— unknown (22/12/2004 22:18)   
Насчет бесперспективности квантового крипто. Наверное, кому-то когда-то и паровоз казался бесперспективным по сравнению с лошадью.
Ускорители и термоядерные установки – это тоже сейчас вещи дорогие и малопрактичные. Но в будущем все может измениться.

Стоимость квантовых установок снижается, проектируются протоколы квантовой аутентификации и наверняка знания из этих работ еще пригодятся.
Критика квантового крипто в современном мире по большей части верна, но так категорично отрицать его будущее я бы лично не стал.

И компакт-диски и лазерная запись, казались когда-то дорогой полуфантастической игрушкой.

Насчет документов АНБ. Наши компетентные органы тоже пишут в официальных инструкциях, что для защиты гос. тайны должен использоваться ГОСТ-89.
Хотя их представители на одной конференции в России вроде бы еще четыре года назад заявляли, что ГОСТ устарел в криптоаналитическом смысле и ему
можно предложить замену, правда новый "ГОСТ" будет предоставляться только по закрытой подписке. Понятия не имею, насколько правда это или просто слухи.

Думаю, что документы АНБ – это тоже лишь формальные инструкции, отражающие лишь внешнюю политику организации по данному вопросу. Настоящие сведения и
внутренние распоряжения все равно останутся засекреченными. А потом выяснится, что под секретными коммуникациями национальной важности они понимали смарт-карты для открывания
дверей в подсобных помещениях своего ведомства.

У меньшинства (но все-таки у значительного количества) криптографов довольно скептическое отношение к AES-Rijndael. Многократное использование одного и тоже
(единственного) S-блока в ходе одного раунда, алгебраическая структура этого S-блока, плохие статистические характеристики развернутых ключей (вычисленных раундовых подключей).
Распространено мнение, что по стойкости RIJNDAEL был самым слабым среди пяти шифров-финалистов. Его выбрали только потому, что и NIST и NSA выдвинули очень жесткие требования
по универсальности, экономичности, быстродействию, простоте реализации шифра. Здесь ему действительно нет равных среди шифров такого уровня стойкости.

Требования NSA к шифрам были конечно своеобразны. Возможность распараллеливания (удобно для серверов, работающих с большими потоками данных, но одновременно это облегчает потенциальные атаки на шифр).
Быстрый алгоритм разворачивания подключей (удобно для смарт-карт и низкопроизводительных устройств с быстрой сменой ключа, но это снижает стойкость ключевого расписания и облегчает ряд атак),
отсутствие слабых ключей (иногда проще сделать более стойкий алгоритм с ничтожно малым подмножеством слабых ключей, чем полностью их исключить, но ослабить сам алгоритм) и т.д.
Кстати, если вспомнить более ранний алгоритм Blowfish, то он как раз имеет значительный запас стойкости как раз из-за того, что он не соотвествует ни одному из этих требований.
Даже если бы его удалось переделать на 128-битовый блок (что безуспешно пыталась сделать команда Шнайера перед созданием Twofish), конкурс AES он бы не прошел и даже в финалиcты не попал бы.

Значительный плюс AES – постоянно гарантированный поток внимания исследователей к нему (так как он является стандартом). Но говорить о его абсолютной стойкости на основании директив АНБ я думаю не стоит.

— spinore (26/06/2007 01:30)   

Даже если бы его удалось переделать на 128-битовый блок (что безуспешно пыталась сделать команда Шнайера перед созданием Twofish), конкурс AES он бы не прошел и даже в финалиcты не попал бы.

Насколько я слышал, blowfish c 64-ю "раундами" не рекомендуют использовать для защиты диска объёмом более 2х гигабайт. Якобы имеется возможность в OpenBSD менять параметры, но мне кажется что нужного здесь нет^[link2]. Я не прав? Или всё-таки есть обход проблемы?

— spinore (26/06/2007 01:32)   
man vnconfig имеется в виду

— unknown (26/06/2007 09:27)   

Насколько я слышал, blowfish c 64-ю "раундами" не рекомендуют использовать для защиты диска объёмом более 2х гигабайт. Якобы имеется возможность в OpenBSD менять параметры,

Размер блока blowfish – фиксирован – 64 бит
Число раундов – фиксировано, но может быть теоретически увличено – 16
Макс. размер ключа – 448 бит

Это всё разные параметры, не надо их путать.

