Исследователи из Лёвенского католического университета разработали метод атаки на механизм инкапсуляции ключей SIKE (Supersingular Isogeny Key Encapsulation), который вошёл в финал конкурса постквантовых криптосистем, проводимого Национальным институтом стандартов и технологий США (SIKE был включён а число дополнительных алгоритмов, прошедших основные этапы отбора, но отправленных на доработку для устранения замечаний перед переводом в разряд рекомендованных). Предложенный метод атаки позволяет на обычном персональном компьютере восстановить значение ключа, используемого для шифрования при использовании протокола SIDH (Supersingular Isogeny Diffie-Hellman), применяемого в SIKE...Подробнее: https://www.opennet.me/opennews/art.shtml?num=57593
Ура, старые-добрые триоды задают жару этим наноатомам несчастным!
И на старуху бывает проруха.
Если бы в России подобное случилось, тут же бы набежали анонимусы и стали твердить, что кругом распил бабла и руки из ж. А вон у этих, в США, дырявые криптоалгоритмы первые места занимают. Ещё и с претензией на защиту от взлома на квантовых компах... Смех.
> Если бы в России подобное случилось, тут же бы набежали анонимусы и
> стали твердить, что кругом распил бабла и руки из ж. А
> вон у этих, в США, дырявые криптоалгоритмы первые места занимают. Ещё
> и с претензией на защиту от взлома на квантовых компах... Смех.Так они ж конкурс устроили и вот один из финалистов огреб солидный фэйл в свой адрес. А россияне где-то вообще делали конкурсы для крипто, без явного фаворита и с нормальным криптоанализом? Спустить распоряжением какую-то хрень (заведомо уязвимую к тайминг атакам by design, как и AES) без таблиц - это немножечко не оно. Наверное оттуда и разница. NIST так то себе репутацию тоже неплохо слил с Dual EC DRBG. И досталось им за это очень даже, все видные криптографы по алгоритму прошлись. По российским не проходятся только потому что при вон том процессе заведомо смысла нет это делать.
При том дизайн этого алго заведомо легаси. С свойствами явно хуже чем ARX и подобные math-based.
Кстати есть и математически доказуемо безопасные алгоритмы, проблема с ними только в том что их скорость работы и потребление ресурсов не фонтан, так что пойнт крипто сильно продалбывается. Но если надо - это есть.
>А россияне где-то вообще делали конкурсы для крипто, без явного фаворита и с нормальным криптоанализом?идет прямо сейчас
> Если бы в России подобное случилось
> Если бы
Особенно смешно, что реальных квантовых компьютеров как то не наблюдается. Напоминает историю с AI компьютерами пятого поколения у японцев, эпопею еще с 80х. Исписаны тонны макулатуры, особенно философы постарались изгадить всю поляну, а AI всё там же в светлом будущем.)))
Какие интересные конкурсы
"кручу-верчу, запутат хочу!" (ц)
Ты что-то имеешь против зарплаты? Так не получай её. А ещё лучше - перечисли мне.
Наши-то алгоритмы будут (если будет кому их рожать) стойкими для кого надо стойкими, в этом сомнения нет.
Не то что отдельно (показательно!) взятый.
Михаил, на КАльт 10.1 не трудится захват экрана на Wayland. Ubuntu K22LTS всё нормально. Это нормально?
> Это нормально?я не Михаил, но нет
Ты ошибся в написании, Л должна быть тоже заглавная.
"не трудится захват экрана" — вот интересно, с какого языка перевод?
С английского вестимо. to work -- трудиться.
Ну это на обычном же, значит нечестно.
Кто-то поливает говном ГОСТ, но до сих пор нет внятных способов взлома. Западное обязательно стойкое, а наше нет, ведь так?
Шнайер честно написал в заключении, но до туда мало кто дочитывает. :)
У меня критика гостовской крипты вызывает ощущения не то проплаченности, не то упоротости. Может быть даже вместе. Если бы она была не надёжна, её бы не использовали (доброжелателей то полно в мире, которые хотели бы её взломать).
+1
В своё время изучал опусы Куртуа, общий смысл примерно такой: если взять простенькие S-матрицы и прокрутить шифрование не 256 раз, а только 16, то с помощью моего фирменного метода алгебраической редукции, подробности которого я вам не скажу, можно взломать ГОСТ не за 100500 времён жизни Вселенной, а только за чуть более чем 9000. Этим доказано, что ГОСТ уязвим.
Ну надаже.А кто клялся и божился что все параметры к симметричному шифру сгенерированы рандомно, а потом энтузиасты написали простой алгоритм который это математически генерировал, чем подтвердили что авторы наврали в этом аспекте, а значит там может быть математически бэкдор в алгоритме из за таких странных параметров.
Авторы потом долго отпирались но их погнали ссаными тряпками и больше не слушали.
> а значитНе значит.
Прокекали доверие один раз наврав про параметры, прокекали ещё больше когда продолжали отпиратся даже когда нарисовали алгоритм который генерит в точности ихний "рандом".
Это не считая того что их ваще никто не знает в тусовке, те это по сути такие же анонимы как любой в инете.В общем суть в том, что пришли чуваки без репутации, наврали и тем самым создали себе отрицательную репутацию, дальше на них просто никто особо не хочет тратить время, малоли дурок нынче с выходом в инет.
Это ты про пиндосов с их DES и "случайными" S-боксами?
