> Это верно. Но стандарты означают широкое распространение софта и то что его
> увидят больше глаз.Только буйный психопат захочет читать код реализации какого-нибудь TLS от и до. Со всеми опциями и легаси. А в openssl столько кода что там неизбежно будут баги. Если вкратце, я не думаю что шитец типа openssl реально сделать вменяемым с хоть каким там ревью. К тому же компетентность тех кто ревьюит - под вопросом. Авторы OpenSSL вообще не криптографы, судя по лаже которую они допускают. Чтобы понять насколько они дилетанты - помогает почитать ченжлог хоть того же Tor. Да, если вы просите аппаратное ускорение - эти красавцы выдадут вам как рандом вывод железного RNG, если он есть. Пул энтропии? Подмешивание из разных источников? Не, не слышали! Доверие железке стопроцентное. А теперь сравним с, допустим, тем что делает линевый кернель. Там почему-то догадываются что слепо верить железячному RNG - затея очень на любителя. Так где эти ваши ревью были столько лет?
> кому что известное, а значит запросто менее читаемое глазами -- review
> кода минимальный.
Я думаю что один Бернштейн легко заменяет сотню макак пишущих openssl. Так, глядя на плюхи которые они вешают. Я вообще не понимаю чего ради эти люди криптографическую либу писать полезли. Они не криптографы и даже не обладают минимальным уровнем паранои для того чтобы совать лапы в криптографию.
> Для меня хороший вопрос что важнее и лучше.
Я выбираю осмысленность действий индивидов. Нормальные криптографы это могут. А вот авторы openssl показали что у них не богато с довольно базовыми вещами...
> Математические алгоритмы это одно, а реализация это совершенно другое
В случае криптографии одно не сильно далеко от другого. Более того - когда реализаторы лезут донавесить 100500 сервисных функций, как опенссл - можно налететь на тот факт что эти плюшки были с цианидом, тудыть их растудыть.
> OpenSSL столь распространённому, но и не повод слепо верить в то
> что компактность кода chacha/poly1305 автоматом сделают всё лучше,
Для начала там будет минимум багов. А если это еще и писал нормальный криптограф типа Бернштейна, повернутый на безопасности - там будут нормальные дефолты и минимум внезапностей. А вот авторы openssl могут немало огорошить, например. Ну как с аппаратным RNG скормленым софту напрямую, если попросить аппаратное ускорение. Пипец логика - при использовании криптоакселератора можно бонусом получить нерандомный рандом чего доброго.
> например про то что нельзя зачастую просто так сравнивать строки между
> собой в коде (ибо это не константное время).
Про это знают все нормальные криптографы. А вот то что про это в курсе какие-нибудь деятели типа авторов openssl - я бы за это зуб не дал.
>> колючий, но зачем грызть кактусы - загадка природы.
> Потому-что например blowfish технически может быть и более ущербный, но он приемлимый
> для использования и он проверен уже десятилетиями.
MD5 тоже проверенный временем. Проверка показала: он г-но. Ну и sha1 туда же куда-то отправляется. Хотя про blowfish никакого особенно крутого криминала мне не известно так сходу. Но тут еще вопрос в том - а сколько человек проблемы искало?
> Chacha20/Poly1305 на бумагах хороши, и в коде ешё лучше и короче и эффективнее,
> но просто не прошло достаточно времени чтобы сказать что он проверен этим самым временем.
"Насыщает не время проведенное в столовой а количество съеденных беляшей".
> Появился Chacha20 допустим день назад и какие-то криптоанализы заимел --
> вы бы стали использовать? Я бы нет, ибо рано, не проверен временем.
См. выше. Логику построения salsa/chacha я более-менее понимаю и вижу криптоанализ. При том - с пониманием дела и даже "частично успешный". Это значит что алгоритм проверяли не какое-то сферическое время в вакууме а вполне себе криптографы, разбирающиеся в предмете и даже нащупавшие некие упрощения. А мнение 10 профессиональных криптографов - ценнее чем мнение 10 000 кодеров, не имеющих понятия о криптографии.
> Прошло 2-3 года. Вы бы стали использовать? Кто-то да, кто-то нет.
Если уж на то пошло, 25519 и прочие появились далеко не вчера. Вчера на них лишь обратили внимание из-за кризиса доверия к NIST и прочая.
> Именно про это и говорю: приходится предполагать что Wifi абсолютно кем угодно
> прослушивается и поверх его коннекта вынуждены применять IPsec/OpenVPN/SSH/whatever.
Ну да. Если защита траффика нужна. Хотя честно говоря, прецедентов вскрытия WPA2 если нет WPS и сложный пароль - мне не известно.
