id: Гость   вход   регистрация
текущее время 09:28 02/10/2022
Владелец: spinore (создано 11/04/2012 14:17), редакция от 11/04/2012 16:30 (автор: spinore) Печать
Категории: криптография, шифрование с открытым ключом, разное, офф-топик, личности, квантовая криптография
https://www.pgpru.com/Новости/2012/МояПоездкаВD-WaveПоТуСторонуМясногоСэндвича
создать
просмотр
редакции
ссылки

11.04 // Моя поездка в D-Wave: по ту сторону мясного сэндвича


Скотт Ааронсон (wiki), адъюнкт-профессор факультета электротехники и информатики
Массачусетского Технологического Института © 2012

Перевод © 2012 spinore

На последней неделе я был в Ванкувере в связи с выступлением перед Университетом Британской Колумбии и перед ежегодным собранием Американской Ассоциации Содействия Развитию Науки. В рамках этой поездки в пятницу вечером мне, Джону Прескиллу, Джону Мартинису и Майклу Фридману любезно предложили съездить в штаб-квартиру D-Wave Systems в Burnaby (пригород Ванкувера). Мы начали поездку с конференцзала, где организаторы предложили нам печенье и газированную воду. У меня, как взрослого человека, пролетела в голове случайная мысль, что печенье может быть отравлено.


Затем мы сходили в лаборатории D-Wave: посмотрели под микроскопом на сверхпроводящие чипы; на системы охлаждения, использующиеся для охлаждения чипов до 20ти милликельвин. Мы действительно заходили внутрь гиганстких чёрных кубов, приготовленных D-Wave'ом на продажу, которые напоминали нам эпоху мейнфреймов (эти машины настолько велики частично из-за необходимости иметь системы охлаждения и частично — чтобы исправлять неполадки, позволяя инженерам заходить внутрь). Позже главный инженер D-Wave, Geordie Rose, выступил перед нами с двухчасовым докладом о самых последних экспериментальных результатах D-Wave, после чего мы все ушли на обед. Сотрудники D-Wave были очень гостеприимны с нами и не задумываясь отвечали на все наши вопросы.


Несмотря на моё, имевшее место почти год назад, заявление, что я увольняюсь с поста главного скептика D-Wave, я подумал, что было бы уместным рассказать читателям блога «Shtetl-Optimized» («Местечково-оптимизированное» (евр. рас.) — прим. пер.) о том, что нового я узнал из этой поездки. Я начну с трёх обоснованных утверждений, прежде чем перейти к более общим выводам.


  • Утверждение 1: Сейчас D-Wave имеет 128-(ку)битную машину, которая может давать приближённые решения для конкретных NP-сложных минимизационных задач, а именно, для задачи минимизации энергии 90-100 спинов в модели Изинга с попарными взаимодействиями вдоль некоторого фиксированного графа (где машинный вход есть настраиваемые степени сопротивления взаимодействиям). Соответственно, настоящим сообщением я опровергаю свой печально известный комментарий от 2007го года о том, что 16ти-битная машина, которую D-Wave использовала для демонстрации решения судоку, не более вычислительно полезна, чем мясной сэндвич. К настоящему моменту D-Wave действительно сделала нечто, что более вычислительно полезно, чем мясной сэндвич; просто вопрос в том, является ли это «нечто» более полезно, чем ваш лаптоп. Geordie показал нам графики с D-Wave'овским квантовым отжигом, решающим свою задачу спинов Изинга «быстрее» чем классическим методом имитации отжига или методом поиска с запретами (слово «быстрее» здесь подразумевает пренебрежение временем на охлаждение отжигателя, что мне кажется правильным). К сожалению, данные не увеличивались до больших размеров на входе, в то время как те, которые-таки увеличивались, сравнивались скорее с полностью классическими алгоритмами, чем в эвристическими. (Конечно, здесь выносятся за рамки большие трудности, которые вероятно возникли бы при практическом применении D-Wave, начиная со сведения задач практической оптимизации к конкретной D-Wave'овской задаче на спины Изинга.) В итоге, хотя наблюдаемое ускорение вычислений и представляется определённо интересным, остаётся неясным, что с ним делать и, особенно, играет ли здесь роль квантовая когерентность.