Значит. Репутация в академических кругах очень важна. Её зарабатывать приходится кропотливым трудом, а потерять можно в мгновение ока. Быть пойманным на лжи в отношении процедур -- это финал. Единственный способ выкрутиться -- списать косяк на honest mistake. И тут в принципе не обязательно строго доказывать честность ошибки, но надо а) признать ошибку; б) предложить достаточно правдоподобное объяснение тому, как эта ошибка была совершена нечаянно из самых лучших побуждений, в) не расписаться таким образом в своей элементарной безграмотности, г) не допускать повторения, потому как один раз ещё могут взять на поруки, но во второй раз закопают и слушать не будут. Это не формальные правила, но от этого они только жёстче становяться, поскольку их сложнее технически обойти.Ничего этого сделано не было. ГОСТ можно списывать. Если кто его и будет использовать, то только те, кому ФСБ может приказать его использовать. Если в ФСБ хоть немного мыслящих людей осталось, то они воздержатся от таких приказов, чтобы не подставлять тех, кто их приказов слушается: даже если бекдор в ГОСТ не внедряли по заказу ФСБ, у них нет причин доверять разработчику, который так косячит. Но я спорить готов, что у ФСБ на это не хватит коллективного интеллекта.
Куртуа писал про 28147, а гнилые S-матрицы заподозрили у Кузнечика. У 28147 S-матрицы в стандарте не заданы, есть от Центробанка, есть от Криптопро, подозреваю, что у Инфотекса тоже свои собственные.
И вообще что касается S-матриц, их не просто генерируют рандомно, их тщательно подбирают, чтобы соответствовали определённым критериям. И - да, создатели Кузнечика тут, похоже, действительно облажались.
28147 с единственно верными матрицами теперь называется магма. (и кажется они ещё где то по пути сменили big на little или обратно, ну не могут они без этого)
К нему в общем то одна претензия: длина блока всего 64 бита.
> кажется они ещё где то по пути сменили big на little или обратно,
> ну не могут они без этогоЧто значит «кажется»? Вы не помните, не уверены, не поняли зачем это сделано, или что? Я, например, не интересовался 28147. Когда интересовался, то обнаружил, что AES при реализации банально не могут адаптировать под little, за счёт чего теряется скорость.
Я возился с этим примерно в 2017-8 годах и не так хорошо помню детали.
А я «возился» в нулевых и тоже не помню детали, а именно имена 3-4х библиотек, где посмотрел реализацию. Зато помню, что почти везде был оптимизированный вариант на ассемблере, а команда bswap тогда выполнялась где-то 8 тактов на кукурузных 4-х Пнях и её заменяли набором сдвигов. Я изменил алгоритм под little endian, и мой код на плюсах вдруг обогнал все эти ассемблеры. Потом его даже переписали на Си и сунули в «продакшн» https://github.com/DavidXanatos/DiskCryptor/blob/77a6b3026cf...Вот тогда я поинтересовался у людей, а почему сложилась такая ситуация. А потому что есть стандарт, и кодер по нему пишет. Если написано что-то от себя, это может потребовать доказательств корректности. Что вне компетенций кодера. Потому Ваша формулировка про «сменили» может вызвать вопросы, на которых вся гипотеза посыпется. Вот я запросто могу заявить, что ничерта не смыслю в полях Галуа, потому позволяю себе произвольно сочетать термины, а для специалиста криптолога такое может оказаться концом карьеры.
> К нему в общем то одна претензия: длина блока всего 64 бита.Т.е. утечка таймингов - не претензия? Оок, мистер "криптограф". Да, эта претензия есть и к AES.
Тебе напомнить про эпопею с ЭЦП для Госуслуг?
Меня просветите, пожалуйста.
Когда вводили ЭЦП, идея была в том что цифровая подпись это клево и безопасно, потому что подделать гораздо сложнее чем паспорт и подпись, можно совершать сделки удаленно и ваще кайф. Но после внедрения нашлась жирнейшая дыра -- УЦ, выдававшие ЭЦП, толком не контролировались, и по факту УЦ открывался за пару-тройку месяцев и начинал клепать валидные ключи на имя ничего не подозревающих граждан. Полиция за ними бегает до сих пор. Так что тезис "раз пользуются, значит безопасно" он из мира розовый пони.
Погоди, так какая претензия к алгоритму то? Человеков, выдающих ключи взломали? Ну так это не зависит от алгоритма шифрования, только от паяльника и суммы денег. Это должно регулироваться госпроцессами, а не алгоритмами шифрования.
> Погоди, так какая претензия к алгоритму то? Человеков, выдающих ключи взломали? Ну
> так это не зависит от алгоритма шифрования, только от паяльника и
> суммы денег. Это должно регулироваться госпроцессами, а не алгоритмами шифрования.Речь не про алгоритм, речь про тезис "если бы было небезопасно, то не пользовались бы".
хех, бл* нашел чем троллить.
большинство бытовых замков вскрываются за несколько минут даже простым слесарем.
на али куча готовых отмычек с инструкциями продаются.
долго думал что перфоключ надежен. недавно увидал видосик как его открывают за две минуты спец.ключом с алюминиевой накладкой.
и один фих все пользуются.
https://www.youtube.com/c/lockpickinglawyer/videos?cbrd=1&uc...
Вот тут всё вскрывается, часто безобразно просто, но иногда есть достойные замки.
В достойный "забивают гвоздь" и уже головняк с замком имеет хозяин замка.
> В достойный "забивают гвоздь" и уже головняк с замком имеет хозяин замка.Хату не обчистят, замок миссию выполнил. А я себе по приколу засов тягаемый шаговиком изнутри сделал. У него скважины нет. Специально на радость классическим медвежатникам.
> хех, бл* нашел чем троллить.
> большинство бытовых замков вскрываются за несколько минут даже простым слесарем.
