книжки, так хоть с форума ума поднабраться.


Спасибо. С вашей подачи стало понятней, что хотят сказать сторонники шумовой криптографии. Стандартная оговорка всё та же: у прослушивающей стороны может быть в 10 раз лучший прибор, поэтому сбойных блоков у неё будет меньше или вообще не будет, что позволит нарушить оценки ε-безопасности.

Взлом ε-безопасности напоминает аналогию между равномерной непрерывностью и просто непрерывностью. Когда непрерывность не является равномерной, как бы ε вы ни задали, найдётся такой аргумент, который обманет ваши оценки. Вот y = 1/x на (0,1) непрерывная, но не равномерно непрерывная: какой ε = | y(x2) – y(x1) | ни задашь, всегда найдутся такие близкие друг к другу x1 и x2, что будет | y(x2) – y(x1) | > ε.

Вы чем-то сверху лимитируете ресурсы атакующего, но это лимитирование трудно обосновать. Если в вычислительной безопасности лимитирование по числу операций и количеству памяти резонно, то ограничение других ресурсов (точность детекторов) трудно мотивировать (ранее уже обсуждалось тут). Казалось бы, на практике ограничения есть, но это скорее оттягивание момента взлома, чисто техническое усложнение. Сейчас оно безопасно, а послезавтра заинтересуются методом, сделают более умный детектор и методику, и всё на том. Если же вы хотите ограничить точность детекторов универсальной границей, вы вынужденно спускаетесь на квантовый уровень, тем самым превращая шумовое крипто в квантовое, где последнее оптимальней реализовать уже не по методам шумовой криптографии, а через совсем другой протокол, QKD. Кроме того, есть оценки на минимальное количество информации, которое A должно передать B, чтобы сгенерировать гамму для безопасного одноразового блокнота. Из этих оценок следует, что QKD оптимально с точностью до некоторой константы. В общем-то на этом всё, тупик.

Шумовым крипто, кажется, активно занимался Маурер, он же был руководителем Реннера по его диссертации, все работают в одном месте. Если бы шумовое крипто можно было бы грамотно довести до ума, то, пожалуй, там бы это сообразили раньше нас с вами. Работы на эту тему продолжают публиковаться, даже от серьёзных людей, но в чём мораль этих работ — я сейчас сказать не могу. Допускаю, что у методики шумового крипто могут быть и другие применения, косвенные. Например, вы не любите exposure-resilient-криптографию [1], [2], поскольку считается, что конструировать криптопримитивы, считая что часть ключа может утечь атакующему, неблагодарное и неперспективное занятие, и тут я с вами соглашусь. Тем не менее, у такого сорта криптографии, как и у экстракторов, есть другие применения, где без такого раздела криптографии было бы никуда — те же недетерминистичные экстракторы в QKD и обработка вывода ГСЧ, что, собственно, и оправдывает деятельность тех, кто exposure-resilient'ом занимается. Вот вам яркий пример мирного сосуществования и взаимообогащения. У того же Видика половина публикаций с классическими криптографами, другая половина — с квантовыми, и доклады по DI QKD и Беллу, и с Додисом он знаком лично, хотя ясно же, что чипы, незащищённые от утечек ключей из-за излучения его совсем не интересуют.



Знать похожий метод бывает полезно в любом случае, это пригождается если не напрямую, то косвенно, на уровне аналогий и полезных используемых идей.
— unknown (02/06/2013 11:00, исправлен 02/06/2013 11:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Мне тоже кажется, что не всё так просто. Например, мой простейший пример перехода ERF → AONT через гамму одноразового блокнота явно не соответствует всем критериям. Неспроста у японцев получились очень громоздкие оценки затрат на инф.-теор. стойкий AONT.



Ему не нужно коллизионной стойкости, каких-то других качеств и вообще, он м.б. стоек только в каких-то узко заданных сценариях применения.



Там сводят ε до уровня того, что противнику придётся построить прибор, который не может существовать физически, потому как нельзя что-то померять на уровне тепловых шумов. Т.е. граница неквантовая, но физически вроде как обоснованная. Перспективы в том, что можно делать броадкаст — например есть прототипы вай-фай и сотовой связи с инф.-теор. стойким шумовым согласованием ключа. Проблемы: плохо доказывается стойкость к атакам с активным вбрасыванием шумов и размещением прослушивающих устройств очень близко к передатчику (нужен безопасный пространственный периметр).


Кстати, в приведённом простейшем примере, сторонам необязательно повторно передавать сбойные блоки, можно вывести ключ и из тех, что есть.


Понятно, что инф.-теор. стойкое крипто тесно связано с квантовым и исследования ведутся на стыке этих наук.

— Гость (02/06/2013 20:54)   <#>
Когда-нибудь вся вычислительно-стойкая криптография отправится на кладбище, где ей как раз самое место
Все там будем. Когда-нибудь. Каким еще дисциплинам там самое место?

