id: Гость   вход   регистрация
текущее время 23:44 28/03/2024
Автор темы: Евген, тема открыта 16/06/2006 15:34 Печать
https://www.pgpru.com/Форум/ОбщиеВопросы/СомненияВСтойкостиШифрованияКоммерческихВерсийPGP
создать
просмотр
ссылки

Сомнения в стойкости шифрования коммерческих версий PGP


Аргументы для сомнений в стойкости шифрования коммерческих версий PGP:
1. Здесь на сайте http://www.pgpru.com/faq/common/#1 по прежнему утверждается о свободном распространении исходных кодов PGP, однако реально исходные коды продуктов PGP это собственность фирмы США (юр. адрес 3460 West West Bayshore, Palo Alto, CA 94303, USA) и согласно правилам filehttp://www.access.gpo.gov/bis/ear/pdf/734.pdf) экспортного контроля США (изложено в §734.3((b)(2),(3) и примечание в конце пункта (b)(3) ) даже опубликованные ранее исходные коды, если они попадают под действие ограничений (длина симметричного алгоритма > 64, а ассиметричного > 512 для конечного поля (112 – эллиптические кривые), и то действует экспортное ограничение (исключая книжные публикации). Можете убедиться в действии этого ограничения – PGP Corporation декларирует возможность получить коды http://www.pgp.com/downloads/sourcecode/srcrequest.html только при подписании соглашения-лицензии и не факт, что коды получит любой, кто заполнит и отошлет подобное соглашение. На странице про исходные коды сделана оговорка, что "Please note that PGP Corporation does not make its source code available to others for reuse or to provide information about implementation details.", где последние слова значают, что получая коды, вы обязуетесь не распространять информацию о деталях реализации системы. Да и
никаких обязательств о соответствии отправляемых исходных кодов и купленой Вами версии Компания на себя не принимает.


Риторические вопросы:
– входят в "детали реализации" выбор корректных криптографических параметров при реализации алгоритмов генерации пар открытых и закрытых ключей, выработки ключей симметричного шифрования и получения случайных чисел при их использовании в этих системах. Ведь в итоге те аналитики, кто получит исходные коды по соглашению и при этом ещё до конца разоберется в мсходниках, связаны обязательством не распространять детали реализации.
– чего стоит проверка исходных кодов, если PGP не обязуется представить исходные коды именно той реализации корпоративной версии, которую скачаете в инсталляционном коде? Ведь в нюансах реализации модулей можно легко сделать усечение длины ключа симметричного шифрования – в реализации функции шифрования она останется большой (как в исходных кодах SDK), но после вызова функции генерации случайного сеансового ключа, можно добавить операцию наложения маски/фиксированного алгоритма(например на основе параметров открытого ключа получателя) чтобы случайными в ключе остались лишь 64 бит( чтобы удовлетворить требования экспорта США), а остальные – по фиксированной функции от первых.


2. Делаются ссылки http://www.pgp.com/products/sdk/fips.html на проведенные оценки NIST USA качеств шифрования PGP SDK, служащего ядром для всех PGP продуктов, для ряда алгоритмов при работе в режиме FIPS. Однако обратите внимание, что от версии PGP SDK 3.0.3 (filehttp://csrc.nist.gov/cryptval/140-1/140sp/140sp394.pdf ) к последней рабочей версии PGP SDK 3.5.3 (filehttp://csrc.nist.gov/cryptval/140-1/140sp/140sp630.pdf) длина ключей ассиметричных алгоритмов (разделы 2.1 в обоих документах) резко ограничена при использовании для функции шифрования (например для защиты сеансового ключа симметричного алгоритма), но не для режима подписи. Вот вам и стойкость и конфиденциальность!!!.


3. Как пример скрытой двойственности в вопросах "сильной" криптографии в США можно привести продукты Мicrosoft, где давно заявлено о стойкости 128 бит симметричного шифрования для всех её основных продуктов, однако при внимательном рассмотрении находим, что оценка криптографии проведена по значению 5D992.b.1 (http://www.microsoft.com/exporting/matrix_w.htm)
смысл этой оценки поясняется (http://www.microsoft.com/exporting/termsmx.htm#eccn) как соответсвие требованию – Information Security – Software (data confidentiality encryption less than or equal to 64-bits in key space or data authentication encryption). Обратите внимание там же на термин "Mass Market" "The U. S. government regulations allow mass market encryption products containing strong encryption to be exported under 5D992, NLR (see above) after a 30-day review. A "Mass Market" in this column indicates that the software has been reviewed by the U. S. Government and has been approved as mass market software.” На мой взгляд это явно подразумевает ослабленную защиту сеансового ключа шифрования или сужение ключевого пространства введением зависимости между битами симметричного ключа.