> на али куча готовых отмычек с инструкциями продаются.
> долго думал что перфоключ надежен. недавно увидал видосик как его открывают за
> две минуты спец.ключом с алюминиевой накладкой.
> и один фих все пользуются.Ну собственно да, квартирные кражи были редки в последнее время банально потому что брать дома было особо нечего, потому что техника стала дешевой. Через год их снова станет больше, когда все достаточно обнищают.
Ну да, ведь всё что делают гос служащие охеренно правдиво, надёжно, долговечно и тп.
А то что там работают дятлы которые ничего не вдупляют вы не видите, вам же эксперд из телевизера с дипломом сказал, значит так и есть.
ГОСТ делали ученые-математики, это не совсем обычные госслужащие
Учоные которые подтверждают статус друг друга, в мире об их учоности никто слыхом не слыхивал.
Потом учёные тоже ошибаются, как и все, потому даже к тем чья учёность сомнений не вызывает в виду их публичных достижений в сообществе всё равно не раз проверяют за ними.
> Учоные которые подтверждают статус друг другаМировая практика.
> в мире об их учоности никто слыхом не слыхивал
Мало что из России имеет известность в мире, тут не в учёных дело.
Случай когда два человека из одной шараги подтверждают статус друг друга - это немного не то как устроена наука в мире, особенно когда речь идёт о доверии.Учёных из россии достаточно на мировой научной сцене, только нюанс в том, что большая их часть свалила из страны.
> достаточно на мировой научной сценеПочему же мы о них ничего не знаем?
Только потому что вы мало читаете специфической литературы на английском.
Учёные не рокзвёзды, по телеку их показывают очень редко и чаще тех кто из науки подался в манагемент.
Учёные не публикуют на русском, программисты не пишут на русском, но сами они из россии. Что-то тут не то.
Мне тут на память пришло рассуждение на одном форуме программистов автора каких-то ховто или статей, который писал на русском, но хотел это бросить так как на русском его никто не читал, даже россияне, а вот на английском на его статьи был спрос, в том числе и от россиян.
То есть получается то, что обилие мануальников на английском и квалифицированной помощи на английском приводит к тому что всё это и ищут на английском, а родным языком пренебрегают.
Всё идёт к тому что что останется только один язык и куча мёртвых языков, на которых будут говорить исключительно малообразованные люди.
И что это за исключительный язык? Ваш прогноз. К тому же, малообразованные, как вы их называете, хорошо рожают, образованные не очень.
Просто ученые-криптографы в России особо не раскручены и не отсвечивают, те кто не свалил
Раскрутка происходит двумя способами:
1. публикации и рецензирования чужих работ
2. найти мега баг/бэкдор и раструбить о нём всем СМИКрипторасты из нашей страны сидят на попе ровно и пилят госбюджеты, потому что только они окончили правильный вуз и потому только у них есть право получить лицензию чтобы писать правильные реализации нужных государству алгоритмов. Жисть удалась.
Я не сильно интересовался, единственные потуги которые я видел в плане выйти на публику были связаны с попуткой пропихнуть ГОСТ крипту в стандарты и опенсорц проекты.
Говорят, учёным меньше чем всем доверять надо? )
В АНБ США тоже ученые-математики, а не обычные госслужащие.А то, что при уже давно очевидной неслучайности s-box'а взломать ещё никто не смог, говорит о том, что математики действительно хорошие, и отлично справились с поставленной задачей. Если бы было легко найти бэкдор, нет никакого смысла в таком бэкдоре.
А вам АНБ брифинги присылает, как Джорджу Бушу старшему?
Если нет, то взломали они или нет узнаете может быть когда нибудь, лет через 30-50, как с 3des было.
Они не подчиняются майору или в чём их необычность
> её бы не использовали (доброжелателей то полно в мире, которые хотели
> бы её взломать).А как ее надежность определили то? Когда параметры не специфицированы на публику нормально для криптоанализа. Более того - способ определить какие таблицы пермутации хорошие а какие плохие тоже не дали. И считать это чем-то хорошим надо потому что... например, что?!
Только таблицы мутные надо заменять на свои.
А в CRC32 не надо таблицы мутные заменять? Они же правильные, одобренные правильными людьми?
А что, можно использовать CRC32 для шифрования?
шифровать запросто, заодно и данные сожмутся
расшифровать сложно
Рабиновичу для курсовой дали задание написать архиватор.
Рабинович создал алгоритм, который сжимает информацию до одного бита.
Препод спрашивает:
- А как же информацию восстановить обратно?
- А разархиватор мне не задавали...
> Рабиновичу для курсовой дали задание написать архиватор.
> Рабинович создал алгоритм, который сжимает информацию до одного бита.
> Препод спрашивает:
> - А как же информацию восстановить обратно?
> - А разархиватор мне не задавали...Рассказать тебе как сжать что угодно до 0 байтов?!
1) Читаешь файл.
2) Режешь его на блоки не очень большой длины.
3) Кодируешь блоки base64, или что там тебе нравится, лишь бы 0x00 и / не было.
4) Создаешь пустые файлы 0 размера с именем как вон тот блок. Можно еще # блока кодировать чтобы на порядок в списке не уповать.
5) Повторяешь пока весь файл так не раскидается.Итого: дира с большой кучей файлов 0 размера. Суммарный размер файлов - ноль! Это подлежит декомпрессии обратно в файл, проделывая инверсную трансформацию: читаем имя файла -> base64dec -> пишем в "декомпрессуемый" файл блок.