— unknown (26/06/2007 10:15)   

-K rounds

Associate an encryption key with the device. All data will be
encrypted using the Blowfish cipher before it is written to the
disk. The user is asked for both a passphrase and the name of a
salt file. The salt file can also be specified on the command
line using the -S option. The passphrase and salt are combined
according to PKCS #5 PBKDF2 for the specified number of rounds to
generate the actual key used. rounds is a number between 1000
and INT_MAX. DO NOT LOSE THE SALT FILE. Encryption only works
with svnd.

PKCS #5 PBKDF2^[link3] – это стандарт получения ключа из пароля. Параметр -K – число раундов в реализации стандарта, где парольная фраза многократно по числу раундов хэшируется с солью. А шифруется всё стандартным блуфишем.

— spinore (26/06/2007 11:44)   
То есть если умолчальные параметры натравить на больший чем 2гига криптораздел (например, на 80гигов), никакой существенной криптослабости не выйдет? Прошу прощения за ламерство, но по этому поводу какую-то муть мутили, про 2 гига...

— unknown (26/06/2007 12:35, исправлен 26/06/2007 12:47)   
Еще раз: размер блока шифра – это одно, размер ключа это второе, число раундов в шифре – это третье, а число раундов при выработке ключа из пароля – это даже не четвёртое, это отдельный алгоритм, который слабости шифра никак не компенсирует.

То есть если умолчальные параметры натравить на больший чем 2гига криптораздел (например, на 80гигов), никакой существенной криптослабости не выйдет?

Выйдет, хотя можно считать это несущественной слабостью. При превышении допустимых размеров данных растёт вероятность коллизий блоков шифртекста в соответствии с парадоксом дней рождения. Можно доказать, что два блока открытого текста одинаковы, не зная ключа. А такая утечка данных облегчает другие виды атак.

Шифрами с размером блока 64 бита нельзя шифровать данные больше 2^(64/2) = 2³² =32 гигабайта. Но в зависимости от параноидальности требований этот абсолютный предел может быть уменьшен до 2Gb и даже до нескольких мегабайт.

Шифрами с размером блока 128 бит (AES, Twofish и др.) можно шифровать данные 2^(128/2) = 2⁶⁴ = 256 эксабайтов.

— spinore (26/06/2007 13:46)   
А ..., ну 32 гигабайто – это нормально, при надобности можно покромсать :-) Просто с 2-мя гигабайтами такое бы напоминало известную сказку про шапочника :-)

— Гость (26/06/2007 17:22)   
А все-таки, какой смысл в квантовой криптографии? Она требует дорогого оборудования, не позволяет использовать существующие линии связи, совершенно несовместима с радоисвязью, а для чего все это?
Квантовая криптография обеспечивает надежную защиту от пассивного прослушивания линии, но совершенно бесполезна против активных атак (невозможно узнать, кто сидит на другом конце провода), а значит требует применения классических систем аутентификации.
В чем же тогда плюсы, по сравнению с традиционными системами?

Если кого-то сильно гложет параноя, то целесообразней будет изобрести протокол на основе обычных алгоритмов, обладающий огромным запасом прочности.
К примеру, при установлении соединения делать выработку ключа и аутентификацию одновременно по нескольким ассимитричным криптоалгоритмам (RSA, DSA, ECC, HFE, и.т.д.), для шифрования данных использовать каскад шифров (к примеру AES->twofish->serpent->idea->blowfish->tea->rc6->rc4->cast128), а для hmac использовать конструкцию из нескольких хешей (md5, sha1, sha512, whirpool).
Неужели избыточная безопасность такой системы будет недостаточна для каких либо целей? Гложет параноя – удлинить каскад, добавить хешей на основе всех известных блочных шифров, в список асимметрики добавить с десяток малоизвестных схем. Параноя не пропадает – отказаться от асимметрики вобще. Если параноя всеравно не отпускает, то надо лечиться, а не квантовую криптографию изобретать.