 
На страницу: 1, 2 След.
Комментарии
— Евген (21/06/2006 14:13)   профиль/связь   <#>
комментариев: 10   документов: 1   редакций: 0
2 unknown
unknown:

Скорее всего, просто бюрократия, попытка содержать штат сотрудников, которые контролируют то, что уже давно бессмысленно контролировать. .

Почему бессмыслено? Прикиньте, сколько компаний и людей, которые используют встроенные криптопровайдеры в коммерческих операционках (персоналии понятны :lol: ), например для SSL/TLS шифрования, удаленной авторизации и VPN, плюс все производители сетевой аппаратуры, firewall и пр. систем информ. безопасности со штаб квартирой в США. А IP телефония с защитой сетевого трафика стандартными устройствами?
Если бы бессмыслено, то их правительство так не отстаивали право контролировать провайдеров. Почитайте на примере http://blog.wired.com/27BStroke6/index.blog (filehttp://blog.wired.com/27BStroke6/att_klein_wired.pdf)
— unknown (21/06/2006 14:47)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Ааа! Может они ещё как в России и откаты получают с этого дела?

Так или иначе, Евген, Ваши дотошные наблюдения весьма интересны. Хотя я лично думаю, что это у всех коммерческих компаний такое болото. Впервую очередь для того чтобы зарабатывать деньги. А то что это ещё и государство хочет и может преследовать на этом свои интересы, то потенциально мы получаем закрытую среду очень благоприятную для создания решений с обманчивым уровнем безопасности.

Но всё-таки это домыслы, а не факты, хотя PGPcorp не священная корова и всё может быть.
— SATtva (11/07/2006 19:28)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Прошу извинить, что давно не посещал эту ветку. Мне хотелось получить информацию из первых уст, но возникли затруднения с почтой. Теперь же всё благополучно.

Я связался с Джоном Калласом, вице-президентом, директором по безопасности PGPCorp и автором стандарта OpenPGP. Он любезно согласился ответить на некоторые вопросы, поднятые здесь Евгеном. Далее я целиком публикую его ответ, как он и просил:

[quote:940ceab7fc="Jon Callas"]We have a number of goals, and this license reflects them. We have
spent a *lot* of time on this license, and dealing with the fact that
Lawyer English isn't what real people speak. I'm sure you can squint
the right way with the page turned sideways and make it say anything
you want it to. But then you're being a lawyer, too. Here's what it
really says.

* We want people to be able to download PGP, look at it, examine it,
and convince themselves it really works. We want people to be able to
discuss it. There are several universities here in the US who use PGP
source code in their courses to teach programming and cryptography.
We think that's cool. They don't pay us anything. You can do that,
too. By the way, if you find anything wrong, please send mail to
security@pgp.com. That mail address ends up in several people's mail
boxes, including mine. We take it seriously.

* We want people to be able to compile it themselves. Many people
want to run code they compiled themselves. That's fine with us.

* We don't want to give away the store. I don't know how that
translates into Russian. Let me try to explain. We offer PGP
freeware. We offer PGP pay-ware. If you are a freeware user, and you
want to compile it yourself, that's fine! However, if you are a
freeware user and you turn on pay-ware features, that is *not* fine.
We want to say you're not allowed to turn on things you haven't paid
for.

* We don't want unauthorized versions of PGP software. Unlike most
other open source software, we want to be the people who release PGP.
We've had problems in the past with this. Some we minded, others we
did not mind. There are lots of people who hack things for their own
benefit, but we don't want to have to support those. We want you to
ask, so we know what's going on. There are out there now, for
example, rogue versions of PGP with built in spyware in them. We
think we should be able to shut those down, and we do, as fast as we
find out about them.

Additionally, there some other things we want. We want to know how
many copies of the source get downloaded. In the old days, we had no
way to know how many people downloaded freeware, downloaded the
source, and so on. Now we do.

So no, our license does not forbid you from discussing PGP software
on web sites, in conferences, and so on. People do that all the time.
If you want to let us know, please do! Especially if you find
something we should fix.

Jon
]>
Если кому-то понадобится перевод, я или другие участники форума его опубликуют.

