id: Гость   вход   регистрация
текущее время 21:31 01/02/2023
Автор темы: gegel, тема открыта 20/11/2013 11:41 Печать
Категории: инфобезопасность, защита email
https://www.pgpru.com/Форум/Криптография/АналогPGPСОбеспечениемОтрицаемостиИНаперёдЗаданнойСекретностиОффлайн
создать
просмотр
ссылки

Аналог PGP с обеспечением отрицаемости и наперёд заданной секретности оффлайн?


Обсуждение в соседней теме натолкнуло на мысль: существует ли решение, аналогичное PGP и обеспечивающее для оффлайн-сообщений конфиденциальность и аутентификацию, но плюс отрицаемость и наперед заданную секретность (PFS), ну, и, желательно, тихое уведомление о прессинге. Нашел похожий вопрос на crypto.stackexchange: похоже, что готовых решений пока нет. Возможно, где-то на pgpru это уже обсуждалось, или что-то уже появилось?



 
На страницу: 1, ... , 5, 6, 7, 8, 9, ... , 20 След.
Комментарии
— unknown (13/01/2014 10:22)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Более важно то, что Менезис нашёл аргументы данной работы ошибочными. Кравчук утверждал, что модифицированная система согласования ключей увеличит свою эффективность без проведения дополнительной проверки безопасности (называемой "валидацией публичного ключа"), которая была добавлена в MQV для предотвращения известных атак. У него было "доказательство" безопасности, которое дало ему уверенность в этом. Но Менезис быстро нашёл, что несомненно HMQV уступает протоколу MQV перед теми же самыми атаками, которые возможны на MQV, если в него не включить дополнительную проверку безопасности. После того как стало ясно, что некоторые выводы теорем Кравчука были ошибочны, Менезис стал читать "доказательство" внимательнее, пока не нашёл вопиющий изъян в аргументации.

И Кравчук и референты из программного комитета были загипнотизированы "доказательством", так что они пошли против здравого смысла. Каждый кто работает в криптографии должен очень внимательно подумать перед отбрасыванием проверочных шагов, предназначенных для предотвращения проблем с безопасностью. Конечно кто-то с опытом и экспертными навыками Кравчука мог бы никогда и не допустить такой оплошности, если бы он не был слишком самоуверен в своих "доказательствах" безопасности.

© Коблиц

После прочтения статьи Нила Коблица в последнем номере "Заметок AMS", я считаю необходимым ответить на некоторые неверные и вводящие в заблуждение комментарии, сделанные Коблицем в данной статье. Это включает в себя вопиющие попытки дискредитировать целую область криптографии, основанной на теории сложности, в особенности её важный вклад, который она привносит в практику криптографии. Эта статья также содержит персональный выпад против моей работы и моего поведения, особенно в отношении разработки и анализа HMQV протокола, который я не могу проигнорировать.

© Кравчик

О непростых взаимоотношениях между математикой и криптографией.

Честно говоря, даже вынесение каких-то оценок по этим протоколам выше моей компетенции, даже не в курсе, до чего там эксперты договорились и в каком состоянии это всё находится.

Тут ещё Бернштейн подозревает кривые от НИСТ и ANSSI во всяком нехорошем:
http://safecurves.cr.yp.to/
— unknown (21/01/2014 11:31, исправлен 21/01/2014 11:59)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Короче, если хотите создать ПО для топика и сами придумать протокол, то надо уметь писать такие работы. Не знаю, насколько она верная во всех деталях, но это пример хорошей работы от китайцев. Там разобраны протоколы от Кравчука и их альтернативы, в т.ч. даны указания на создание протокола, очень близкого к теме топика: одноходового обмена ключами с отрицаемостью.


• Over past few years, one-round AKE protocols with PFS have been proposed based on authenticated primitives, e.g., signature and MAC etc., which loss full-deniability. An urgent work is that can we design a provable AKE protocol with PFS as well as full-deniability based on weaker primitives, e.g., proof of knowledge [24], in the PACK model.

Мне кажется, что никому из участников форума написать такую работу или выявить в ней возможные ошибки — нереально. А тем более провести её через ревью, конференции, публикации и пр.


У меня после прочтения этой работы только сейчас встали в голове на место элементарные базовые понятия о различии FS и PFS за счёт понятия Freshness, что было бы важно в обсуждении в другой теме, начиная с /comment74446. О чём я чисто интуитивно и с подсказок оппонента догадался в /comment74895. Но, естественно, понятие Freshness для различения FS и PFS сам я ввести не мог. И ни о какой грамотной формализации протокола не могло быть и речи — при незнании базовых понятий.


