The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Атака Marvin для расшифровки RSA на основе измерения времени операций"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака Marvin для расшифровки RSA на основе измерения времени операций"  +/
Сообщение от opennews (??), 30-Сен-23, 13:41 
Хьюберт Карио (Hubert Kario), чешский исследователь безопасности, работающий в компании Red Hat, представил на завершившемся вчера Европейском симпозиуме по компьютерной безопасности технику атаки Marvin, позволяющую определить исходные данные через измерение задержек при выполнении операций расшифровки на базе алгоритма RSA. На практике предложенный метод позволяет расшифровать трафик или сформировать цифровые подписи без знания закрытого RSA-ключа. Для тестирования применимости атаки опубликован специальный скрипт для проверки TLS-серверов и инструментарий для выявления проблем в библиотеках...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=59848

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +44 +/
Сообщение от Аноним (1), 30-Сен-23, 13:41 
Писец, сколько времени отнимает написание такой новости? Даже гадить в каментах расхотелось из уважения к труду.
Ответить | Правка | Наверх | Cообщить модератору

2. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +4 +/
Сообщение от Аноним (2), 30-Сен-23, 13:50 
Часа 3 ушло.
Ответить | Правка | Наверх | Cообщить модератору

3. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +2 +/
Сообщение от Витюшка (?), 30-Сен-23, 14:02 
Таких статей в рунете больше нет, разве что на phoronix.

Не не понятен вопрос с эллиптическими кривыми. Советует переходить на них.

Но дальше что-то написано про атаку и на них.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Атака Marvin для расшифровки RSA на основе измерения времени..."  –8 +/
Сообщение от Аноним (4), 30-Сен-23, 14:36 
Заходи почаще на дзен, чатгпт клепает миллионы таких статей. Я вообще сомневаюсь, что есть значительный спрос на качественный контент на русском языке. Всем нормально жрать, что дают, лишь бы побольше.
Ответить | Правка | Наверх | Cообщить модератору

6. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +3 +/
Сообщение от Аноним (6), 30-Сен-23, 14:49 
Нормальных ценителей и не может быть много как и с едой. Даже если новость прочитает только ЦА которая понимает что там написано это все равно будет каплей в море по сравнению с новостью о новой версии раста.
Ответить | Правка | Наверх | Cообщить модератору

12. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (4), 30-Сен-23, 15:00 
Кто оплатит банкет? Волонтёры за всё хорошее быстро утонут и останется на плаву только известная субстанция.
Ответить | Правка | Наверх | Cообщить модератору

22. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +1 +/
Сообщение от Аноним (6), 30-Сен-23, 15:45 
Ну автор сайта оплачивает всё сам последние 27 лет. Работая чуть ли не фул тайм на опеннет. Особой монетизации у него не заметно. Возможно у него какой-то психологический момент
Ответить | Правка | Наверх | Cообщить модератору

24. "Атака Marvin для расшифровки RSA на основе измерения времени..."  –7 +/
Сообщение от Аноним (4), 30-Сен-23, 15:54 
Так не из своего кармана же. Донотоны вон устраивал, хостинг халявный, баннеры, проплаченные статьи, левые скрипты встраивал на страницы. А качество контента довольно низкое в среднем, так что вполне по силам заменить на чатгпт и ничего не потерять я думаю.
Ответить | Правка | Наверх | Cообщить модератору

43. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от по (?), 30-Сен-23, 20:32 
всмысле ничего, а как же эпические срачи между анонимами, ну где еще так можно
Ответить | Правка | Наверх | Cообщить модератору

48. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +1 +/
Сообщение от microcoder (ok), 30-Сен-23, 21:22 
Качество контента отличное, на уровне.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

50. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (50), 30-Сен-23, 22:32 
> левые скрипты встраивал на страницы

Потрудитесь привести доказательства ваших домыслов. Или вы под левыми скриптами подразумевайте  когда-то висевший счётчик Google Analytic или подстановку Ростелекомом/Мегафоном/Билайном рекламы в HTTP-трафик чужих сайтов для своих пользователей?

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

74. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от microcoder (ok), 01-Окт-23, 12:55 
Так, чтобы всё соединять, даже те же донаты устраивать, нужно свою энергию тратить, это время и силы которые нужно восполнять, организм требует кушать, а тело на улице жить не может. Так что это тоже вклад и ОГРОМНЫЙ вклад. Халява она только у тебя, если ты ещё ни одного рубля не кинул
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

47. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от microcoder (ok), 30-Сен-23, 21:19 
У вас у всех прямо сейчас существует возможность продлить что-то хорошее в этом мире своим пожертвованием, чтобы не остались одни пи..ки и с..ки в этом мире
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

46. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +1 +/
Сообщение от microcoder (ok), 30-Сен-23, 21:16 
Для того жертвователи и существуют. Мир в них заинтересован, чтобы тот самый мир окончательно в коричневой субстанции не захлебнулся и не схлопнулся. Жертвователи лучшие в мире люди.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

101. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Admino (ok), 02-Окт-23, 17:06 
Открой для себя sponrs.com. Там авторам платят читатели напрямую, без рекламы и SMS. Некачественный контент там долго не проживёт — голосуют рублём.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

102. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (4), 02-Окт-23, 17:41 
> Открой для себя sponrs.com. Там авторам платят читатели напрямую, без рекламы и
> SMS. Некачественный контент там долго не проживёт — голосуют рублём.

Те, кто создают качественный контент, не выдержат конкуренции с теми, кто создаёт низкокачественный контент.

Ответить | Правка | Наверх | Cообщить модератору

103. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Admino (ok), 02-Окт-23, 18:22 
Какая чушь.
Ответить | Правка | Наверх | Cообщить модератору

104. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (4), 02-Окт-23, 18:26 
Чушь не чушь, а это то, что происходит.
Ответить | Правка | Наверх | Cообщить модератору

8. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +2 +/
Сообщение от Аноним (-), 30-Сен-23, 14:51 
> Не не понятен вопрос с эллиптическими кривыми. Советует переходить на них.

Там операции за фиксированное время сделать как правило заметно проще. Это избавляет от целых классов вот таких вот дурацких атак.

И кстати это к вопросу почему AES'у пеняют его S-boxes и почему гуры алгоритмы с S-box считают легаси, предпочитая чистую математику вместо этого. Избавляет от более 9000 подобных атак на ровном месте, ога. Дада, DJB с своими Salsa/Chacha/25519 и ко приветы передавал, он то отлично в курсе что за нафиг с таймингами.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

66. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +1 +/
Сообщение от Ivan_83 (ok), 01-Окт-23, 00:50 
Нет, в ECDSA / RSA снизу обычная математическая библиотека, из которой тогда потребуется выкинуть очень много всего и часть переписать.
В моей реализации это было примерно 1/3 от объёма всей реализации ECDSA.
И возможно в EC функциях тоже придёися выкинуть оптимизации или перейти на заранее неоптимизированные алгоритмы рассчёта.

Там огромный пласт математики.
Guide to Elliptic Curve Cryptography от Darrel Hankerson, Alfred Menezes, Scott Vanstone
вот эту книжку хотя бы пролистайте чтобы понять насколько длинный путь оптимизаций пройден.
Я это проходил по шагам у себя в коде, уж не помню точно, но минимум х10 ускорение я точно получил.

В целом скажу так: RSA/ECDSA это очень много кода и очень сложные и запутанные вычисления, не нужно думать про это как про хэш или симметричную крипту где порой всё умещается в 1к строк кода на С и легко считается на кеше проца а то и вообще в регистрах.

Ответить | Правка | Наверх | Cообщить модератору

75. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 01-Окт-23, 12:57 
> Нет, в ECDSA / RSA снизу обычная математическая библиотека, из которой тогда
> потребуется выкинуть очень много всего и часть переписать.

Вот не надо тут гнать, покрывая всякий ХЛАМ и в результате задвигая качественную работу специалистов. Это просто свинство и дезинформация, и в крипто это ни к чему хорошему не ведет, там честная оценка свойств алго наше все. У DJB например математика достаточно простая для того чтобы она была без всяких супер пупер "математических библиотек". И ее писал тот кто понимает как это делать правильно. И даже альтернативные реализации как правило все же в состоянии взять этот аспект под контроль в силу относительной простоты операций.

> В моей реализации это было примерно 1/3 от объёма всей реализации ECDSA.

Я не знаю что там у вас за объемы и реализации, а tweetnacl с 25519 эллиптикой влез в самый лажовый микроконтроллер, заняв 2 кило флехи и не более 2 кило рамы. И код там - аж 1 файл на все. И прочитать его можно от и до. Вот это - правильный подход к крипто. А если напихать всяких жирнолиб деланых какими-то ламо, с более 9000 фич - потом всякие heartbleed'ы заманаешься вычищать и патчи на CVE будут раз в месяц, как с openssl. А уж вон то будет каждый первый раз когда кто-то в этот хлам палочкой потыкает.

Такие же господа RC4 так же покрывали. И закончилось это весьма печально - мы получили WEP, который под громкие слоганы о "wired equivalent privacy" был разнесен просто в хлам. Так что я могу его вынести за примерно пару минут сейчас.

> И возможно в EC функциях тоже придёися выкинуть оптимизации или перейти на
> заранее неоптимизированные алгоритмы рассчёта.

И что? Эллиптика настолько шустрая что даже вот не особо оптимизированный tweetnacl на мк заканчивает счет за вполне обозримое время. А RSA на такой платформе - тупо без шансов. Разница по ресурсоемкости - на ПОРЯДКИ. И это не шутка. А бонусом еще ключи сильно мельче.

На память об этом Tox ID можно даже смской послать. И юзать ключи 25519 напрямую как адресацию DHT. Удачи что-то такое с RSA вообще. Даже если забыть что это проц в полку пригрузит, вместо изящного дизайна получится ацкий франкенштейн.

> Там огромный пласт математики.
> Guide to Elliptic Curve Cryptography от Darrel Hankerson, Alfred Menezes, Scott Vanstone

Я видите ли другой гайд скачал - tweetnacl называется. И вполне себе заценил как этот "пласт" математики могет быть, если его делать правильно. Я вполне могу прочитать ВЕСЬ пласт от и до. В этом весь пойнт данного дизайна и состоит. И в одном месте я таки там грохнул выравнивание таймингов - потому что у МК кеша нет и там оно бесполезная операция, только оверхед создает ничего не улучшая. Но этот код в результате нельзя на PC гонять, по САБЖЕВЫМ причинам. И я это отлично понимаю.

> Я это проходил по шагам у себя в коде, уж не помню
> точно, но минимум х10 ускорение я точно получил.

А я вон тот гайд на самый мелкий из микроконтроллеров который у меня был загнал. И если оно работает на вот этом - на чем-то более компообразном ЭТО будет работать со скоростью ракеты. Потому что Cortex-M3 на 24 МГц это такой процик весьма на минималках. Ах, кстати, из зала подсказывают что 25519 даже на AVR'ки есть. Так что даже эти 8-битные мамонты в публичное крипто могут, вот. А слабо там RSA?! :D

> В целом скажу так: RSA/ECDSA это очень много кода и очень сложные
> и запутанные вычисления, не нужно думать про это как про хэш
> или симметричную крипту где порой всё умещается в 1к строк кода

А таки tweetnacl намекает что, вот, если задаться целью сделать простой, компактный и читаемый код без страшных суперлиб - это можно.

> на С и легко считается на кеше проца

Кеш проца создает чертову кучу проблем с такмингами как раз. Cache hit vs miss это весьма драматическое отличие - и это все портит создавая вполне измеримые разницы в времянках, утекающие инфо о ключах и данных.

> а то и вообще в регистрах.

...теперь вы понимаете почему СОВРЕМЕННОЕ крипто типа Salsa/Chacha и ко это структуры типа ARX вместо S-box'ов, и что криптографам не нравится в том же AES. Вот что что а регистровые операции намного лучше в плане постоянных таймингов. S-box толи попадет в кеш, толи нет, и без специального внимания начинается ... примерно вон то же самое, тайминги нестабильные, инфо о ключах или данных начинает утекать.