Когда у меня будет достаточно времени, чтобы задать Джону оставшиеся вопросы, обязательно это сделаю. Надеюсь, он найдёт время, чтобы дать на них авторитетный ответ.
— Евген (19/07/2006 16:13)   профиль/связь   <#>
комментариев: 10   документов: 1   редакций: 0
To SATtva
Спасибо за публикацию сообщения Jon Callas.
Текст этого ответа однако оставляет двойственное чувство, то ли и впрямь Callas разницы не видит (особенно для среды Windows), то ли намеренно подменил понятие – одним из моих вопросов был о допустимости обсуждать куски ИСХОДНЫХ кодов PGP на открытых Internet форумах, очных конференциях (т.е. где участники могли по отдельности не запрашивать у PGP получение полных исходников каждый по отдельности, а именно такое условие ставит сейчас текст лицензии на исходные коды), а в ответ получаем-
Jon Callas:
So no, our license does not forbid you from discussing PGP software
on web sites, in conferences, and so on.

Отмечаем разницу – в этом ответе исчезли определяющие слова "Source code" !!! А тогда непонятно, какую лицензию Callas обсуждает. Если говорить про обсуждение применения конечных программ PGP, а именно об этом Callas говорит в цитируемом выше – то и так было понятно, что это не запрещено, в частности здесь на сайте этим и занимаются.
Как бы Callas не ссылался на особый английский язык их юристов (или в частном порядке не разъяснял, что на самом деле всё разрешено), но текст лицензии на исходные коды http://www.pgp.com/downloads/s.....rcecode_license.html
однозначно в п.2 запрещает опубликовывать осоенности реализации и передачу исходных кодов другим лицам без санкции PGP и не делает исключений по тексту. Таким образом PGP всегда имеет право по закону привлечь любого, кто опубликует в Internet или представит на очной конференции для широкой аудитории куски исходного кода для комерческих версий программ без их (PGP) согласия. Против кого PGP воспользуется таким своим правом – это вопрос, но любой, дорожащий репутацией западный специалист, не станет на основании частного ответа Callas публично нарушать требования официальной лицензии.

SATtva, а может при повторном общении с Callas передадите ему пожелание, что если он искренне желает широкого обсуждения качества продуктов PGP, причем не только в России, но в первую очередь и на Западе (мы за демократию и у НИХ!), то предлагается PGP внести скорректированный ответ Callas в текст лицензии на ИСХОДНЫЕ коды в виде дополнительного пункта;
" 1. (f) This license does not forbid you from discussing and to cite as an example any segments ( any parts of any programm module, but not as a whole ) of source code for any PGP software on web sites, in conferences, and so on "
— SATtva (20/07/2006 10:41)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
одним из моих вопросов был о допустимости обсуждать куски ИСХОДНЫХ кодов PGP на открытых Internet форумах, очных конференциях (т.е. где участники могли по отдельности не запрашивать у PGP получение полных исходников каждый по отдельности, а именно такое условие ставит сейчас текст лицензии на исходные коды), а в ответ получаем-

По-моему, Вы ушли в слишком дремучее крючкотворство. Как и моё обращение, так и весь ответ Калласа посвящены именно исходным кодам, а Вы пытаетесь поймать его на словах. Вот, например, ещё одна цитата:
[quote:8905f19e5e="Jon Callas"]There are several universities here in the US who use PGP
source code in their courses to teach programming and cryptography.
We think that's cool. They don't pay us anything. You can do that,
too.

может при повторном общении с Callas передадите ему пожелание <...>

Дельное предложение, обязательно передам.
— SATtva (21/07/2006 09:57)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Это что касается экспорта PGP. Если одной фразой, то разрешено всё, что не запрещено. Вся процедура носит уведомительный характер.
[quote:f0ea3df916="Jon Callas"]
SATtva:
As PGPCorp is an
encryption software exporter, what requirements you had to met to be
eligible for PGP export operations and to place it on a public website
for free downloads? Of course if you can discuss this topic (I
doubt you would confess about weakened keys :-) ).

We haven't had to do much. The export requirements are easy to meet,
it's just a few forms to fill out. We have an export lawyer do it for
it.

Since 2000, things are much easier. Before then, you had to apply,
and supposedly, they would respond in 60 days. Usually, they didn't.
But if they didn't reply, then you could not export. So they could
stymie an export application by keeping it on a desk. The most
important change now is that if they don't refuse within 30 days, you
are allowed to export.

When I was at Counterpane, we tested the new procedure with a fun
test. John Kelsey and I created 15 new ciphers that are all variants
of Blowfish. We tossed them in with an export request, and they came
back with no questions.