Однажды кто-то даже попытался так выиграть compression challenge - он спросил, можно ли более 1 файла создавать, ему сдуру подтвердили. Ну он и сделал вон то. Правда, говорят что есть подстава, т.к. место в результате не очень то "экономится".
> А что, можно использовать CRC32 для шифрования?А что, мутные таблицы бывают только в шифровании?
> можно использовать CRC32 для шифрования?Можно.
Если CRC32 считать не от всего текстового файла с сообщением вообще, а для каждого слова в отдельности (желательно это слово перед взятием CRC32 "посолить" хотя бы и через XOR).
> Если CRC32 считать не от всего текстового файла с сообщением вообще, а
> для каждого слова в отдельности (желательно это слово перед взятием CRC32
> "посолить" хотя бы и через XOR).Не понял алгоритм из описания, но на всякий случай оставлю здесь это:
#include<stdio.h>
unsigned long c,c2,p2,pol=0xEDB88320;
long n,k;
main()
{
printf("CRC32 Adjuster (c) 2001 by RElf @ HHT/2\n");
printf("Length of data: "); scanf("%ld",&n);
printf("Offset to patch: "); scanf("%ld",&k);
n = (n-k)<<3;
printf("Current CRC32: 0x"); scanf("%x",&c);
printf("Desired CRC32: 0x"); scanf("%x",&c2);
c ^= c2;
p2 = (pol << 1) | 1;
while(n--) if(c&0x80000000) c = (c<<1)^p2; else c<<=1;
printf("XOR masks:%02X%02X%02X%02X\n",c&0xff,(c>>8)&0xff,(c>>16)&0xff, c>>24);
}P.S.
капча: 63036
Не на расте?
Просто заметка. Таблицы в CRC32 - это способ оптимизации, а не часть алгоритма. Их можно сгенерировать во время работы. Можно вообще без таблиц в лоб считать - результаты те же, но скорость просядет.
> А в CRC32 не надо таблицы мутные заменять? Они же правильные, одобренные
> правильными людьми?CRC32 подгоняется патчем из 4 байтов до нужного. Все что нужно знать о его криптостойкости.
А что там отечественного? Сети Фейстеля и SP-сети для симметрических не в России придумали, как и с асимметричными.
таки да
> таки даЗато мутно зажопить параметры - вполне.
Стандарт - отечественный.
А что цифры придумали арабы - так им отчислений не платит никто.
>Стандарт - отечественный.кек, скопированный у белорусов?
Ты что-то против белорусов имеешь?
о да, мы русские
ГОСТ нужен для того чтобы его мог взломать товарищ майор. Товарищу майору надо знать вашу переписку. ГОСТ как и мессенджер Телеграм имеет свой спец. вход служебных нужд гебни.
Но телеграм не использует гост.
Речь про бэкдоры.
А лучше бы была про пруфы.
Бэкдор практически всегда делается в реализации, а не в алгоритме, т.к. в алгоритме спрятать сложнее. Сложнее по причине того, что куча народу этот алгоритм ковыряют, как в данному случае.
А вот намудрить в реализации куда проще.
Почему? Реализацию как раз намного легче исследовать. А в алгоритме используются входные параметры и никто не говорит почему именно такой s-box, а не другой. И это так просто не дизассемблируешь.
Зато когда бэкдор в алгоритме, то уязвимы все реализации. И менять алгоритм в реализации никто не будет по разным причинам:1. за реализацию того алгоритма было заплачено, а за смену алгоритма гранта уже нет. Зарплатанама нет - работанама нет.
2. алгоритм заюзали в протоколе, и захардкодили. Поменяешь алгоритм - на другой стороне провода не поймут, там вообще оборудование другого вендора, который алгоритм либо менять не будет по причине 1, либо будет, но пойди у него новую железку купи тогда. А ещё может быть оборудование не просто другого вендора, а другого собственника, который тебя на 3 буквы пошлёт, когда ты ему скажешь выкинуть его мусор и купить новый другой такой же мусор, но с новым алгоритмом, для которого эксплоит пока не опубликовали в паблике.В принципе на примере с роутерами, мобилами и KRACK весьма заметно. Не новый же роутер и телефон покупать из-за этого? И не новую вайфа карту, потому что там шифрование самой картой обрабатывается и wpa_supplicant тебе тут не помощник.
И где чаще находят проблемы: в алгоритмах или реализациях? Т.е.: из-за чего чаще всего бывают вышеописанные проблемы?
И отвечу сам так: проблемы чаще бывают банально из-за:
1) самописных реализаций вендоров, когда "а я художник, я так вижу" (и где тут вина алгоритмов?);
2) забивание на стандарты, даже если они есть (даже неполное следование стандарту - уже даёт нестандартное решение) (опять же где тут вина алгоритмов?);
3) желания вендоров привязать к своим решениям (и снова: где тут вина алгоритмов?.Я понимаю, что у нас постоянно народ переквалифицируется то в геополитиков, то в вирусологов, то в военспецов. И опыта в диванных баталиях накоплено у всех очень много.
Но не считать себя умней многих криптологов.
Куча кого и где? Ты наверное опечатался с уточнением какой кучи и где ты это кучу видел.
> Куча кого и где? Ты наверное опечатался с уточнением какой кучи и где ты это кучу видел.Насколько понимаю, понимания, что современная криптография - это прикладная математика - почти нет? Есть и люди, и методы и пр. для аналоиза.
> Бэкдор практически всегда делается в реализации, а не в алгоритме, т.к. в алгоритме спрятать сложнее.Ты думаешь, что этот аргумент доказывает, что в ГОСТе нет бекдоров? Но этот аргумент применим и к алгоритмам NSA, а NSA реально ловили за руку на пробекдоренных алгоритмах. То есть аргумент не работает.
