Квантовая криптография: "за" и "против"
"А надо ли оно вообще?", задался вопросом Киви Берд в хорошей критической статье "Квантовая криптонеопределенность"[link1]. Помимо объективной критики квантовых коммуникаций приводит интересный обзор последних событий в классической криптографии, связанных прежде всего с некоторыми заявлениями и действиями бесспорного авторитета криптографии — АНБ США.
Ссылки
[link1] http://www.computerra.ru/xterra/37181/
[link2] http://www.openbsd.org/cgi-bin/man.cgi?query=vnconfig&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html
[link3] http://www.rsa.com/rsalabs/node.asp?id=2127
[link4] https://www.pgpru.com/Новости/Крипто/2005/08-17-PQCrypto-2006ИПостквантоваяКриптография
[link5] https://www.pgpru.com/Новости/Крипто/2005/04-13-НовыеДостиженияВДифференциальномКриптоанализеФункцийШифрования
[link6] http://adsabs.harvard.edu/preprint_service.html
[link7] http://adsabs.harvard.edu/cgi-bin/nph-abs_connect?db_key=AST&db_key=PRE&qform=AST&arxiv_sel=astro-ph&arxiv_sel=cond-mat&arxiv_sel=cs&arxiv_sel=gr-qc&arxiv_sel=hep-ex&arxiv_sel=hep-lat&arxiv_sel=hep-ph&arxiv_sel=hep-th&arxiv_sel=math&arxiv_sel=math-ph&arxiv_sel=nlin&arxiv_sel=nucl-ex&arxiv_sel=nucl-th&arxiv_sel=physics&arxiv_sel=quant-ph&arxiv_sel=q-bio&sim_query=YES&ned_query=YES&aut_logic=OR&obj_logic=OR&author=&object=&start_mon=&start_year=&end_mon=&end_year=&ttl_logic=OR&title=&txt_logic=OR&text=quantum\+man\+in\+the+\middle&nr_to_return0&start_nr=1&jou_pick=ALL&ref_stems=&data_and=ALL&group_and=ALL&start_entry_day=&start_entry_mon=&start_entry_year=&end_entry_day=&end_entry_mon=&end_entry_year=&min_score=&sort=SCORE&data_type=SHORT&aut_syn=YES&ttl_syn=YES&txt_syn=YES&aut_wt=1.0&obj_wt=1.0&ttl_wt=0.3&txt_wt=3.0&aut_wgt=YES&obj_wgt=YES&ttl_wgt=YES&txt_wgt=YES&ttl_sco=YES&txt_sco=YES&version=1
[link8] http://www.nist.gov/public_affairs/releases/quantumkeys_background.htm
[link9] http://www.perimeterinstitute.ca/personal/dgottesman/qauthentication.html
[link10] http://www.perimeterinstitute.ca/personal/dgottesman/qsig.html
[link11] http://www.perimeterinstitute.ca/personal/dgottesman/unclone.html
[link12] http://www.crypto.ethz.ch/research/keydemo/Overview.html
[link13] http://www.secoqc.net/downloads/secoqc_crypto_wp.pdf
[link14] http://www.secoqc.net/
[link15] http://www.schneier.com/blog/archives/2006/03/quasar_encrypti.html
[link16] http://athome.harvard.edu/dh/hvs.html
[link17] http://arxiv.org/abs/quant-ph/0002044
[link18] http://www.cs.miami.edu/~burt/learning/Csc609.032/notes/bsc_crypto.pdf
[link19] http://www.brics.dk/DS/05/1/BRICS-DS-05-1.pdf
[link20] http://staff.aist.go.jp/kirill.morozov/
[link21] http://staff.aist.go.jp/kirill.morozov/docs/ikm06possibility.pdf
[link22] http://staff.aist.go.jp/kirill.morozov/invited.html
[link23] http://www.crypto.ethz.ch/~maurer/publications.html
[link24] http://qi.ethz.ch/pub/publications/Wolf98a.ps
Насчет бесперспективности квантового крипто. Наверное, кому-то когда-то и паровоз казался бесперспективным по сравнению с лошадью.
Ускорители и термоядерные установки – это тоже сейчас вещи дорогие и малопрактичные. Но в будущем все может измениться.
Стоимость квантовых установок снижается, проектируются протоколы квантовой аутентификации и наверняка знания из этих работ еще пригодятся.
Критика квантового крипто в современном мире по большей части верна, но так категорично отрицать его будущее я бы лично не стал.