  • Это подводит меня к утверждению 2. Как я повторял здесь втечение нескольких лет (и это остаётся в силе), у нас нет реального доказательства того, что квантовая когерентность действительно играет роль в наблюдаемом ускорении вычислений, а также того, что запутанность между кубитами системы когда-либо действительно имела место. (Заметьте следующее: если допустить, что запутанности нет, существенность квантовой когерентности для ускорения вычислений становится совершенно неправдоподобной. Хотя пока что и не известно об эффективной симуляции на классических компьютерах тех квантовых, которые работают только с сепарабельными смешанными состояниями, мы совсем не знаем каких-либо примеров, где такие компьютеры позволяют ускорять вычисления.) Как отмечалось в этом блоге в прошлом году, D-Wave опубликовала прекрасную статью в Nature, где рассказывалось о квантовом туннелировании в 8ми-кубитной системе. Однако, когда я спросил об этом Мохаммада Амина, учёного из D-Wave, он ответил, что не думает, что эксперимент предоставил какие-либо доказательства существования запутанности между кубитами.

    «Убедительным» способом продемонстрировать наличие запутанности между кубитами была бы демонстрация нарушения неравенства Белла. (Мы знаем, что это может быть сделано со сверхпроводящими кубитами, как было показано группой Schoelkopf'а в Йеле [а также другими коллективами] пару лет назад.) Кроме того, «убедительный» способ показать роль квантовой когерентности в возможном ускорении вычислений состоял бы в постепенном «уменьшении» когерентности в системе (например, путём добавления взаимодействия, которое бы постоянно измеряло кубиты в вычислительном базисе) и параллельной проверке того, что производительность отжигателя уменьшается до уровня, соответствующего классической имитации отжига. К сожалению, как сказали нам сотрудники D-Wave, никакой из подобных экспериментов не представляется возможным в их текущей установке — в основном потому, что у них нет возможности осуществлять произвольные локальные унитарные преобразования и измерения. Они сообщили, что хотят в будущем попытаться продемонстрировать наличие двухкубитной запутанности, а пока готовы услышать предложения по поводу других идей, как показать роль квантовости в возможном ускорении вычислений в их существуюшей установке.

  • Утверждение 3: D-Wave в итоге смогло прояснить концептуальный момент, который смущал меня втечение лет. Я (и, возможно, многие другие!) полагали, будто бы D-Wave утверждает, что их кубиты декогерируют практически моментально (в частности, в таком случае запутанность практически точно никогда не имела бы места в процессе вычислений). Однако, как оказалось, D-Wave считает, что отсутствие запутанности не играет роли из-за какой-то сложной причины, связанной с энергетическими щелями (gap — прим. пер.). Я был далеко не единственным, кто считал такое утверждение невероятным: как было упомянуто выше, нет никакого доказательства того, что квантовый компьютер без запутанности может решать какую-либо проблему асимптотически быстрее, чем классический. Однако, это не то, что утверждает D-Wave: они думают, что их система декогерирует практически моментально в собственном энергетическом базисе, но она не декогерирует в вычислительном базисе, а поэтому, в частности, в последнем могла бы быть запутанность на промежуточных стадиях. Если так, то это было бы совершенно прекрасно — адиабатический алгоритм, который в любом случае не требует когерентности в собственном энергетическом базисе (в конечном счёте, общее утверждение состоит в том, что в процессе вычисления вы хотите находиться настолько близко к основному состоянию системы, насколько это возможно!). Я понимаю, что некоторые физики, знающие механизмы декогерентности, настроены чрезвычайно скептично по поводу возможности иметь быструю декогеренцию в энергетическом базисе без сопутствующей декогерентности в вычислительном базисе. Соответственно, теперь это, конечно, обязанность D-Wave — показать, что они поддерживают когерентность там, «где она нужна», но, по крайней мере, сейчас я понимаю, что они утверждают, и как это могло бы быть совместимым (если это вообще верно) с квантовым ускорением вычислений.

Давайте теперь перейдём к трём более широким вопросам, поднятым вышеcказанными утверждениями.


