*Динур и Дункельман — коллабораторы Шамира (он был соавтором их докладов).

Неудивительно, ведь, разговор был явно про это исследование. С некоторыми подвижками в сторону улучшения результатов.

Всем спасибо за проявленный интерес. :)


Если KeccaK — первый примитив, использующий губку, то судить ещё рано. Вот пройдёт лет 5-10 — тогда и будут видны результаты, нарыли ли что-нибудь. Подумалось: а если бы все атаки на rijndael, которые известны на текущий момент, были бы известны ещё в момент конкурса, его бы выбрали?

we present the hash function family Quark, composed of three instances: u-Quark, d-Quark, and s-Quark.

Как же так? Кварков 6 штук, а у них всего 3, причём ладно бы они взяли по одному с каждого поколения, так они взяли два с первого (u и d), один со второго (s) и ни одного с третьего, никакой симметрии.


Хороший reference, основательный.


Посмотрел на список фамилий за последние года, ни про одну фамилию не смог ничего сказать/всопмнить. Я не математик, чтобы судить лично, поэтому взял грубую оценку по филдсу, и тут же нашлось:

No woman mathematician has ever won a Fields Medal.

Epic fail. С физикой и химией у них лучше, а с экономикой вообще замечательно:

The Nobel Prize and Prize in Economic Sciences have been awarded to women 44 times between 1901 and 2012. Only one woman, Marie Curie, has been honoured twice, with the 1903 Nobel Prize in Physics and the 1911 Nobel Prize in Chemistry. This means that 43 women in total have been awarded the Nobel Prize between 1901 and 2012.

Мария Кюри отдулась за всех. По химии всю премию причём в одни руки, а по физике у неё 25% (ещё 25% мужу и 50% Беккерелю).


Мечтайте. :)


Дункельман (Данкельман?) впечатлил? Выглядит молодо, фотогеничен, очень выразительная мимимка и чёткая речь. Можно хоть к каждому кадру (де)мотиватор приклеивать. :)

Что беспокоит, так это то, что ради губки саму раундовую функцию как всегда заоптимизировали до грани. Даже по оптимистичным докладам как-то видно, что невысокая алгебраическая сложность, различитель на нулевых суммах на множестве раундов — это конечно пока далёкая теория, но как-то рискованно.

если бы все атаки на rijndael, которые известны на текущий момент, были бы известны ещё в момент конкурса, его бы выбрали?

В момент конкурса, если не путаю, было поломано малопрактичными атаками 8 раундов из 10 для Rijndael-128 и это никого не смутило.

Среди 5 финалистов выбирали уже не самого стойкого, а самого практичного.


Там все хороши.

Что беспокоит, так это то, что ради губки саму раундовую функцию как всегда заоптимизировали до грани.

Меня тоже беспокоит такая тенденция в криптографии, я об этом уже говорил в другом топике.
Базовые функции ужимают, упрощают и урезают для простоты аппаратной реализации и для работы на слабом железе вроде смарткарт, при этом стало модно (и в конкурсах требуют) изобретать примитивы на все мыслимые и немыслимые применения. Это плохо кончится, однозначно. Рано или поздно появится атака которая сломает всё. Вообще всё что нашифровали за десятилетия.

На мой взгляд должно быть как минимум три категории шифров: условно-стойкие легковесные шифры (это то что повсеместно применяется сейчас), шифры для основного применения (в качестве такого сойдёт каскад serpent-aes или нечто сравнимое) и шифры обеспечивающие долгосрочную, на столетия стойкость. К последней категории должны быть особые требования, от нее не нужно требовать легкости анализа, высокой производительности и возможности аппаратной реализации, от нее требуется лишь одно – настолько большая стойкость насколько это возможно вообще, при сохранении приемлемой скорости шифрования на топовых процессорах. Предлагаемый мной подход к созданию шифров этой категории: в сотни раз больше раундов чем в обычных шифрах, гетерогенные раунды (должны быть раунды основанные на всех известных концепциях создания блочных шифров, мы не можем знать что сохранит стойкость в будущем, поэтому чем больше разного намешаем – тем лучше), независимые раундовые ключи без ключевого расписания (нет ключевого расписания – неоткуда взяться уязвимостям которые сгубили много шифров, а недостатки такого режима мы переживём, они некритичны для типичных применений). Криптопримитивы третьей категории должны быть избавлены от требований универсальности, лучше иметь по одному примитиву узкой специализации для каждого назначения, чем один универсальный но нестойкий. По скорости следует ориентироваться на 1-2 мегабайт в секунду на топовом на момент создания шифра процессоре (шифровать переписку, аудио/видео связь и небольшие файлы можно сразу, а дальше рост вычислительных мощностей откроет другие применения). Это практический подход, но к сожалению теоретики которые правят конкурсами в не подпустят такого франкенштейна на пушечный выстрел.

Уязвимость дизайна — залог следующей движухи с SHA-4. А то так сделают один универсальный хэш, и чем потом 50 лет заниматься?

Если серьёзно, то, как вы и сами говорили, долговременная секретность в современной криптографии мало кого интересует. Гость (18/04/2013 17:28) выше написал примерно о том же. У организаторов конкурса, по-видимому, другие задачи: выработка стандарта для (преимущественно) коммерческих/государственных пользователей, а не для одиноких анонимов, требующих 100-летней неломаемости.

В этом плане мне импонируют попытки создать абсолютно безопасные протоколы и примитивы на основе квантовой информатики. Т.е. есть какой-то идеал, и стремятся к нему, а не к тому, что «и так хватит» (в классическом крипто).