И компакт-диски и лазерная запись, казались когда-то дорогой полуфантастической игрушкой.
Насчет документов АНБ. Наши компетентные органы тоже пишут в официальных инструкциях, что для защиты гос. тайны должен использоваться ГОСТ-89.
Хотя их представители на одной конференции в России вроде бы еще четыре года назад заявляли, что ГОСТ устарел в криптоаналитическом смысле и ему
можно предложить замену, правда новый "ГОСТ" будет предоставляться только по закрытой подписке. Понятия не имею, насколько правда это или просто слухи.
Думаю, что документы АНБ – это тоже лишь формальные инструкции, отражающие лишь внешнюю политику организации по данному вопросу. Настоящие сведения и
внутренние распоряжения все равно останутся засекреченными. А потом выяснится, что под секретными коммуникациями национальной важности они понимали смарт-карты для открывания
дверей в подсобных помещениях своего ведомства.
У меньшинства (но все-таки у значительного количества) криптографов довольно скептическое отношение к AES-Rijndael. Многократное использование одного и тоже
(единственного) S-блока в ходе одного раунда, алгебраическая структура этого S-блока, плохие статистические характеристики развернутых ключей (вычисленных раундовых подключей).
Распространено мнение, что по стойкости RIJNDAEL был самым слабым среди пяти шифров-финалистов. Его выбрали только потому, что и NIST и NSA выдвинули очень жесткие требования
по универсальности, экономичности, быстродействию, простоте реализации шифра. Здесь ему действительно нет равных среди шифров такого уровня стойкости.
Требования NSA к шифрам были конечно своеобразны. Возможность распараллеливания (удобно для серверов, работающих с большими потоками данных, но одновременно это облегчает потенциальные атаки на шифр).
Быстрый алгоритм разворачивания подключей (удобно для смарт-карт и низкопроизводительных устройств с быстрой сменой ключа, но это снижает стойкость ключевого расписания и облегчает ряд атак),
отсутствие слабых ключей (иногда проще сделать более стойкий алгоритм с ничтожно малым подмножеством слабых ключей, чем полностью их исключить, но ослабить сам алгоритм) и т.д.
Кстати, если вспомнить более ранний алгоритм Blowfish, то он как раз имеет значительный запас стойкости как раз из-за того, что он не соотвествует ни одному из этих требований.
Даже если бы его удалось переделать на 128-битовый блок (что безуспешно пыталась сделать команда Шнайера перед созданием Twofish), конкурс AES он бы не прошел и даже в финалиcты не попал бы.
Значительный плюс AES – постоянно гарантированный поток внимания исследователей к нему (так как он является стандартом). Но говорить о его абсолютной стойкости на основании директив АНБ я думаю не стоит.
Насколько я слышал, blowfish c 64-ю "раундами" не рекомендуют использовать для защиты диска объёмом более 2х гигабайт. Якобы имеется возможность в OpenBSD менять параметры, но мне кажется что нужного здесь нет[link2]. Я не прав? Или всё-таки есть обход проблемы?
man vnconfig имеется в виду
Размер блока blowfish – фиксирован – 64 бит
Число раундов – фиксировано, но может быть теоретически увличено – 16
Макс. размер ключа – 448 бит
Это всё разные параметры, не надо их путать.
PKCS #5 PBKDF2[link3] – это стандарт получения ключа из пароля. Параметр -K – число раундов в реализации стандарта, где парольная фраза многократно по числу раундов хэшируется с солью. А шифруется всё стандартным блуфишем.
То есть если умолчальные параметры натравить на больший чем 2гига криптораздел (например, на 80гигов), никакой существенной криптослабости не выйдет? Прошу прощения за ламерство, но по этому поводу какую-то муть мутили, про 2 гига...
Еще раз: размер блока шифра – это одно, размер ключа это второе, число раундов в шифре – это третье, а число раундов при выработке ключа из пароля – это даже не четвёртое, это отдельный алгоритм, который слабости шифра никак не компенсирует.
Выйдет, хотя можно считать это несущественной слабостью. При превышении допустимых размеров данных растёт вероятность коллизий блоков шифртекста в соответствии с парадоксом дней рождения. Можно доказать, что два блока открытого текста одинаковы, не зная ключа. А такая утечка данных облегчает другие виды атак.
Шифрами с размером блока 64 бита нельзя шифровать данные больше 2(64/2) = 232 =32 гигабайта. Но в зависимости от параноидальности требований этот абсолютный предел может быть уменьшен до 2Gb и даже до нескольких мегабайт.