  • Первый вопрос следующий: вместо того, чтобы добавлять всё больше кубитов и публиковать всё более тяжело оцениваемые рекламные заявления, оставляя при этом научную оценку своих приборов в состоянии неизвестности, почему бы D-Wave'у просто не сконцентрировать свои усилия на том, чтобы продемнстрировать запутанность, или другим способом получить более убедительное доказательство роли квантовости в наблюдаемом ускорении вычислений? Когда я спросил об этом Мохаммада Амина, он сказал, что если бы компания D-Wave последовала моему предложению, она бы опубликовала некоторые интересные исследовательские статьи и затем покинула бизес: при получении денег давление всегда оказывается в сторону всё большего числа кубит и всё более громких анонсов, а не в сторону более ясного понимания экспериментального оборудования D-Wave. Итак, дайте мне попытаться донести мысль до боссов мира: одиночный кубит, который вы понимаете, лучше, чем тысяча кубитов, поведение которых вы не понимаете. Существует причина, по которой академические группы, занимающиеся квантовыми вычислениями, концентрируются на задавливании декогеренции и демонстрировании запутанности для 2ух, 3ёх или 4ёх кубит: потому, что это путь, при котором вы знаете, что кубиты есть действительно кубиты! Как только вы показали, что основание считать кубиты настоящими твёрдое, вы можете пытаться масштабироваться вверх. Поэтому, пожалуйста, поддержите D-Wave, если они хотят потратить деньги на то, чтобы продемонстрировать нарушения неравенства Белла или другие явные доказательства того, что их кубиты работают вместе когерентно. Добро пожаловать, D-Wave!

  • Второй вопрос касается того, что я уже много раз встречал в блогосфере: кто будет беспокоиться как работает система D-Wave'а, и используется ли там квантовая когерентность, если эта система решает практические задачи быстрее? Действительно, может быть, то, что строит D-Wave, есть, на самом деле, серия интересных, полезных, но всё же по существу «классических» приборов для отжига. Возможно, слово «квантовый» здесь работает как топор в каше из топора: привлечение денег, интереса и талантливых людей для построения чего-то такого, что хотя и изящно, но, в конечном итоге, слабо зависит от квантовой механики вообще. Если D-Wave'овский (буквально!) чёрный ящик решает проблемные задачи за такое-то и такое-то количество времени, какое нам дело до того, что там внутри?

    Чтобы увидеть всю непосредственность этого вопроса, давайте рассмотрим простой мысленный эксперимент: допустим, D-Wave бы продавала классический, для специальных целей, стоимостью 10 миллионов долларов компьютер, сконструированный, чтобы осуществлять алгоритм имитации отжига для задач 90-битных изинговых спинов с некоторой фиксированной топологией, и при этом несколько лучший, чем уже существующие компьютерные кластеры. Получила ли бы D-Wave в таком случае хотя бы 5% от той публичной известности и того интереса, которые она испытывает к себе сейчас? Я думаю, что сама бы D-Wave была бы первой, кто ответил бы «нет». Действительно, Geordie Rose явно указывал во время своего доклада на захватывающую природу, стоящую за (как он сказал) «историей квантовых вычислений», и как она стала ключом к привлечению инвестиций. Причина беспокойства людей об этих вещах возникает не из-за того, что они хотят найти основные состояния спиновых систем в модели Изинга немного быстрее, но из-за того, что они хотят знать: достигла ли, в конечном счёте, человеческая раса новой формы вычислений или же нет. Так что то, как преподнести прибор, важно (мат вырезан цензурой — прим. пер.)! Я горжусь тем, что готов менять своё мнение практически обо всём при открытии новых фактов (как я это на самом деле сделал по поводу D-Wave), но моя уверенность в том, что чёрные ящики должны быть открыты, а объяснения предоставлены, есть нечто, что я отнесу в могилу.

  • Наконец, ввиду скептического, но позитивного тона этого поста некоторые люди удивятся: сожалею ли я о моём раннем, более явном скептицизме по поводу D-Wave? Ответ — нет! Задавать вопросы — моя работа. Я поверю D-Wave'у сразу же, как только они ответят на мои вопросы (подобно тому, как это было в обсуждаемой поездке), когда бы это ни случилось, и изменю своё мнение соответственно, но я также не перестану ни спрашивать, ни извиняться за спрашивание до тех пор, пока доказательство квантового ускорения вычислений не станет ясным и бесспорным (чего ещё, конечно же, не прозошло). С другой стороны, я действительно сожалею о кидании гадостями, что возникло как итоговый результат моих и чужих скептических утверждений, утверждений D-Wave'а и людей, его поддерживающих, а также состязательной природы блогосферы. Первый раз я чувствую себя действительно искренне надеющимся всем моим сердцем, что компании D-Wave удастся доказать, что она может делать некоторый (не необходимо универсальный) вид масштабируемых квантовых вычислений. Такой успех доказал бы миру, что мои $100,000 в безопасности, и решительно бы опроверг скептиков квантовых вычислений, которые в своей критике сейчас порой заходят даже дальше, чем слепые сторонники D-Wave.