> Сложнее по причине того, что куча народу этот алгоритм ковыряют
Да. Из этого NSA выкручивалась спецификацией алгоритма на несколько сот страниц, которую никто толком не смог дочитать до конца. ФСБ выкручивается подбором констант. Но недостаточно удачно, к этому подбору констант возникли вопросы -- сначала чисто формальные, типа "где алгоритм их генерации?", а затем и технические: что-то константы не похожи на случайные. Был бы алгоритм генерации, можно было бы проверить, что такие константы можно им получить, но алгоритма нет. Алгоритм засекречен. И единственное правдоподобное объяснение этому в том, что посмотрев на этот алгоритм можно догадаться, как бекдором воспользоваться.
Самописная криптография лучше чем ГОСТ, потому что какой бы дырявой она не была, в ней дыры ещё искать надо будет, а вот дыры в ГОСТ явно уже известны ФСБ. И судя по последним "успехам" ФСБ, когда она залетала на ровном месте -- не, ну ты прикинь, перемещения их агентов по России отслеживают иностранные журналисты, причём не пересекая границу. Ладно бы их в Немции поймали таким образом, или хрен с ним если бы их иностранные агенты под прикрытием отследили бы. Нет, их на родной земле из-за бугра. Эта пронизывающая всю структуру некомпетентность гарантирует, что эти бекдоры давно известны всем заинтересованным, а не только ФСБ.
>> Сложнее по причине того, что куча народу этот алгоритм ковыряют
> Да. Из этого NSA выкручивалась спецификацией алгоритма на несколько сот страниц, которую
> никто толком не смог дочитать до конца. ФСБ выкручивается подбором констант.
> Но недостаточно удачно, к этому подбору констант возникли вопросы -- сначала
> чисто формальные, типа "где алгоритм их генерации?", а затем и технические:
> что-то константы не похожи на случайные. Был бы алгоритм генерации, можно
> было бы проверить, что такие константы можно им получить, но алгоритма
> нет. Алгоритм засекречен. И единственное правдоподобное объяснение этому в том, что
> посмотрев на этот алгоритм можно догадаться, как бекдором воспользоваться.Более того: набор констант для применения для защиты гостайны - сам гостайна.
Именно инициализация (эти самые наборы) много меняет в работе алгоритма, но не сам алгоритм.> Самописная криптография лучше чем ГОСТ, потому что какой бы дырявой она не
> была, в ней дыры ещё искать надо будет, а вот дыры в ГОСТ явно уже известны ФСБ.Потрясает глубина анализа...
> Нет, их на родной земле из-за бугра. Эта пронизывающая всю структуру некомпетентность гарантирует, что эти бекдоры давно известны всем заинтересованным, а не только ФСБ.
И о чём речь?
NSA уже засветился с DES и с тех пор предпочитает бэкдоры не в самих криптоалгоритмах, а в конкретных реализациях. Со вторым таким инцидентом все просто начнут избегать любых сертифицированных алгоритмов.
> ГОСТ (...) имеет свой спец. вход служебных нужд гебниС этого момента, пожалуйста, поподробнее.
Его бы не разблокировали, не договорись Паша с КГБ.Другой Аноним.
Уточню что имел ввиду Телеграмм
> Его бы не разблокировали, не договорись Паша с КГБ.Я про служебный вход в алгоритме, а не в ТГ.
> Его бы не разблокировали, не договорись Паша с КГБ.По этой логике выходит, все что не заблокировано - скомпроментировано
Рекомендую шапочку из фольги
Рекомендую реальный мир.
Это цыфро́вый мир 😊
Дуров не договаривался, Россия не та страна где можно договорится с гебнёй. Он с самого начала сотрудничал с ФСБ.
> Дуров не договаривался, Россия не та страна где можно договорится с гебнёй.
> Он с самого начала сотрудничал с ФСБ.дуров в любомслучае будет сотрудничать с гебней. в любой стране, где будет обитать.
в америке есть отдельный пункт запрещающий тебе даже озвучивать факт обращения к тебе гос.служб безопасности.
> дуров в любомслучае будет сотрудничать с гебней.Существование весьма забавных пабликов в телеграме, от которых у вон тех должно жестко пригорать эту идею не очень подтверждает. Кмк штуки типа "генерал СВР" они бы с удовольствтем выпилили оттуда, если б могли.
>> дуров в любомслучае будет сотрудничать с гебней.
> Существование весьма забавных пабликов в телеграме, от которых у вон тех должно
> жестко пригорать эту идею не очень подтверждает. Кмк штуки типа "генерал
> СВР" они бы с удовольствтем выпилили оттуда, если б могли.Зачем выпиливать бредогенератор? Скорее всего "вон те" сами и создали этого "генерала СВР", чтобы реальные сливы запомоить.
Западное хоть тестируют всесторонне, как видим в данном случае, преставители разных стран. И таки находят проблемы. А наше же всё гостайна за семью печатями.
Разве могут быть сомнения в отечестве? Покайся!
> Западное хоть тестируют всестороннеSSL, OpenSSL и SSH передают ПРИВЕТ!
> И таки находят проблемы.
Таки да. нашли за 7 лет. Но за это время некоторые дети в школу пошли.
> А наше же всё гостайна за семью печатями.
Парадоксально, но нет! есть открытый список рассылки, где все обсуждается.
> Парадоксально, но нет! есть открытый список рассылки, где все обсуждается.А что за список, не поделитесь?
Поди сектансткий канал на ТК26, где все друг друга знают по учёбе в одном из двух вузов.И открытость там поди уровня: приходите, читайте если поймёте наш сектансткий язык, а ваши письма мы читать не будем, у вас даже профильного образования нет.