Шифрами с размером блока 128 бит (AES, Twofish и др.) можно шифровать данные 2(128/2) = 264 = 256 эксабайтов.
А ..., ну 32 гигабайто – это нормально, при надобности можно покромсать :-) Просто с 2-мя гигабайтами такое бы напоминало известную сказку про шапочника :-)
А все-таки, какой смысл в квантовой криптографии? Она требует дорогого оборудования, не позволяет использовать существующие линии связи, совершенно несовместима с радоисвязью, а для чего все это?
Квантовая криптография обеспечивает надежную защиту от пассивного прослушивания линии, но совершенно бесполезна против активных атак (невозможно узнать, кто сидит на другом конце провода), а значит требует применения классических систем аутентификации.
В чем же тогда плюсы, по сравнению с традиционными системами?
Если кого-то сильно гложет параноя, то целесообразней будет изобрести протокол на основе обычных алгоритмов, обладающий огромным запасом прочности.
К примеру, при установлении соединения делать выработку ключа и аутентификацию одновременно по нескольким ассимитричным криптоалгоритмам (RSA, DSA, ECC, HFE, и.т.д.), для шифрования данных использовать каскад шифров (к примеру AES->twofish->serpent->idea->blowfish->tea->rc6->rc4->cast128), а для hmac использовать конструкцию из нескольких хешей (md5, sha1, sha512, whirpool).
Неужели избыточная безопасность такой системы будет недостаточна для каких либо целей? Гложет параноя – удлинить каскад, добавить хешей на основе всех известных блочных шифров, в список асимметрики добавить с десяток малоизвестных схем. Параноя не пропадает – отказаться от асимметрики вобще. Если параноя всеравно не отпускает, то надо лечиться, а не квантовую криптографию изобретать.
А для чего гранитная облицовка офисам банков и корпораций? Для
понтовпрестижа.Вообще-то нет такой штуки как "квантовая криптография" (по словам Калласа, многих проблем можно было бы избежать, если бы авторы этой методики придумали для неё какое-нибудь другое обыденное название). То, что зачастую так называют, есть квантовое согласование ключа. То есть всё это дорогущее оборудование и принцип неопределённости Гейзенберга используются сторонами только чтобы выработать общий секретный ключ, который в дальнейшем используется в обычных криптографических алгоритмах.
Вообще, если бы передо мной стояла проблема безопасного согласования ключа, на решение которой было бы выделено 100 тыс. USD (примерно столько стоит оборудование QKD), я бы лучше нанял бронетанковую колонну с взводом автоматчиков, а ключ передал с этим эскортом в стильном алюминиевом кейсе.
На очередной сходке по передаче ключа произошла перестрелка, перешедшая в локальные бои с применением бронентанковых колонн. Финансовые конкуренты ответили применением реактивных гранатомётов и мобильной артиллерии.
Как и бывает обычно в таких случаях, срабатывает эффект отторжения: "знания по классической криптографии становятся мало полезными при изучении квантовых алгоритмов", а значит проще обосрать идею чем смириться с некомпетентностью оной.
Если я не ошибаюсь, нет этой проблемы :-) Всегда можно понять прослушивают ли канал, переизлучение же там не используется вроде бы.
А вы знаете о том, что когда сделают первый квантовый компьютер все существующие наработки классического крипто порастут известными органами? А представьте себе, что через каких-нибудь 20-30 лет, например, некоторые службы получат возможность зная ваш открытый ключ расшифровать всё что им когда-либо было зашифровано втечение всех этих лет? Нужны какие-то новые методы, чтобы противостоять этому криптоанализу.
А сама связь – не такая дорогая: обычное оптоволокно, по нему шлют фотоны... ничего сложного. мерят поляризацию.
s/оной/в оной/
Не все[link4]
а это про blowfish[link5]
А если в существующую QKD-линию сделать врезку, поставить два промежуточных "чёрных ящика" и провести обычный man-in-the-middle?
С чего бы то? Квантовым вычислениям поддается только задача факторизации, и все. Где тут опасность для симмитричных алгоритмов?
Квантовым вычислениям поддается любая хорошо распараллеливающаяся задача.
2 Sattva:
движок не берёт длинные ссылки
В общем здесь[link6] запрос по теме можно набрать и просвещаться насчёт Quantum MITM и всего остального.
