Шифраторы Криптон
На офиц сайте Анкад написано что может обеспечивать защиту гос тайны. Реализации в аппаратном и программном виде (crypton emulator – есть даже демо).
М.Масленников в книге "криптография и свобода" отрицательно отзывался о об этом шифраторе.
Вы сталкивались с ним? Какие мысли насчет криптостойкости/бэкдоров? Что-то вроде российского Клиппера?
Ссылки
[link1] http://mikhailmasl.livejournal.com/4852.html
О, Масленников!
Неизданная книжка этого автора — вообще замечательная, советую всем, кто ещё не читал, почитать версию в ЖЖ[link1] (там ещё и комменты интересные). Один мелкий недостаток — автор считает, что Билл Гейтс изобрёл интернет и у него вообще масса таких ляпов, но это простительно человеку, который варился в кагэбэшной криптографической школе, для которого столкновение с западными компьютерными технологиями и понятиями ещё в восьмидесятые годы вызвало неизгладимый когнитивный диссонанс, закончившийся сплошным майкрософтом сознания — но ведь книга интересна не этим :)
Ну и к концу книжка скучная, ну так уж жизнь у человека сложилась, что описывать в периоде перед эмиграцией практически нечего.
Может поэтому вы её возможно даже до конца недочитали — там автор говорит, почему всей российской криптографии не стоит доверять вообще, потому что это в первую очередь бизнес одной конторы, уши которой торчат от всех фирм сразу :)
И как он пытался сам наладить независимый от конторы бизнес, будучи в прошлом её криптографом и какой бюрократический маразм из этого вышел. И как он отговаривал иностранных партнёров вообще сюда с темой криптографии соваться.
Ну если вам для защиты гостайны, то какая разница, какого качества это изделие на самом деле? За это отвечает контора — вот пусть у неё голова и болит, вам важно, чтобы от неё бумажки с сертификатами были, а у всех этих фирм он по определению есть.
[читая книгу] И ни слова про Котельникова :)
я всегда думал, что скзи для защиты гос.тайны должны быть грифованные, а тут демо-версия висит...
Демоверсией можно шифровать демотайны.
Это случайно не тот автор, который утверждает что с помощью калькулятора спас банки от разорения?)
Данные, циркулирующие между госорганизациями — тоже гостайна, даже если это просто платёжки. Зачем всем выдавать что-то грифованное? Степень секретности не та.
До такой степени он не утрировал, но использование калькулятора, перепрограммированного для вычисления примитивной хэш-функции с ключом (MAC) в его истории фигурирует для защиты целостности платежей в начале 90-хх. Компьютеров на каждом рабочем месте не было, платежи шли через телетайп.
До этого данные передавались без криптозащиты, а после он пишет о переносе алгоритма на компьютеры.
Кстати эти криптокалькуляторы до недавнего времени всё ещё продавались зачем-то.
Согласен.
Но это делалось стране, которая хотела догнать и перегнать Америку, и выглядит по крайней мере глупо.
Кстати читали как эти гении предлагали шифровать сообщения на поле боя этими калькуляторами?) И к чему это приводило в Афгане?
похоже, что м85с использовался как тактический шифратор, что-то вроде м209.
у американцев сейчас есть табличная система шифрования дриада, вот только она бумажная.
Уит Диффи пересказывал слова специалистов из АНБ по поводу советской криптологической школы.
АНБ оценивало её как очень достойную и считало, что советским специалистам удалось самим осознать и создать вполне приемлемые для госприменений решения. Что-то позаимствовали, многое считается, что изобрели сами, во многом оригинальных открытий было меньше из того, что известно, но в целом они со своей задачей справлялись хорошо.
АНБ сосредотачивало свои усилия не на взломе советских шифров (это было практически бесполезно), а на взломе шифров третьих стран и поставке им систем аппаратного шифрования с бэкдорами.
А с практической реализацией, особенно в области электроники часто выходило понимаете как.
возможно и у нас есть. Для сверхмалых объёмов трафика может быть оправдано — надёжно даже после ядерного взрыва, прозрачно, меньше проблем с апгрейдом и уничтожением после использования.
да, но вот только почти вся связь после ЯВ не работает – передавать незачем.
исключая операцию venona.
первые несколько часов. А дальше можно высовывать антенну из бункера, подводной лодки...
А также усы, хоботы и плавники, которые вырастут после ядерной зимы.