— SATtva (26/06/2007 18:21)   

Она требует дорогого оборудования, не позволяет использовать существующие линии связи, совершенно несовместима с радоисвязью, а для чего все это?

А для чего гранитная облицовка офисам банков и корпораций? Для понтов престижа.

Вообще-то нет такой штуки как "квантовая криптография" (по словам Калласа, многих проблем можно было бы избежать, если бы авторы этой методики придумали для неё какое-нибудь другое обыденное название). То, что зачастую так называют, есть квантовое согласование ключа. То есть всё это дорогущее оборудование и принцип неопределённости Гейзенберга используются сторонами только чтобы выработать общий секретный ключ, который в дальнейшем используется в обычных криптографических алгоритмах.

Вообще, если бы передо мной стояла проблема безопасного согласования ключа, на решение которой было бы выделено 100 тыс. USD (примерно столько стоит оборудование QKD), я бы лучше нанял бронетанковую колонну с взводом автоматчиков, а ключ передал с этим эскортом в стильном алюминиевом кейсе.

— unknown (26/06/2007 18:44)   
На очередной сходке по передаче ключа произошла перестрелка, перешедшая в локальные бои с применением бронентанковых колонн. Финансовые конкуренты ответили применением реактивных гранатомётов и мобильной артиллерии.

— spinore (26/06/2007 19:21)   
Как и бывает обычно в таких случаях, срабатывает эффект отторжения: "знания по классической криптографии становятся мало полезными при изучении квантовых алгоритмов", а значит проще обосрать идею чем смириться с некомпетентностью оной.

Квантовая криптография обеспечивает надежную защиту от пассивного прослушивания линии, но совершенно бесполезна против активных атак (невозможно узнать, кто сидит на другом конце провода)

Если я не ошибаюсь, нет этой проблемы :-) Всегда можно понять прослушивают ли канал, переизлучение же там не используется вроде бы.

Если кого-то сильно гложет параноя, то целесообразней будет изобрести протокол на основе обычных алгоритмов, обладающий огромным запасом прочности.

А вы знаете о том, что когда сделают первый квантовый компьютер все существующие наработки классического крипто порастут известными органами? А представьте себе, что через каких-нибудь 20-30 лет, например, некоторые службы получат возможность зная ваш открытый ключ расшифровать всё что им когда-либо было зашифровано втечение всех этих лет? Нужны какие-то новые методы, чтобы противостоять этому криптоанализу.

А сама связь – не такая дорогая: обычное оптоволокно, по нему шлют фотоны... ничего сложного. мерят поляризацию.

— spinore (26/06/2007 19:34)   
s/оной/в оной/

— unknown (26/06/2007 20:05, исправлен 26/06/2007 20:14)   

А вы знаете о том, что когда сделают первый квантовый компьютер все существующие наработки классического крипто порастут известными органами?

Не все^[link4]

а это про blowfish^[link5]

— SATtva (26/06/2007 21:17)   

Если я не ошибаюсь, нет этой проблемы :-) Всегда можно понять прослушивают ли канал, переизлучение же там не используется вроде бы.

А если в существующую QKD-линию сделать врезку, поставить два промежуточных "чёрных ящика" и провести обычный man-in-the-middle?

— Гость (27/06/2007 04:06)   

А вы знаете о том, что когда сделают первый квантовый компьютер все существующие наработки классического крипто порастут известными органами?

С чего бы то? Квантовым вычислениям поддается только задача факторизации, и все. Где тут опасность для симмитричных алгоритмов?

— sentaus (27/06/2007 08:29)   
Квантовым вычислениям поддается любая хорошо распараллеливающаяся задача.