Как угодно но профессиональные криптографы - параноики. И хотят странного. Потому что они как раз вещи типа сабжа - прекрасно понимают. В отличие от местных "экспертов". DJB знал все вон то на уровне интуиции уже ...цать лет назад. А то что практические атаки приперло имплементить только сейчас - хороший профи может предвидеть многое в своей области. Потому и профи. Как-то так я и узнаю кто эксперт в области а кто лаптем хлебает щи.

Ответить | Правка | Наверх | Cообщить модератору

108. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 03-Окт-23, 00:07 
> И ее писал тот кто понимает как это делать правильно.

Осталось найти таких же проверяющих которым можно доверять :)


> Я не знаю что там у вас за объемы и реализации, а tweetnacl с 25519 эллиптикой влез в самый лажовый микроконтроллер, заняв 2 кило флехи и не более 2 кило рамы.

Думаю если постараться то и я бы смог упихать туда элиптику без оптимизаций и для маленьких кривых :)


> И код там - аж 1 файл на все.

Так и мой код можно в один файл скопипастить, компелятор/препроцессор это и делает по сути :)


> И что? Эллиптика настолько шустрая что даже вот не особо оптимизированный tweetnacl на мк заканчивает счет за вполне обозримое время.

Сходите книжку почитайте. )
Я понятия не имею про ваш любимый tweetnacl и 25519, у поделки DJB заметно другие и вычисления и кривые. Вы щас сказали что "да все машины одинаковые, чего ваш камаз тякой тяжёлый!? Вон у соседа запорожец, мы вчера его ему на 5 этаж по лестнице подняли!".


> Я видите ли другой гайд скачал - tweetnacl называется. И вполне себе заценил как этот "пласт" математики могет быть, если его делать правильно. Я вполне могу прочитать ВЕСЬ пласт от и до.

Вы радуетесь не тому.
Сомневаюсь что вы понимаете математические основы крипты на эллиптических кривых (я не понимаю), а то что там рассчёты простые или сложные - это не важно.


> Кеш проца создает чертову кучу проблем с такмингами как раз. Cache hit vs miss это весьма драматическое отличие - и это все портит создавая вполне измеримые разницы в времянках, утекающие инфо о ключах и данных.

Зачем боротся с ветряными мельницами, когда на них можно молоть зерно?
Я же указал просто решение: слип с рандомным числом.
Ну или просто всегда ответ по таймеру через заранее зафиксированные промежутки времени, как делает тот же OpenSSH когда невалидный пароль вводишь.


> теперь вы понимаете почему СОВРЕМЕННОЕ крипто типа Salsa/Chacha и ко это структуры типа ARX вместо S-box'ов, и что криптографам не нравится в том же AES.

Нет, не понимаю.
Salsa/Chacha - сомнительный крипто алгоритм.


> DJB знал все вон то на уровне интуиции уже ...цать лет назад.

Можете и дальше поклонятся своему пророку, я отношусь к его работам скептически, прежде всего потому что они и поделки на их основе чрезвычайно быстро были везде внедрены.
Чтобы вы знали, ECDSA появилось в 1998 году на замену RSA, в те годы RSA реально очень медленно работало и это было проблемой.
И когда я занялся иплементацией, кажется в 2014-2015 годах это ECDSA всё ещё мало где встречалось на практике.
А тут за какие то 10 или менее лет крипта которая не сильно отличается от ECDSA и поделки на её основе (wireguard) пролезли во все щели без мыла, даже толком не ревьювили, сразу мержили в ядро.
Так обычно не происходило. Чудес бесплатно не бывает.
Если можете - думайте :)

Ответить | Правка | Наверх | Cообщить модератору

119. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +1 +/
Сообщение от Аноним (-), 03-Окт-23, 04:32 
>> И ее писал тот кто понимает как это делать правильно.
> Осталось найти таких же проверяющих которым можно доверять :)

Хотите сказать что ящерки скупили ВСЮ ПЛАНЕТУ?! А если даже, они и RSA скупили, ну и зачем тогда тормозить больше? По вашей же логике ;)

А так на алго DJB есть атаки в paper'ах, но успех маргинальный, только ослабленных версий, с параметрами показывающими что margins нормальные. Так что в adiantum encryption или как его, гугл даже рискнули убавить число раундов salsa/chacha, видимо прочухав это. Я люблю когда то что я вижу превосходит обещания. DJB зарекомендовал себя пессимистом. Корпа RSA наоборот: их добро радовало факапами и недоговорками. RCx и MDx до RC4/MD5 - хлам, всем скопом. Сам RSA, с кучей проблем и особенностей. С чего вдруг фанатизм по их творчеству я не понимаю.

И если про доверие: RSA попалось на бэкдоре в PGP. С чего доверять? А DJB всегда прозрачно обосновывает пойнт своих алго и объясняет почему они такие. На его сайте paper'ов с обоснованием дизайнов - есть. Так я хотя-бы частично понимаю какие предпосылки для доверия. Дизайн и почему он такой - разложено по полочкам, от и до. И да, там и про сабжевые атаки написано. Откуда я и узнал что САБЖИ будут. Спасибо DJB что позволил мне предвидеть будущее. Это было круто.

> Думаю если постараться то и я бы смог упихать туда элиптику без
> оптимизаций и для маленьких кривых :)

А я взял tweetnacl и немного обрубил лишнее, постаравшись не испортить хороший код своими лапками. Но таки отломав для МК без кеша выравнивание константных времянок нейтралищующее кеш коего там нет. Но я понимал лимиты применимости и на PC это не будет использовано. Оно и с выравниванием таймингов шустрое, а если мало, есть варианты оптимизации даже не алго а его flow, и, наконец, более оптимизированные либы, но даже они не такие стращные как RSA, и даже tweetnacl сделает RSA как с куста. А "дешевая" генерация пар ключей, без ломовых проверок, позволяет PFS делать легко и удобно. Там любой рандомный битстринг 256 битов как привкей катит, лишь бы его не угадал атакуюший. RSA до такого как пехом до пекина, надо проверок гонять, иначе залет. А без PFS - я пассаж про голубей влет верну уже на вашу голову.

>> И код там - аж 1 файл на все.
> Так и мой код можно в один файл скопипастить, компелятор/препроцессор это и
> делает по сути :)

ИМХО, после пассажей про суперлибы делающие ЗБС вы ни 1 нормального криптографа не найдете на аудит вашего нечто. С вами понятно сразу на старте. Секурно у автора с такими суждениями не будет. У вас нет паранои, для wannabe криптографа фатальный недостаток. А без хоть каких-то более-менее известных криптографов посмотревших ваш код про доверие вообще разговоров нет.

В моем случае я не "конструктор крипто" а "имплементер" и это разные аспекты. Я понимаю что моих скиллов маловато для первого но имхо у меня есть шанс осмысленно практиковать второе.

> Сходите книжку почитайте. )

Я своим глазам больше верю. Если алго даже для МК пашет и я могу прочитать ВЕСЬ код за вечер - мне тут кто-то явно втирает очки, стало быть. Почему я должен доверять такому и его супер-либам где даже тайминги выровнять не могут - хз!

> Я понятия не имею про ваш любимый tweetnacl и 25519, у поделки
> DJB заметно другие и вычисления и кривые.

Да, и чего? Оно появилось не вчера. Вычисления не ресурсоемкие. А криминала за годы его существования не нашлось особо. И свойства в целом куда как. Например любой рандомный bitstring на 256 битов валидный ключ, лишь бы атакующий его не угадал. RSA на этом фоне... ну в общем PFS на вон том куда проще и шустрее. А без PFS я пассаж про голубей и припомню, уже применительно к ВАМ.

> Вы щас сказали что "да все машины одинаковые, чего ваш камаз тякой тяжёлый!?

Тогда вы в ваших терминх недовольны тем что многие стали пересаживаться на легковушки, когда они появились. С аргументами про скорость, габариты, расход топлива и удобство парковки. А тут вы такой - "можно за хлебушком и на камазе подрулить". Можно! Но парковаться неудобно и топливо на мероприятие дороже чем хлеб выходит, да и недешевая штука.

> Вон у соседа запорожец, мы вчера его ему на 5 этаж по лестнице подняли!".

Внезапно и спустить смогут. И за хлебушком съездят. И проблем с парковкой у булочной сильно меньше. Да и по узким улицам по сравнению с камазом - апгрейд.

> Вы радуетесь не тому.
> Сомневаюсь что вы понимаете математические основы крипты на эллиптических кривых (я не
> понимаю), а то что там рассчёты простые или сложные - это не важно.

Я понимаю азы на базовом и упрощенном уровне. Но я и не лезу конструировать новые алгоритмы такого класса потому что не знаю все нюансы. А того хватает чтобы понимать имлементационные проблемы и детали на уровне выше среднего и не делать явно провальных вещей.

> Зачем боротся с ветряными мельницами, когда на них можно молоть зерно?

Со временем оказалось что мельницы лучше делать по другим технологиям, если хочется ветряк, лучше генератор поставить. Передать энергию. А зерно молоть без привязки к наличию ветра в локации. Это называется прогрессом.

> Я же указал просто решение: слип с рандомным числом.

1) Это не адресует ресурсоемкость RSA. И корпы от него отделываются в основном потому что сервера и электричество им денег стоят, чистая прагматика, имхо. А мне это позволило открыть новые горизонты, типа более-менее секурных мелких линков между датчиками и пультиками. RSA там не влезет, PSK не всегда практично, а несекурные линки которые ломает любой олух с снифером - достали.
2) Это перепихивает кучу проблем на имплементера и повод НЕ юзать такое алго с их стороны. Что только ускорит драп с алго.
3) Это привносит ряд не самых простых в оценке факторов - насколько сложно это аннулировать со стороны атакующего и насколько это эффективно. Потом окажется что ведет к измеримому jitter воооон там, рядом. Потому что иному потоку больше CPU досталось. И чего? А, писать свой delay() не отпускающий проц? И наломать в нем дров с константностью времянок vs CPU vs optimizers? Это то да, совсем не война с ветряками...

> Ну или просто всегда ответ по таймеру через заранее зафиксированные промежутки времени,
> как делает тот же OpenSSH когда невалидный пароль вводишь.

С SSH трабла в том что пачка ботов с ломовым RSA может сожрать все ресурсы и на какомнить дешевом KVM VDS так можно вообще не дождаться захода на сервак до таймаута. А рояль в кустах типа порт кнока или автобана это прекрасно - если оно было. А если еще нет - упсь... да и ботам так то пофиг, их там сотни тыщ с динамики, им автобан ваш довольно пофиг, они не закончатся никогда, и IP у них много. А какой перфоманс у вашего фаера если туда 100К айпишников загнать? Ну ладно, на лине с ipset - еще можно потрепыхаться и с таким.

> Нет, не понимаю.
> Salsa/Chacha - сомнительный крипто алгоритм.

И причиной для сомнений является... что? На них была толпа криптоанализов - и результаты очень неплохие как по мне. А вот что AES предъявляют я понимаю. Примерно что и сабжу. И периодически, вот, исследователи тоже публикуют разные стебные способы как стырить ключи. И кстати такое забавное наблюдение: атаковать salsa/chacha иссследователи в исследованиях на кражу ключей через тайминги "почему-то" не любят. Видимо догадываются что ударно попахать с нулевым результатом менее интересно чем выкатить стебную атаку :)

> Можете и дальше поклонятся своему пророку, я отношусь к его работам скептически,
> прежде всего потому что они и поделки на их основе чрезвычайно быстро были везде внедрены.

Булшит. Первые лет 5-7 вообще мало где применялось как раз. А потом корпы заметили что оказывается можно в разы меньше ресурсов убивать с тем же результатом. А сервера - не бесплатные. Если бы RSA был, про повсеместный https речь вообще бы не шла имхо.

> Чтобы вы знали, ECDSA появилось в 1998 году на замену RSA, в
> те годы RSA реально очень медленно работало и это было проблемой.

Оно и сейчас очень медленно работает и жрет прорву ресурсов. Особенно если 16К какой взять. Если это локалхост под кроватью с 1 юзером пофиг. Но во всех остальных случаях это по сути ремотный DoS в виде общедоступного тяжелого "RPC" вывешенного всем. Что в мелких системах которые не хотят более гонять управление и сенсоры не шифроваными, что в нагруженных серваках. А ненагруженный сервак - инвестиции на ветер так то.