По квантовой криптографии работ уже чуть-ли не столько же, сколько по обычной. Есть и квантовая аутентификация и квантовые сертификаты и атаки на квантовые протоколы по известному открытому тексту (и это не противоречит тому, что всё шифруется одноразовым блокнотом), повторной отправкой и т.д.
Для симметричных: k(n/2) (сокращение ключа вдвое), но не быстрый полиномиальный алгоритм.
А где доказательства того, что любая задача может быть решена быстрее, чем на классической машине?
Пока квантовых алгоритмов существуют только единицы, в том числе и алгоритм Шорра используемый для факторизации.
И нет никаких доказательств возможности решения NP полныз за полиномиальное время.
Какая-то проблема с quoted-printable. Если декодировать несколько символов в ссылке, то всё работает:
http://adsabs.harvard.edu/cgi-.....xt_sco=YES&version=1[link7]
Оно же:
Вот как я понимаю, там как раз и бьются в возможности передавать данные на бошьшинерасстояния. Помните, в новостях пишут на сколько удалось передать? Ну там 100км напримрер... Это как раз потому что переизлучателей там не ставят. А к существующей линии нелегально не подключиться, и врезку не сделать так чтоб незаметно было.
Тоесть линия требует непрерывного контроля за ее физической целостностью. Чем же она в таком случае лучше обычного оптоволокна, к которому применяются аналогичные меры физической безопасности?
НУ а если наблюдение за целостностью провода не ведеться, то нет никаких фундаментальных принципов запрещающих mitm.
Присутствие переизлучателей определяется. Если они заведены в системе, то они включены в протокол. Если стоит левый переизлучатель, то абонент получит левый ключ, но по сверке пакетов ключей это определиться.
NIST планирует создать системы, в которых поток гаммы из синхронно нарабатываемого одноразового ключа был бы достаточен для передачи видео и создания высокоскоростных каналов связи.
Квантовая аутентификация тоже планируется.
http://w3.antd.nist.gov/quin.shtml
http://www.nist.gov/public_aff.....mkeys_background.htm[link8]
квантовая аутентификация[link9]
квантовые подписи[link10]
неклонируемость квантовых сообщений[link11]
Здорово, перспективы впечатляют. В нынешнем положении вещей меня лишь смущает позиция (маркетинговая) некоторых компаний, заявляющих об абсолютной безопасности данных систем.
Придерживайтесь такого же здравого смысла, как и в обычной криптографии: нужно доверять не маркетинговым компаниям, а мнению широкого научного сообщества и серьёзных организаций.
В этом и дело: расхождения между первым и вторым от больших до огромных.
А как вам это[link12]?
Замена квантовой криптографии методами с публичным согласованием ключа по шумящим каналам?
Обеспечивается информационно-теоретическая безопасность (стойкость одноразового блокнота) – Ева может иметь безграничные выч. ресурсы и подслушивать все линии связи между Алисой и Бобом.
Система уже давно известна и проработана. Нужен только спутник или радиопередатчик (к нему есть проблема доверия, но некритичная), но можно и по проводам (а там возможен MITM, но и с этим можно бороться).
Если Земля сутник Солнца, можно ли (следуя (общей) теории относительности) говорить, что Солнце – спутник Земли? :)
Но уж точно Солнце – источник электромагнитного излучения. И на нём есть пятна – это излучение имеет флюктуации!
Ещё интересно, будет ли схема работать, если Алиса и Боб просто возьмут по генератору случайных чисел.
Вообще непонятно, зачем радиопередатчик. Его просто может заменить общедоступный текст, который каждая из сторон в некоторой степени испортит случайным образом.
Нет. Вообще передатчик кажется должен быть доверенным пунктом. А помехи должны вноситься непредсказуемо из случайных шумов в среде распространения сигнала.
Вот еще свежий отчёт[link13] европейского проекта квантовой криптографии SECOQC[link14], где рассмотрены все за и против квантового крипто с точки зрения его сторонников.
Квантовой аутентификации и подписей в отчёте нет! Только ограниченные сети на основе обычных или возможно постквантовых (А) симметричных алгоритмов.
Квантовая аутентификация возможна только с построением квантовых компьютеров, что не входит в задачу проекта.
Кстати насчёт того, чтобы использовать сигналы естсественных космических (астрономических) объектов (квазаров) для шифрования уже где-то было. Даже кажется даже в заметках у Шнайера. Вроде бы довольно скептических. Кто-нибудь помнит, чем там дело кончилось?