> и это plaintext открытый broadcast канал.
Я считаю что доверяемая прошивка на роутере без явных ляпов мне все-таки друг и товарищ и потому предпочиаю openwrt, где все это реализовано не сильно архаичным линем и дровами из его комплекта.
> Лучше да, но их поведение всё-равно ещё не так хорошо изучено как
> старых добрых Blowfish и подобных.
Тут еще вопрос в количестве изучавших и их квалификации. От того что миллион быдлoкодеров посмотрит в код - криптография лучше не станет. Потому что они в этом ни бум-бум. А вот если криптографы потратят время на серьезные попытки атак - совсем иное дело. Открытость кода необходима для аудита разными криптографами. Но вот то что качество этого аудита стопроцентно коррелирует со временем или числом глаз - не факт. Я склонен придавать вес еще и компетенции тех кто смотрел, этот параметр сам по себе не коррелирует с временем или количеством глаз.
> с Postfix-ом дополнительно поставленным, то для меня это доверяемая система.
Весьма зависит от того ломанут ли его или нет. Неприятно если скажем разделение прав удержится, но ключ все-равно утянут по косвенным признакам. Не вижу причин почему это должно быть так.
> скрыть статистические отклонения (например ввод "top" и его "выхлопы" в stdout
> довольно хорошо заметны в размерах и частоте пакетов).
И это одна из вещей которые мне в ssh не нравятся. Ксати если уж мы о птичках - идея завернуть ssh в hidden сервис тор имеет место быть и как минимум он здорово нагнет подобные инициативы, минимизировав полезность сведений за счет фиксированного размера cells.
> любые real-time системы. Ну кстати Tor хотя бы минимальный размер передаваемых
> единиц вроде как делает минимальным в 512 байт, что хоть что-то даёт
У них фиксированный размер cells, насколько я помню. Он один на все. Шлете 1 байт? В провод полетит cell фиксированного размера. Как и на 20 байтов. Или на 100. Это достаточно неплохо нагибает подобный анализ. Хотя будучи low latency оно неизбежно утекает времянки.
> (хотя с GNUnet-ами это не сравнится).
А там довольно компетентные авторы с неплохими идеями. Но вот реализация какая-то странная.
> Я опять же про случай когда само собой третьи лица не участвуют.
> Чётко заданные сертификаты с одной и другой стороны.
Опять же - отучить ssl'ную либу доверять посторонним ауторити или проверить кому оно доверяет здесь и сейчас - могут быть весьма отдельные телодвижения, далекие от тривиальных. В том же ssh подобные вещи по крайей мере логично и без подстав сделаны. А ssl/tls by design такие подставы предполагали.
> Зачастую, но не всегда, особенно когда руками в конфигурации прибить что надо
> использовать.
Я не счтиаю что использование криптогрфии должно требовать квалификации ракетного инженера от эксплуатационщика. Такой подход обречен на провал.
> Про тех кто думает что ему сделают хорошо просто так: я само
> собой не беру в счёт ибо тут о безопасности нельзя говорить.
Аудитить код всех приложений использующих tls крайне мерзко и геморно и ведет к массе растройств. И даже опытный субъект может прощелкать что-то клювом. Потому что сложная хреновина с дофига опций, при том дефолтные их состояния отнюдь не заточены на маесимальную секурность, отсутствие подлян и наилучшие свойства (e.g. PFS). Все это делает применение TLS больше похожим на запрыг по граблем. Ну да, полтора джедая может и допрыгают до финиша без шишек на лбу, если нигде не споткнутся и не запнутся.
> Верно. Поэтому всегда компромис между безопасностью и негеморрностью с юзабилити.
Булшит. Дяденька Бернштейн в его либах показал что хорошая безопасность - не синоним адового гемора. Вот этим либа сделанная криптографом понимающим проблематику отличается от либы которую писали какие-то лабухи не имевшие к криптографии никакого отношения.
> Если кто-то хочет чтобы легко и просто -- будет не безопасно :-).
Нет никаких законов природы которые бы делали неизбежным такой tradeoff.
> хотят доверять одному единственному честному и верному CA какой-нибудь корпорации "добра".
А нормальный вариант - доверять самому себе. Ну и добавлять тех кому мы доверяем явно. С проверкой фингерпринта пятком разных методов по разным каналам (сколь-нибудь реалистичный атакующий не сможет перехватить их все, выполняемые в произольный момент времени). А когда предлагается доверять какой-то корпорахе которая мамой клянется - тут уже все понятно.
