id: Гость   вход   регистрация
текущее время 02:10 31/05/2024
Автор темы: gegel, тема открыта 20/11/2013 11:41 Печать
Категории: инфобезопасность, защита email
https://www.pgpru.com/Форум/Криптография/АналогPGPСОбеспечениемОтрицаемостиИНаперёдЗаданнойСекретностиОффлайн
создать
просмотр
ссылки

Аналог PGP с обеспечением отрицаемости и наперёд заданной секретности оффлайн?


Обсуждение в соседней теме натолкнуло на мысль: существует ли решение, аналогичное PGP и обеспечивающее для оффлайн-сообщений конфиденциальность и аутентификацию, но плюс отрицаемость и наперед заданную секретность (PFS), ну, и, желательно, тихое уведомление о прессинге. Нашел похожий вопрос на crypto.stackexchange: похоже, что готовых решений пока нет. Возможно, где-то на pgpru это уже обсуждалось, или что-то уже появилось?



 
На страницу: 1, ... , 9, 10, 11, 12, 13, ... , 20 След.
Комментарии
— gegel (19/08/2014 12:08)   профиль/связь   <#>
комментариев: 393   документов: 4   редакций: 0
название уже занято

Не проблема, это на вскидку было придумано. Проекта пока нет.
п.1: g
– это basepoint: X=gx В данном случае мы храним приватный ключ, и при каждой отправке вычисляем соответствующий публичный, чтобы вложить его в отправляемое сообщение.
п.4: в режиме Keccak Duplexing Sponge, вычислять MAC отдельно необязательно.
Собственно, если быть точным, это не SpongeWrap mode (однопроходное шифрование с аутентификацией), описанное авторами. т.к. мы не обременены быстродействием, то мне показалось более оптимальным шифровать и аутентифицировать отдельно. Keccak работает в обычном CTR-режиме: сначала абсорбция ключа и счетчика, затем вижимка гаммы для шифрования. Аутентификация – отдельно после шифрования обычным способом: абсорбция ключа и CTR, затем абсорбция данных, затем выжимка MAC.
Хотя вполне можно использовать и SpongeWrap: та библиотека, которую я подготовил зимой, поддерживает его из коробки.
чисто грамматические опечатки
Посыпаю голову пеплом и прошу прощения, там много такого. Но чисто физически нету времени править блохи в черновиках. Если не очень напрягает, прошу просто выделять красным и сохранить: конечно, я все буду просматривать перед релизом.
была бы хоть какая-то такая картинка,
постараюсь подготовить. Надо подумать, чтобы было наглядно и информативно. Пока, если что-то не понятно или трактуется двояко, пожалуйста, уточните. Самому очень тяжело встать на место другого, впервые знакомящегося с описанием.
— unknown (19/08/2014 12:18, исправлен 19/08/2014 12:34)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Для этого нужен LaTeX исходник вашей пэдээфки. Даже в википедии статья доступна в исходнике, а формулы в LaTeX.


Ещё, вспоминая про /comment82760, следует помнить, что такие протоколы могут быть уязвимы не только к MiTM, но и к Proxy re-encryption:


Now if Alice sends Chris a message that was encrypted under Bob's key, the proxy will alter the message, allowing Chris to decrypt it. This method allows for a number of applications such as e-mail forwarding, law-enforcement monitoring, and content distribution.
— gegel (19/08/2014 12:50)   профиль/связь   <#>
комментариев: 393   документов: 4   редакций: 0
Набросал схемку IKE. Если такое приемлемо, то сейчас набросаю и обмен сообщениями.
filehttp://torfone.org/download/xmail_ike.pdf

Proxy re-encryption:

Сейчас посмотрю
— gegel (19/08/2014 14:10)   профиль/связь   <#>
комментариев: 393   документов: 4   редакций: 0
Схема шифрования и дешифрования сообщения:
filehttp://torfone.org/download/xmail_msg.pdf
— unknown (19/08/2014 14:50)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
IKE ещё кое-как смотрибельно, но от обмена сообщениями глаза просто вытекают :(
— gegel (19/08/2014 15:01, исправлен 19/08/2014 15:37)   профиль/связь   <#>
комментариев: 393   документов: 4   редакций: 0

Ну, сделал, что смог. По сути, расшифровка сама по себе не проста: описание Axolotl еще хуже воспринимается. Обновите pdf, я их чуть правил уже на сервере.