> Поди сектансткий канал на ТК26, где все друг друга знают по учёбе
> в одном из двух вузов.
> И открытость там поди уровня: приходите, читайте если поймёте наш сектансткий язык,
> а ваши письма мы читать не будем, у вас даже профильного
> образования нет.Да, там своя атмосфера. Но в этом золотнике можно почерпнуть инсайд, полезную информацию, почему некоторые вещи сделаны так как сделаны. (злого умысла в этом нет).
Нет, не поделюсь.Воспользоваться поисковиком и найти его самостоятельно - это входной фильтр от школьников и тролей.
А не понятно, по каким словам искать, это вы печально сделали, что испугались
> А не понятно, по каким словам искать,Криптография - это (пока) не ваше.
> SSL, OpenSSL и SSH передают ПРИВЕТ!Уязвимости находят https://www.openssl.org/news/vulnerabilities.html , значит тестируют.
Если в чём-либо не находят их, то значит никто не ищет/тестирует.
Если в чём-либо не находят их, то не значит, что уязвимостей нет, ибо они есть всегда в не микро проектах.> Таки да. нашли за 7 лет. Но за это время некоторые дети в школу пошли.
Именно поэтому вообще-то среди криптографов с давних пор и принято, что любые алгоритмы использовать можно лишь после того как им исполнится 6—10 лет (созреют). Примерно то же самое и с файловыми системами: никто для важных данных не поставит 7-летнюю ФС; или 13-летнюю ФС, если обкатана была лишь на 1.5 россиянах.
>> SSL, OpenSSL и SSH передают ПРИВЕТ!
> Уязвимости находят https://www.openssl.org/news/vulnerabilities.html , значит тестируют.
> Если в чём-либо не находят их, то значит никто не ищет/тестирует.Если никто не пользуется, то значит никто не ищет.
> (созреют). Примерно то же самое и с файловыми системами: никто для
> важных данных не поставит 7-летнюю ФС; или 13-летнюю ФС, если обкатана
> была лишь на 1.5 россиянах.Без важных данных ФС обкатку не пройдет. замкнутый круг.
Я поливаю ГОСТ говном.1. ГОСТ который эцп - прямая копия обычного ECDSA (прошлый был кажется обычным RSA) в котором один из шагов переместили из проверки подписи на этап высления (или наоборот, не помню уже).
Шаг имеющий мало смысла, но в общем ничего криминального.
Другие страны просто ограничились публикацией своих собственных параметров к имеющимся алгоритмам и не создали тем самым дополнительных неудобств имплементаторам.2. ГОСТ который с хэшем - там просто обкакатушки вышло. Разработчики взяли ХАЙФу и неправильно проксорили счётчик, в итоге вместо 512 бит получилось где то 260 или как то так.
3. ГОСТ который симметричный шифр - было много заморочек с разными параметрами.
Для всех отечественных алгоритмов есть одна огромная претензия: их писали сектанты для членов секты.
Те ни псевдокода, ни референсной реализации там нет, как правило. (для эцп точно нет, для последних хэша и симметричного сделали, но кажется это какие то полуофициальные)
Примеры вычислений то в big то little endian числа записаны, притом часто не указано в каком именно и нужно догадыватся самому.
Сделано практически всё возможное чтобы обычному программисту было невозможно имплементировать в коде ихние поделия.Это потому что пейсатели хотят срубить бабла на имплементации и им не нужно продвигать их поделия куда либо в сообщество, чем меньше реализаций - тем больше они нужны и больше бабла отожмут.
1 – не важно.
2 – тут я не разбираюсь.
3 – субъективное мнение без конкретики.Субъективщина, критика подачи документации.
Что сказать этим хотел? Разгром стойкости ГОСТа я не увидел.
Вы ГОСТом называете всё подряд, сгущёнка тоже ГОСТ.3. я там выше вспомнил про претензии к параметрам которые были заявлены как рандомные но таковыми 100% не являлись.
Плохая документация - мало исследований и имплементаций, ниша и так узкая с высоким порогом входа а эти дятлы ещё больше уменьшают интерес к их поделкам.
А нет независимых аудитов - нет доверия.Мне не нужно громить стойкость ГОСТ, это авторам нужно доказывать его стойкость и убеждать в этом всех всеми возможными способами.
>> Мне не нужно громить стойкость ГОСТ, это авторам нужно доказывать его стойкость и убеждать в этом всех всеми возможными способами.Бремя доказывания лежит на том кто сделал утверждение, ты написал 3 пункта с утверждениями, теперь доказывай и убеждай
Мне то это зачем?
Я просто не буду юзать ГОСТ крипту и не буду её рекомендовать, потому что она не заслужила доверия.
Там вон даже у ECDSA клона половина кривых с мутными параметрами.
Ещё раз про документацию: нет документации - ГОСТ - давайдосвидос.
Это не мне нужен ГОСТ, не я за ним должен бегать а он должен быть юзерфрендли чтобы им пользовались и встраивали везде.
Позиция ГОСТопейсателей как раз как у вас: выкакем документацию кривую, юзеры всё равно приползут и будут нас умолять за деньги дать им ГОСТ. Это не рыночный подход, который там дальше идёт во всём и неизбежно сказывается на качестве.Они даже хэш функцию стрибог не поправили и не выпустили новый стандарт, хотя там правка на пару строк что в коде что в документации, да новый OID выкатить. Если бы они это сделали то про надломаную версию хэша уже бы все забыли, а так оно активный стандарт хз на сколько.
