id: Гость   вход   регистрация
текущее время 14:39 23/09/2021
Автор темы: unknown, тема открыта 10/03/2012 14:37 Печать
создать
просмотр
ссылки

Ещё раз о ECC


Начало обсуждения с этого комментария.


Конечно, spinore, мы это всё обсуждали неоднократно. Тем не менее интересен пример из вашей собственной деятельности, ещё раз отрезвляюще. Действительно, только добившись известности и получив имя, можно как-то позволить независимо высказываться.


Вот мутно как-то. АНБ перекупила патенты и скооперировалось с НИСТ, при этом параметры выбора кривых действительно полностью не раскрываются. Открытого конкурса нет. Как-то полукулуарно у них с ECC решается, почти как в России с криптостандартами. Вариант сокрытия бэкдора в константах ECC-PRNG от АНБ уже был прецендентно показан. История ECC содержит действительно много косяков. При том, что Коблиц — практически первооткрыватель и один из главных энтузиастов ECC. Есть ещё и скептики, такие как Шнайер, хотя сам он неспециалист конкретно в этой области.


Да, есть такие Эль-Наши, но есть и Эль-Гамаль.


 
Комментарии
— spinore (10/03/2012 06:37)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
Из слайдов к выступлению Нила Коблица на Индокрипт-2010.

День Коблица прошёл, а вопросы остались:
  1. Не ясно, в чём итог всех претензий к ECC. Я понял из слайдов, что много где слажали, а теперь что? С ECC всё в порядке, оно безопасно?
  2. Не ясно, в чём конкретно критика подхода доказуемой безопасности. Приведены какие-то контрпримеры, когда по «доказуемой безопасности» всё получается хорошо, а на самом деле всё плохо? Если такое и может быть, то другие методы, как вы рассказывали, ещё хуже.
  3. Я никогда не разбирался с темой компьютерных доказательств, но, раз люди занимаются, значит это что-то даёт математике. Что подразумевается под такими доказательствами в криптографии? Порой исследователь, имя обширный опыт, подолгу не может доказать какие-то простые утверждения. Как этот процесс можно доверить компьютеру? Ведь последний требует полной формализации процесса, это ж не искуственный интеллект.


  4. Ну и, о наболевшем (стр. 230 на слайдах):
    अमनित्वम् अदम्भित्वम् अहिम्स क्सन्तिर् अर्जवम् अचर्योपसनम् स्हौचम् स्थैर्यम् अत्मविनिग्रहह्
    Это проблема применима не столько к криптографии, сколько вообще ко всей науке. По мере того, как последняя оказалась полностью коммерциализированной, а деньги стали платить за формальные показатели1, учёные правильно стали решать оптимизационную задачу: вместо оптимизации научных достижений оптимизируются научные показатели. В статьях принято искуственно сглаживать все острые углы, никогда не говорить «у нас не получилось это доказать, поэтому доказательства нет», освещать только то, что уже имеет конечную форму, весь мусор должен быть под ковром. Главное правило: за язык не тянут — значит, не говори. Не написано о чём-то явно — значит, есть причины, не стоит их оговаривать. Статья должна получиться настолько «гладкой», насколько делаются рекламные заявления на получение гранта. Ведь главная цель — получить финансирование, выяснить истину и донести её до других — вторичная цель. Если хоть что-то может вызвать потенциальные вопросы у редактора журнала или оппонетов, то этого надо избегать. Лучше даже явно солгать, но избежать: публикация ошибочных результатов и доказательств по сути ничем не грозит автору («ну с кем не бывает, подумаешь... не ошибается только тот, кто ничего не делает»).

    Считается хорошим тоном, найдя ошибку в чужой статье, ласково и нежно сообщить об этом авторам, но не редактору журнала официальной эрратой, ибо главный принцип науки — признание в ложе, где коллаборации с сообществом важнее всего. Собственно, все наукометрические показатели — попросту уровень признания в ложе. Чтобы получить хоть какую-то временную позицию хоть где-то, 2-3 уважаемых члена ложи должны вас отрекомендовать, без этого никак. Кто-то, пошедший против ветра (не знаю, пример ли это Коблица), фактически теряет всяческую поддержкку: он не получит рекомендаций; его статьи будут из принципа зарезаться анонимными оппонентами, из-за чего он получит массу трудностей с публикацией своих результатов; на его работы не будут ссылаться — при необходимости будут ссылаться на те вторичные работы других исследователей, которые его уже где-то процитировали, т.е. с точки зрения наукометрии индекс будет расти у аггрегаторов результатов, а не у основоположников. Я прекрасно понимаю и положительную сторону такой «фильтрации», может быть лучше и нельзя было организовать науку, но, боюсь, отрицательная сторона может оказаться столь существенной, что сгубит всё на корню.