Proxy re-encryption

– не могу провести аналогию. На сколько я бегло понял вики, это специальный сервер-перешифровщик, но не атака.


В двух словах: для шифрования каждый раз из струкуры извлекается шифровальный мастер-ключ, из него выводится собственно симметричный ключ, которым шифруется/аутентифицируется сообщение. Затем мастер-ключ заменяется своим хешем и сохраняется на будущее. В каждое сообщение также вкладывается паблик-ключ, выводимый из текущего приват-ключа. При отправке подряд он будет один и то же.


Расшифровка сложнее:


Подбирается МАС для всех контактов: по очереди подгружаются структуры с диска и обрабатываются:


1. вначале пробуем старые ключи из структуры (их 16). Если ОК, то декриптуем, подошедший ключ удаляем, структуру сохраняем. На этом операцию прерываем.


Если не подошел ни один из 16-и:

2. затем из дешифровального мастер-ключа выводим очередной декрипт-ключ (после чего мастер-ключ тот час заменяем свои хешем), помещаем его в массив старых ключей и пробуем его (пункт 1). Всего так пробуем до 4 ключей, каждый раз проделывая п.2


Если не подошел ни один из 4-х

3. пробуем с обновленным ключем:
проверяем: вводимый ключ должен быть новый (отличаться от имеющегося)
выводим новый декрипт-мастер и земяем им старый в структуре:
r = h( их_имеющийся_паблик^наш_приват | их_новый_паблик^наш приват)
генерируем новую пару Xx
выводим новый энкрипт-мастер и заменяем им старый:
w = h( их_новый_паблик^наш_приват | их_новый_паблик^наш_новый_приват)


Заменяем имеющиеся в структуре ключи новыми: полученным их пабликом и сгенерированным нашим приватом.


А затем выполняем пункт 2 для нового декрипт-мастера.


ПС: структура сохраняется только после совпадения МАК в п.1, на этом циклы прерываюся.
ППС: вся эта хитрость нужна для того, чтобы сохранить пропущенный ключи для возможно опоздавших сообщений. Ведь отправитель каждый раз хеширует свой енкрипт-мастер (или вообще заменяет новым при получении письма).
Потом старые ключи периодически удаляются по таймстемпу.


Обратите внимание на отсутствие возможности повторно вывести корневые r и w при захвате копьютера: наш_приват тот час после их выведения удаляется (заменяется на наш_новый_приват). В дальнейшем r и w каждый раз после использования заменяются своими хешами (в ключевом окне), назад пути нет.

— Гость (19/08/2014 19:50)   <#>

+1, особенно вторая страница.

Когда-нибудь gegel для себя откроет, что представление готового материала — тоже большая работа: понять, что описать, как, в каком порядке, какие графики, таблицы или блок-схемы начертить и т.д. Бывает, что оформление результатов в приемлемой для чтения другими форме отнимает больше времени, чем их получение. И по ходу аккуратного грамотного оформления вылазят такие тонны багов в алгоритмах, формулах и понимании, что готовый документ приходится по нескольку раз переписывать с нуля, меняя всю парадигму изложения (хотя когда начинаешь писать первый раз, кажется, будто уже всё ясно).
— gegel (19/08/2014 20:22)   профиль/связь   <#>
комментариев: 393   документов: 4   редакций: 0
Когда-нибудь gegel для себя откроет

Представляете, я это давно открыл. Но что я могу сделать? Действительно, хорошее оформление – это титанический труд, сравнимый с остальной частью разработки. И на это уходит масса времени. Но у меня, к сожалению, нет оформительского отдела и нет даже помощников. Поэтому приходится царапать на коленке, в Word – да как угодно, лишь бы быстрее. Ведь помимо это есть другие важные задачи.
Остается надеяться, что информация, вложенная в нацарапанное, будет полезна. А по поводу багов – тоже абсолютная истина – я за сегодня перегрузил эти несчастные доки на сайте раз 10, вот только сейчас в последний раз. Но варится в собственном соку, пытаясь достичь совершенства в одиночку и выдать на гора гениальное коробочное решение – тоже не выход.
— unknown (19/08/2014 21:27)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Я же упоминал про fileслайды Кравчика, ссылку на которые вы же вроде мне и присылали. Нигде стрелки между буквами в формулах не рисуют. Это вообще не нужно. Нужна некая смесь псевдокода с пошаговой диаграммой состояний. В особо экзотических случаях через графы представляют.

