Вопрос о целесообразности использования блочных шифров

Добрый день.

О криптографии знаю не много.
Последние пару дней читал всевозможные форумы/FAQ-и.

И вот что бросаеться сразу в глаза:
почему используют болчные шифры, в то в ремя когда трудно обеспечить стойкий режим работы таких шифров? И почему именно 128 бит, а не более? Не лучше использовать длину блока скажем 1024 бит?

Да возмоджно связано с тем что такие алгоритмы часто реализуються на микросхемах...
Но все же...

[какой-то глюк с форумом, второй раз пишу, а ничего нет]

На страницу: 1, 2, 3, 4 След.

Комментарии

—	*Гость* (26/05/2009 03:25) <#>

Find 5-multicollision in few hours on the PC

Теперь в онлайновых казино кроме MD5 как доказательство их честности будут предлагать использовать в качестве хэша последовательности выпавших номеров ещё и AES :)

—	unknown (26/05/2009 09:10, исправлен 26/05/2009 09:11) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

А теперь сравниваем доклад с конференции и читаем file

исходное описание Rijndael, после чего задумываемся над пунктами 8.7 и десятой главой. Ну да, конечно, вроде бы ничего страшного.

—	*Гость* (19/06/2009 20:47) <#>

А вопрос так и остался открытым.
Что мешает сделать длину блока 4096 бит?

—	*Гость* (19/06/2009 21:21) <#>

Только ненадо говорить о том, что недостаточно ресурсов комп-ра.
Современные комп. игры не шуточно грузят комп-р, и почему-то это никого не волнует...

"Зоопарк алгоритмов" появиться?

Ну смотрите:
я хочу отвести 1000 кирпичей на стройку и для этого беру мерс и пихаю в салон кирпичи?-Нет беру грузовик предназначенный для перевозки грузов.
Так почему я должен всюду использовать один АES?
Для каждой задачи должен быть свой инструмент.
А универсальный шифр всех времен и народов, это бред.
Будущее за специализированными шифрами.

—	SATtva (19/06/2009 21:29) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Похоже, пора новый пункт в FAQ добавлять...

—	*Гость* (19/06/2009 21:33) <#>

SATtva, вопрос не так прост, как может показаться на первый взгляд.
Ладно...время покажет.

—	SATtva (19/06/2009 21:44) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Вот именно. Как показывают "события последних дней" ©, разработка стойких криптоалгоритмов при постоянном продвижении исследований по их взлому становится чрезвычайно сложной задачей, которая под силу единичным исследовательским группам по всему миру. Примерно столько же групп способно проанализировать подобный алгоритм, чтобы найти его слабости. А теперь представьте, что вместо нескольких общепризнанных алгоритмов, достаточно универсальных (one size fits all), будет несколько десятков, каждый для своей цели. (Хотя для этого давно существуют режимы.) Кто будет всё это разрабатывать и анализировать?

—	*Гость* (19/06/2009 22:55) <#>

Ну придеться выделить некоторые средства...

—	unknown (20/06/2009 15:19) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Что мешает сделать длину блока 4096 бит?

А чего вы таким путём хотите добиться?
Если шифр стойкий, то увеличение размера блока более 128 бит бессмысленно.

Стойкий шифр должен быть неотличим от идеальной модели -PRP.

Размер блока b – это количество вариантов отктрытых текстов на одном ключе и количество вариантов соответствующих им шифртекстов, заданных некоторой таблицей перестановки размером 2^b. Ну и подберите таблицу размером 2¹²⁸.

Размер ключа k – это количество таких таблиц для всех ключей 2^k.

Если мы можем находить различие шифра от идеальной модели что по размеру ключа, что по размеру блока быстрее, чем простым перебором – то он нестоек.
Его бессмысленно спасать увеличением этих параметров.

Существуют экспериментальные щифры с произвольным размером блока. Задавайте его хоть в мегабайтах. При этом их конструкция такова, что накладные расходы мало зависят от размера блока. Но и криптостойкость тоже от этого никак не увеличивается. Такие шифры проектируют для дискового шифрования, хэшей, специфических протоколов и проч. уже лет пятнадцать.

Но пока не очень успешно. Это т.н. шифры на квазигруппах. У них хронические проблемы с критериями стойкости квазигрупп, способами их генерации и компактного хранения, сложности с распараллеливанием операций, различие от модели идеального шифра по отличию диффузиии в прямом и обратном направлении и т.д.

я хочу отвести 1000 кирпичей на стройку и для этого беру мерс и пихаю в салон кирпичи?-Нет беру грузовик предназначенный для перевозки грузов.
Так почему я должен всюду использовать один АES?

Для автомобиля легко определить – хорошо он работает или ломается. Это любой ~~пользователь~~ водитель сможет. Для шифра – тысячи специалистов могут годами смотреть как он работает и не заметить явного дефекта, пока кто-то не посмотрит с неожиданной стороны.

Принцип такой – основные криптопримитивы (блочный шифр, хэш-функция, асимметричный алгоритм) – максимум универсальности и минимальное количество вариантов, чтобы они были под присмотром как можно большего количества людей, которые в идеале своим коллективным разумом превзойдут любую ограниченную группу, которая хотела бы провести успешный криптоанализ в тайне от остальных.

А на основе этих криптопримитивов, как из кирпичиков собирать режимы и протоколы на основе принципов доказуемой безопасности. Это тоже сложная работа для специалистов, условно чуть меньшей квалификации.

На страницу: 1, 2, 3, 4 След.

Ваша оценка документа [показать результаты]