> Да, действительно всё просто. Но и в таком мизере кода ошибок можно
> совершить уйму. Для меня это просто факт, ибо сам программист.
Я еще и посмотрел как этим пользоваться. И попользовался. В отличие от openssl - там просто на порядки меньше мест где можно дать маху. Для "просто кодеров" сделаны вызовы которые dead simple и не оставляют места для лажи. Если кто понимает что он хочет - может и на кусочки относительно высокоуровневый вызов разобрать. А тем кто не понимает что это и зачем - пара вызовов в которых просто негде облажаться. А вот openssl - эталонный пример того как библиотеку криптографии делать не надо. В смысле, хрен с два кто этот крап из апликушников поюзает секурно, а аудитить за всеми макаками код я могу и задолбаться. Особенно учитывая его количество потребное для секурного использования openssl.
> какой-то школьник и его репутация и работы говорят о многом, да
> и собственно софт который он делал.
У него для начала групка криптографов по интересам. Он там не один. И по крайней мере он говорит логичные и дельные вещи. И компонует алгоритмы используя понятную мне логику, которая вроде как работает и никаких крутых атак на его алгоритмы вроде как и не нашлось. Ну и исторически он с его qmail и djbdns показал что можно даже на си написать очень секурные программы. То-есть гражданин реально разбирается в тематике и ему как-то так не повезло что его маловато слышат. Есть подозрение что это не совсем случайность.
> И не забывать о кол-ве людей делающий ревью кода. TLS или IPsec
> (о чём Шнайер и говорит) это конечно крайность где сложность такая
> что проще сказать что априори не безопасно.
Именно. Сколько это не ревьювят - результат будет FAIL.
> где каждый волен пилить свои безопасные простые реализации которых будет под
> сотни и само собой речи о безопасности тоже не будет идти, уже как минимум из-за реализаций.
В реализации например использующей nacl - облажаться довольно сложно: API сделан так чтобы им мог пользоваться даже не криптограф. В отличие от openssl где если вы не гуру от криптографии - то вас ждет два зиллиона грабель активных по дефолту.
> явно не буду доверять потому-что банально она не прожила N лет.
ИМХО это тyпой критерий. Софт не вино чтобы настаиваться. И насыщает не время в столовой а беляши. Так что со своей стороы лично я склонен смотрть на то есть ли попытки взлома от криптографов. Если есть и не особо результативные - хороший сигнал. Если есть и результативные - ну, по крайней мере мы честно узнаем свойства. А то что нечто валялось 20 лет под сyкнoм, никто это не изучал, но 20 лет прошло - вовсе не означает что алгоритм такой уж хороший лишь потому что прошло 20 лет и ничего не нашли. Вопрос еще в количестве тех кто искал и, главное, их квалификации.
> Они собираются всё-равно встроить ecdsa и прочее NIST-отравленное дерьмо.
Ну да. Зачем это - я не понял. Они не криптографы и делают странное. Но изначальное направление мысли - в правильную сторону имхо.
> отказаться от SSH совметимости и сделать более простой и ясный протокол.
Вот и у меня есть такое ощущение. OpenSSH давно стал блоатваре с кучей легаси и подпорок. И даже если забыть о дырах, стайка ботов возжелавших сделать брут без расстановки костылей адово клинит проц на публичной криптографии. Потому что всякие RSA и прочие - тормозные.
> доказано что они так же безопасны как старый добрый знакомый RSA.
Лично мне RSA как раз не нравится. Чтобы он был безопасным - надо огромные ключи которые считать упухнуть можно. И костыли с фингерпринтами потому что сами ключи - немеряные.
> изученный вопрос. А ECC слишком нова, недоказана что не имеет фатальных
> критических недостатков которые могут её свести на нет
В конечном итоге оба сводятся к математическим проблемам которые неплохо изучены. А у RSA есть ряд дурных проблем за которые я с ним лишний раз вообще связываться не желаю и на фоне 25519 на свой страх и риск считаю динозавром.
> Опять же кому как, но лично для меня ECC под вопросом ещё остаётся.
Тем не менее, я склонен считать что дядюшка Бернштейн сделал один из наиболее симпатичных мне вариантов Диффи Хеллмана которые я когда либо видел. И да, его либой можно например один сетевой пакет зашифровать. ОДИН, БЛИН. А слабо так с остальными? Без многоэтажных костыльных схем с посылкой дюжин пакетов? :)
> Более проверенный временем (по мне) протокол и криптография чем в 25519 как минимум.
Ну вон md5 тоже временем проверили. И sha1. Вот только результат проверки - не очень, а пользуются. "Потому что стандарт".
