выбираем новый ГПСЧ в DiskCryptor

В новой версии DiskCryptor, в целях улучшения доверия, я хочу поменять ГПСЧ на какую-нибудь стандартную, хорошо изученную конструкцию.

Рассмотренные варианты:
1. AES_CTR_DRBG. Плюсы: простота, изученность. Минусы: DC помимо AES позволяет использовать Twofish, Serpent, а также каскады. Завязывание на AES увеличивает количество точек отказа при использовании альтернативных шифров.
2. HASH_DRBG на sha512, который уже используется в pkdbf2 разворачивании ключей, следовательно его использование в PRNG не увеличивает количество точек отказа.
3. HMAC_DRBG. ИМХО более безопасный вариант, имеющий запас прочности на случай взлома хэшей. HMAC уже есть в программе, есть резон его использовать.
4. Yarrow. Плюсы: изученность, используется в BSD. Минусы: использует sha1, лишняя точка отказа. Нет официальных тестовых векторов.
5. Fortuna. Плюсы: самая параноидальная конструкция. Минусы: громоздкий, требует два криптопримитива, нет тестовых векторов.
6. Keccak. Плюсы: самый современный (но плюс ли это?), продвинутый дизайн. Минусы: еще не стандарт, использование лишних криптопримитивов (новая точка отказа).

Итого: наиболее подходящим видится HMAC DRBG. Какие мысли будут у вас?

На страницу: 1, 2 След.

Комментарии

—	unknown (16/12/2013 15:28) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Тогда выбор из стандарта м.б. приемлемым за неимением реальной лучшей альтернативы. Опять же, даже всевозможные широкораспространённые SSL, VPN и пр. не всегда могут служить образцом в этом деле. Если считать стандарт неидеальным, то в реальных, даже известных программах, всё может быть реализовано условно хуже. /dev/random — тоже объект критики исследователей.

—	*Гость* (08/01/2014 05:09) <#>

Финансисты работают с рядами ГПСЧ и утверждают, что могут прогнозировать их. Может ли подобный анализ быть рассмотрен как своего рода атака на код с применением ГПСЧ?

—	*Гость* (08/01/2014 06:06) <#>

Если для какого-то ГПСЧ криптоаналитики не могут найти различитель, то никто не может прогнозировать его ни в малейшей мере. А форекс это разводка для лохов, на форукс курсах вам что угодно расскажут.

—	unknown (08/01/2014 15:21) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

ГПСЧ, который они использовали для построения моделей, может быть некриптостойким. Модель рынка, которую они нагородили из ГПСЧ, может оказаться неслучайной — так же как из криптостойких криптопримитивов можно создать нестойкий протокол (имеющий различитель). Может быть ещё миллион причин, указывающих на то, что их аналитические изыскания не имеют никакого отношения к криптографии.

—	*Гость* (12/01/2014 21:35) <#>

> Финансисты работают с рядами ГПСЧ и утверждают, что могут прогнозировать их. Может ли подобный анализ быть рассмотрен как своего рода атака на код с применением ГПСЧ?

Не знаю, что там подразумевается под ГПСЧ (при поверхностном чтении ничего про ГПСЧ там не увидел), но поведение рынка обычно описывается случайными блужданиями, которые есть вроде как тип марковского процесса. Именно из-за этого кривые выглядят хоть и ломаными, но грубо аппроксимируемыми какими-то интерполянтами (в полностью случайном процессе значения бы скакали на каждом шаге на произвольную величину, и аппроксимация стала бы бессмысленной).

Произвольный случайный процесс, в общем случае, конечно же немарковский, поэтому все эти модели прогнозов на нём не сработают. Т.е. нужно отличать случайность в рамках модели от случайности самой модели. Например, монетка со смещённым распределением (орёл выпадает чаще, чем решка) может быть совершенно случайной и непрогнозируемой в рамках своей модели, но наличие какой-то конкретной модели уже вносит некоторую конкретику, поэтому угадать выпадание смещённой монетки на практике проще, чем несмещённой (хотя полностью случайны как та, так и эта).

Ещё можно так пояснить: в теории вероятности полностью случайным называют то, что принципиально нельзя описать точнее, чем задав вероятности выборок из пространства событий (это подразумевает любые возможные типы распределений для случайной величины). А в криптографии полностью случайным называют конкретное распределение — i.i.d (независимые одинаково распределённые случайные величины).

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]