Ну т.е., научное сообщество бьётся над проблемой отрицаемого однораундового защищённого согласования ключа с PFS больше 15 лет, на конференциях обсуждает, а тут кучка любителей-анонимусов придут и всё решат.


Нужно или ждать полностью признанного готового протокола из научных кругов. И уже его реализовать в софте. Или уж очень сильно заинтересовать своим наколеночным бездоказательным протоколом специалистов, которые бы решились его проанализировать. Но это возможно только при очень широком его распространении, как негласного шифрпанковского стандарта. И то, далеко не сразу.

— gegel (21/01/2014 14:29)   профиль/связь   <#>
комментариев: 393   документов: 4   редакций: 0
Спасибо за очередную ссылку. Я очень бегло прочел и понял, что иду тем же путем. За основу взял проект tabby (похоже, ефемеральные ключи и хеши там используются в точности так же, как и китайцев). Tabby хорошо документирован, интуитивно понятен. Единственное, что мне там не совсем понравилось, так это использование библиотеки Snowshoe для curve25519, т.к. в ней используются публичные ключи в формате x,y (64 байта: x,y). Поэтому я нашел время вникнуть и в это (почитал Бернштейна) и сам реализовал tabby на базе урезанной библиотеки ed25519 на основе ref-кода Бернштейна (публичные ключи 32 байта: x) Вроде все получилось, тестовые вектора совпадают с fileБернштейновскими, но пришлось преобразовать публичные ключи с Edwards в Montgomery.

Конечно, за 10 минут нереально вникнуть в представленную Вами статью, но мне показалось, что идея сходная: я планирую использовать DH-обмен в точности из протокола OTR (это будут Session keys в терминологии статьи), и затем для отправки сообщений использовать tabby с ефемеральным ключом, уникальным для каждого сообщения (как бы key-wrapper). таким образом, получаем идеальную PFS для отправителя (приват ефемерал удаляется еще до отправки сообщения). Для получателя создается ключевое окно до следующего обмена DH в стиле OTR. Аутентификация нужна только в самом начале (см. OTR), и я все же остановился на аналоге Abadi (с использованием PGP), но можно также использовать долговременные DH-ключи (например, для мессенжеров).

Не судите строго, т.к. я очень активно влез в чужую область знаний, но это все просто оказалось очень интересно. Подробное описание предоставлю после полной отладки c-кода и, конечно же, изучения свежей китайской работы.
— ressa (21/01/2014 16:32)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
gegel
Не судите строго, т.к. я очень активно влез в чужую область знаний

Какой судить, перед тобой только шляпу снять могу. Жду новых релизов;)
— Гость (21/01/2014 19:19)   <#>
Мне кажется, что никому из участников форума написать такую работу или выявить в ней возможные ошибки — нереально.

Вы думаете, fileэта работа проще? Ну, или вот вот эта с этой? Они написаны участниками форума, как и десяток-другой иных имеющихся работ сравнимой сложности.

А тем более провести её через ревью, конференции, публикации и пр.

Упомянутые работы прошли через ревью и конференции, будучи в итоге опубликованными в ведущих мировых журналах по теме. Например, первые две работы вышли здесь, последняя — тут, даже фотоотчёт с конференции есть. А где вышла ваша китайская работа? STOC/FOCS/Crypto? По-моему, пока её ещё нигде нет.

Не каждая профильная кафедра может похвастать тем, что у них есть сотрудники, публикующиеся в журналах этого уровня. В ведущих исследовательских московских институтах о наличии публикаций даже в журналах меньшего ранга, которыми на Западе никого не удивить (обычные журналы для обычных нормальных публикаций), говорят с придыханием, как будто это какое-то особенное достижение.

Фундаментальный бэкграунд у всех этих работ один — прикладная математика, теория информации, CS; отличается только конкретная прикладная область. При желании можно вникнуть в другую прикладную область, систему их определений (подчас доморощенных, кривых, костыльных и бессмысленных), но это требует времени и желания. Вот если бы понимание статей затребовало знания сложных областей математики, которых легко не изучить, то был бы другой разговор. В конце концов, как говорилось в интерьвю с одним математиком (перерыл весь интернет, не могу найти),

— Насколько сложно решить задачу такого класса?
— Трудно сказать. Её могут поручить аспиранту, который будет 3-4 года заниматься только этой проблемой, и в итоге продвинется дальше, чем все остальные, чем всё мировое сообщество, в итоге доведя решение до конца. Появление такого рода внезапных решений трудно предсказать.