> И когда я занялся иплементацией, кажется в 2014-2015 годах это ECDSA всё
> ещё мало где встречалось на практике.

Вы сами себе противоречите - то внедрили быстро то мало где применялось. История такова что имхо DJB был здорово недооценен прилично времени. Я лишь "возвращаю техдолг" по сути. Насколько я вижу по его коду, по сравнению с "супер либами" не способными к константным таймингам даже вот - и тем более коду который можно прочитать за вечер - вон то это просто work of art (C) Torvalds (он это про вайргада, там чуть больше чем только DJB, но все же).

> А тут за какие то 10 или менее лет крипта которая не
> сильно отличается от ECDSA и поделки на её основе (wireguard) пролезли
> во все щели без мыла, даже толком не ревьювили, сразу мержили в ядро.

Потому что как раз алгоритмы более-менее выдержались лет 7-10, криптоанализы случились. Проблем особо не нашли. А на RSA, вот, таки - есть ряд известных грабель.

> Так обычно не происходило. Чудес бесплатно не бывает.
> Если можете - думайте :)

Я и подумал: почему-то корпы решили что тратить в N раз меньше ресурсов на крипто выгодно по деньгам на сервера и электричество. А вон там это позволяет применения которые ранее вообще невозможны были, из-за прожорливости RSA. Что-то типа Tox на RSA было бы страшным уродливым монстром, в разы тяжелее и с абсолютно ужасным кодом. И вместо вайргада был бы кошмарик типа openvpn. Который, на минуточку, штатно атаковался в режиме MITM любым кто серт клиента получил, эта тупая гадость даже по дефолту тип серта не чекала дочерта лет, так что MITM развлекались от души. И за голову они взялись более-менее серьезно лишь когда WG врезал им пинка. Но там уже поздняк, господа.

Ответить | Правка | Наверх | Cообщить модератору

128. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 04-Окт-23, 01:47 
> Хотите сказать что ящерки скупили ВСЮ ПЛАНЕТУ?! А если даже, они и RSA скупили, ну и зачем тогда тормозить больше? По вашей же логике ;)

А как с кетайской чумкой то было? Где были разоблачители падунов? Где разоблачители которые хотя бы прочитали в книжке определение "пандемия" и выглянувшие в окно чтобы не увидеть там никаких куч тушек?
RSA было первым что вышло, тогда с этим не знали что делать и пытались тупо запрещать, накладывая экспортные ограничения. Вы же опять историю предмета не знаете а потом удивляетесь мыслям не совпадающим с вашими.


> А так на алго DJB есть атаки в paper'ах

Мне не интересно это потому что не понятно.
Я не эксперт в крипте, я всего лишь имплементатор готовых алгоритмов и их пользователь.
Я не могу судить о надёжности крипты ни по "красоте" алгоритма ни по таким публикациям.
Но я могу судить об общественных тенденциях и я вам уже поисывал что все поделки DJB внезаптно взлетели и пролезли везде за очень короткое время. Так никогда не было. Даже Поттерринг со своими поделками не на все линукса пролез, а тут это даже в ядра BSD попало.
И это на высоко конкуретном рынке крипты, где оно не сильно то и надо было.
Допустим чача20 решала на момент появления проблему с нагрузкой на проц мобилок у которых не было аппаратного AES и гугл за это ухватился.
Но 25519 с тайминг атаками - не было и нет такой проблемы in the wild.
Если бы вы сами что то делали для опенсорца, то знали бы что очень часто мало сделать работающее решение, нужно ещё задолбать овнеров проекта чтобы ваш патч взяли в него. И часто бывает что ваш патч никому не нужен.
Тоже самое с распространением инфы: мало "создать новость" нужно ещё как то сделать чтобы её везде "напечатали".


> 1) Это не адресует ресурсоемкость RSA.

Это для ECDSA, у RSA вроде нет проблем с тайминг атаками.


Я просто резюмирую ещё раз.
Нет проблем с тайминг атаками в дикой природе.

Ответить | Правка | Наверх | Cообщить модератору

130. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 04-Окт-23, 17:50 
> А как с кетайской чумкой то было? Где были разоблачители падунов? Где
> разоблачители которые хотя бы прочитали в книжке определение "пандемия" и выглянувшие
> в окно чтобы не увидеть там никаких куч тушек?

Знаете, эксперт по всему, а мне вот доки которых я лично знаю показывали как они хрипящих складывали. В коридорах! Потому что палаты забиты. И как ИВЛов на всех не хватало. И надо косплеить бога, решая кому жить, а кому умирать. И скорые в очередь, которые катали хрипунов часов 5 чтобы куда-то вообще положить. И я видел далекое шоссе. На нем синие огоньки. По всей длине. Десятки. Я никогда такого раньше не видел - и, надеюсь, больше не увижу.

Да, я прикинув масштаб джеппы слился в малонаселенную местность, где локдаун некому энфорсить. И наслаждался весенним лесом. Но - без людей. И с хардкорной упаковкой в местах типа магазов. А если вы хотели тушки, надо было добровольцем в красную зону ковидной больнички, было бы их вам, до дельты включительно. Потом измельчало и стало по сути самоходной вакциной этакой. Я к счастью познакомился уже с вот таким, мозг вынесло и месяц я почти прогать не мог, багов много. Но дыхалку уже не трогало. А вот кто поймал дельту и ранее - им не повезло, дыхалку оно убивало знатно. А кто похилее - вот, совсем убивало. Но эволюция неблагосклонна к сильно летальным вирусам, легкие но заразные версии получают преимущество и отбирают поляну.

> RSA было первым что вышло, тогда с этим не знали что делать
> и пытались тупо запрещать, накладывая экспортные ограничения. Вы же опять историю
> предмета не знаете а потом удивляетесь мыслям не совпадающим с вашими.

Я не спорю - тогда оно было шагом вперед. Но прогресс не обязан встать на паузу на дофига лет. А старичка пришлось основательно конопатить. Почти как rc4 какой.

>> А так на алго DJB есть атаки в paper'ах
> Мне не интересно это потому что не понятно.

Я стараюсь мониторить "state of art", что есть, какие проблемы, свойства, какие тренды и почему - такие. Не люблю следовать ритуалам, предпочитая осмысленный подход.

> Я не эксперт в крипте, я всего лишь имплементатор готовых алгоритмов и
> их пользователь.

Я тоже. Но я предпочитаю информированный подход, понимая что и почему я делаю, и почему именно так а не как-то иначе. И какие рациональные инженерные аргументы за и против есть.

> Я не могу судить о надёжности крипты ни по "красоте" алгоритма ни
> по таким публикациям.

Эти публикации показывают что кто-то копался и если он смог пробить ослабленную версию немного - значит копался не так уж плохо. Но если полной версии не досталось, логично предположить что margins были приличные. Это про salsa/chacha в основном. А если сразу на старте bias распределения как в RC4 - наиболее параноидальные криптографы предупреждали уже тогда что это не есть хорошо. ЧСХ оказались правы в их параное. Так я и узнаю кто в теме а кто бакланит. Эксперт редко лажает. А вот 4 уязвимых крипто или 5 хешей уже вызывают вопросы, да.

> Но я могу судить об общественных тенденциях и я вам уже поисывал
> что все поделки DJB внезаптно взлетели и пролезли везде за очень
> короткое время.

Это булшит. Оно лет 5-7 интересовало только узкую касту криптографов. И DJB особо не высоывался, дав им нормальное время на то чтобы изучить это все. Видимо ему не хотелось войти в историю как RC4 очередное. Он кажется умеет учиться на ошибках, в т.ч. и чужих.

> Так никогда не было. Даже Поттерринг со своими поделками не на все линукса пролез,
> а тут это даже в ядра BSD попало.

И что? В ядра много чего попадает. А так - корпы поняв что можно в разы меньше серверов под крипто покупать стали активно впрягаться. Но это было ой как не сразу. С таким же успехом примерно та же история и с линухом была. Первые несколько лет был малоизвестной штукой. А потом как вышиб бсды и проприетарные юниксы! И доволно быстро... в этом мире бывает нечто типа эффекта лавины, чтоли. Не думаю что DJB или Торвальдс целенаправленно создавали это. Способствовали грамотными действиями - по общему управлению проектом как максимум.

Ну а RSA пиарился внаглую - и коммерцию делали. И первыми были. И на бэкдоре в PGP засыпались, тренд на то что крипто должно быть открытым появился именно тогда, благодаря этому бэкдору. В сравнении с ними DJB сама скромность так то. Вот я и не понимаю что за двойные стандарты.

> И это на высоко конкуретном рынке крипты, где оно не сильно то
> и надо было. Допустим чача20 решала на момент появления проблему с нагрузкой на проц мобилок
> у которых не было аппаратного AES и гугл за это ухватился.

1) У меня хватает платформ где нет аппаратного AES.
2) Доверять хардварному блоку который ессно без сорцов - по моему самое тупое что можно придумать в крипто. И это самое удобное место для всех атак и бэкдоров. ЧСХ некоторые атаки на кражу ключей AES на как раз AES-NI и уповают. Нуачо, удобно же когда точно знаешь что и где атаковать. Со стороны атакующего, конечно.
3) Как я понимаю даже AES-NI полностью траблы с таймингами не решил и ему таки тоже прилетает по этой линии. Удачное дополнение к мельдонию и спектрам всяким. И конечно можно рассуждать как оно - но в мире полно хостов с пачками виртуалок и совсем не айс если кастомер сможет разломать хост или соседние VM. А с вон тем сочетанием - таки чего доброго сможет уже. Может у вас в BSD это и не популярно а у нас с линухом KVM часть ядра и мы этим пользуемся. И покупаем копеечные kvm-вдски вот под всякие сетевые нужды.

> Но 25519 с тайминг атаками - не было и нет такой проблемы in the wild.

С учетом его конструкции - и того что референс сразу показал как это делать правильно -

> Если бы вы сами что то делали для опенсорца, то знали бы
> что очень часто мало сделать работающее решение, нужно ещё задолбать овнеров
> проекта чтобы ваш патч взяли в него.

Я прекрасно знаю что и как в опенсорсе. И кроме всего прочего я знаю что часть либ писана откровенными ламо. OpenSSL например обладает отвратительным апи и авторы ламы, а виноваты они только тем что первые. Если бы этот кусок крапа сдох, мир стал бы заметно безопаснее. И форканули его несколько раз, от libressl до boringssl - не от хорошей жизни, а устав по вулну в месяц затыкать ПОСТОЯННО.

> И часто бывает что ваш патч никому не нужен.

Я вообще несколько проектов форканул не спрашивая особо. Конечно это катит не всегда и не со всем, с чем-то типа openssl можно и надорваться. А вот tweetnacl опиленый под МК я таки не надорвусь. И слать патч DJB с отломом выравнивания кеша не буду, я и сам знаю что device specific optimization это весьма компромиссная штука. Использовать такой код можно только с BIG RED WARNING и четко понимая ограничения.

> Тоже самое с распространением инфы: мало "создать новость" нужно ещё как то
> сделать чтобы её везде "напечатали".

Вы это рассказываете тому кто на опеннет новости писал пачками. И один из мотивов это делать было как раз немного исправить такое состояние дел. С неких пор я это правда для русскоязычной аудитории более делать не буду.

> Я просто резюмирую ещё раз.
> Нет проблем с тайминг атаками в дикой природе.

Мне не нравится когда проблемы "решают" вот таким способом и попытками рассказа про суперлибы. Особенно при наличии решений не имеющих этой проблемы.

Ответить | Правка | Наверх | Cообщить модератору

132. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 05-Окт-23, 00:33 
> Потому что палаты забиты.

Пандемия это когда болеет и умеер людей миллионами, или хотя бы сотнями тыщ.
Слово красивое, надо страха нагнать, так же как с террозизмом - теперь любой ботаник кинувший стаканчик уже террорист.


> И надо косплеить бога, решая кому жить, а кому умирать.

Это обычная работа медиков - сортировка пострадавших.


> Да, я прикинув масштаб джеппы слился в малонаселенную местность

Мы из мск никуда не сваливали, ничем не прививались, и маски не носили, летом 2020 ездили на море, летом 2021 я со старшей наконец то заболел этим насморком.
Сейчас оно опять вернулось как сезонное, и опять дурачков пытаются напугать.