(это то что повсеместно применяется сейчас),
Это отдельное, пока ещё больше экспериментальное направление в криптографии, вот оно то как раз отделилось. Речь о создании алгоритмов, более слабых, чем AES, SHA и др. Для работы даже не на смарт-картах, а на RFID-чипах и совсем миниатюрных девайсах — для проездных билетов, автосигнализаций, медицинских приборов. Возможно вам названия этих алгоритмов даже особо и не встречались: Trivium, Present, Spongent.

Против другой крайности — сверхнавороченных алгоритмов тоже могут быть выдвинуты рациональные аргументы, касающиеся сомнений именно в их стойкости:

1. Отсутствие доказательств, исследований, интереса к обмену проверенными идеями в открытом сообществе. Сложность поиска доказательства (не)стойкости не означает ни наличия самой стойкости, ни снижения вероятности её обнаружения в неоткрытом сообществе. Т.е. как-бы предлагается замена пусть и слабооснованных (но формально строгих) по стойкости алгоритмов на те, в которых формальное обоснование стойкости отсутствует вообще. Супернавороченный алгоритм может тривиально взламываться. Открытому сообществу исследователей это изучать будет неинтересно, а люди под погонами возьмуться за эту нудную и кропотливую работу и уж результатами с общественностью точно не поделятся. Обычный принцип — если шифр не укладывается в виде ясной картины в голове — открытые исследователи его не анализируют. Классический пример — наворотом дополнительных преобразований немецкие военные местами ослабили, местами не сделали лучше обычную коммерческую Энигму во время второй мировой.
2. Труднее убедить общественность в отсутстви бэкдора в шифре, например путём хитрого подбора преобразований. В Rijndael, Keccak — обычные полиномы из известных математикам таблиц, которые сто лет назад составлены, выбрали из небольшого числа вариантов самые простейшие по реализации на число операций в железе. С константами и преобразованиями всё также более или менее прозрачно. В переусложнённом шифре будет сплошное недоверие к отсутствию злонамеренности в разработке.

Если хотите, чтобы отделилось некое "тяжеловесное" направление в крипто, то под него надо будет подводить теоретическую базу: как спроектировать сложный алгоритм, не растеряв простоты доказуемости его безопасности.

Т.е. как-бы предлагается замена пусть и слабооснованных (но формально строгих) по стойкости алгоритмов на те, в которых формальное обоснование стойкости отсутствует вообще.

Возражение: давайте использовать алгоритмы каскадом. Каждая следующая категория стойкости обязательно включает в себя предыдущие, т.е. однозначно не хуже.

Труднее убедить общественность в отсутстви бэкдора в шифре, например путём хитрого подбора преобразований.

Не нужно подбирать преобразования. Делаем шифр из раундов других шифров, добавляем свои конструкции только как независимые дополнения. Думаю, для такой конструкции можно будет доказать что она как минимум не хуже чего угодно другого.

Если хотите, чтобы отделилось некое "тяжеловесное" направление в крипто, то под него надо будет подводить теоретическую базу: как спроектировать сложный алгоритм, не растеряв простоты доказуемости его безопасности.

Да, нужно, что я и пытаюсь сделать на уровне примитивной логики. Скажите, кто-нибудь вообще этим серьезно занимается?

Изучение каскадов маловостребовано и малопопулярно. И для теории, и для практики интересно найти минимум или оптимум затрат для обеспечения безопасности. Это не только в криптографии, а во многих науках. Даже в прикладном инженерном проектировании систем безопасности для критических объектов.

В прикладных целях делалось что-то похожее. Не для усиления стойкости шифра, а для адаптации к каким-то требованиям протокола.

Делаем шифр из раундов других шифров, добавляем свои конструкции только как независимые дополнения. Думаю, для такой конструкции можно будет доказать что она как минимум не хуже чего угодно другого.

По меньшей мере создатели и исследователи шифров могли бы указывать параметры и их диапазоны, которые можно безопасно менять гарантированно не теряя в стойкости. Нампример количество раундов. Просто надо почаще их об этом просить, может войдёт в правила хорошего тона.

Изучение каскадов маловостребовано и малопопулярно.

Как то это странно на фоне успехов в криптоанализе. Попахивает "заговором элит".

Каких?

И аналогичная ситуация со стеганографией, потому как мало кому из власть имущих хочется крипторая реальной демократии.

Можете выдвигать политические объяснения на базе технических, а не в обратном порядке? Отличие криптоанализа марковских от немарковских (в т.ч. и с независимыми раундовыми ключами) шифров уже изучили? Там сильный выигрыш в стойкости получается или не очень? Разберитесь в вопросе, напишите свою теорию, опубликуйте, а потом говорите, что там "власти скрывают".

На этом сайте unknoun регулярно публикует сообщения о нахождении всё новых различителей существующих шифров от идеальных, да и сам сам этот топик намекает как бы, что не было б успехов – не было б новых конкурсов, и сторгой теории как не-было, так и нет, да ещё призрак квантовых вычислений маячит не столь отдалённо, однако при этом почему-то по прежнему "изучение каскадов маловостребовано и малопопулярно" – по мне это по меньшей мере странно...

Там сильный выигрыш в стойкости получается или не очень? Разберитесь в вопросе

Простите, а вы уже разобрались? И что, от каскадов выйгрыш в стойкости несильный получается? И ради ничтожной вероятности взаимного ослабления ими не стоит пользоваться? А от увеличения количества раундов тоже? И что, 3-DES зря в своё время придумали?