id: Гость   вход   регистрация
текущее время 06:02 13/12/2019
Автор темы: Гость, тема открыта 09/09/2010 00:05 Печать
Категории: криптография
https://www.pgpru.com/Форум/Криптография/АбсолютноСтойкийШифрТакойСтойкий
создать
просмотр
ссылки

Абсолютно стойкий шифр такой стойкий?


Информация – это то, что снижает неопределенность.


Пусть, например, Алиса, директор ЦРУ, спрашивает Бобра: КОРАБЛИ УПЛЫЛИ СЕГОДНЯ ?


Естественно, что Бабёр может ответить либо ДА, либо НЕТ. Допустим, что НЕТ.


Бабёр, прошедший курс шифрования на Ферме, шифрует сообщение одноразовым шифрблокнотом. Получилась последовательность из 3-х знаков.


Еван (он же Иван, Ева) знает, что можно ответить либо ДА, либо НЕТ. Смотрит на длину сообщения и узнает, что НЕТ.


А как же абсолютная стойкость?


 
На страницу: 1, 2 След.
Комментарии
— Гость (09/09/2010 00:10)   <#>
Это предельный случай fingerprinting attack. Для короткого текста может использоваться минимальная длина. К тому же XOR берётся от битов, и результат зависит от кодировки текста. Реальный протокол на основе шифра Вернама не есть сам криптопримитив.
— Гость (09/09/2010 00:25)   <#>
одноразовый шифрблокнот на то и блокнотом называется, там записаны случайные десятичные числа.

22 31 13 55 12 .......

как это протокол может быть криптопримитивом? как раз сам блочный шифр, поточный шифр, хэш-функция и подобное (и в т.ч. шифрблокнот) и является криптопримитивом.

давайте отойдем от компьютерной тематики вообще и посмотрим на проблему в целом.

допустим 1941 год. сталин с жуковым сидят и думают, где фошысты нападут. смотрят на какую-нибудь 30-ю мотопехотную армию (номер случаен), а туда шифртелеграммы зашифрованные энигмой идут. какова длина сообщений? да так, от 20 до 50. и что идет? прогноз погоды может быть, или еще что-то там. но никак не приказ фюрера о наступлении. "неее, здесь наступления не будет" – заключает сталин.

иногда информация заключена в длине сообщения, это и есть анализ трафика.

так вот вопрос: решается ли эта проблема силами криптографии? или это проблема из другой области?
— Гость (09/09/2010 00:29)   <#>
вопрос номер два: если сообщение имеет длину, то это уже и есть информация о сообщении, что позволяет судить о длине сообщения ?
— Гость (09/09/2010 03:27)   <#>
Любые зашифрованные данные имеет какие-то внешние признаки. Размеры, время, направление передач и тому подобное. Что с ними делать виднее инженеру защиты.
— Гость (09/09/2010 07:41, исправлен 09/09/2010 18:24)   <#>
если сообщение имеет длину, то это уже и есть информация о сообщении, что позволяет судить о длине сообщения ?

Какой Гость ленивый на pgpru пошёл! Выше же уже назван хинт fingerprinting — почему не пошёл сразу же гуглить? Погуглил за тебя: чти /comment25765 и /comment40504, а также другме комменты в тех тредах, кроме того см. этот древний топик — ничего не напоминает? Не видно параллелей с задаваемым вопросом?


одноразовый шифрблокнот на то и блокнотом называется, там записаны случайные десятичные числа.

В компьютерах – двоичные :) C матчастью можно познакомиться здесь, где в качестве примера используется, кстати, не двоичное и не десятичное представление.


Реальный протокол на основе шифра Вернама не есть сам криптопримитив.
Как это протокол может быть криптопримитивом? как раз сам блочный шифр, поточный шифр, хэш-функция и подобное (и в т.ч. шифрблокнот) и является криптопримитивом.

Это чтобы вы не путали эти понятия. В коммуникации используется протокол, использующий криптопримитивы. Неграмотно построенный протокол, не обоснованный будет уязвим и нестоек, даже если опирается на стойкие криптопримитивы, потому стойкость самого протокола также нужно доказывать. Вы в качестве примера приводите реальную коммуникацию — т.е. то, где должен использоваться стойкий протокол, но протокола нет, и вы в лоб применяете криптопримитив, получив "уязвимость". Далее я вам говорю: как минимальный workaround можно задавать для протокола минимальную длину сообщения (например, забивая остаток нулями).


решается ли эта проблема силами криптографии? или это проблема из другой области?

Криптография не решает всех проблем с безопасностью, но вот ИБ как таковое — решает. К примеру, Tor защищён он атаки, которую вы описываете, но есть ли это заслуга одной лишь криптографии? Там и протоколы, и теория анонимных сетей, и криптография и учёт массы технических/инженерных тонкостей, без чего была бы грош ему цена.

— SATtva (09/09/2010 18:25, исправлен 09/09/2010 18:26)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092

Hint: padding.



Ну, я бы сказал, пытается. :)

— Гость (09/09/2010 18:44)   <#>
Проще говоря, передаёте круглосуточно всё подряд.
— SATtva (09/09/2010 18:58)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Это уже cover traffic, экстремальный случай. Для военных — нормальная практика, но для гражданского применения достаточно дополнить сообщение до какой-то стандартной приемлемой длины.
— Гость (09/09/2010 20:14)   <#>
достаточно дополнить сообщение до какой-то стандартной приемлемой длины.


это приемлемо в текстовых сообщения, если забить конец пробелами. а если это система управления чем-либо, то уже проблема.
— Гость (09/09/2010 21:01)   <#>
а если это система управления чем-либо, то уже проблема.
Ну-ну.
— Гость (09/09/2010 21:43)   <#>
В системе управления есть машинное слово, вот по нему и выравнивайте.
— unknown (12/09/2010 23:17)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Здесь больше актуально даже понятие не fingerprinting, а "анализ трафика". И это в той или иной мере решается в протоколах анонимных систем (ремейлеров, Tor), где необходимо, чтобы противник по внешним признакам сообщения не смог делать убедительных предположений о его содержимом.
это приемлемо в текстовых сообщения, если забить конец пробелами. а если это система управления чем-либо, то уже проблема.

Можно (нужно) сочетать гамму хоть одноразового блокнота, хоть потокового шифра с аутентификацией. Разработать режим дополнения до пакетов стандартной длины.
— Гость (13/09/2010 01:22)   <#>
[offtop]
Раз уж вспомнили про web fingerprinting: вроде бы одно и то же содержимое, шифрованное разными ключами в разные моменты времени будет иметь разный объём. Однако, говорилось, что по объёму скачиваемых веб-страниц можно определить их адреса, потенциально даже через Tor. unknown, вы вроде бы не возражали опубликовать какое-нибудь исследование на эту тему.
[/offtop]
— unknown (13/09/2010 02:18, исправлен 13/09/2010 02:19)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

имелось ввиду это исследование

— Гость (13/09/2010 22:34)   <#>
Хмм, но это ничего не говорит об эффективности обсуждаемых атак в текущем протоколе Tor. Для простоты можно рассмотреть посещение пользователем какого-то скрытого ресурса, адрес которого доступен злоумышленнику-ISP. Может ли тогда ISP доказать, что посещается именно заданный ресурс, если у него нет ни прямого доступа к логам самого ресурса, ни владения большей частью нод.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3