— unknown (27/06/2007 09:55, исправлен 27/06/2007 21:19)   
2 Sattva:

движок не берёт длинные ссылки

http://adsabs.harvard.edu/cgi-bin/nph-abs_connect?db_key=AST&db_key=PRE&qform=AST&arxiv_sel=astro-ph&arxiv_sel=cond-mat&arxiv_sel=cs&arxiv_sel=gr-qc&arxiv_sel=hep-ex&arxiv_sel=hep-lat&arxiv_sel=hep-ph&arxiv_sel=hep-th&arxiv_sel=math&arxiv_sel=math-ph&arxiv_sel=nlin&arxiv_sel=nucl-ex&arxiv_sel=nucl-th&arxiv_sel=physics&arxiv_sel=quant-ph&arxiv_sel=q-bio&sim_query=YES&ned_query=YES&aut_logic=OR&obj_logic=OR&author=&object=&start_mon=&start_year=&end_mon=&end_year=&ttl_logic=OR&title=&txt_logic=OR&text=quantum%5C+man%5C+in%5C+the+%5Cmiddle%0D%0A&nr_to_return=100&start_nr=1&jou_pick=ALL&ref_stems=&data_and=ALL&group_and=ALL&start_entry_day=&start_entry_mon=&start_entry_year=&end_entry_day=&end_entry_mon=&end_entry_year=&min_score=&sort=SCORE&data_type=SHORT&aut_syn=YES&ttl_syn=YES&txt_syn=YES&aut_wt=1.0&obj_wt=1.0&ttl_wt=0.3&txt_wt=3.0&aut_wgt=YES&obj_wgt=YES&ttl_wgt=YES&txt_wgt=YES&ttl_sco=YES&txt_sco=YES&version=1

В общем здесь^[link6] запрос по теме можно набрать и просвещаться насчёт Quantum MITM и всего остального.

По квантовой криптографии работ уже чуть-ли не столько же, сколько по обычной. Есть и квантовая аутентификация и квантовые сертификаты и атаки на квантовые протоколы по известному открытому тексту (и это не противоречит тому, что всё шифруется одноразовым блокнотом), повторной отправкой и т.д.

... EDD995A4E697701C
Квантовым вычислениям поддается любая хорошо распараллеливающаяся задача.

Для симметричных: k^(n/2) (сокращение ключа вдвое), но не быстрый полиномиальный алгоритм.

— Гость (27/06/2007 11:30)   

А где доказательства того, что любая задача может быть решена быстрее, чем на классической машине?

Пока квантовых алгоритмов существуют только единицы, в том числе и алгоритм Шорра используемый для факторизации.
И нет никаких доказательств возможности решения NP полныз за полиномиальное время.

— SATtva (27/06/2007 21:31)   

движок не берёт длинные ссылки

Какая-то проблема с quoted-printable. Если декодировать несколько символов в ссылке, то всё работает:
http://adsabs.harvard.edu/cgi-.....xt_sco=YES&version=1^[link7]
Оно же:
http://adsabs.harvard.edu/cgi-bin/nph-abs_connect?db_key=AST&db_key=PRE&qform=AST&arxiv_sel=astro-ph&arxiv_sel=cond-mat&arxiv_sel=cs&arxiv_sel=gr-qc&arxiv_sel=hep-ex&arxiv_sel=hep-lat&arxiv_sel=hep-ph&arxiv_sel=hep-th&arxiv_sel=math&arxiv_sel=math-ph&arxiv_sel=nlin&arxiv_sel=nucl-ex&arxiv_sel=nucl-th&arxiv_sel=physics&arxiv_sel=quant-ph&arxiv_sel=q-bio&sim_query=YES&ned_query=YES&aut_logic=OR&obj_logic=OR&author=&object=&start_mon=&start_year=&end_mon=&end_year=&ttl_logic=OR&title=&txt_logic=OR&text=quantum\+man\+in\+the+\middle&nr_to_return0&start_nr=1&jou_pick=ALL&ref_stems=&data_and=ALL&group_and=ALL&start_entry_day=&start_entry_mon=&start_entry_year=&end_entry_day=&end_entry_mon=&end_entry_year=&min_score=&sort=SCORE&data_type=SHORT&aut_syn=YES&ttl_syn=YES&txt_syn=YES&aut_wt=1.0&obj_wt=1.0&ttl_wt=0.3&txt_wt=3.0&aut_wgt=YES&obj_wgt=YES&ttl_wgt=YES&txt_wgt=YES&ttl_sco=YES&txt_sco=YES&version=1

— spinore (28/06/2007 04:05)   


Вот как я понимаю, там как раз и бьются в возможности передавать данные на бошьшинерасстояния. Помните, в новостях пишут на сколько удалось передать? Ну там 100км напримрер... Это как раз потому что переизлучателей там не ставят. А к существующей линии нелегально не подключиться, и врезку не сделать так чтоб незаметно было.