А вот оно[link15]
Мне кажется или Шнайер действительно не разбирался подробно или не хотел этого делать ни в возможностях квантового крипто, ни в методах Маурера по согласованию ключей в шумовых каналах? Или он намеренно об этих возможностях умалчивает.
В принципе это экзотика, знать не обязательно, но для общего развития интересно же.
Хотя нет конечно же, у Шнайера где-то упоминалось о Hyper-encryption системе Рабина[link16].
И у него же в блоге на это ссылку дали. Запасаемся радиотелескопами?
А как будем обениваться информацией за каким квазаром наблюдать? И в какой момент времени?
Оцифровка звука из громкоговорителя радиоприёмника не подойдёт? :)
можно согласовывать ключ по оптоволокну и неквантовыми методами[link17]. Похоже что-то подобное используется в радиосвязи.
Возможно надо настроиться на одну радиостанцию и согласовывая по методу проверки чётности битов или при помощи кодов коррекции ошибок нарабатывать общий массив совпадающих битов, не раскрывая их третьей стороне. Чем больше массив битов наработан, тем больше преимущество перед подслушивающей стороной, которая по обмену информацией не может установить точно, какие именно биты совпадают.
Вопрос только в том, что если подслушивающая сторона будет принимать радиостанцию в лучшем качестве (расположит приёмник рядом, или будет контролировать её сигнал), то она получит преимущество. Поэтому радиомаяк запускают на спутнике. Кроме того он выполняет функцию аутентификации канала. Это же может осуществить астрономический источник радиошума. Согласование происходит во время сеанса.
Но есть протоколы прямого согласования, без участия внешнего маяка!
Noisy channels and cryptography[link18] – интересное кстати направление.
On Cryptographic Primitives Based on Noisy Channels[link19] – объёмная диссертация Кирилла Морозова[link20] по теме криптографии в шумовых каналах.
Локальный источник случайности или бесшумовые каналы связи неподходят.
А вот его интересная работа по согласованию ключа в радиосетях с использованием VLAN или мобильных передатчиков. On the Possibility of Key Agreement Using Variable Directional Antenna[link21]
А может подходят локальный источник случайности и бесшумовые каналы связи? Ведь корреляции шума может и не быть.
нет[link22]
Первый абзац сверху:
С локальным источником случайности не получиться, а тем более с бесшумовыми каналами связи. Смотрите диссертацию Морозова: там рассмотрены и каналы с разным уровнем шумов, разные модели шумовых каналов, проверки канала на шумы и уровень ошибок, активный атакующий, который пытается внести в канал свои шумы.
Бесшумовые каналы связи используются как вспомогательные, для проверки {не}совпавших битов.
Основная идея в том, что подслушивающая сторона не может получить теже ошибки, что и получатели, но они то согласуют, какие биты несовпадают и отбросят их, а подслушивающая сторона не может участвовать в согласовании без раскрытия, с каждым раундом согласования она будет угадывать всё меньше битов (advantage distillation+Information Reconciliation). Стороны наберут большой массив совпавших битов, хэшируют его в меньший массив (Privacy amplification, чтобы убрать даже частичные сведения о ключе, доступнеые подслушивающей стороне) и получат общий ключ.
Впрочем, метод с гигантским массивом случайности, выбором из него битов и согласования тоже существует. Но он ещё более непрактичен, чем одноразовый блокнот (Шнайер предлагал оцифровать поверхность Луны), автор Ueli Maurer[link23].
В какой-то из его публикаций должно быть.
Всё равно мне пока непонятно почему. Может быть дело в том, что в работах Морозова рассматриваются угрозы, когда обе стороны не доверяют друг другу, а не просто хотят защититься от третьей стороны:
там[link22] же
Непонятно же вот что: обе стороны получают исходное сообщение с ошибками, каждая сторона со своими, и в общем случае, никак не связанными с ошибками, полученными другой стороной. Чем это отличается от локального источника случайности?
Либо же должно быть какое-то условие на корреляцию ошибок, которое я на свой первый взгляд пока в работах Морозова не нашёл. :(
Тогда можете почитать Вольфа[link24]
У него все сценарии с понятными диаграммами. Двусторонние связи, широковещательные, через спутник.
Получиться система публичной криптографии Мак-Элиса на основе теории линейных кодов. Она устойчива к квантовым компьютерам и является кандидатом на постквантовый алгоритм, но в исходном виде взламывается обычными методами, имеет большой размер ключа и т.д. Есть улучшающие модификации.