> Но прогресс не обязан встать на паузу на дофига лет. А старичка пришлось основательно конопатить.

И чо?
У вас проводка в доме выполнена медью, как 100 лет назад делали.
Ну да, теперь вместо скруток там сварка, гильзы и прочие ваги.


> И что? В ядра много чего попадает. А так - корпы поняв что можно в разы меньше серверов под крипто покупать стали активно впрягаться.

Ещё раз: в опенсорцах бюрократия - огого какая, ваергард никому ничего не давал нового, не решал никакой горящей прямо щас проблемы, и при этом его втащили где то за год везде.


> 1) У меня хватает платформ где нет аппаратного AES.

Это ваши проблемы.
Это либо под выброс либо крипта там не нужна.


> 2) Доверять хардварному блоку который ессно без сорцов

Вы не ответили почему этого делать нельзя.


> 3) Как я понимаю даже AES-NI полностью траблы с таймингами не решил и ему таки тоже прилетает по этой линии.

Очевидно что доверенные вычисления должны провододится на доверенном хосте.
Если у вас нищенский шаредхостенг или на вашем компе запускается само по себе непонятно что - это ваши проблемы что у вас среда такая.


> С учетом его конструкции - и того что референс сразу показал как это делать правильно

НЕТУ ПРОБЛЕМЫ ТАЙМИНГ АТАК, её выдумал DJB и работает это всё кое как когда есть доступ запускать код на хосте и в прочих очень тепличных условиях.


> от libressl до boringssl - не от хорошей жизни, а устав по вулну в месяц затыкать ПОСТОЯННО.

Не совсем.
У первых НИХ синдром, а вторые никак не хотели чтобы их браузер начал работать с ГОСТ криптой, а то она уже энджинами спокойно цеплялась.


Ответить | Правка | Наверх | Cообщить модератору

133. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 06-Окт-23, 19:29 
> Пандемия это когда болеет и умеер людей миллионами, или хотя бы сотнями тыщ.

Только в РФ не менее 200К, чтоли, "лишних смертей" за тот год. Это косвенный индикатор, его не подделаешь, чем и полезен. Либо от самой гадости, либо от коллапса системы, либо, даже так: привезли лечить. Подарили ЭТО. Поц мрет от общего перегруза траблами. Круто, да? А суммарно по планете миллионы и наберется. Африку вообще никто не считал, индусы сразу трупы жгли от греха.

Для референса: от гриппа смертность ~0.1%. От ранних ковидов несколько %. И если даже не помереть, порушеная дыхалка - хреново. Версии после дельты перестали легкие портить, летальность резко снизилась. Ща измельчало так что от орви отличить уже сложно, зато заразное, эволюция в действии.

> Слово красивое, надо страха нагнать, так же как с террозизмом - теперь
> любой ботаник кинувший стаканчик уже террорист.

Красные зоны больничек выглядели "не очень" и ряд доков таки умерли. Даже крутые противочумные костюмы не спасают когда все вокруг в вирусе а толпа пациентов его изрыгает оптом. И таки это довольно страшно. Как и вереницы скорых. Или внезапно помершие от ковида тушки которых вообще на операцию привезли, или с другой инфекцией, или чего там.

>> И надо косплеить бога, решая кому жить, а кому умирать.
> Это обычная работа медиков - сортировка пострадавших.

В нормальной ситуации медикам как раз НЕ требуется вот это все. А вот это уже как раз откровенно аварийный режим. Последний раз такое было наверное в эпоху испанки. Т.е. век назад.

> Мы из мск никуда не сваливали, ничем не прививались, и маски не
> носили, летом 2020 ездили на море, летом 2021 я со старшей
> наконец то заболел этим насморком.

Летом 2021 он и стал "насморком". И да, вакцина больше побочек чем ЭТО давало, при мизерной эффективности. А некоторым повезло меньше: поймали в 2020 году, вот это голяк, до дельты могло сильно легкие угробить. Совсем мерли лишь пару процентов, самых помятых жизнью, но даже здоровому человеку мало радости легкие посадить. Еще от концентрации зависело. Т.е. если это док, и потусит в красной зоне, отвалится потом быстро и крепко. И шансы помереть куда выше. Видимо имунка не успевает раскочегариться при крутой начальной концентрации. А у некоторых клеточный иммунитет так его гасил что и без маски нормуль было. Но вот это рисковано, некоторые так долго ходили - но потом тяжело брякнулись нарвавшись на крутую концентрацию пробившую барьер.

> Сейчас оно опять вернулось как сезонное, и опять дурачков пытаются напугать.

Да оно уже не страшное, смертность на уровне гриппа какого, если не ниже. Просто заразный анноянс.

> У вас проводка в доме выполнена медью, как 100 лет назад делали.

А таки питальники вот импульсные. В т.ч. и чтобы меньше меди тратить, и чтоб весило и места занимало в разы меньше. Представляете, и тут оптимизнули в том же духе, по тем же причинам. Кто не понял сравнивает инверторный сварочник с 50Гц версией который не поднимешь нахрен.

> Ну да, теперь вместо скруток там сварка, гильзы и прочие ваги.

А еще - вот - инверторы. Для более компактных трансформаторов, двигателей и проч. В том числе и медяки меньше тратить, а моща выше. Инверторный можно 1 рукой утащить, а такой же мощности 50Гц - грузовик для транспортировки надо. Вот это ваш RSA-16K и что-то их все на металлолом и сдали как раз уже.

> Ещё раз: в опенсорцах бюрократия - огого какая, ваергард никому ничего не
> давал нового, не решал никакой горящей прямо щас проблемы, и при
> этом его втащили где то за год везде.

Вот лично мне он позволил конектить мои системы в РАЗЫ проще - и с куда большей скростью линка. Это как пересесть из ржавого запора в звездолет. И без кучи идиотеки как в openvpn каком, когда, вот, клиент MITMает всех и дескать by design. И без камасутры с настройкой и застревания на фаерах и натах как у айписеков всяких. В целом нехилый апгрейд свойств.

>> 1) У меня хватает платформ где нет аппаратного AES.
> Это ваши проблемы.

А я не люблю когда у меня проблемы. Я в их решении заинтересован. Поэтому поддерживаю тех кто помогает их решать и посылаю в пень вот таких "экспертов" как вы и ваши поделия. Компьютеры должны решать проблемы а не создавать их. Ваши идеи типа "наймите админа" в эту идею не укладываются, поэтому догадайтесь какие перспективы у такого подхода.

> Это либо под выброс либо крипта там не нужна.

Ну да, конечно, нужно - тормозить RSA-16K как черт, попутно наслаждаясь потугами даунплея сабжа. Это офигеть какие решения. И то что Шор для именно RSA придуман был не смущает, чо.

>> 2) Доверять хардварному блоку который ессно без сорцов
> Вы не ответили почему этого делать нельзя.

На это ответил любимый вами RSA засыпавшийся на бэкдоре, и то вот нашли даже в блобе, с тех пор и повелось что крипто без сорца всерьез никто не рассматривает. Без сорца нельзя проверить алгоритмы и что там все честно. Так что очень удобное место для бэкдора. Не собираюсь доверять джентльменам на честное слово, извините.

> Очевидно что доверенные вычисления должны провододится на доверенном хосте.

Поэтому менеджить виртуалки мы, очевидно, не будем, правильно я вас понимаю? И/или позволим кастомерам тырить ключи с соседних, если не от всего хоста. Да и роутеру-мыльнице RSA-16K душновато, давайте, наверное, суперсекурный телнетик там вывесим. Я правильно уловил ход ваших мыслей?

> Если у вас нищенский шаредхостенг или на вашем компе запускается само по
> себе непонятно что - это ваши проблемы что у вас среда такая.

Я так и понял что менеджить в результате можно будет только 1 сервак - у вас под кроватью. Все остальное под ваши требования не пролезет. А потом вы удивляетесь чойта вон те горой за решения отличные от вот этого вот всего. И затыкания таймингов оказывается - хотят. И мельдоний со спектром не жалуют. Они видите ли с их оборотами на KVMных виртуалках и проч - нищие там все, и только тут какой-то чудик с бсд весь в белом. А по моему вы отлично показали чего это корпы удрапали и с BSD, и с RSA, и от ветеран-админов, и вообще. Вы просто - задолбали. Не нужен такой менеджмент систем. В целом. На планете. Человечеству вообще. Займитесь выращиванием рассады, или чем там, так от вас вреда меньше.

> НЕТУ ПРОБЛЕМЫ ТАЙМИНГ АТАК, её выдумал DJB и работает это всё кое
> как когда есть доступ запускать код на хосте и в прочих
> очень тепличных условиях.

Ога, а сабж тогда наверное мой глюк. Тем более что это развитие доисторических атак, которые так то были еще до того как DJB вошел в тренд. Даже если вам с вашим иррациональным фетишизмом это и неудобно признавать, некоторые, вот, и пораньше DJB про это вещали. Истина так то общеизвестная.

> Не совсем. У первых НИХ синдром, а вторые никак не хотели чтобы их браузер
> начал работать с ГОСТ криптой, а то она уже энджинами спокойно цеплялась.

А я то думал что их заколебало по CVE в месяц в суперлибе вычищать, когда то память сервака утекает по проводу хз куда, то они там слепо доверяют хардварному RNG чтобы NSA мог без спроса тусить по всему энтерпрайзу, то сертификат проверить не могут, и оно совершенно левые серты за валидные считает, то еще какое-то такое же позорное д@рьмо уровня "третьекласник крипто накорябал". А суммарно секурити этого шЫта лишь маргинально лучше чем у шифра цезаря, только вот ресурсов жрет как пяток постквантовых.

Ответить | Правка | Наверх | Cообщить модератору

9. "Атака Marvin для расшифровки RSA на основе измерения времени..."  –1 +/
Сообщение от Аноним (9), 30-Сен-23, 14:52 
> Не не понятен вопрос с эллиптическими кривыми. Советует переходить на них.

Я не крыптограф!

Лет 20 назад, автор одной из реализаций RSA, сказал мне что RSA4096 сверх сильное шифрование и лично рекомендовал. Но для него надо сравнимо много хорошей энтропии и на старых компах, USB хрантелях ключей, RSA тормозит.

Слыхал что квантовые компьютера безсильны против RSA, а элиптическая крипто слабенькая для квантовых алгоритмов.

Возможно с оптическими компьютерами на классической архитектуре перебор для взлома небольшого размера ключа RSA станет реальным.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

54. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (54), 30-Сен-23, 23:46 
> Слыхал что квантовые компьютера безсильны против RSA, а элиптическая крипто слабенькая
> для квантовых алгоритмов.

Как раз скорее наоборот - квантовые версии алгоритмов первыми сформулированы как раз для RSA и он как раз первым и получит свое если это еще и работает, теория взлома там самая проработанная.

Однако теоретики считают что если это работает - тогда и взлом эллиптики это похожий класс проблем и значит и к нему могут быть применимы подобные по общей идее атаки.

Ответить | Правка | Наверх | Cообщить модератору

65. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 01-Окт-23, 00:41 
И там же считается что нужно х2 минимум кубитов для взлома к битности *DSA.
Те первыми полягут ED25519, ECDSA начиная с параметров малых до больших и уже сильно-сильно потом настанет очередь RSA, куда битность можно досыпать в абсолютно любой момент просто сгенериров ключ/серт нужной длинны.
А вот для ECDSA нужно добавлять новые параметры в стандарты.
ED25519 просто выкидывать целиком.
Ответить | Правка | Наверх | Cообщить модератору

71. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (71), 01-Окт-23, 06:40 
>куда битность можно досыпать в абсолютно любой момент просто сгенериров ключ/серт нужной длинны.

Это неправда. То есть, сгенерить ключ можно, но энтропия ключа не зависит от размера ключа линейно.

Вот цитата из мейлинг листа gpg:

A 2048-bit key is hypothesized to possess about 112 bits of entropy; a
3072-bit key, about 128; a 16k-bit, about 256.  You very rapidly reach a
point of dramatically diminishing returns.  A 32k key gives you
essentially nothing in terms of resistance to cryptanalysis, while
making it impossible for the rest of the OpenPGP ecosystem to work with
you because your public certificate is so unreasonably large.