— Гость (28/06/2007 08:16)   
Тоесть линия требует непрерывного контроля за ее физической целостностью. Чем же она в таком случае лучше обычного оптоволокна, к которому применяются аналогичные меры физической безопасности?
НУ а если наблюдение за целостностью провода не ведеться, то нет никаких фундаментальных принципов запрещающих mitm.

— unknown (28/06/2007 08:58)   

НУ а если наблюдение за целостностью провода не ведеться, то нет никаких фундаментальных принципов запрещающих mitm.

Присутствие переизлучателей определяется. Если они заведены в системе, то они включены в протокол. Если стоит левый переизлучатель, то абонент получит левый ключ, но по сверке пакетов ключей это определиться.

— unknown (28/06/2007 12:38, исправлен 28/06/2007 12:43)   

То есть всё это дорогущее оборудование и принцип неопределённости Гейзенберга используются сторонами только чтобы выработать общий секретный ключ, который в дальнейшем используется в обычных криптографических алгоритмах.

NIST планирует создать системы, в которых поток гаммы из синхронно нарабатываемого одноразового ключа был бы достаточен для передачи видео и создания высокоскоростных каналов связи.

Квантовая аутентификация тоже планируется.

http://w3.antd.nist.gov/quin.shtml

http://www.nist.gov/public_aff.....mkeys_background.htm^[link8]

— unknown (28/06/2007 13:28)   
квантовая аутентификация^[link9]
квантовые подписи^[link10]
неклонируемость квантовых сообщений^[link11]

— SATtva (28/06/2007 17:08)   
Здорово, перспективы впечатляют. В нынешнем положении вещей меня лишь смущает позиция (маркетинговая) некоторых компаний, заявляющих об абсолютной безопасности данных систем.

— unknown (28/06/2007 17:22)   

В нынешнем положении вещей меня лишь смущает позиция (маркетинговая) некоторых компаний, заявляющих об абсолютной безопасности данных систем.

Придерживайтесь такого же здравого смысла, как и в обычной криптографии: нужно доверять не маркетинговым компаниям, а мнению широкого научного сообщества и серьёзных организаций.

— SATtva (28/06/2007 17:34)   
В этом и дело: расхождения между первым и вторым от больших до огромных.

— unknown (04/07/2007 12:55, исправлен 04/07/2007 12:56)   
А как вам это^[link12]?

Замена квантовой криптографии методами с публичным согласованием ключа по шумящим каналам?
Обеспечивается информационно-теоретическая безопасность (стойкость одноразового блокнота) – Ева может иметь безграничные выч. ресурсы и подслушивать все линии связи между Алисой и Бобом.

Система уже давно известна и проработана. Нужен только спутник или радиопередатчик (к нему есть проблема доверия, но некритичная), но можно и по проводам (а там возможен MITM, но и с этим можно бороться).

— Гость (04/07/2007 15:09)   

Нужен только спутник или радиопередатчик

Если Земля сутник Солнца, можно ли (следуя (общей) теории относительности) говорить, что Солнце – спутник Земли? :)

Но уж точно Солнце – источник электромагнитного излучения. И на нём есть пятна – это излучение имеет флюктуации!


Ещё интересно, будет ли схема работать, если Алиса и Боб просто возьмут по генератору случайных чисел.

— Гость (04/07/2007 15:21)   
Вообще непонятно, зачем радиопередатчик. Его просто может заменить общедоступный текст, который каждая из сторон в некоторой степени испортит случайным образом.

— unknown (04/07/2007 16:44, исправлен 04/07/2007 16:47)   

Ещё интересно, будет ли схема работать, если Алиса и Боб просто возьмут по генератору случайных чисел.

Вообще непонятно, зачем радиопередатчик. Его просто может заменить общедоступный текст, который каждая из сторон в некоторой степени испортит случайным образом.

Нет. Вообще передатчик кажется должен быть доверенным пунктом. А помехи должны вноситься непредсказуемо из случайных шумов в среде распространения сигнала.