    Когда я нашёл, что одна из статей, на которой должны были основываться мои дальнейшие наработки, полностью ошибочна, мне запретили писать эррату. Тем временем авторша (с прошедшим 8ым марта!) успела растиражировать свой ошибочный результат2, включив его частью в несколько статей (естественно, речь идёт об очень уважаемых журналах). Меня же принудили не только не писать эррату, и даже не только не писать у себя в статье «вывод данной формулы содержал ошибку, а результат оказался полностью ошибочен, сейчас же мы его перевыведем правильно», а вообще вставить ссылку на неё в духе того, как будто оная — одна из самых релевантнейших по теме. Типа, «если я не процитирую, этим я, наоборот, вызову подозрение: почему такая хорошая статья, и вдруг не процитирована? Что-то здесь не так... А подозрений вызывать не надо». На все мои претензии, что результат лежит в паблике, и нигде не помечен как неверный, последовал ответ «никто не будет читать ту статью, поскольку теперь есть более новые (моя, например) по той же теме, и читать будут их, а тихо правильно перевыведя эту злосчастную формулу в новой статье, мы сделаем «мягкий replace» оригинального результата». И это вам не какой-нибудь там Таганрогский Радиотехнический, это лучшие зарубежные коллективы в мире по своей теме, с прекрасной международной известностью и некоторыми хорошими общепризнанными результатами. Кстати, эрраты нет до сих пор, хотя в узком сообществе, включая авторов той статьи, «все всё знают». На фоне такого всякие мягкие накрутки индексов и повсеместно распространённые фальшивые включения в соавторы кажутся просто детскими забавами.

    Это всё обратные стороны вольницы фундаментальной науки: когда можно публиковать любую ерунду, а за базар никто не отвечает. Это ж не инженерные аварии с кучей жертв, потому можно и не стреляться с инцидентов, как главный ответственный за РБМК3. Перельман в интервью что-то такое и хотел сказать, что-то даже успел в сторону абстрактного «матсообщества». Тут либо включить рупор и, прийдя к известности, вылить тонну грязи на всё, так называемое, академическое сообщество, либо как Перельман заявить «сказанного уже достаточно», ни с кем не ссориться, а просто проголосовать ногами. И Гротендик обо всём этом писал, с обстоятельной критикой матдоказательств и всего этого подхода к науке в целом. И Арнольд на эту тему высказывался, и unknown статьи по этой теме переводил. Даже Кудрявцев, ректор ФизТеха, в своей книге написал то, что уже давно и по духу и по букве, будучи применённым к образованию на ФизТехе, раскатывает его в пух и прах. Вывод, пожалуй, в том, что хорошая наука может делаться только на кухне в свободное время, когда исследователь никому ничем не обязан, а деньги надо зарабатывать в другом месте. Вот влили в {науку, религию, искусство} (подставить нужное) денег — и сразу стало плохо, сразу плоды коммерциализации видны. Не всё, конечно, можно сделать без денег (эксперимент особенно), но теорию в значительной мере можно.

    Намедни мне тут специалисты показывают статью Белоцерковского (2ой ректор ФизТеха) и говорят, что он украл её у американцев. Сейчас интернет есть — всё проверяется легко, прям специально народ заинтересовался и проверил. Даже обозначения и картинки потырены. Был Лос-Аламосовский FLIC — стал советский «метод крупных частиц», причём публикация американцев никаким секретом при союзе не была — свободна доступна с библиотеки. Потом во всяких там русских википедиях появляются фразы «популяризованы и внедрены». Прям в квотесы. Такая слава — переизложить чужую статью, должным образом не сославшись, а потом «внедрять» метод, как свой собственный, без всяких кредитсов разработчикам метода. Раз ректора первых технических вузов бывшего СССР такое могли себе позволить, что говорить о других. Какая тут наука, мы все подохнем скоро, кругом одна грязь, толстым слоем, а прав тот, кто выбил толще грант.


1Общее число публикаций; импакт-фактор журналов, куда удалось свои статьи пропихнуть; индекс цитирования; индекс Хирша.
2Были неверно перемножены матрицы, посеяна куча матричных блоков, после ошибки было произведено огромное количество выкладок — естественно, уже полностью неверных, как и итоговый результат; соответственно, графики по нему насчитанные тоже неверны, как и качественный эффект, ими демонстрируемый.
3Невольно вспоминается классический пример про то, как один из учёных во времена ВОВ рассчитал по толщине льда на реке минимальное безопасное расстояние между танками для их переправки. И убедил руководство в её безопасности. В доказательство в первый танк он сел сам. Да, когда-то люди за свои результаты отвечали жизнью.
— spinore (10/03/2012 22:19)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786

Может быть, я чего-то не понимаю, но ECC включен в GnuPG, не так ли? Раз код последнего полностью открыт, должен быть полностью открыт и метод шифрования, напару с выбором всех констант. Или имеется в виду, что сами константы известны, а закрыты исследования, мотивирующие именно такой набор констант?