Ответить | Правка | Наверх | Cообщить модератору

109. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 03-Окт-23, 00:09 
Да пофиг, ты кубитов столько поди насобирай в начале, ими всё равно не вымышленную энтропию а реальные биты ключа нужно переваривать.
Ответить | Правка | Наверх | Cообщить модератору

76. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 01-Окт-23, 13:24 
> И там же считается что нужно х2 минимум кубитов для взлома к битности *DSA.

Удвоить кубиты если их уж научатся делать нормально - много времени не займет. И уповать на это соответственно - как на DES с 56-бит ключом.

> Те первыми полягут ED25519, ECDSA начиная с параметров малых до больших и
> уже сильно-сильно потом настанет очередь RSA,

Для 25519 и ко - я вообще пока не видел теории как это делать. Только общие идеи что к этому классу задач квантовые алгоритмы могут быть применимы. Шор сформулирован изначально для именно разложения чисел на множители как я помню. А то что криптографы подозревают что похожим по сложности классам задач похожие атаки - окей, они на то и профессиональные параноики, и есть хороший шанс что они в этом окажутся правы. Ну вот как DJB насчет быкования в адрес непостоянных таймингов. Вон те - далеко не первые кто это все абузит.

> куда битность можно досыпать в абсолютно любой момент просто сгенериров
> ключ/серт нужной длинны.

Мне больше нравится подход вайргада - там на этот случай проездной^W PSK можно сделать. Да, часть фич типа PFS и ко работать перестанет но пока PSK не утек - траф таки в безопасности.

> А вот для ECDSA нужно добавлять новые параметры в стандарты.
> ED25519 просто выкидывать целиком.

Если квантовые алго реально заработают - выкидывать их придется одинаково и плюс-минус одновременно. А вот грузить проц в десятки раз сильнее и ворочать огроменными ключами - ну такое себе "счастье". Особенно когда стойкости оно особо не добавит. Увеличить сложность в 2 раза это вообще ни о чем. Это как DES вместо 56 битов сделать 57. И что - его не брутфорснут чтоли? Там этого x2 надо эвон сколько раз чтобы перестало прокатывать за обозримое время. Если с RSA такое сделать - мы его счета на обычном компе вообще не дождемся. А уж про вещи типа PFS можно будет сразу забыть. Какой псих так будет проц грузить динамически генеря новые ключи на ходу... ботнеты и сейчас то кладут ssh CPU в полку запросто если там RSA ключ разрешить.

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

111. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 03-Окт-23, 00:18 
> Удвоить кубиты если их уж научатся делать нормально - много времени не займет.

Так научились делать, иди удвояй. )


> Для 25519 и ко - я вообще пока не видел теории как это делать.

Ходят слухи то эллиптика фсё.
На публику АНБ отменило рекомендацию по переходу с RSA на ECDSA, и сказало типа сидите дальше и не рыпайтесь пока постквантовое по лучше не придумаем.
Может конечно дело в деньгах, но как минимум это означает что эллиптика не имеет особых конкурентных приемуществ.


> Мне больше нравится подход вайргада - там на этот случай проездной^W PSK можно сделать.

А толку то если там снизу чача гвоздями прибита? Думаешь она такая супернадёжная?
Думаешь был практический смысл юзать чачу во времена когда AES-NI есть почти везде?


> Если квантовые алго реально заработают - выкидывать их придется одинаково и плюс-минус одновременно.

Сходите почитайте как квантовые компы устроены, а то у вас представление на уровне: "куплю на рынке ведёрко кубитов, насыплю их дома в ванну по больше и будет у меня квантовый комп на 1м кубитов".


> ботнеты и сейчас то кладут ssh CPU в полку запросто если там RSA ключ разрешить.

Не кладут.
У меня открытый миру SSH и там только RSA hostkey, наоборот боты дохнут от подсчёта 16к :)

Ответить | Правка | Наверх | Cообщить модератору

120. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 03-Окт-23, 05:46 
> Так научились делать, иди удвояй. )

В смысле научились? Они как я понимаю нестабильные, в чем утык и состоит.

>> Для 25519 и ко - я вообще пока не видел теории как это делать.
> Ходят слухи то эллиптика фсё.

Мы будем на техническом ресурсе слухами оперировать?! Крутой подход и экспертиза. А тут вот конкретное исследование с конкретными результатами. Такой подход мне больше доверия внушает.

> На публику АНБ отменило рекомендацию по переходу с RSA на ECDSA, и сказало
> типа сидите дальше и не рыпайтесь пока постквантовое по лучше не придумаем.

ИМХО, связано с DualEC DRBG факапом, после которого кривым от NIST принятым абы как - мало кто вообще доверяет. "Рекомендовать" это провальное занятие - "treason uncloaked".

> Может конечно дело в деньгах, но как минимум это означает что эллиптика
> не имеет особых конкурентных приемуществ.

Корпы "деньги зарабатывают", чем меньше затрат при равном результате, тем это выгоднее. Они быстро внедряют все что ведет к этому результату. И с 25519/salsa/chacha/etc они как раз довольно долго тупили как по мне. Первые эн лет это только криптографы и колупали.

Я набрел на это дело довольно рано, примерно когда DJB выкатил tweetnacl как демо возможностей своих алго. Мне такой подход очень понравился. И я считаю что хорошее крипто должно быть сделано как-то так. Мелкое, подлежащее аудиту, БЕЗ "супер" либ подставляющих под сабжевые атаки на ровном месте. Я вообще не понимаю пойнт солюшна если он подставляет меня под удар, написать что-то как-то как ламо я и сам могу! Так что спасибо великим благодетелям, аж два раза. От солюшна типа либы ожидается что они это могут выше среднего. А тут - нифига.

>> Мне больше нравится подход вайргада - там на этот случай проездной^W PSK можно сделать.
> А толку то если там снизу чача гвоздями прибита?

Меня она устраивает. Я не знаю на нее никакого крупного криминала. В отличие от творчества корпы RSA где что ни алго то кусок проблем. Когда вам в хлам сломали примерно 4 криптоалгритма и 5 хешей (даже если забыть про RSA), возникают определенные вопросы к господам. И слепо доверять им я пешком постою, особенно после бэкдора в PGP.

> Думаешь она такая супернадёжная?

На нее были криптоанализы - и они настолько обнадеживаюшие что гугл даже охамел и число раундов снизил в adiantum'е для скорости. Воздастся ли гуглу я не знаю

> Думаешь был практический смысл юзать чачу во времена когда AES-NI есть почти везде?

Для меня AES-NI это повод им НЕ пользоваться. Крипто в железе это первое место куда я бы бэкдоры встраивал. При том эта идея и до исследователей дошла и ряд атак тырящих ключи AES явно уповают на использование AES-NI. Наобум взятую реализацию атаковать канительнее. Но AES вообще неудобно делать с постоянными таймингами. Особенно на чем-то типа x86, дизайн у него такой. Структуры типа ARX это чистая математика, там как раз поводов для разных таймингов зависящих от ключа или входных данных минимум. Мне это видится более удачной идеей в целом.

А доверять хардвару без сорцов, от "благодетелей" с ME и PSP у лично меня НОЛЬ причин. Наверное в этом месте надо мне повторить ВАШ же булшит что NSA "для моего блага" работает и что спертый ими ключ или перехват контроля над платформой в принципе не проблема, блаблабла.

> Сходите почитайте как квантовые компы устроены, а то у вас представление на
> уровне: "куплю на рынке ведёрко кубитов, насыплю их дома в ванну
> по больше и будет у меня квантовый комп на 1м кубитов".

Я читал. И если кубиты удастся удерживать в сцепленном состоянии достаточно времени - не думаю что RSA долго продержится если Шор вообще работает. А идея тем временем на всякий случай погреть воздух счетом RSA-16K во имя луны у меня почему-то не вызывает энтузиазма.

> Не кладут. У меня открытый миру SSH и там только RSA hostkey, наоборот боты
> дохнут от подсчёта 16к :)

Спасибо но пытаться переддосить пачку на 100К ботов я лично не собираюсь, это вы как-нибудь сами такое.

Ответить | Правка | Наверх | Cообщить модератору

127. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 04-Окт-23, 00:39 
> В смысле научились? Они как я понимаю нестабильные, в чем утык и состоит.

Там уже чуть ли не домашние киты выпускают для желающих, на пару кубит.
Купи тыщу штук и ломай банки, у тебя же так просто всёё :))))


> Мы будем на техническом ресурсе слухами оперировать?! Крутой подход и экспертиза. А тут вот конкретное исследование с конкретными результатами. Такой подход мне больше доверия внушает.

Да!?
Может тебе ещё ссылку на гитхуб где крякер любой эллиптики лежить дать?))))
Это тема с грифом максимальной закрытости, лет через 50 прочитаешь в газетах, может быть, как было с 3des.


> ИМХО, связано с DualEC DRBG факапом, после которого кривым от NIST принятым абы как - мало кто вообще доверяет. "Рекомендовать" это провальное занятие - "treason uncloaked".

OMG!
Ты вообще не понимаешь что как работает в этом мире.
АНБ это рекомендовало своим госам, за которох оно отвечает, а госы будут делать что сказали.
Плевать госам на DualEC DRBG, скажут - будут его использовать, тем паче понятно у кого есть ключ от него - все свои.


> Я набрел на это дело довольно рано, примерно когда DJB выкатил tweetnacl как демо возможностей своих алго. Мне такой подход очень понравился. И я считаю что хорошее крипто должно быть сделано как-то так.

Это называется синдромом утёнка: первое что увидел становится для тебя идеалом.


> Я вообще не понимаю пойнт солюшна если он подставляет меня под удар, написать что-то как-то как ламо я и сам могу! Так что спасибо великим благодетелям, аж два раза. От солюшна типа либы ожидается что они это могут выше среднего. А тут - нифига.

На планете 8 миллиардов человек.
Примерно у половины наверняка есть доступ в инет.
Большая их часть способна с трудом запостить фотки жратвы и котиков в соцсеть.
Из тех кто что то делает доля тех кто выкладывает в инет или возвращает в виде PR ну я бы сказал где то 5%.
И тут ты как дартаньян заявляешь что какие то мифические профи должны тебе бесплатно фигачить высококачественный проверенный и протестированный код в опенсорц.
Ты вообще на что живёшь?


> Меня она устраивает. Я не знаю на нее никакого крупного криминала. В отличие от творчества корпы RSA где что ни алго то кусок проблем. Когда вам в хлам сломали примерно 4 криптоалгритма и 5 хешей (даже если забыть про RSA), возникают определенные вопросы к господам.

Пока дураки спорят какой приктоалгоритм лучший, умные используют сразу несколько на разных ключах.
Ваергард такого не позволяет.


> На нее были криптоанализы - и они настолько обнадеживаюшие что гугл даже охамел и число раундов снизил в adiantum'е для скорости. Воздастся ли гуглу я не знаю

Гуглу не нужна никакая защита кроме защиты его поляны от мелких админов и гопников в погонах, они хоть на 3des могут перейти для 99% своего контента, оставив что то серьёзное для авторизации и скажем доступа в почту.


> Для меня AES-NI это повод им НЕ пользоваться. Крипто в железе это первое место куда я бы бэкдоры встраивал.

Это уровень ниже дна.
Ты себе это как представляешь?
Бэкдореный AES-NI будет что?
- Выдавать нешифрованное? - так оно потом с другой стороны при дешифровке в мусор превратится.
- Вписывать ключи в выходной результат? - так оно по размеру фиксированные блоки, а в них трогать ничего нельзя ибо не расшифруется потом
- Передавать ключи по радиэфиру на спутнег в анб?


> Я читал. И если кубиты удастся удерживать в сцепленном состоянии достаточно времени - не думаю что RSA долго продержится если Шор вообще работает.

Плохо читал значит, раз собрался кубиты ведёрками у бабки на рынке покупать.

Ответить | Правка | Наверх | Cообщить модератору

134. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (134), 07-Окт-23, 05:25 
> Там уже чуть ли не домашние киты выпускают для желающих, на пару кубит.

Пара нестабильных кубитов - это ну вот реально для дома только и годится, там даже и не поймешь работало ли оно.