Системы же связи в зашумленных каналах позволяют достичь защиту от противника с бесконечными выч.ресурсами и с максимально лучшей чем у всех антенной (или датчиком съёма информации с провода). Нужно только подобрать число итераций проткола, так чтобы свести к ничтожно малой величине его преимущество.
Это связано с построением протоколов на основе таких понятий как Oblivious transfer, Bit Commitment, Secure multi-party computation и т.д.
Тем, что при использовании локальных источников обе стороны получают совершенно разные (уникальные) последовательности данных. Нечего будет корректировать. Как Вы выработаете общий ключ?
Я имею ввиду бесшумовой канал(общие данные) + локальный источник случайности.
Тоже не факт. Можно начать обмениваться значением разных функций (типа чётности соседних битов) и отбрасывать наверняка несовпадающие фрагменты. Глядишь, может быть в результате чего и останется :)
Noisy crypto предназначено для аналоговых линий связи в которых всегда есть шум, или с которых невозможно снять весь поток raw data битов датчиками без шума.
Если использовать локальный источник случайности и бесшумовые линии (цифровую связь с коррекцией ошибок), то получиться в лучшем случае схема, не обладающая информационно-теоретической безопасностью и непохожая на то, что здесь описано.
Отчасти офф-топик, но сейчас заметил, что гугловская контекстная реклама на нашем сайте показывает блок со ссылкой на MagiQ Technologies, главного коммерциализатора систем квантового согласования ключей. :-)
2 Гость с локальной энтропией:
Алиса посылает Бобу биты через Цифро-Аналоговое-Преобразование (ЦАП).
Боб делает обратное преобразование – АЦП и восстанавливает биты из шумов.
На линии помехи – часть битов получается с ошибками.
Но у подслушивающей стороны (Евы) из-за глобального шума не могут получиться ошибки в тех же самых битах. При согласовании битов между Алисой и Бобом они согласуют вовсе не те биты, которые хотела бы согласовать Ева. Какие-то биты у них с Евой конечно совпадут. Ну а в конце они хэшируют общий массив битов и получат ключ. Ева будет в пролёте.
Чем больше передавать битов и чем больше итерацций согласования, тем безопаснее. Выбирают значение при котором противник даже с самым малошумящим датчиком не сможет обойтись без того чтобы накопить большое число ошибок и не сможет собрать ключ.
А Вы предлагаете передавать зашумленный (локальная случайность) сигнал по цифровой (нешумящей) линии. Тогда и Боб и Ева и прочие нежелательные элементы получат один и тот же набор битов и легко вычислят один и тот же ключ.
2 Satt-va: злостный оффтопик – это когда начнут появляться баннеры M$софт
А это ещё раз, уже чисто математические методы на основе теории кодирования.
Их стойкость и практичность под вопросом, в то время как шумовое шифрование информационно-теоретически стойко (близко к одноразовому блокноту).
Особенности лишь в трудностях реализации и практичность его тоже ограничена, поэтому там где это используется его стараются заменить на квантовое крипто.
А чем в это время занимается Мэллори? Со спутником или квазаром у него, пожалуй, возникнут трудности, а вот на проводах...
Мэллори ломает голову над теорией...
6.2 Secret-Key Agreement Secure against ACTIVE Adversary[link24]
Возможен обмен ключами даже в присутствии противника, полностью контролирующего канал связи. Его наличие засекается и обмен прекращается. Стефан Вольф рассматривает дополнительный протокол для отбрасывания пакетов, скомпрометированных противником и предлагает увеличить число итераций, заведомо превыщающее возможности противника.
Получается, замена вычислительных ресурсов (суперкомпьюетеры) физическими (невозможность создать совершенное радиотехническое оборудование).
Кирилл Морозов и др. в своей диссертации рассматривает активные атаки и противодействие против них с вбрасыванием противником шумов, которые заставляют стороны неверно оценить характеристики линии и др. См. например 6.4.2 "From passive to active security".
ну с антеннами же получилось[link21]. Единственное требование к противнику – не ставить жучков вблизи нескольких метров от антенн (радиосеть в здании с охраняемым периметром).
Правда это первая и относительно недавняя открытая публикация по радиосвязи, хотя первые открытые работы по шумовым каналам относятся к началу 70-хх годов.
Если начнут внедрять в гражданский сектор, то теорию противодействия активному противнику будут прорабатывать дальше (или решат, что перспектив нет).