Т.е. оценка сверху на полное понимание статьи — три года. Это если вы вообще ничего не знаете, потому что если знаете, за три года можно сделать свою работу, лучшую, по этой же теме.

Ну т.е., научное сообщество бьётся над проблемой отрицаемого однораундового защищённого согласования ключа с PFS больше 15 лет, на конференциях обсуждает, а тут кучка любителей-анонимусов придут и всё решат.

Так можно про любую задачу сказать: раз ещё не решили, значит, бьются и решают. А если приглядеться внимательней, то есть, в лучшем случае, 2-3 научных коллектива, а то и вообще всего несколько человек, которым эта задача интересна. Другие занимаются другими задачами. Лишь очень небольшое число проблем удостаивается официального статуса трудных. Это проблемы, к которым, например, сводится решение множества других важных проблем. В криптографии можно легко придумать тысячу проблем-вопросов, ответа на которых наука не знает. Это не значит, что все они трудные (нахождение и постановка действительно трудной проблемы — само по себе уже открытие, но трудность надо доказать чем-то помимо «я пробовал, и у меня не получилось решить»; например — сведением к другим трудным задачам). Это значит (обычно) только то, что никто из квалифицированной публики серьёзно за них не брался.

Предвосхищая вопросы, скажу, что лично мне PFS неинтересна до такой степени, чтобы всё бросить и сидеть год разбираться с чужими протоколами. Тем не менее, я уверен, что за год смог бы разобраться с темой, если заниматься всё время только этим. PFS могу пообсуждать, поздавать вопросы, полистать статьи, указать на какие-то нестыковки, но не более того, личного персонального интереса к конструированию новых PFS-протоколов у меня нет.
— unknown (21/01/2014 20:41, исправлен 21/01/2014 20:44)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

По поводу ваших заслуг все в курсе, речь о специалистах в более узкой области. Хотя физиков-криптографов — достаточно много.


Продвинуть работы по крипто на значимые конференции — достаточно трудно, хотя не знаю, с чем сравнивать. Немного другие причины трудностей. А про проблемы с журналами мы уже вроде обсуждали.



Именно это часто и скрывается за громкими определениями, но реально блестящие определения и модели тоже бывают. Вот только сколько времени пройдёт, пока их признают?

— ressa (21/01/2014 22:00)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
У меня есть возможность привлекать инвестиции под ИТ проекты и саму компанию-инициатора заводить в Сколково, т.е. делать ее полноценным резидентом фонда, вот только вопрос в востребованности и последующей комерциализации подобных проектов для меня не ясен, а как все понимают, в нашей стране меценатов, готовых на безвозмездной основе выделять деньги нет, хотя может просто я не встречал подобных Business Angeles..
— Гость (21/01/2014 22:13)   <#>

Он не физик, он «консультант по ИБ»


В CS, как и в других науках, первостепенны журналы — мне был интересен этот вопрос, и я его специально выяснял. На конференцию отправляется, как правило, сжатая статья, страниц на 10 (STOC/FOCS), потому что там жёсткий лимит на число страниц, все подробности в такой статье на опишешь. Такие статьи часто даже называют «расширенный abstract». Предполагается, что после конференции вы напишете уже полную работу по теме и отправите её в журнал, хотя не все и не всегда так делают, ленясь доводить дело до конца. При сабмите работ-abstract'ов на конференции и при сабмите статей есть требование к оформлению ссылок: если работа уже вышла как журнальная публикация, а не только как труд конференции, она должна быть процитирована как ссылка на журнал, за этим следят. Т.е. преференцию журналов с их полными статьями и развёрнутой трактовой проблемы признают, хотя быть принятым на конференцию труднее, чем в журнал. Вам понятно, что IACR — это не журнал?

Кроме того, к конференционным трудам вы не можете написать комментарий, если нашли ошибку в чужой статье. Максимум, вы можете подготовить отдельный доклад по теме нахождения ошибки и выступить с ним на этой же конференции позже, в другой год. Однако, если результат закоммичен в виде журнальной статьи, есть официальные comments, которые рассматривает редактор, и которые, возможно, даже проходят реферирование внешними оппонентами при надобности. Т.е. если кто-то накосячил в журнальной публикации, и я нашёл у него ошибку, я могу срубить на публикации этой ошибки новую публикацию для себя. Эта новая comments-публикация, даже если состоит из одного абзаца — официально признаваемая статья, её можно указать в CV, в списке публикаций, у неё есть журнальные номера томов/страниц, на неё можно ссылаться. А как поймать за хвост того, который наговорил кучу всего на конференции? А вот никак, несмотря на престиж конференций.