Можете хоть от руки нарисовать и отсканировать, как Шамир и прочие патриархи. Все знают, что они гениальные. Они могут себе позволить, чтобы за ними разбирали любые каракули.
— Гость (19/08/2014 22:20)   <#>

Неанонимно же! Почерк спалится. Это как своё фото выложить.
— gegel (20/08/2014 00:01, исправлен 20/08/2014 00:08)   профиль/связь   <#>
комментариев: 393   документов: 4   редакций: 0
стрелки между буквами в формулах не рисуют

Да, стрелки – это была неудачная идея. Я буду безмерно Вам благодарен, если Вы найдете время вникнуть в протокол ( хотя-бы по описанию в /comment82805 ) и намекнете, что лучше для восприятия со стороны. Очень тяжело, сварив это все самому, сообразить, как лучше для понимания преподнести другим. Как и в случае с Торфоном, многое мне кажется естественным, но, оказывается, может быть истолковано по другому. Например, Ваш вопрос по поводу генератора g (basepoint в эллиптике).
Но сейчас важнее другое – вообще имеет ли право этот протокол на существование? Кроме Вас вроде как и не с кем посоветоваться...


PS: я все же добавил IDB и в ответ, и под хеш, иначе возможна классическая UKS атака. Что касается TorChat, то там это не актуально по определению, т.к. нет, собственно, KS: нет своего слоя шифрования.

— Гость (20/08/2014 02:08)   <#>

На pgpru тоже. LaTeX: \leqslant, pgpru: &leqslant;, на печати: ⩽. И таких примеров много, html-коды во многом похожи на LaTeX.
— gegel (20/08/2014 08:48)   профиль/связь   <#>
комментариев: 393   документов: 4   редакций: 0
Нужна некая смесь псевдокода с пошаговой диаграммой состояний.

Набросал еще один вариант:
filehttp://torfone.org/download/xmail_txt.pdf
на русском, хорошо структурированный и с форматированием в т.ч. цветом.
— Гость (20/08/2014 11:21)   <#>
Лучше, но всё же:

gegel, ваши фразы типа «тот час заменяется сгенерированным новым» вас вообще не смущают? Ну вот хотя бы с точки зрения не грамматики даже, а логики. Мог бы «тот арбуз замениться новым», но в данном случае заменяют не арбуз, а час. Вы чувствуете отличие буквального смысла от иносказательного? Где по смыслу грамматической связи «час» — это часть наречия, а где существительное — чувствуете? Таких перлов у вас в текстах (и форумных постах) много, и я уже начинаю сомневаться, нормальный ли я. Вот скажите, на этом форуме я один только вижу все эти косяки, для остальных они прозрачны (SATtva не в счёт)?

По существу если, то не надо писать «наш_последний_сгенерированный_приват». Придумайте для него обозначение, опишите список обозначений в начале статьи, а в самой статье/алгоритме пользуйтесь готовыми обозначениями. Слова PRF/PRP/Adv и пр. взялись именно оттуда. Где-то Key пишут, где-то ещё как-то, вы же этих криптостатей большего моего перечитали, неужели у вас не появилось собственного чувства, как надо писать?
— unknown (20/08/2014 12:02)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Там их столько много, что даже не знаю, как вежливо сказать, просто в таком виде разбирать не хочется, а как делать по-нормальному — сто раз было сказано. Какая-то помесь из самых жутких стандартов

Например, предыдущие 16 ключей, да блин это же {Kn-16Kn-1} или как-то так хотя бы обозначается, ну и т.д. Чтобы это разобрать надо вместо автора всё переписать по своему, привести в нормальнй вид и поместить в наглядном виде перед глазами, чтобы оно в голове отложилось и можно было спокойно думать.

Я вот в своей формуле чуть ли не с полгода спустя как ошибку нашёл, хотя она у меня в LaTeX была набрана и в закладках лежала для регулярного просмотра. И это был примитивный трёхстрочник, а не безструктурная простыня!
На страницу: 1, ... , 9, 10, 11, 12, 13, ... , 20 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3