Источник: запись в блоге Скотта Ааронсона от 21го февраля 2012г.
Примечание переводичка: авторский способ выделения текста (наклонный шрифт, цвет и жирность) по возможности сохранён, собственные пояснения выделены серым цветом.


 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии [скрыть комментарии/форму]
— SATtva (23/05/2015 09:26)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4116
[петросянство]
А точно российский? С триколором?
[/петросянство]
— pgprubot (23/05/2015 11:35)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70
Да, это национальные особенности, «они так видят» науку. Видимо, теми же особенностями объясняется и отсутствие ссылки на научную статью в новостном анонсе. По фамилиям главных действующих сколковских лиц (например, Устинова; других не проверял) тоже ничего такого однозначного не ищется, чтоб связать с новостью.
— SATtva (22/08/2015 07:54)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4116
Похоже, АНБ начинает всерьёз рассматривать угрозу со стороны квантовых компьютеров. Настолько серьёзно, что обещает пополнить Suite B квантовостойкими примитивами и даже советует подождать с внедрением Suite B до того момента тем, кто на него ещё не перешёл:

IAD will initiate a transition to quantum resistant algorithms in the not too distant future.
<...>
Until this new suite is developed and products are available implementing the quantum resistant suite, we will rely on current algorithms. For those partners and vendors that have not yet made the transition to Suite B elliptic curve algorithms, we recommend not making a significant expenditure to do so at this point but instead to prepare for the upcoming quantum resistant algorithm transition.

Комментарий Шнайера.
— pgprubot (22/08/2015 17:34)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

the largest number to date that has been factored by a quantum computer is 143.

The computation that factored 143 also accidentally "factored much larger numbers such as 3599, 11663, and 56153, without the awareness of the authors of that work," which shows how weird this all is.

Выше в этом же треде говорилось, что число — не первый параметр, на который стоит смотреть:

... Правильная квантификация успеха факторизации — это «какой длины приеобразование Фурье мы смогли сделать», а не «какое число мы факторизовали», т.к. на одном и том же преобразовании Фурье можно факторизовать что угодно, если очень долго ждать.


[paranoia]
Дела у АНБ идут настолько плохо, что на смену традиционным они решились проталкивать сомнительные нестойкие и возможно ими же забэкдоренные «квантовостойкие» алгоритмы, ломающиеся классическим криптоанализом. Люди не доверяют их эллиптической кривой, а тут предлагаются вообще иные алгоритмы. Настолько ли последние проработаны, как это утверждает АНБ?

there is a clear plan for getting a new suite of algorithms that are developed in an open and transparent manner that will form the foundation of our next Suite of cryptographic algorithms.

ECC вот тоже как бы было «developed in an open and transparent manner», но не всё.
[/paranoia]
— SATtva (22/08/2015 17:47)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4116

Тоже возникли такие мысли. :) Но пока не видно ни конкурса, ни внедрения, всё это слишком спекулятивно.
— SATtva (23/10/2015 10:29, исправлен 23/10/2015 10:30)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4116

Специалисты, тем временем, начинают приходить к другим выводам. Есть основания полагать, что к ECC приближается толстый полярный лис, и АНБ об этом известно:


On Tuesday, researchers Neal Koblitz and Alfred J. Menezes published a paper titled fileA Riddle Wrapped in an Enigma that compiles some of the competing theories behind the August advisory. <...>

"The PQC announcement suggests that NSA has no interest in this topic because it now views ECC as only a stopgap solution," the researchers wrote. "This caught many people by surprise, since it is widely believed that ECC will continue to be used extensively for at least another decade or two."


The researchers remain skeptical that quantum computing is the real reason for backing away from ECC. Documents leaked by former NSA subcontractor Edward Snowden have so far given no indication of any advances in the field that pose an imminent threat to any form of public key crypto. The budget for quantum-based research is modest by NSA standards, an indication that neither the US nor any other country is on the brink of a breakthrough, they said.