Вот еще свежий отчёт^[link13] европейского проекта квантовой криптографии SECOQC^[link14], где рассмотрены все за и против квантового крипто с точки зрения его сторонников.

Квантовой аутентификации и подписей в отчёте нет! Только ограниченные сети на основе обычных или возможно постквантовых (А) симметричных алгоритмов.

Квантовая аутентификация возможна только с построением квантовых компьютеров, что не входит в задачу проекта.

— unknown (04/07/2007 16:57, исправлен 04/07/2007 16:58)   
Кстати насчёт того, чтобы использовать сигналы естсественных космических (астрономических) объектов (квазаров) для шифрования уже где-то было. Даже кажется даже в заметках у Шнайера. Вроде бы довольно скептических. Кто-нибудь помнит, чем там дело кончилось?

— unknown (04/07/2007 17:05)   
А вот оно^[link15]

Мне кажется или Шнайер действительно не разбирался подробно или не хотел этого делать ни в возможностях квантового крипто, ни в методах Маурера по согласованию ключей в шумовых каналах? Или он намеренно об этих возможностях умалчивает.

В принципе это экзотика, знать не обязательно, но для общего развития интересно же.

— unknown (04/07/2007 17:40, исправлен 04/07/2007 17:42)   
Хотя нет конечно же, у Шнайера где-то упоминалось о Hyper-encryption системе Рабина^[link16].
И у него же в блоге на это ссылку дали. Запасаемся радиотелескопами?

— Федор (04/07/2007 23:14)   
А как будем обениваться информацией за каким квазаром наблюдать? И в какой момент времени?

— Гость (05/07/2007 05:02)   

помехи должны вноситься непредсказуемо из случайных шумов в среде распространения сигнала.

Оцифровка звука из громкоговорителя радиоприёмника не подойдёт? :)

— unknown (05/07/2007 10:11)   
можно согласовывать ключ по оптоволокну и неквантовыми методами^[link17]. Похоже что-то подобное используется в радиосвязи.

Оцифровка звука из громкоговорителя радиоприёмника не подойдёт

Возможно надо настроиться на одну радиостанцию и согласовывая по методу проверки чётности битов или при помощи кодов коррекции ошибок нарабатывать общий массив совпадающих битов, не раскрывая их третьей стороне. Чем больше массив битов наработан, тем больше преимущество перед подслушивающей стороной, которая по обмену информацией не может установить точно, какие именно биты совпадают.

Вопрос только в том, что если подслушивающая сторона будет принимать радиостанцию в лучшем качестве (расположит приёмник рядом, или будет контролировать её сигнал), то она получит преимущество. Поэтому радиомаяк запускают на спутнике. Кроме того он выполняет функцию аутентификации канала. Это же может осуществить астрономический источник радиошума. Согласование происходит во время сеанса.

Но есть протоколы прямого согласования, без участия внешнего маяка!

— unknown (05/07/2007 10:18)   
Noisy channels and cryptography^[link18] – интересное кстати направление.

— unknown (05/07/2007 10:29, исправлен 05/07/2007 12:05)   
On Cryptographic Primitives Based on Noisy Channels^[link19] – объёмная диссертация Кирилла Морозова^[link20] по теме криптографии в шумовых каналах.

Локальный источник случайности или бесшумовые каналы связи неподходят.

А вот его интересная работа по согласованию ключа в радиосетях с использованием VLAN или мобильных передатчиков. On the Possibility of Key Agreement Using Variable Directional Antenna^[link21]

— Гость (05/07/2007 20:18)   

Локальный источник случайности или бесшумовые каналы связи неподходят.

А может подходят локальный источник случайности и бесшумовые каналы связи? Ведь корреляции шума может и не быть.

— unknown (06/07/2007 09:03, исправлен 06/07/2007 10:40)   
нет^[link22]

Первый абзац сверху:

It is well known that unconditional security cannot be provided for both parties "from scratch", i.e. based on noiseless communication and local randomness.

С локальным источником случайности не получиться, а тем более с бесшумовыми каналами связи. Смотрите диссертацию Морозова: там рассмотрены и каналы с разным уровнем шумов, разные модели шумовых каналов, проверки канала на шумы и уровень ошибок, активный атакующий, который пытается внести в канал свои шумы.