This is a *huge* change, if you remember what we had to do in the
late '90s, which was to print things on paper, and have someone in
Switzerland scan them in.

We do, however, do an export check before you can download the
software or source. We so a geolocation check on your IP address to
make sure you're not in one of the unapproved countries (Iran, Iraq,
Syria, Libya, Sudan, North Korea, and Cuba), and not on the secondary
list of people we are not supposed to export to. But again, there are
services you can subscribe to that will do that for you.

Trust me, if we had to print books to export crypto without
restrictions, we would. We're the world's expert in that.

И по поводу дополнительного пункта к лицензии на исходный код. Как видите, не такие уж там кровопийцы, не едят они детей по утрам.
[quote:f0ea3df916="Jon Callas"]I'll discuss that with out lawyer, but I think that is actually
somewhat dangerous. It is a general principle of US law that you're
allowed to do anything that isn't forbidden. If we put that in, it
implies that there used to be something that forbade it.

Saying that we don't forbid you from discussing things (which you
have every right to do) is like saying we don't forbid you from
eating in restaurants, or breathing air, or dancing when you are happy.

Yes, I am being flippant by picking those things, but really, it's
not needed, and putting it in there sets a bad precedent.

However, actions speak louder than words. Last year, for example,
someone published a bug in PGP at Black Hat, and didn't tell us about
it first. We didn't sue them. Yeah, I was grumpy, but that was
because I would have wanted to release a fix on the day they
presented at Black Hat.

We believe in free speech, privacy, and openness. An old friend of
mine said that freedom is not doing what you want. Freedom is letting
other people do what they want, even if you don't like it.

— Евген (21/07/2006 13:03)   профиль/связь   <#>
комментариев: 10   документов: 1   редакций: 0
To SATtva
1. Насчет крючкотворства – я предпочитаю логически последовательную позицию, а Callas, судя по смыслу его ответа, до сих пор не знаком с текстом их собственной лицензии на исходные коды -
Jon Callas писал(а):
I'll discuss that with out lawyer, but I think that is actually
somewhat dangerous. It is a general principle of US law that you're
allowed to do anything that isn't forbidden. If we put that in, it
implies that there used to be something that forbade it.

Почему же в тексте оригинальной лицензии ПЕРВЫМ пунктом идет (:http://www.pgp.com/downloads/s.....rcecode_license.html )
[quote ]1. What You Can Do. Under this license, you have the right to:

Причем там далее аж 5 разрешающих подпунктов перечислено – что можно делать с исходными кодами. Неужели добавить туда ещё один подпункт, это оказывается будет нарушением их главного принципа -"разрешено всё, что не запрещено"
SATtva, а Вы в этой позиции видите логику? По моему в простом вопросе начинается какое-то плутовство.

2. SATtva писал(а):
Это что касается экспорта PGP. Если одной фразой, то разрешено всё, что не запрещено. Вся процедура носит уведомительный характер.


Правильно!!! Но я уже приводил ссылку, что законы США по прежнему запрещают экспорт (в том числе и в Россию) сильной криптографии (> 64бит симметричного, для ассиметр:> 512 для конечного поля (112 – эллиптические кривые)). Исключением являются продукты "mass market encryption", куда попала и PGP. Что же это за могучее свойство "mass market encryption", что продукт лишь с уведомлением BIS свободно распространяется по миру ?
Предлагаю Callas задать по этому поводу такой вопрос:
"Почему в верифицированных и подтвержденных NIST реализациях режимов шифрования от версии PGP SDK 3.0.3 (filehttp://csrc.nist.gov/cryptval/140-1/140sp/140sp394.pdf ) к последней рабочей версии PGP SDK 3.5.3 (filehttp://csrc.nist.gov/cryptval/140-1/140sp/140sp630.pdf) длина ключей ассиметричных алгоритмов (разделы 2.1 в обоих документах) резко ограничена при использовании для функции шифрования, которая использутся, например, для защиты сеансового ключа симметричного алгоритма.
— SATtva (21/07/2006 21:01)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Почему в верифицированных и подтвержденных NIST реализациях режимов шифрования <...>

Вы говорите о FIPS-compatible-режиме SDK. Но это опция, предназначенная для клиентов, нуждающихся именно в режимах, соответствующих нормативам NIST. По умолчанию этот режим отключен.
— DDRTL (23/03/2009 21:11)   профиль/связь   <#>
комментариев: 212   документов: 27   редакций: 20
а почему тишина? Интересная же тема!
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3