The theory that has generated the most attention among readers is that NSA researchers are now aware of breakthroughs that are unrelated to quantum computing that threaten ECC but not RSA. Matt Green, a Johns Hopkins University professor specializing in cryptography, notes the advance might involve classical cryptanalysis of what's known as the elliptic curve discrete logarithm problem (ECDLP). To date, the mathematical problem is believed to be so hard to solve that properly implemented ECC can't be broken without requiring millions or even billions of years. But there's no proof this assumption is correct. If NSA researchers stumbled on a new way to tackle the problem efficiently, it would torpedo the entire suite of crypto schemes banks, government subcontractors, and others have been using at the strong urging of the federal government.

Tor Project должен испытывать по этому поводу особую "радость".

— pgprubot (25/10/2015 21:56, исправлен 25/10/2015 22:19)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

«Guide to Elliptic Curve Cryptography» (Darrel Hankerson, Alfred J. Menezes, Scott Vanstone):


It should be noted that there is no mathematical proof that the ECDLP is intractable. That is, no one has proven that there does not exist an efficient algorithm for solving the ECDLP. Indeed, such a proof would be extremely suprizing. For example, the non-existence of a polynomial-time algorithm for the ECDLP would imply that P ≠ NP thus settling one of the fundamental outstanding open questions in computer science. Furthermore, there is no theoretical evidence that the ECDLP is intractable. For example, ECDLP is not known to be NP-hard, and it is not likely to be proven to be NP-hard since the decision version of the ECDLP is known to be in both NP and co-NP.

Shoup's result does not impy that the ECDLP is indeed hard (since the elements of an elliptic curve group have a meaningful and non-random representation), it arguably offers some hope that the discrete logarithm problem is hard in some groups.

Не хочу делать поспешных выводов, но некоторые факты звучат так, что доказательство стойкости или нестойкости ECC ведёт к куда более далеко идущим последствиям, чем просто взлом конкретного типа крипто.



Хорошая статья с доволно глубоким разбором всех возможных версий, хоть и не лишённая субьективизма. Например, авторы считают, что официальное заявление не могло быть предметом непродуманной оплошности и неаккуратности в высказываниях, приводят аргументы в эту пользу, но, как по мне, аргументы недостаточно убедительны. Другой аргумент авторов — АНБ не стало бы намеренно ослаблять крипто, т.к. тем самым поставит под удар и те коммуникации, которые оно призвано защищать от взлома. Этот аргумент мне тоже представляется слабым и неубедительным: ИБ — экономика, и если преимущество от прослушки всех и вся выше ущерба от утечек собственной информации, им будет выгодно бэкдорить стандарты. Кроме того, для особо ценной информации есть Suite A. Там, где они сами для себя обеспечивают защиту связи, они могут сделать шифрование и без дыр.


Вообще, почти вся суть новости сводится к обсуждению этой фразы:


The NSA seemed to be suggesting that practical quantum computers were coming so soon that people who had not yet upgraded from RSA to ECC should not bother to do so, and instead should save their money for the future upgrade to post-quantum protocols.

Есть интересный аргумент (среди прочих) в пользу того, что ECC не было забэкдорено:


The beauty of the back door into Dual EC DRBG from the NSA's point of view was that only the NSA would know the discrete log value k that was used to generate Q from P. To the rest of the world (including the cleverest mathematicians and hackers in all of Russia and China) the random bit generator was as impregnable as if the P and Q had been properly chosen. The NSA and no one else could read encrypted messages whose security relied upon pseudo-randomness of the DRBG. And if it weren't for Snowden, most likely no one would have ever known that the NSA knew k.

Т.е. бэкдор в этом PRNG слишком специфичен и удовлетворяет некоторым свойствам, каким иные бэкдоры в шифровании не удовлетворяли бы, поэтому типа не советуют делать выводы о том, что АНБ согласилась бы на любой бэкдор. Ещё можно вспомнить, что у них такое «видение»: идеальное крипто — то, которое никто и никогда не cможет взломать, но для них это крипто — как открытая книга. Сначала эта идея проталкивалась через депонирование ключей, успеха не потерпела, но они продолжают на ней настаивать, мечта о всеобщем key escrow остаётся.


Иной веский аргумент против бэкдора в ECC — тот, что кривые были предложены достаточно давно, когда вычислительные мощности были значительно слабее. Т.е. если заложить бэкдор в ECC даже в те времена было можно, значит, это должно быть очень лёгким по меркам текущих знаний и текущих вычислительных возможностей, однако, открытому сообществу ни про что такое неизвестно.


Интересен аргумент о том, что альтернативные (неNIST'овские) кривые предпочтительнее, даже если не верить в бэкдоры — альтернативные кривые эффективнее в вычислениях, крипто на них работает быстрее.