> Купи тыщу штук и ломай банки, у тебя же так просто всёё :))))

Осталось их в сцепленном состоянии стабильно научиться удерживать, с чем пока фэйл даже у IBM пока фейл. А блабла про засекреченность разбиваются тем фактом что нормальные криптографы, включая и Донфилда с вайргадом, предпочитают вместо блабла и слухоа иметь запасной постквантовый план. На всякий случай. Будь то PSK симметричному алго или постквантовый алго в связке. Такой курс действий видится мне внушающим большего доверия чем сказ о RSA-16K которое мне проблем создает больше чем атакующим без запасного плана совсем. Потому что это удержится даже после полноценного развития технологии, а у вас на этот счет плана нет совсем. Поэтому придерживаться ваших планов и идей я лично не буду.

Грубо говоря, RSA - это не то с с чем я готов прыгать без запасного парашюта. Тем более что летает оно как кирпич.

> Может тебе ещё ссылку на гитхуб где крякер любой эллиптики лежить дать?))))

Ну а вот тут - дали ссыль на исследование. Куда как более убедительное чем "слухи" какие-то.

> Это тема с грифом максимальной закрытости, лет через 50 прочитаешь в газетах,
> может быть, как было с 3des.

Как показал пример придурка с базы ВВС, грифы летать умеют, так что вообще не аргумент.

> Ты вообще не понимаешь что как работает в этом мире.

На это монополия у "понимашек" которые даже в красную зону больнички не дошли, не имеют постквантового плана, зато предлагают целиком довериться RSA-16K и, видимо, назло атакующему заDoSить сервак себе по ресурсам самому, добровольно. "И пусть эти боты подавятся!"

> АНБ это рекомендовало своим госам, за которох оно отвечает, а госы будут
> делать что сказали.

Ох спасибо капитан очевидность. И тут у сладкой парочки вышел знатный обсирак. И доверие к ним обоим упало в район плинтуса. И теперь им действовать вон теми методами станет на порядок сложенее.

> Плевать госам на DualEC DRBG, скажут - будут его использовать, тем паче
> понятно у кого есть ключ от него - все свои.

Если их в результате происков NSA раздербанят - хуже от этого будет им самим. Меня это не обязывает залетать с их snake oil crypto, я на результат работаю. И мне не нравится когда кто-то предлагает заDOSить себе серваки тормозным алго уязвимым к квантам, еще и стебясь над донфилдом с PSK - и не предложив плана лучше.

> Это называется синдромом утёнка: первое что увидел становится для тебя идеалом.

Творчестлв DJB было точно не первое на что я набрел. Уже были и RSA, и RC4, и AES, и много чего еще. Типа интересных но неуспешных затей вроде TEA. Так что я и смог оценить кто и что в сравнении. И подивившись разнице свойств я и решил что предпочитаю вон то вон так. А ваша любовь к RSA и даунплей проблем попахивает... даже не этим, все хуже. Когда кто-то не может в самодиагностику проблемы и приписывает ее другим вместо этого, это называется проекция. Ну что, обсудили личность собеседника? В эту игру могут играть двое.

> И тут ты как дартаньян заявляешь что какие то мифические профи должны
> тебе бесплатно фигачить высококачественный проверенный и протестированный код в опенсорц.

И тут я заявляю что
1) Все познается в сравнении.
2) Я доверяю исследованиям и рациональным обоснованиям, а не слухам.
3) Качественный код получает преимущество перед некачественным.
4) У DJB я вижу что код сделан очень грамотно, в том числе и по выравниванию таймингов.
5) И кстати - таки выложен, вот. Что, конечно, портит карму бракоделам, но жизнь жестокая штука.
6) Я не буду доверять проприетарным решениям для крипто хоть там что. Code or GTFO, тут я солидарен с криптографами.

Так что если вы решили что можете сватать любой шЫт с лопаты как супер-солюшн, переваливать все проблемы на имплементеров и пользователей, и блеять что так и задумано, "наймите админа", "докупите серверов" - в эту игру тоже могут играть двое. Я вот возьму решение от DJB и прикручу его. Решив что в гробу я таких как вы как апстрим видал. И все как бы честно.

И тут вы такой удивляетесь чойта DJB так быстро занял нишу. А вот то! Что вас таких послать с вот этим всем - давно хотелось. И вы это заслужили. Компьютеры должны решать проблемы а не создавать. Не можете обеспечить - выращивайте рассаду. Особенно когда белое не надевать, обтягивающее не носить, мелкие экспоненты не юзать...  ой, а половина имплмементеров это уже в ROM проца с секурбутом вбила, вся схема в результате рассыпалась?! И тормозили - во имя луны? Ох, вау, в следующий раз как раз и не будут слушать "экспертов". И тайминги тоже выровняют, глядя на сабжи. Тогда, глядишь, заявленные свойства системы начнут получаться.

> Ты вообще на что живёшь?

Да вот на это самое - делаю заказные работы вокруг околоэмбедовки. И сорцы уж как минимум кастомер - получает. Может всем выложить, если хочет, меня не парит. Меня и мою экспертизу они же не клонируют, а на мой век тасков явно хватит.

> Пока дураки спорят какой приктоалгоритм лучший, умные используют сразу несколько
> на разных ключах.

И тормозят еще сильнее в результате.

> Ваергард такого не позволяет.

Его делает разумный человек. Задавшийся целью сделать мелкую, секурную штуку, которая работает без 9000 ручек и лампочек. Поэтому там PSK есть на случай постквантума, ну и нормуль. А в тех монстрах большая часть людей ручки неверно покрутит и будет тормозно, хреново и - еще менее секурно при уверенности в обратном. Что в крипто заявка на жесткий залет. Телеграмщики упакованые на N лет начитавшиеся маркетинга Дурова - намекают.

> Гуглу не нужна никакая защита кроме защиты его поляны от мелких админов
> и гопников в погонах, они хоть на 3des могут перейти для 99% своего контента,

Но делать они это не будут - потому что это опять же тормозно аки трактор и тот же уровень защиты можно получить, как видим, с в разы большим перфомансом. И это аргумент за то чтобы 3DES забросить. Погодите, кажется это и произошло?! Ну вот RSA следующий в этой цепи, по ровно той же причине. А вы можете у себя на серверах RSA16K считать. И даже сверху добавить. Главное чтобы вы сами за этот банкет платили, не ставя на бабки других своими RSA и 3DESами.

> оставив что то серьёзное для авторизации и скажем доступа в почту.

А у таких как вы в результате куча рукояток, немеряно тормозов - и CVE в жирнолибе каждый месяц. Зато можно выбирать алго! Как будто это что-то еще и дало на практике кроме CVE пачками, в том числе и сразу в протоколе, когда атакующий, оказывается, может помочь принять "правильные" решения, подпатчив пакеты немного, а прога все равно не чекала что там за суперсекурный 40-битный RC4 образовался на линке в результате.

> Ты себе это как представляешь?
> Бэкдореный AES-NI будет что?

Да можно даже ключи прихранивать в отдельном регионе памяти. Завести кило памяти, ей даже быстрой быть не надо, и скидывать последние эн ключей. При 100500 мега кеша никто и не заметит. А отдельным magic sequence - дампануть регион, вот. Но это на правах теорий заговора с ящерками как у вас.

Более реалистично - это сильно упрощает прицельное гасилово крипто атакующему. И есть ряд атак на AES с тырингом ключей вот именно с допущением что там AES-NI будет заюзан. В случае софта, особенно с ASLR, заметно менее понятно что и как атаковать на произвольно взятом таргете. А если там еще и тайминги константа да еще и branchless алго (или как минимум бранчи не зависят от ключа и ввода) - круто, а как его тогда долбать?!

Вы точно в ЭТОМ мире живете? В этом мире миллионы виртуалок. И вулны типа мельдониев и спектров. А сочетание всего этого + тайминг атак означает что ключи у вон тех, с их хостов - таки улетят. При том они в курсе, и им не нравятся блеяния про найм админов и RSA16K. Вот они и посылают таких как вы в пень с превеликим удовольствием. Юзайте ваше RSA16K сами, и ваши суперлибы не способные тайминги выравнять себе оставьте, имхо. И никакого заговора в посыле хренов не от мира сего игнорящих real world проблемы - нет. Есть переход на решения от тех кто эти проблемы учел и не стал делать из своих проблем чужие. Этот мир бывает жесток, но в данном случае те суперлибы и их адепты это все - заслужили своей самонадеянностью и пофигизмом.

> - Выдавать нешифрованное? - так оно потом с другой стороны при дешифровке
> в мусор превратится.

Зачем же? Ключики например прихранивать в отдельный региончик на несколько кил. И по магическому запросу пульнуть награбленное с которым блок вызывали. В uCoded дизайне с невидимой вам локальной памятью это как два байта переслать.

> - Вписывать ключи в выходной результат? - так оно по размеру фиксированные
> блоки, а в них трогать ничего нельзя ибо не расшифруется потом

Как понять что вы не атакующий и не умеете мыслить в их стиле? Почитать ваши сообщения. Не хочу расстраивать но это фатально для информационной безопасности вообще и крипто в частности.

> - Передавать ключи по радиэфиру на спутнег в анб?

Зачем? Отдать их вон тому, если он магический паттерн воспроизведет, например. Можно это весьма generic сделать в принципе.

> Плохо читал значит, раз собрался кубиты ведёрками у бабки на рынке покупать.

Ну вот, ваши слухи о том по чем там у Авдотьи на рынке кубиты за ведро видимо не прочитал. Поэтому не тормозил RSA16K и админов не нанял. ЧСХ вон те жирнокорпы думали как-то так же, потому и заменили вас таких красивых на DJB в темпе вальса, у него решения были получше чем "наймитеадмина" и булшит он не втирает, трезво и честно оценивая свойства своих штук. Без слухов и домыслов, криптоанализы, наука, ревью, атаки алго коллегами, ... так это убедительнее.

Ответить | Правка | Наверх | Cообщить модератору

81. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (81), 01-Окт-23, 14:12 
Я не крыптограф, но меня учили (до квантовых компьютеров), что ECDSA-512 эквивалентен по крыптостойкости при полном переборе RSA-16384.

В квантовою эпоху оказалось что для квантовых алгоритмов RSA неудобен и даже RSA-4096 квантовым компам не позубам.

Мощи сегодняшних процов легко хватит чтобы воротить и RSA-8192 и RSA-16384.

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

86. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 01-Окт-23, 16:17 
> Я не крыптограф, но меня учили (до квантовых компьютеров), что ECDSA-512 эквивалентен
> по крыптостойкости при полном переборе RSA-16384.
> В квантовою эпоху оказалось что для квантовых алгоритмов RSA неудобен и даже
> RSA-4096 квантовым компам не позубам.
> Мощи сегодняшних процов легко хватит чтобы воротить и RSA-8192 и RSA-16384.

А мне вот на VDSку приперся выводок ботов - и вгрузили проц в полку брутфорсом ssh. И хрен на сервак зайдешь - там такая очередь из желающих посчитать на моем процессоре, что пока до меня очередь дойдет - таймаут случается. И это с RSA-4096 всего лишь. И вот сидишь ты как дурак с ботами - и без VDSки. Очень удобно, #%$!

Ответить | Правка | Наверх | Cообщить модератору

94. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (94), 02-Окт-23, 08:15 
> выводок ботов - и вгрузили проц в полку

А ты запускай ssh и если надо сетевые сервисы с
nice -n -10 ....

> вот на VDSку приперся выводок ботов

Безопасные дистры выбирать надо.

Ответить | Правка | Наверх | Cообщить модератору

121. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 03-Окт-23, 07:26 
> А ты запускай ssh и если надо сетевые сервисы с nice -n -10 ....

Ну правильно - а попадать на свой сервак видимо не планируется. Да и проц оно жрать от этого не перестанет же. Или как это все поможет от того факта что я в результате не могу зайти на серв и порулить им.

>> вот на VDSку приперся выводок ботов
> Безопасные дистры выбирать надо.

Выключенный компьютер - самый безопасный дистр. Особенно если к розетке не подключать, это даже фирмвара ME оспорить не сможет. Но говорят есть нюансы.