Вспомните, что писал Голдрайх про конференции (пост убит): PC просто формирует «программу конференции»: он не «судит» работы, а только отбирает те, которые ему «больше понравились». Конечно, у хороших работ шансов понравиться больше, но это не тщательное судебное разбирательноство, как то, что идёт в журналах, где вы можете сраться со своими офиициальными анонимными оппонентами, редактором и даже жаловаться наверх главному редактору на то, что редактор по вашей секции журнала завернул вашу статью (это всё официальные возможности; как это делать, описано на сайтах журналов). Если вы послали работу на конференцию, и её не приняли, вы часто даже не знаете, почему; вам не отправляется никакого ответа с критикой. В некоторых случаях его отправляют, но у вас нет возможности на него ответить, даже один раз (разве что вы будете неофициально писать письма в PC с требованием разобраться).

Применительно к данной работе я не говорю, что она непременно должна выйти в топовой конференции, я только указываю на то, что она ещё ни разу не проходила рецензию (а в процессе рецензии текст может быть существенно переработан по требованию редактора). Всё, что мы, как люди со стороны, можем оценить — это наукообразность статьи: насколько аккуратно оформлено, насколько нам понятно введение, корректно ли проставлены ссылки на те утверждения, что мы не понимаем, и т.д. А специалист может (не говорю, что это касается данной работы, это просто общее утверждение) при всём этом читать ту же работу и видеть совершенно другое, как то: первая половина статьи — растянутый на полработы творческий обзор ранних хорошо известных результатов, не содержащий новизны, а другая половина — тривиальное следствие из уже ранее где-то опубликованных результатов, которое добавляет так мало новизны к уже известному, что на принятие в журнал вся работа явно не тянет. Ну, это уже не говоря о таких банальностях, как просто ошибки, ложь и нестыковки в работе, видные профессионалам в области, но не видные нам.

Кстати, что касается шифрпанка, вы же сами говорили о том, что часть из них потом стали «академиками», начав заниматься исследованиями на вполне приличном уровне с другими соавторами. Помимо ярких неукладыващихся в общую картику примеров Меркля, Визнера и Диффи есть и другие, просто не такие громкие, когда у человека были действительно интересные идеи, опережающие своё время, но продвинуть он их смог совсем не сразу, и до этого момента его в лучшем случае непонимали, а в худшем — откровенно смеялись.


Нужна научная школа и традиции, общепризнанные основы, а судя по той точки зрения, что вы здесь на форуме привили, криптография от этого далека. Даже на уровне основ в одной и той же области работает несколько школ, совершенно непонимающих друг друга, чего в других областях знаний (той же математике) просто немыслимо. И я сомневаюсь, что положение скоро исправится. Возможно, криптографию как отдельную науку со своими «методами» упразднят точно так же, как когда-то упразднили евгенику, заменив её научно обоснованной генетикой. Т.е. просто покажут, что криптография — новый раздел формальной математики (теории сложности), и все проблемы криптографии могут быть сформулированы как формальные вопросы в рамках этой математики. Может быть, получится как с Ньютоном: известная история гласит, что он в своё время ввёл понятие производной, тем самым заложив основы анализа, для решения задач на механику. Но мы же сейчас понимаем, что никакой особой производной в механике нет, это просто применение анализа (математики) к конкретной задаче.

P.S. Я, кстати, собирался перечитать прочитать обсуждения в этом топике, но много их, сложные, поэтому вынес на потом.
— Гость (21/01/2014 22:24)   <#>