А авторам походу пофик - бюджет то освоен, а на результат пофиг.
> Это не рыночный подход, который там дальше идёт во всём
> и неизбежно сказывается на качестве.Вот AES-то рыночек порешал, да, AES-то качественный, не то что ГОСТ!
> Вот AES-то рыночек порешал, да, AES-то качественный, не то что ГОСТ!Ну а чего? AES позапихали в каждую дырку. И за хренову кучу времени на него особого криминала не нашлось. Он с самого начала нормально специфицирован - так что криптоанализы изучали его гораздо предметнее и глубже. В обхемах не идущих ни в какое сравнение с гостом. Вскрыть AES это сразу стать звездой мирового масштаба. И даже так какого-то ощутимого криминала не нашлось.
А так все кому надо - знают что AES уязвим к тайминг атакам. За что профи от крипто и считают такую структуру алгоритма легаси. Поэтому новые, типа salsa/chacha/подобных по смыслу вообще избегают S-box, неудачная конструкция для современных процессоров с кешом, тайминги текут. В мире где на вон том хосте крутится пачка виртуалок это уже довольно неудачно.
А рыночек тут при том, что?
>А авторам походу пофик - бюджет то освоен, а на результат пофиг.Да расслабься ты. Главное бабло. Бабло греет душу, понимаешь?
А теперь объяснить, чем это плохо. С пруфами.
Труд исполнителей оплачен? Если оплачен и претензий у заказчика нет, то почему не пить коньяк?😎
> но до сих пор нет внятных способов взломарассказать историю про неуловимого Джо?
AES который открыт, аппаратно встроен почти в каждый утюг рвет твой ГОСТ как тузик грелку по скорости и надежности, даже в программной реализации
У гостового симметричного шифра есть тоже аппаратные реализации, но естессно не в амд/интелах а во всяких брусьях и байкалах.
Кроме того есть реализации на SIMD которые если не опережают то не значительно отстают от аппаратного AES.Насчёт надёжности - хз, репутационно да.
Три года назад нашли очень интересную декомпозицию гостовского S-box:
https://eprint.iacr.org/2019/092Случайно такое получиться никак не могло.
> While we could not find attacks based on these new results, we discuss the impact of our work on the security of Streebog and Kuznyechik.
> Кто-то поливает говном ГОСТ, но до сих пор нет внятных способов взлома.Искать внятные способы взлома неблагодарное дело. Это сложно и дорого. Если ты не найдёшь его, то это не доказывает ничего. Если ты найдёшь его, то это лишь докажет, что алгоритмом пользоваться не стоит. Поэтому если у тебя есть серьёзные основания полагать, что алгоритм забекдорен, то проще отказаться от него сразу, без поиска внятных способов взлома.
Гомоморфный образ группы, до победы коммунизма, изоморфен факторгруппе по ядру гомоморфизма.
нихрена непонятно, но очень интересно
Всё, на самом деле, понятно. Гомоморфизм группы А в B - это отображение, согласованное относительно операции группы. Ядро гомоморфизма - элементы A, которые отображаются гомоморфизмом в нейтральный элемент группы B. Легко показать, что ядро всякого гомоморфизма - нормальная подгруппа. По нормальной подгруппе можно построить фактор-группу. И вот она будет изоморфна (иметь ту же структуру), что и образ группы А
- Вы алгебров объясняете?
- Нет, только формулироваем.
- Интересное...
Мемасики, такие мемасики. Нужно больше мемасиков и как можно чаще. Сейчас это уже даже не супермодно, а практически обязательно для идентификации свой/чужой.
- Кринжовый вайб показывате?
- Нет, только зуммерский.
- Смузи инклюзивное?
- Да, фрешно-лайтовое.
Победа коммунизма неизбежна, да.
Над здравым смыслом? Так вроде бы уже
По вам заметно.
Так он единственный из предложенных был со своей уникальной схемой. В криптографии же новшества приводят к проблемам. Видимо придётся использовать старые алгоритмы с мегабайтными ключами для передачи 256 бит ключа симметричного алгоритма...
Не передавайте ключи по сети и будет вам счастье.
Ой, а штойта так?!
Лёвенский католический, окунул Национальный институт стандартов и технологий США.
Шойта, веруны оказались более продвинутые, чем науковеры, которые последнее время заняты квотированием фриков, diversity inclisive и левацкой травлей здоровых людей, а тут вдруг такой обосрамс?
Странно, с чего бы это, всё же нормально было, правильной дорогой же идут?!
В этом ничего такого нет, прошли те времена, когда все нужные(ТОЛЬКО ВСЕГО ЛИШЬ НУЖНЫЕ) знания могли помещаться в голову одного человека, как следствие люди могут что-то вот так упускать.
"Несмотря на название «католический», ЛКУ является светским и действует независимо и отдельно от Католической церкви[8]. ЛКУ открыт для студентов разных вероисповеданий или жизненных позиций[9][10]. "
В общем теперь все алгоритмы, когда-либо одобренные NIST - под сомнением. Ведь можно даже не проплачивать за бэкдор, а просто одобрить тех, кто явно что-то не знает с фатальными последствиями. А тех, кто знает - не одобрить.А теперь второй слой паранои: может одобрение слабого алгоритма было сделано специально, в надежде. что найдут, чтобы пустить тень на слишком хорошие алгоритмы, чтобы народ подумал "наверное и там такие же проблемы, но нужные люди их знают, а мы - нет, но мы даже как исправить не знаем", будем держаться подальше от всех публично одобренных NISTом?