Политический аргумент тоже есть: якобы раскрытие бэкдора в Dual EC_DRBG бросило такую тень на всю эллиптику, что теперь никаким инициативам от АНБ в плане эллиптики всё равно никто доверять не будет, поэтому и продвигать как-либо эллиптику далее АНБ отказывается.


Наконец, на мой взгляд, самая веская мысль авторов — то, что даже если принять точку зрения АНБ, что всё так плохо (а кому-то хорошо), что КК появятся в ближайшее время (а все эксперты, по заявлению авторов, оценивают, что это не произойдёт быстрее, чем через 15 лет), то всё равно есть хотя бы 15 лет, в течение которых надо на что-то проверенное ориентироваться, и как раз выбор эллиптики был бы логичным для этих лет. Т.е., это вполне такое нормальное компромиссное промежуточное решение. Однако, АНБ предостерегает от перехода на эллиптику тех, кто на неё ещё не перешёл (мотивы неясны), прося их оставаться на RSA. Кроме того, из рекомендаций исчезла NIST'овская эллиптическая кривая P-256 (P-384 оставили), как впрочем и всё RSA меньшее чем 3072. Получается, что АНБ намекает на то, что эллиптика с малыми параметрами теперь считается недостаточно безопасной. С учётом того, что АНБ активно пиарит и продвигает эллиптику уже лет 20, есть аргумент считать, что они, пользуясь своим опытом и заделом, могут про неё знать больше, чем открытое сообщество. Тем не менее, всё равно всё это спекуляции на спекуляциях.


Кстати, что касается защиты от КК, в статье, кажется, указано, что АНБ ранее рекомендовало для таких случаев подстраховываться чисто симметричными шифрами с соответствующей длиной ключа, поэтому вдвойне странно, что теперь внезапно понадобилось что-то менять. В любом случае, центральный момент всех спекуляций в том, что никто не верит, что истиная причина новых рекомендаций — внезапный прогресс в построении КК (именно это заявляется).



Не только он:


Curve25519 has become the de-facto alternative to P-256. In 2014, both OpenSSH and GPG default to Curve25519-based ECDH.

И, вообще, там большой список. Если верить рекомендациям АНБ, пора валить с 25519 (аналог P-256) на ту кривую, которая будет эквивалентна хотя бы P-384. Впрочем, не стоит забывать, что RSA они тоже в рекомендациях проапгрейдили, но почему-то никто не кричит «АНБ нашло дыру в RSA». Т.е. они увеличили параметры всех шифров, которые рекомендовали ранее. Одним словом, пожалуй, Curve25519 всё равно остаётся лучшим выбором, чем RSA-1024, поэтому Tor Project'у не стоит сожалеть о своём выборе.

— SATtva (27/10/2015 21:48)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4116

Более того, NSA исключило оттуда и 256-битовые хэш-функции.
— pgprubot (30/10/2015 07:35, исправлен 30/10/2015 07:37)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

По-моему, там ещё что-то было про AES (для TS теперь нужно использовать, минимум, AES-192?). Получается, что увеличили длины и симметричных шифров и асимметричных, ещё и хэш-функции затронули, КК приплели, и всё это только ради того, чтобы скрыть баги в эллиптике? Слишком неправдоподобная теория заговора получается. Все эти действия в совокупности (если их все считать рациональными и хоть чем-то обоснованными) действительно можно объяснить только боязнью КК. Могу предположить, что у них просто КК-параноя: раз реалистичного прогноза прогресса в этой области на будущее нет, и ожидать можно, чего угодно, решили перестраховаться, на всякий случай.

— pgprubot (01/11/2015 06:03)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70
Подумалось: а может ли АНБ засекретить бюджет на КК? Например, по бумагам будет проходить, что эти деньги тратятся на один род деятельности АНБ, а реально он будет тратиться на другой (чтоб не вызывать подозрений).
— SATtva (01/11/2015 08:51)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4116
Пустить деньги на левые цели, в принципе, можно, но большие суммы так не протащить (хотя вот TIA в таком полулегальном режиме умудряются поддерживать уже десяток лет). Это же всё контролируется Сенатом и GAO. Не совсем понятно, зачем нарываться на скандал с нецелевым расходованием средств — подстатьи расходов у них и так гостайна в рамках военного и разведбюджетов.
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3