Venona началась ещё во время ВМВ и постепенно сошла на нет, по мере замены ключей.
Кстати, в своей книге Масленников предложил т.н. шифры на новой элементной базе, что то вроде регистра сдвига, но вместо битов байты, даже приводился алгоритм. Кто нибудь слышал об их реальном применинии, кроме как в мк85с?
Честно скажу, что это конкретно за шифр я не разбирался, потому что со страницы в ЖЖ у автора у меня в браузере формулы очень криво отображаются, а скачивать и смотреть файл книги в нормальном формате было лень.
Но тот же AES/Rijndael можно расписать в виде регистров с обратной связью: как многочлен-генератор поля, так и все операции над многочленами и в таком виде выполнить его на микросхемах с очень ограниченными ресурсами.
Логарифмические подстановки для построения S-блоков тоже использовались в некоторых шифрах (SAFER).
Потоковые шифры на алгебраической основе и с похожей конструкцией тоже известны.
Но это общие поверхностные рассуждения, на шифр автора даже толком не смотрел.
Интересно, что если верить тому что там написано, то похожие слова Шнайер говорил про криптослужбу АНБ в середине девяностых — их разработки в области алгоритмов могли опережать открытое криптосообщество лет на 15, но не в области разработки протоколов (а им это не так и нужно).
Масленников утверждал, что ангстрем-3 чуть ли не будущее российской криптографии, но все мечты разрушил "криптографический танк" под названием ГОСТ.
Автор пишет, что ГОСТ был скопирован с DES, чтобы не выдать передовых криптографических технологий. Интересно, что Skipjack по тем же причинам также имел традиционную архитектуру – петля фейстеля – рано или поздно чипы клиппер были бы дизассемблированы (или как там обратный процесс в железе называется). Мысли КГБ и АНБ схожи – два сапога пара.
Из книги непонятно (мне по крайней мере), что такого хорошего в этом шифре по современным меркам? Поскольку логарифмических подстановок всего три (это взято как критерий нелинейности), то S-блок должен ненамного от них отличаться и быть неизвестен, как и ключ? Как его тогда генерировать? Из ключа? Но как именно?
Диффузия только за счёт операций смешивания в регистре с подстановкой?
Кстати — если заменить там где в "ангстрем-3" обратная связь идёт через XOR, а затем S-блок на одну операцию — квазигруппу (в виде S-блока 2n x n), то получится вариант шифров на квазигруппах, которых безуспешно продвигают малоизвестные венгерские (?) криптографы уже лет 15.
Да, на то время — переход к байтам и сразу к шифрам с алгебраическим доказательством стойкости — даже не верится что так прогрессивно пытались сделать.
Тогда блочные шифры на строгой алгебраической основе (за двадцать лет до AES) — да этой большой прогресс, но сейчас по моему скромному мнению "ангстрем-3" — по крайней мере не лучше AES. Нужно знать всю теорию, которая за ним стоит, а не только то, что показал автор.
У AES масса доказательств стойкости по разным критериям, метод проектирования, ставший трэндом: "стратегия широкого пути". Сейчас на SHA-3 продвигают хэш Skein, со встроенным блочным шифром Threefish, где используются примитивнейшие операции, но очень много раундов, за счёт этого — высокое быстродействие при достаточной стойкости. Возможно шифры на таком принципе тоже станут новым модным трендом, но "ангстрем-3" здесь уже погоды не сделает, ну или нужно его дорабатывать, хорошо продвигать, показывать массу теоретических обоснований.
Т.е. скорее всего (имхо), что-то подобное уже испробовали, но в массы оно не пошло. Называть ГОСТ "танком" сейчас уже смешно. У него и так один из самых маленьких "футпринтов" для микросхем. Есть ещё ниша суперлегковесных шифров для миниустройств, которые не тянут AES, там плоховато с разработкой стойких шифров, может там бы "ангстрем-3" был нужен.
Ещё раз: то что это было разработано ещё в начале восьмидесятых — вызывает восхищение, но актуальность этого сейчас под под вопросом.
reverse engineering (с акцентом: я не знаю как это правильно говорить по-русски :-)
Коллеги, у кого есть описание алгоритма Ангстрем? Есть большое желание заняться исследованием его характеристик. Помогите, пожалуйста.
На этом сайте удивительным образом сочетается сленг имиджборд и обращение на вы.