NISTу то пофиг на репутацию, они - гос. организация, хозяин прикажет использовать их стандарты - значит все будут использовать их стандарты. Но этот конкурс криптоалгоритмов под началом ниста - явно последний. Потому что теперь туда даже отправлять не будут. Даже если NIST за это доплачивать станет.
Может быть не все под сомнением, но как минимум с рекомендованными эллиптическими кривыми были подозрения, что в них не особо случайные параметры. Потому тот же биткоин и использует secp256k1
А вот тут https://safecurves.cr.yp.to/ (сайт некого Даниэля Бернштейна, чья кривая проходит все его критерии) утверждается, что кривая secp256k1 не удовлетворяет требованиям к кривым, чтобы реализации алгоритмов для неё можно было сделать безопасными.
Ну что за бред несете? Аноним вверху написал, что в алгоритмах ковыряются куча народа. Какие еще доказательства нужны? Акститесь неграмотные!
Доказано, что любой код на расте без unsafe блоков является безопастным, нечего тут смуту наводить.
Все требования к кривым известны с 1997 года, когда банкиры зарелизили исследования по теме, потом оно было скопипащено в NIST стандарты.
Берите и проверяйте сами :)
Я помню что какие то кривые не проходили необходимые тесты, но кажется не эта.И вопрос с элиптикой в другом, есть слух что нашли как сломать на обычном компе и вероятно за достаточно быстро.
SEC 1 Ver. 2.0 + X9.62-1998 cheks1. Check that p is an odd prime.
5. Check that n is prime.
X9.62-1998: And that n > 2^160 and n > 4√p.Вот эти проверки у меня не реализованы, я поленился разбиратся и имплементировать.
6. Check that h ≤ 2^(t/8), and that h = [(√p + 1)^2 / n].
Вот это фейлится с некоторыми кривыми от NIST:
"secp160k1"
"secp160r1"
"secp160r2"
"secp224k1"
"id-GostR3410-2001-ParamSet-cc"
"id-gostR3410-2001-Test_ParamSet"
"id-gostR3410-2001-CryptoPro-B-ParamSet"
"id-tc26-gost-3410-12-512-paramSetB"
"id-tc26-gost-3410-2012-512-paramSetTest"
secp160 и secp224 уже можно сказать списали, рекомендовали юзать только для всякого IoT и где время жизни ключа не большое.
А вот с ГОСТами как то не очень красиво, тк из этой пачки только два не должены юзатся в проде.Если захотите поигратся - когда легко гуглится на гитхубе, там же утилита которые дёргает селфтесты где это всё и вылезает.
Для того и открывают спецификации, алгоритмы и матобоснование - чтобы проверяли всем миром. Потому что - да - доверять нельзя никому.
Список нужен, чтобы инженеры в каком-нибудь контракторе на госзаказе могли просто взять первую подходящую по характеристикам крипту, не заморачиваясь.
Внесли в список уязвимую. Ну, бывает.
Математика как иностранный язык. Чтобы понять все предложение целиком, надо каждое слово со словариком переводить. Точнее со статьей из википедии, где точно так же куча непонятных слов, так что ситуация становится рекурсивной.
Думаю в математике всё специально запутывают, только в отличии от айти отказываются признавать недостатки и нет чего-то вроде suckless программ. Впрочем с криптографией еще более-менее так как люди хотя бы пытаются спецификации писать и давать примерные имплементации. Пробежался по тестовым векторам и уже примерно можешь и реализовать, только потом ещё с различными тайминг атаками надо придумывать решения и еще чем-то.
"Мы придумали супералгоритм который невозможно взломать на квантовом компьютере...и только на нем."
Ну, строго говоря, его нельзя взломать на квантовом компьютере.
> Ну, строго говоря, его нельзя взломать на квантовом компьютере.Потому что для начала нужен квантовый компутер?
AES дом труба шатал таких альтернатив
Так симметричным алгоритмам квантовые компьютеры не угрожают, речь об асимметричных
Ну всё, переходим на подписи Лэмпорта.
Это хотя бы не шифроблокнот. Но во всяком случае шифроблокнот всегда будет гарантировать секретность, независимо ни от каких достижений техники - если его правильно готовить. Абсолютно невзламываемый шифр да, реально существует. Просто требует ключа размером с сообщение, да ещё и использованного лишь для одного сообщения
А как звучит "постквантовый криптоалгоритм"!
Посталгоритмовый криптоквант
Ну старый добрый McEliece держится
По моему, это успех.
NIST это как троли 80 лвл!
Исследователи из католического университета разработали метод атаки 🙂
Ой ой ой, крипта для вымышленного железа оказалась - говном. Уууужассс.
Это алгоритм для работы на обычном компьютере
Иии? Что выше сказаннле не верно?
> крипта для вымышленного железа оказалась - говномКлассический компьютер не вымышлен
Что это за квантовые алгоритмы такие, что ломаются на одноядерном компьютере за 4 минуты, а другой за 62 минуты. Как они вообще в финал прошли, если их за неделю сломали. Но то и хорошо что за неделю, а не через год после того как их утвердили и реализовали в библиотеках. Конкурсы интересные и без тамады.
Это не квантовый алгоритм, а классический
Не успели они запилить очередной бэкдор на прод, как его уже спалили. Нехорошо вышло.
> Не успели они запилить очередной бэкдор на прод, как его уже спалили.
> Нехорошо вышло.Зато прозрачно намекает что криптографы это хотя-бы посмотреть изволили. Не любой алго этого удостаивается.
> Алгоритм SIKE базируется на использовании суперсингулярной изогении (кружение в суперсингулярном изогенном графе)Не, ну я поддерживаю. Тут все прозрачно.