Бесшумовые каналы связи используются как вспомогательные, для проверки {не}совпавших битов.

Основная идея в том, что подслушивающая сторона не может получить теже ошибки, что и получатели, но они то согласуют, какие биты несовпадают и отбросят их, а подслушивающая сторона не может участвовать в согласовании без раскрытия, с каждым раундом согласования она будет угадывать всё меньше битов (advantage distillation+Information Reconciliation). Стороны наберут большой массив совпавших битов, хэшируют его в меньший массив (Privacy amplification, чтобы убрать даже частичные сведения о ключе, доступнеые подслушивающей стороне) и получат общий ключ.

Впрочем, метод с гигантским массивом случайности, выбором из него битов и согласования тоже существует. Но он ещё более непрактичен, чем одноразовый блокнот (Шнайер предлагал оцифровать поверхность Луны), автор Ueli Maurer^[link23].

В какой-то из его публикаций должно быть.

— Гость (06/07/2007 14:27)   

нет

Всё равно мне пока непонятно почему. Может быть дело в том, что в работах Морозова рассматриваются угрозы, когда обе стороны не доверяют друг другу, а не просто хотят защититься от третьей стороны:

These are important tools for providing privacy in secure computation between two parties who do not trust each other.

там^[link22] же

Непонятно же вот что: обе стороны получают исходное сообщение с ошибками, каждая сторона со своими, и в общем случае, никак не связанными с ошибками, полученными другой стороной. Чем это отличается от локального источника случайности?
Либо же должно быть какое-то условие на корреляцию ошибок, которое я на свой первый взгляд пока в работах Морозова не нашёл. :(

— unknown (06/07/2007 15:21, исправлен 06/07/2007 15:25)   
Тогда можете почитать Вольфа^[link24]
У него все сценарии с понятными диаграммами. Двусторонние связи, широковещательные, через спутник.

А может подходят локальный источник случайности и бесшумовые каналы связи?

Получиться система публичной криптографии Мак-Элиса на основе теории линейных кодов. Она устойчива к квантовым компьютерам и является кандидатом на постквантовый алгоритм, но в исходном виде взламывается обычными методами, имеет большой размер ключа и т.д. Есть улучшающие модификации.

Системы же связи в зашумленных каналах позволяют достичь защиту от противника с бесконечными выч.ресурсами и с максимально лучшей чем у всех антенной (или датчиком съёма информации с провода). Нужно только подобрать число итераций проткола, так чтобы свести к ничтожно малой величине его преимущество.

— unknown (06/07/2007 15:32)   

hese are important tools for providing privacy in secure computation between two parties who do not trust each other.

Это связано с построением протоколов на основе таких понятий как Oblivious transfer, Bit Commitment, Secure multi-party computation и т.д.

— SATtva (06/07/2007 16:00)   

Непонятно же вот что: обе стороны получают исходное сообщение с ошибками, каждая сторона со своими, и в общем случае, никак не связанными с ошибками, полученными другой стороной. Чем это отличается от локального источника случайности?

Тем, что при использовании локальных источников обе стороны получают совершенно разные (уникальные) последовательности данных. Нечего будет корректировать. Как Вы выработаете общий ключ?

— Гость (06/07/2007 18:31)   

Чем это отличается от локального источника случайности?

Я имею ввиду бесшумовой канал(общие данные) + локальный источник случайности.

при использовании локальных источников обе стороны получают совершенно разные (уникальные) последовательности данных. Нечего будет корректировать. Как Вы выработаете общий ключ?

Тоже не факт. Можно начать обмениваться значением разных функций (типа чётности соседних битов) и отбрасывать наверняка несовпадающие фрагменты. Глядишь, может быть в результате чего и останется :)

— unknown (09/07/2007 09:19, исправлен 09/07/2007 09:20)   
Noisy crypto предназначено для аналоговых линий связи в которых всегда есть шум, или с которых невозможно снять весь поток raw data битов датчиками без шума.