Используется ли ECC где-нибудь массово в современном ПО? Кажется, у нас обсуждалось, как кто-то высказывался о переходе Tor на ECC, но пока это явно не ближние перспективы.
— unknown (10/03/2012 23:01, исправлен 10/03/2012 23:06)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
что сами константы известны, а закрыты исследования, мотивирующие именно такой набор констант?

Близко к тому. Не очень отслеживаю эту тему. Не могу сказать насколько открыты и полны публикации, на которые ссылаются стандарты, знаю только, что в отличии от остального не было открытого конкурса по выбору метода.
Кажется часть ссылок на публикации, лежащих в стандарте НИСТа уходит в АНБ и Цертиком (ну это ещё понятно), а часть вообще в патенты торговой палаты или чего-то такого.

— Гость (10/03/2012 23:08)   <#>
Используется ли ECC где-нибудь массово в современном ПО?
Во всех современных браузерах, для https. Массово используется серверами гугла (шутка юмора только в том что там RC4 как шифр для потока данных).
— spinore (10/03/2012 23:51)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786
там RC4 как шифр для потока данных

Настолько важно быстродействие, что выбор пал на RC4?
— Гость (10/03/2012 23:59)   <#>
Настолько важно быстродействие, что выбор пал на RC4?
Или они так доверяют ECC, толку от железной двери если стена из картона.
— unknown (11/03/2012 01:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

И на данный момент — это похоже единственный сертификат с ECC, заверенный УЦ. Если Рон проигрывает Виту, то Нил не у дел:
Всего к ноябрю 2011 было собрано 6 185 372 различных сертификатов<...>Из всех сертификатов большинство — RSA, лишь 141 относился к DSA и 1 (один) оказался относящимся к ECDSA (криптографии на эллиптических кривых).

Настолько важно быстродействие, что выбор пал на RC4?

Или они так доверяют ECC, толку от железной двери если стена из картона.

Скорее даже "и", чем "или".
— Genosse (11/03/2012 01:36, исправлен 11/03/2012 01:36)   профиль/связь   <#>
комментариев: 101   документов: 0   редакций: 3
Может быть, я чего-то не понимаю, но ECC включен в GnuPG, не так ли?

По ходу нет.

...параметры выбора кривых действительно полностью не раскрываются.

А как с ГОСТ Р 34.10-2001? Он где-нибудь используется? Жаль кстати, что нет gost.dll для GnuPG, подобно idea.

— sentaus (11/03/2012 02:19)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
По ходу нет.

В версии 2.1 должен появиться, пока можно собрать снимок нестабильной ветки из гита. Только формат ещё в состоянии черновика, могут быть изменения.


Он где-нибудь используется?

В госучреждениях определённо используется. Даже смарткарты существуют.
— spinore (11/03/2012 02:28)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


Реально ли сгенерировать валидный ECC-сертификат для какого-то сайта (и потом подписать его у CA) так, чтобы «бэкдор был сокрыт в константах», или константы гвоздями прибиты к стандарту? Получилась бы интересная схема депонирования ключей/прослушки :)
— unknown (11/03/2012 10:17)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Речь вот об этой истории. Dual_EC_DRBG — это симметричный PRNG-генератор, хотя и на EC. Его никак не увязать с асимметричными алгоритмами подписи в сертификатах, это из другой области.

И гвоздями к стандарту это прибито, действительно. Только те кто его выпустил (АНБ) могут воспользоваться потенциальной закладкой. Но к сертификатам это отношения не имеет — опять же, в качестве уточнения, чтобы не было путаницы.

ГОСТ Р 34.10-2001 — алгоритм подписи. Какой интерес иметь его плагин в GnuPG, если нет отечественного стандарта на шифрование с открытым ключом?

Почему ECC широко не внедряют и что конкретно смущает большинство специалистов, не могу квалифицированно ответить. Ну хотя бы, не все понимают, почему предложен выбор кривых из определённого семейства, а доказательство этого не очень убедительные и неразвёрнутые. Что, по примеру Коблица, бывает не очень хорошо — получается значительное несовпадение с заявленным уровнем стойкости. Патентование методов выбора кривых только запутывает ситуацию.
— Гость (14/03/2012 02:46)   <#>
[off]

Даже Кудрявцев, ректор ФизТеха, в своей книге написал


Это однофамилец ректора, хотя тоже преподавал там.
[/off]


что конкретно смущает большинство специалистов, не могу квалифицированно ответить.


Слышал жалобы от специалистов-программистов, что по сравнению с RSA ECC немерено сложно запрогать, там легко ошибиться (а любая такая ошибка фатальна для ИБ-софта).
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3