Ответить | Правка | Наверх | Cообщить модератору

112. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 03-Окт-23, 00:20 
Это решается не криптой а административными мерами, наймите админа :)
Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

122. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 03-Окт-23, 07:31 
> Это решается не криптой а административными мерами, наймите админа :)

Вот сейчас я буду тупняки крипто затыкать наймом админа. К тому же вопрос в том кто за этот банкет платить будет? Если вы - да хоть двух. И сервак под счет RSA-16K могу купить. Даже два. И пусть эта тля^W боты подавятся! Но только если это все ВЫ будете оплачивать. Переплачивать самому за ВАШИ бзики мне не с руки. Это же ваши бзики а не мои.

...потому что вот именно для моих целей и сервисов вон там хватает и 3-баксовой вдски, а сервировать пачку ботов на счет RSA или пытаться их переддосить в мои планы точно не входит.

И вообще, вас таких как раз за вот такое и ушли что с *bsd на линух, что вот ща и в крипто история повторится. Извините но на моих системах должно быть удобно мне и неудобно атакующим. А наоборот - нахрен надо.

Ответить | Правка | Наверх | Cообщить модератору

126. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 04-Окт-23, 00:16 
Вопрос исключительно в том что ВЫ не умеете администрировать, потому что если бы вы умели то осилили бы прочитать мануал от OpenSSH для настройки сервера и мануал от фаервола, а если бы вы были опытным администратором то ещё какой то fail2ban или аналог вероятно начали бы использовать.
Вместо этого вы пытаетесь превратить OpenSSH предназначенный для манагемента в подобие nginx предназначенного для массервиса.
Совсем профи знают и такие слова как data plane и control plane и так же что и зачем их необходимо разделять, лучше даже на физическом уровне.

Это не тупняки крипто, это вы полнейший нуб в админстве, у которого сверху ещё 3-4 качественных уровня, а вы в подвале/на улице по отношению к этому.
Вы даже не пытались гуглить чтобы скопипастить готовые решения для данной проблемы, вы решили что вы нашли проблему и нашли решение. А на самом деле вы просто нашли способ как удобнее забивать микроскопом гвозди.

Ответить | Правка | Наверх | Cообщить модератору

135. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 07-Окт-23, 05:49 
> Вопрос исключительно в том что ВЫ не умеете администрировать, потому что если
> бы вы умели то осилили бы прочитать мануал от OpenSSH

Я думал, системда и корпы уже достаточно понятно объяснили ветеран-чудакам где их бизнес видал со всем этим, нет?

И 25519 всякие им тоже нормуль - потому что в десятки раз быстрее с тем же результатом, при этом сильно меньше проблем этого плана. И без этих сказок про белого бычка навязших на зубах. Самое приятное что с такими как вы можно сделать - уволить с треском. Можете до мозолей прокачивать админство локалхоста под кроватью, а в проде подобный гимор неуместен.

> для настройки сервера и мануал от фаервола, а если бы вы были
> опытным администратором то ещё какой то fail2ban или аналог вероятно начали
> бы использовать.

Заодно еще расскажите как ваша бсда относится к 100K айпи в блоке. А так вот вы накинули возни на ровном месте. Для затыкания AUX CRAP-а на минуточку, каковым ремотная админка является. Не, то что за это вас активно хотят уйти не заговор, вы просто отдавили такими свойствами все мозоли менеджменту, сделав дорого, хреново и тормозно, когда можно дешевле, лучше, быстрее и во многих случаях вообще не парясь вон тем.

> Вместо этого вы пытаетесь превратить OpenSSH предназначенный для манагемента в подобие
> nginx предназначенного для массервиса.

Все прозаичнее. Я не хочу уделать много внимания aux вспомогаловке, и тем более костылить ее проблемы оптом. Если это начинает требоваться - возникает ломовой спрос на менее проблемное решение. И либо вы его дадите, либо кто-то другой - и вас тогда жестко и быстро уйдут, забыв былые заслуги. Туда же идут и г@внолибы спихивающие тайминг атаки на меня.

Я в результате просто заюзаю менее проблемные решения. И тут вы такой начинаете вопить что DJB мир захватывает. Имеет к тому предпосылки - не вещает всякий булшит, решает проблемы, включая тайминг атаки и перфоманс вместо сказа про найм админов. Мне так крипто больше нравится, оно должно быть решением а не источником проблем, бжад.

> Совсем профи знают и такие слова как data plane и control plane
> и так же что и зачем их необходимо разделять, лучше даже на физическом уровне.

Теоретически да. Практически это не от мира сего. Мир выбрал дешевые эффективные решения, миллионы кастомеров с миллионами виртуалок хотят хоть какую-то безопасность, чтобы сосед на тазике не тырил ключи, в т.ч. и таймингатаками. А вон то обходится в СОТНИ раз дороже и потому не массовое решение. И горе тому кто удумает вон ту толпу игнорить. Возникает спрос на его замену. Это если и заговор - то против тех кто все делает долго, дорого, сложно и хреново, когда можно в разы проще, дешевле и быстрее. И даже не очень пролетев в свойствах, если все правильно обыграть. Да, это сложно но игра стоит свеч.

> Это не тупняки крипто, это вы полнейший нуб в админстве, у которого
> сверху ещё 3-4 качественных уровня, а вы в подвале/на улице по
> отношению к этому.

Последний раз когда я слышал эти истории, потом был занятный вой ветеранов когда systemd попер их почти отовсюду. Со всем вот этим брейнфартом. С чего вы взяли что менеджмент систем должен быть сложным, хреновым, дорогим и канительным? И уж тем более не есть нормально когда AUX крап типа управлялки требует столько внимания к себе. Это же и крипто касается. DJB это понял, а вы нет. Такая разница.

> Вы даже не пытались гуглить чтобы скопипастить готовые решения для данной проблемы,
> вы решили что вы нашли проблему и нашли решение. А на
> самом деле вы просто нашли способ как удобнее забивать микроскопом гвозди.

На самом деле я просто в гробу видал скилл плотно костылить aux вспомогаловку нужную раз в год. Это крайне нерациональные затраты времени, денег и ресурсов. И того кто не понимает этот момент надо вышибать с треском, так им некоторые азы менеджмента понятнее будут.

Ответить | Правка | Наверх | Cообщить модератору

140. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 09-Окт-23, 02:34 
Вы похоже спорите с голосами у себя в голове, потому что я явные связи между процитированным и ответами могу проследить с очень большим трудом. )

Разделение Control Plane и Data Plane - это база которая необходима когда ты выходишь на рынок больших потоков данных.
Не только чтобы убрать management из паблика, но и чтобы management вообще был доступен даже тогда когда тебе uplink в полку положат.
В современном мире IPv6 можно вообще завести "тайный" адрес даже в /64 префиксе чисто для манагемента и получить защиту от неприятностей с нулевым оверхэдом.
Но даже на бич хостингах с IPv4 одним адресом можно легко накидать в фаер подсетки откуда манагемент будет доступен.

Именно поэтому вы со своим 25519 смотритесь максимально нелепо заявляя что нашли "серебряную пулю" против брута ссш.

Ответить | Правка | Наверх | Cообщить модератору

143. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Tron is Whistling (?), 26-Май-24, 14:34 
Квант в 4096 _строгих_ бит?
Он размером будет со всю Швейцарию. И в высоту тоже.
Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

144. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Tron is Whistling (?), 26-Май-24, 14:35 
И дело даже не в размерах - его банально энергией прокормить может не получиться.
Ответить | Правка | Наверх | Cообщить модератору

5. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +1 +/
Сообщение от Аноним (5), 30-Сен-23, 14:47 
Паяльник рулит.
Ответить | Правка | Наверх | Cообщить модератору

7. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от фнон (?), 30-Сен-23, 14:49 
для этого нужен тесный физ. контакт
а так можно ломать полностью сервак который на другой стороне земли
Ответить | Правка | Наверх | Cообщить модератору

10. "Атака Marvin для расшифровки RSA на основе измерения времени..."  –2 +/
Сообщение от Аноним (6), 30-Сен-23, 14:52 
Ломать сервак который неизвестно где и непонятно что там полезного лежит.
Ответить | Правка | Наверх | Cообщить модератору

17. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от фнон (?), 30-Сен-23, 15:26 
так если это легко, автоматизируемо...
просто ломать все до чего дотянулись, а там смотреть что есть вкусного
Ответить | Правка | Наверх | Cообщить модератору

23. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (6), 30-Сен-23, 15:47 
Да я вижу логи соединения со своим дефолтным ссш портом. Там адок. Хорошо что там ничего нет.
Ответить | Правка | Наверх | Cообщить модератору

67. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 01-Окт-23, 00:53 
Так и я вижу, там OpenSSH, рут с паролем разрешён и это никак не помогает ботам :)
Ответить | Правка | Наверх | Cообщить модератору

13. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +1 +/
Сообщение от Аноним (13), 30-Сен-23, 15:13 
Ограниченный инструмент этот ваш паяльник. Внезапно, но на стороне потенциальной жертвы тоже может быть сила или рычаги влияния. Не нужно думать, что все сценарии ограничиваются случаем "кровавая гэбня против Васи Пупкина".
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

16. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Витюшка (?), 30-Сен-23, 15:26 
Самое интересное что паяльник не поможет восстановить 1024битный RSA ключ.

Если к тебе начнут ломиться - ты просто выдернешь флешку и сломаешь её. И никакой паяльник не поможет.

Конечно уже потом, с паяльником в жопе, ты будешь сильно жалеть что вообще что-то шифровал. Но это будет уже потом)))

Ответить | Правка | Наверх | Cообщить модератору

25. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +2 +/
Сообщение от Аноним (13), 30-Сен-23, 15:55 
Ну тут уже нужен не паяльник, а специалист по восстановленю данных с поврежденных носителей
Ответить | Правка | Наверх | Cообщить модератору

34. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (34), 30-Сен-23, 19:05 
Паяльник в жопе бесполезен становится. А вот посадить тебя, строго по закону, это не помешает. Если в бриташке - то за невыдачу ключа по закону. Если в сшашке - то за неисполнение приказа судьи выдать ключ на не определённый срок - до тех пор, пока не выдашь. Ну а в остальных юрисдикциях - за "мелкое хулиганство" карусельно.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

15. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Sw00p aka Jerom (?), 30-Сен-23, 15:19 
лол, кек, зиро-траст :)
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

11. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (13), 30-Сен-23, 14:55 
Хороший пример того, что безопасность это не только про криворуких (или продавшихся АНБ) программистах. Даже если написать на коленке свой софт с нуля, то вас всё равно смогут взломать за счет фундаментальных проблем в самих стандартах, алгоритмах, програмно-аппаратной архитектуре, и т.д.
Ответить | Правка | Наверх | Cообщить модератору

52. "Атака Marvin для расшифровки RSA на основе измерения времени..."  –1 +/
Сообщение от seL4 (?), 30-Сен-23, 23:43 
KRY10 смеется над вами.

https://www.perplexity.ai/search/3af2f727-9f74-45b0-8a84-442...

Kry10 is a company that provides a modern platform, tools, and management services to help businesses realize the full potential of IoT and high-value connected devices1
. The Kry10 platform is built on a secure foundation and enables a high level of resilience and manageability to meet mission-critical needs1
. The Kry10 Operating System (KOS) is the center post of this paradigm shift and is aligned with shifts that are occurring in hardware, software, and communication networks2
. The Kry10 Secure Platform is a new Operating System, management service, and hardware aimed directly at Connected Devices3
. The Kry10 Management Service provides tools to manage part of or all of a fleet, monitor health, watch for attack patterns, collect data, and more1
3
. Kry10's goal is to bring software scale, speed, and assurance to connected devices designed to solve real-world problems2
. Kry10 develops an operating system for machine and device network connectivity designed to solve real-world problems6

Ответить | Правка | Наверх | Cообщить модератору

58. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +2 +/
Сообщение от Аноним (54), 30-Сен-23, 23:50 
> Kry10 is a company that provides a modern platform, tools, and management
> services to help businesses realize the full potential of IoT and
> high-value connected devices1

О да, о да, как говорится:
- Доктор, Мойша говорит что ему 90 и он - может!
- Не вижу что и вам мешает говорить это же самое.

Тупая реклама короче.