У меня нет вопросов с востребованностью и успешной коммерциализацией при условии, что это «будет сделано», но нейтральный (не под ФСБ) бизнес на безопасности в России невозможен (наверное, даже в Сколково; вон, не зря же люди скрывают). К тому же, людские ресурсы могут не окупать такие бюрократические препоны.
— ressa (22/01/2014 00:15)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Не могу ничего утверждать на счет нейтральности. Дело в том, что даже операционный контроль не отдадут. Ну ок, я смогу решить этот ворос, но смысл? К тому же, самый вероятный исход событий – после первых неплохих бонусов, добровольно-принудительно передать исключительную лицензию и право на дальнейшую разработку с последующей выплатой роялти, либо периодического бенефита, оставаясь в роли ведущего разработчика уже чужого проекта. Это все, с учетом того, что я обошел упомянутые выше моменты, т.к. на практике я с подобным дела не имел. Не знаю, как там действует ФСБ и прочие, знаю, что есть способ обхода всех косяков, но это все уже будет не альтруизм и полное погружение в проект, зная, что он лишь на благо, а всего лишь неплохой финансовый инструмент, способный дать толчок для небольших своих проектов и не более..
— Гость (22/01/2014 04:02)   <#>
Знаменитые 10 правил ведения бизнеса в России от ifolder'а сейчас актуальны, как никогда. К ним можно добавить разве что последние два:
  1. Не работайте с клиентами из России (если не хотите, чтобы к вам и вашей компании были какие-то претензии в России).
  2. Не приезжайте в Россию (по тем же причинам).
— unknown (22/01/2014 09:54)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
после первых неплохих бонусов, добровольно-принудительно передать исключительную лицензию и право на дальнейшую разработку с последующей выплатой роялти, либо периодического бенефита, оставаясь в роли ведущего разработчика уже чужого проекта.

Отдать проект коммерсам и контролирующим их службам на съедение в обмен на печеньки.
— sentaus (22/01/2014 11:05)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Отдать проект коммерсам и контролирующим их службам на съедение в обмен на печеньки.

Судя по тому, сколько акций обычно остаётся у основателей успешных проектов, когда эти проекты становятся успешными, это обычный путь развития :)
— ressa (22/01/2014 13:43)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Знаменитые 10 правил ведения бизнеса в России

*IT-бизнеса.
Отдать проект коммерсам и контролирующим их службам на съедение в обмен на печеньки.

Ну я более завуалировано описал, но тоже прямо. Это двояко, нужно понимать, какую роль человек занимает под солнцем, один все все-равно не вытащит, и здесь "кесарю – кесарево", соответственно в коммерсах нет ничего плохого, если изначально оговорить о запрете игры в одни ворота. Приведу обезличенный пример. Как знаешь, сказки начинаются: "Жили-были...", так и я начну, только это уже не сказка: в конце 90х, начале 00х, одни парни из Питера спаяли схему и накодили софт, ну короче почти готовый мобильник вышел, немного денег было, бОльшую часть заняли, поехали на Урал и в Новосибирск искать производственные площадки в аренду, нашли, привлекли еще денег, устали отбиваться от полу-бандосовских "предложений", на рынок вывести сами не смогли, разрабы все-таки, а в команду никого не наняли. Так вот продали контрольный пакет одной московской компании, одной из дочек Согаза, та в свою очередь переформатировала разработку на голосовое управление (ну не гуглопоиск, а попроще, просто достойно точка-точка передача голоса была), и перепродали производителю мобильных, который до конца 00х был лидером на рынке, парни питерские получали, как ты сказал "свои печеньки", и занимались своими проектами, а мобильный производитель, как уже успели догадаться был Nokia. Вот скажи, как на это смотреть? Да, берет гордость, что основная изюминка передачи голоса в Nokia – наша, отечественная разработка, и в тоже время может и мы сами могли потеснить рынок. И второе – да, парни придумали, старались, а тут их так обломали своими "печеньками", но печеньки то достойные были и я думаю, если парни не дураки – сделали на них не менее достойные и уже самостоятельные проекты.
Судя по тому, сколько акций обычно остаётся у основателей успешных проектов, когда эти проекты становятся успешными, это обычный путь развития :)

Опять таки, нужно перестраховываться изначально, разработчики привыкли обучаться по мануалам, а в коммерсовской части маны не помогают, здесь каждую минуту шаблон рвется, соответственно нужно достойных людей в команду брать, чтобы потом не разочаровываться, да, согласен, контрольный пакет тяжело себе оставить, но есть пара десятков ходов, используя которые можно смело восстановить справедливость и добиться того, чтобы разработка велась так, как ее видит основатель.
— unknown (22/01/2014 14:12, исправлен 22/01/2014 14:13)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Опенсорсный проект в области безопасности имеет интерес быть только по свободной лицензии. Если очень большой, то может собирать донейты (некоторые и от этого принципиально отказываются). Если он приносит прибыль (даже свободный софт) — это как-то сразу подозрительно, как Ubunta. Не может проект в этой сфере быть коммерческим вообще никак.

На страницу: 1, ... , 5, 6, 7, 8, 9, ... , 20 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3