Если использовать локальный источник случайности и бесшумовые линии (цифровую связь с коррекцией ошибок), то получиться в лучшем случае схема, не обладающая информационно-теоретической безопасностью и непохожая на то, что здесь описано.

— SATtva (09/07/2007 09:26)   
Отчасти офф-топик, но сейчас заметил, что гугловская контекстная реклама на нашем сайте показывает блок со ссылкой на MagiQ Technologies, главного коммерциализатора систем квантового согласования ключей. :-)

— unknown (09/07/2007 14:43)   
2 Гость с локальной энтропией:

Алиса посылает Бобу биты через Цифро-Аналоговое-Преобразование (ЦАП).
Боб делает обратное преобразование – АЦП и восстанавливает биты из шумов.

На линии помехи – часть битов получается с ошибками.

Но у подслушивающей стороны (Евы) из-за глобального шума не могут получиться ошибки в тех же самых битах. При согласовании битов между Алисой и Бобом они согласуют вовсе не те биты, которые хотела бы согласовать Ева. Какие-то биты у них с Евой конечно совпадут. Ну а в конце они хэшируют общий массив битов и получат ключ. Ева будет в пролёте.

Чем больше передавать битов и чем больше итерацций согласования, тем безопаснее. Выбирают значение при котором противник даже с самым малошумящим датчиком не сможет обойтись без того чтобы накопить большое число ошибок и не сможет собрать ключ.

А Вы предлагаете передавать зашумленный (локальная случайность) сигнал по цифровой (нешумящей) линии. Тогда и Боб и Ева и прочие нежелательные элементы получат один и тот же набор битов и легко вычислят один и тот же ключ.

2 Satt-va: злостный оффтопик – это когда начнут появляться баннеры M$софт

— unknown (09/07/2007 14:50)   

Тоже не факт. Можно начать обмениваться значением разных функций (типа чётности соседних битов) и отбрасывать наверняка несовпадающие фрагменты. Глядишь, может быть в результате чего и останется :)

А это ещё раз, уже чисто математические методы на основе теории кодирования.
Их стойкость и практичность под вопросом, в то время как шумовое шифрование информационно-теоретически стойко (близко к одноразовому блокноту).

Особенности лишь в трудностях реализации и практичность его тоже ограничена, поэтому там где это используется его стараются заменить на квантовое крипто.

— SATtva (09/07/2007 15:11)   

Но у подслушивающей стороны (Евы) из-за глобального шума не могут получиться ошибки в тех же самых битах. При согласовании битов между Алисой и Бобом они согласуют вовсе не те биты, которые хотела бы согласовать Ева. Какие-то биты у них с Евой конечно совпадут. Ну а в конце они хэшируют общий массив битов и получат ключ. Ева будет в пролёте.

А чем в это время занимается Мэллори? Со спутником или квазаром у него, пожалуй, возникнут трудности, а вот на проводах...

— unknown (09/07/2007 15:57)   
Мэллори ломает голову над теорией...

6.2 Secret-Key Agreement Secure against ACTIVE Adversary^[link24]

Возможен обмен ключами даже в присутствии противника, полностью контролирующего канал связи. Его наличие засекается и обмен прекращается. Стефан Вольф рассматривает дополнительный протокол для отбрасывания пакетов, скомпрометированных противником и предлагает увеличить число итераций, заведомо превыщающее возможности противника.

Получается, замена вычислительных ресурсов (суперкомпьюетеры) физическими (невозможность создать совершенное радиотехническое оборудование).

Кирилл Морозов и др. в своей диссертации рассматривает активные атаки и противодействие против них с вбрасыванием противником шумов, которые заставляют стороны неверно оценить характеристики линии и др. См. например 6.4.2 "From passive to active security".

а вот на проводах...

ну с антеннами же получилось^[link21]. Единственное требование к противнику – не ставить жучков вблизи нескольких метров от антенн (радиосеть в здании с охраняемым периметром).

Правда это первая и относительно недавняя открытая публикация по радиосвязи, хотя первые открытые работы по шумовым каналам относятся к началу 70-хх годов.

Если начнут внедрять в гражданский сектор, то теорию противодействия активному противнику будут прорабатывать дальше (или решат, что перспектив нет).