а её место займёт формальная математика с формальными доказательствами и информационно-теоретической безопасностью без криптографических сюрпризов через каждые n лет «по вновь открывшимся обстоятельствам».
а её формальное место формально займёт формальная математика с формальными доказательствами и информационно-теоретической безопасностью без криптографических сюрпризов через каждые n лет «по вновь открывшимся обстоятельствам» зато с (не)формальными сюрпризами иного свойства.

Практическое применение на текущий период времени — единственное, что оправдывает существование криптографии, но ценности, как искусства и науки, я за ней не вижу.
И не видели? Практическое применение — это чуть ли не единственное оправдание существования всего. Уже не видели применения и кибернетике, и генетике и прочим "лженаукам". Разбавим криптографией?

Доказательство того, что существование ICM и других идеальных примитивов противоречит математике — толстые гвозди в гроб криптографии.
Это субъективная точка зрения? Или объективная реальность?
— Гость (03/06/2013 13:58)   <#>

Если Алиса посылает Бобу какой-то свой шум, а Боб его оцифровывает лучше, чем генерит с нуля, это же может делать и Ева. Если оба Алиса и Боб используют внешний источник шума (Солнце, Луна) и черпают оттуда случайные биты, после согласовывая их, это же может делать и Ева. Ограничения на объём носителей и точность оцифровки всегда могут быть понижены. Раз может Боб, сможет и Ева. Вы не можете создать идентичный одноразовый блокнот на обоих концах канала связи из ничего, нужны какие-то существенные ограничения. Безопасность шумовой криптографии в вакууме тоже никого не интересует.


Неочевидно.

Можно ещё так пояснить. Надеяться, что у Евы будет что-то иное, чем у Боба, странно (слабо обоснованные предположения, при которых это может быть так, пока опустим). Раз так, всё в пределе сводится к тому, что все трое (A, B и E) имеют идентичный набор случайных данных. Да, Алиса и Боб могут из общего для них шума вывести другой (о котором Ева будет знать меньше или не знать ничего), ползуясь тем, что они друг перед другом аутентифицированы (для простоты можно считать, что оба знают какую-то общую для них строку битов). Но тогда объём секрета не увеличивается между Алисой и Бобом от использования шума. Если вы в систему связи/шифрования добавите детерминистичную часть всем трём (Алисе, Бобу и Еве), размер секрета между Алисой и Бобом останется тем же.

Вы описываете шумовое крипто так, как будто можно гнать шум через каналы связи вместо квантовых состояний, и всё будет оставаться хорошо (при том, что даже с QKD не всё так хорошо, если смотреть на её безопасность пристально). Иначе говоря, протокол для шумового крипто тот же самый, что и для QKD, но слаться будет классический шум. Очевидно, что шумовое не может быть безопаснее квантового, а про последнее мы знаем, какие ухищрения там нужны, чтобы всё было безопасно, и что даже эти ухищрения дают относительно пессимистичные оценки. Было бы всё так просто, как вы описываете, никто б не страдал ерундой с QKD. И отсутствие статьи в wiki про шумовое крипто как бы символизирует. Я вполне допускаю, что шумовое может работать при каких-то условиях и обеспечивать безопасность, но, знаете ли, часто можно передавать данные вообще без шифрования, если выполняется ряд условий IRL. Самое интересное же в том, когда они не выполняются.


Имелось в виду, что проблема — не практическое применение как таковое, а отсутствие лучшего решения на текущий момент. Если нет концептуального решения, набор костылей и подпорок оправдан до тех пор, пока решение не будет найдено. Сейчас есть чёткое понимание того, что решение есть, и что оно может быть воплощено в реальность, зачем тогда ориентироваться на костыли, которые приходится менять каждые 5-10 лет? Сейчас всё загнано в рамких идеальных моделей, а при сертификационном криптоанализе ищут отклонения от них. Одни запутывают алгоритм, другие его распутывают и взламывают. Есть много механизмов того, как сделать надёжное запутывание. Затем, как только намекается путь на распутывание (отличие от идеальной модели), шифр тут же меняют на другой. За счёт частой смены шифров можно добиться того, что за прошедший короткий срок никто не сможет разломать шифр, а про большие времена сказать «долговременная секретность в современной криптографии — не приоритет». То есть, практический взлом AES через 40 лет — это нормальная «проектная авария»* «плановая» ситуация. Как в самолёт при его изготовлении вписывают срок безопасной службы,** так же и в шифр вписывает условный срок его криптостойкости.


Какого?


Да, объективная.

*Бывают и «запроектные» — это когда случилось то, от чего хоть какая-то защита инженерами-конструкторами вообще не предусматривалось.
**Реально он может пролетать и больше него и меньше, или вообще в его конструкции могут найти фатальные недочёты сразу же после ввода в эксплуатацию.
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3