HTTPS с RC4

Каким же образом?

In the web setting, our techniques can be combined with
those used in the BEAST attack [13]: client-side malware
running in the browser can be used to initiate all the needed
TLS sessions, with an HTTP cookie being automatically
injected by the browser in a predictable location in the
plaintext stream in each session. The malware can also
control the location of the cookie such that there is only
one unknown byte in the target block at each stage of the
attack. The attacker then combines the “one known byte”
variant of our attack and the base64 optimisation above
(assuming the sensitive part of the cookie is base64 en-
coded). Putting all of these improvements together, we
estimate that HTTP cookies can be recovered using 2^13
sessions per byte of cookie (with all the sessions being au-
tomatically generated). Note that the malware does not
need the ability to inject chosen plaintext into an existing
TLS session for this attack.

http://www.isg.rhul.ac.uk/tls/TLStiming.pdf

Фатальные ошибки (например, ошибка padding) прерывают tls-сессию. Хотя вот конкретно здесь будет нужен mitm – malware в браузере посыылает запросы, которые нужно на лету корректировать.

По нему была отдельная тема недавно, кстати.

Мож переведет кто-то? Про Beast и lucky13.

translate.google.com.

Незачем. Если есть проблемы даже с техническим английским, то непонимание Beast и lucky13 на этом фоне — такая мелочь, что и упоминать не стоит.

Мне просто влом простыни на англицком в одиночку читать, да и мое материальное благополуче от этого не зависит.

SATtva, гуглтранслейт уже с днища поднялся?

http://nakedsecurity.sophos.co.....g-the-breach-attack/

Ну вот ещё и что-то.

Гугл тем временем пытается вставить в спецификацию TLS потоковый шифр Chacha20 и MAC Poly1305.
http://tools.ietf.org/html/dra.....-chacha20poly1305-01

Torproject тоже хотел.

В принципе, Бернштейн не одиночка, он совместно с другими «звёздами криптотусовки» (включая разработчиков Rijndael и KeccaK) ведёт проект DIAC (подробнее здесь и здесь), частично финансируемый грантами НИСТ.

Вот если бы он провёл через массу конференций и конкурсов свои разработки (хотя частично это сделано), тогда можно было бы подумать о включении его разработок в стандарты. А так, пока ещё они остаются несколько особняком от мэйнстрима.

Кодерам его алгоритмы нравятся за простоту, нетребовательность к ресурсам, исследователям-практикам — за константы по времени исполнения операций, что исключает утечку данных о внутреннем состоянии шифра по побочным тайминг-каналам.

А какие сейчас есть вообще сравнительно хорошо изученные потоковые шифры? Или весь мир уже забил на них, даже у самых слабых железяк производительность достаточна для блочных?

Скорее делают ослабленные легковесные блочные. И легковесные варианты на основе Sponge-конструкций тоже активно прорабатываются.

ChaCha20, Salsa20, Kecak... Dance! Ждём Rumba20, Jive35, Tango70, Waltz13...

На личной странице djb не нашёл ничего про его увлечение латиноамериканскими танцами. Наверно, шифруется.


Помню, вы критиковали направления в криптографии, которые пытаются решать проблемы реализации (типа side channel attacks) не физически, а перекладывая это на математику. Мне сейчас уже нереально найти конкретный пост, но что-то было здесь:

сохранение внутреннего состояние от взлома — это проблемы реализации. Хотя существуют и направления, которые пытаются создавать алгоритмы, устойчивые к проблемам реализации (напр. атакам по побочным каналам), но зато повышая риск создать алгоритм с плохо обоснованной стойкостью (фактически более слабый).

Т.е. типа негоже и так непростую криптографию грузить ещё и проблемами утечек внутренних состояний по побочным каналам.


… от АНБ. У них там своя атмосфера…

Помню, вы критиковали направления в криптографии, которые пытаются решать проблемы реализации (типа side channel attacks) не физически, а перекладывая это на математику.

ИМХО, лучше бы иметь одинаковые оценки времени выполнения для абстрактного алгоритма, а не городить одинаковое время выполнения в физической реализации.

Например, если нужно сравнить два массива байтов, у любого программиста будет желание прерваться на первом несовпавшем байте. В итоге становится возможной тайминг-атака. Вычисления в RSA вроде как можно оптимизировать с помощью китайской теоремы об остатках, только опять всплывёт та же уязвимость. В общем, не очень ясно, где заканчивается математика, а где начинается чисто "реализация" 6)

New Features of Latin Dances: Analysis of Salsa, ChaCha, and Rumba

Настраиваю ssl на веб сервере. На что можно заменить rc4, не считая 3des, чтобы ie8 на win xp, имел возможность ходить по ssl?