Ответить | Правка | Наверх | Cообщить модератору

70. "Атака Marvin для расшифровки RSA на основе измерения времени..."  –1 +/
Сообщение от seL4 (?), 01-Окт-23, 06:03 
https://www.perplexity.ai/search/c073d891-fec6-4514-9e49-7af...

According to the search results, the cost of producing formally verified, high-assurance systems using seL4 is on the order of $200-400/LoC (Lines of Code) for critical code1
. However, the total cost for development of seL4 and its functional correctness proof is $362/LOC, which is low cost compared to the industry rule-of-thumb cost5
. Additionally, the cost of the proof for seL4 is higher, in total about 20 person years, which includes significant research and about 9 person years invested in formal language frameworks, proof tools4
. It is important to note that building a system on seL4 requires more work compared to building on other operating systems like Linux2
.

Ответить | Правка | Наверх | Cообщить модератору

89. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (89), 01-Окт-23, 18:24 
Ну доказали соответствие кода спецификации,молодцы. Но вот только где гарантия того, что в самой спецификации нет дыр и прочих проблем? Тоже самое с протоколами. Я не говорю, что это бесполезно, нет. Но это не панацея.
Ответить | Правка | Наверх | Cообщить модератору

64. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 01-Окт-23, 00:37 
Тут вопрос в том, почему вас такое заботит :)
Взломают вас и что дальше?
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

18. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (18), 30-Сен-23, 15:31 
>в качестве оптимального решения предлагается прекратить использование RSA на TLS-серверах в пользу шифров на основе ECDH (Elliptic Curve Diffie Hellman).

Вот так и палятся агенты NWO. Вместо того, чтобы дополнить время до константы с помощью ожидания, предлагают дропнуть RSA и принудительно всех перевести на криптоалгоритмы, о которых ходят слухи, что их на классическом компьютере взломали.

Не удивлюсь, если всё это исследование ради одного повода для этого предложения и делалось.

Ответить | Правка | Наверх | Cообщить модератору

21. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (21), 30-Сен-23, 15:42 
>Автор исследования также полагает, что рассмотренный класс уязвимостей не ограничивается RSA и может затрагивать многие другие криптографические алгоритмы

Как RSA устранят - можно будет и NTRU Prime устранить и всех на SIKE перевести.

Ответить | Правка | Наверх | Cообщить модератору

60. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 01-Окт-23, 00:03 
> Вот так и палятся агенты NWO. Вместо того, чтобы дополнить время до
> константы с помощью ожидания, предлагают дропнуть RSA

Ну конечно, всех криптографов в враги надо записать - потому что RSA они недолюбливают за ряд свойств.
1) У RSA есть "особые" ключи. И генерация ключа отсеивает чертову кучу "неудачных". Все ли их она отсеивает это еще такой отдельный вопрос.
2) Если кто-то интересовался темой то знает что разок RSA довольно плотно поимели. Авторы видите ли не парились особо и сказали что вон те параметры - ОК. Ну имплементации и юзали их. В частности малые экспоненты, так считать быстрее, авторы говорят что это ок... но вот оказалось что нифига это не ОК! И если поискать RSA small exponent attack можно найти немало интересного на тему того что и как было успешно раздербанено. Вплоть до того что ряд секурбутов и подписей пошел на этой почве нафиг.
3) RSA настолько тормозной в счете что никто в здравом уме и не думал чтобы это до константы догнать. Потому что станет еще тормознее же. Так то просто стайка ботов укладывает SSH демона в полку по CPU запросто. Куда его еще тормозить то? И так по ssh с RSA иной раз зайти невозможно: вы 100500-е в очереди на обсчет ключа, подождите пока до вас очередь дойдет ... timed out ... обойдетесь без управления сервака сегодня.

p.s. hint: симметричное крипто вообще всему этому не подвержено. Конечно ключ через условное дупло не совсем удобно - зато надежно :). И хорошие вещи типа вайргада - позволяют подстраховаться PSK для симметричного крипто на случай если квантовые компьютеры еще и работают.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

63. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 01-Окт-23, 00:35 
1, 2) Так ему уже лет 50. Это отличное и хорошо изученное решение, которое до сих пор актуально.
За это время все другие криптоалгоритмы ушли на пенсию, даже сильно более молодые.

3) Вы не понимаете сути.
До констант тайм его никогда и никто не думал доводить потому что это тупо.
Там снизу гора математики, выкинуть от туда все оптимизации это как с машины снять колёса и нанять носильщиков вместо них. (ниже я расписал в отдельном сообщении подробнее)
Насчёт ботов по ssh вы совсем не правы. У меня ключ хоста 16к бит RSA и как раз таки боты на этом и обламываются часто: пока они там на своём дохлом проце считают у них или память кончается или по таймауту отваливаются.

PSK вы упомянули, а чего тогда не упомянуть фльдегерей и почтовых голубей?)

Ответить | Правка | Наверх | Cообщить модератору

78. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (78), 01-Окт-23, 13:40 
> 1, 2) Так ему уже лет 50. Это отличное и хорошо изученное
> решение, которое до сих пор актуально.

Это дряхлый дедушкин запорожец, который еще каким-то чудом ездит. После многочисленных латаний гнилых порогов эпоксидкой и матюками, вечной переборки движка и запуска с толкача.

Единственное достоинство - "он был первым". Все остальное - недостатки. Начиная от авторов отметившихся бэкдорами (в PGP) и заканчивая дырявыми алго изрыгаемыми теми же авторами, что намекает что господа очень примерно понимали что и зачем делают.

...да и вон то творчество DJB вылупилось не вчера. Только юзать куда проще, приятнее, а вулны в нем - ну и где? Этому тоже уже более 15 лет. И криптографы это смотрели довольно активно. И ничего не узрели особо. Так что многие корпы решили что им оно катит и стали на это массово переходить. Серверов на счет RSA не напасешься. Особенно с жирным ключом. Особенно если HTTPS везде внедрить и проч.

> За это время все другие криптоалгоритмы ушли на пенсию, даже сильно более молодые.

Какие-то ушли. А какие-то остались. И если посмотреть кто ушел на пенсию, творчество RSA как раз в самом топе и будет. Что RC4, что MD4/5, да в общем то почти все что массово использовалось на поверку оказалось хламом. R в RC4 так то - то же что R в RSA :)

> 3) Вы не понимаете сути.
> До констант тайм его никогда и никто не думал доводить потому что это тупо.

Я как раз таки вижу что нормальные криптолибы этим заморачиваются. И в коде DJB я это вижу. И оно со всеми этими константными таймингами - RSA мастеркласс дает с диким отрывом.

Так что по моему это вы понимаете как сделать хреново, стремно, сложно, ресурсоемко и - с кучей дурных проблем на ровном месте.

> Там снизу гора математики, выкинуть от туда все оптимизации это как с
> машины снять колёса и нанять носильщиков вместо них. (ниже я расписал
> в отдельном сообщении подробнее)

Видел я эту "гору" математики в tweetnacl - и сравнив с вон тем - осознал что криптолибам не обязательно быть уродливым стремным монстром, писанным некомпетентными ламо, с кодом который аудитить полжизни надо.

А можно вместо всего этого КОШМАРА - вот - код который реально прочитать за вечер. Без мутноты. Работающий на порядок быстрее даже без особых оптимизаций. И при этом с константными таймингами. Для меня это был отличный пример как делать крипто правильно.

> Насчёт ботов по ssh вы совсем не правы. У меня ключ хоста
> 16к бит RSA и как раз таки боты на этом и обламываются часто: пока они там
> на своём дохлом проце считают у них или память кончается или по таймауту отваливаются.

Проблема в том что участь сервака при этом ни разу не лучше. Я просто запретил RSA у себя - и пусть они там с ed25519 подбирают пароль, если хотят. Все равно не угадают, он немеряный.

> PSK вы упомянули, а чего тогда не упомянуть фльдегерей и почтовых голубей?)

От фаната ржавого дедушкиного запора с деревянной "скамейкой" на багажнике и слышу :)

Ответить | Правка | Наверх | Cообщить модератору

83. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (83), 01-Окт-23, 15:50 
>Это дряхлый дедушкин запорожец, который еще каким-то чудом ездит. После многочисленных латаний гнилых порогов эпоксидкой и матюками, вечной переборки движка и запуска с толкача.

Зато
1. команды на CAN-шину через сотовую сеть с планшета полицая отдавать нельзя.
2. не рассыпается в хлам через 5 лет эксплуатации, чтобы заставить лохов раз в 5 лет за 20 тысяч баксов машину новую покупать.

Ответить | Правка | Наверх | Cообщить модератору

87. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 01-Окт-23, 16:25 
> Зато
> 1. команды на CAN-шину через сотовую сеть с планшета полицая отдавать нельзя.

Зато при столкновении - у вон того с CAN видите ли подушки в морду вылетают когда мелкий процик видит что ускорение запредельное. А у хрыча из запорожца вылетает, извините, хрыч через лобовуху. С понятными последствиями для его бренной тушки. Вредно это для здоровья.

> 2. не рассыпается в хлам через 5 лет эксплуатации, чтобы заставить лохов
> раз в 5 лет за 20 тысяч баксов машину новую покупать.

Да вообще-то нормальные иномарки так то довольно живучие штуки. И антикор они умеют здорово получше совкового автопрома. Так что иной агрегат и через 20 лет - очень даже ничего так смотрится. Особенно если это частник а не убитое таксо. И ресурс двигуна - ну извините, обработку материалов и технологии не профукаешь, оно таки в разы больше всего что имел предложить совковый автопром. Хотя если вам загорать под авто нравится - это, конечно, серьезный недостаток. Вот видимо и с крипто так же - выгребать вулны в огромных математических либах писаных какими-то нонеймами, не понимавшими к тому же что и нахрена делают - ну, можно. Но лишь маргинально приятнее чем вон то.

Ответить | Правка | Наверх | Cообщить модератору

92. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (92), 02-Окт-23, 01:09 
1. Спасибо, я предпочту не испытывать резкое торможение благодаря посланным через CAN несанкционированным вредоносным командам.
2. Ещё раз. Крипта - это пострашнее чем rocket science. Всех, кто достаточно квалифицирован в ней, либо купили, либо запугали, либо непрерывно ведут и при необходимости ликвидируют. Поэтому чем проще крипта - тем лучше. Эллиптика слишком сложна для нематематика, решётки ещё страшнее. А вулны в либах гипотетические и их закрыть я уже сказал как надо. Константное время - это нужно, но навесная защита тоже даст константное время. Без всякого навязывания сомнительных криптосистем и без слома совместимости.
Ответить | Правка | Наверх | Cообщить модератору

93. "Атака Marvin для расшифровки RSA на основе измерения времени..."  –1 +/
Сообщение от Аноним (-), 02-Окт-23, 07:16 
> 1. Спасибо, я предпочту не испытывать резкое торможение благодаря посланным через CAN
> несанкционированным вредоносным командам.

Вон тот, с CAN, вылетевший на встречку, может быть не в курсе этого желания. Да и тебя самого может при неудачном раскладе вынести на встречку или убить о стену/фонарь/дерево/чего там. Мало ли какой факап на дороге случается, у кого колесо отваливается (у хрычей на хламе кст не редкость). Или из фуры перед тобой выпадет все что угодно. Мало ли какое д@рьмо!

И когда твой рыдван встречается с стеной/деревом/фонарем/обладателем CAN, вообще, маленький гаденыш с фирмварой и датчиком ускорения может быть довольно полезен. Это ты ничего сделать не успеешь. А для него навалом времени на аксель посмотреть, понять что дело дрянь, пульнуть подушки, задолго до того как водятел вообще соберется пируэт через лобовое делать. А впечатываться в надутую подушку прикольнее чем в фонарь/асфальт/стену/обладателя CAN.

> 2. Ещё раз. Крипта - это пострашнее чем rocket science. Всех, кто
> достаточно квалифицирован в ней, либо купили, либо запугали, либо непрерывно ведут
> и при необходимости ликвидируют.

Это все какие-то мантры о ZoG. Криптографы живут в самых разных юрисдикциях, публикации хреначат, а после того как публикация выложена уже и ликвидировать смысла нет.

Насколько я вижу - все проще: пропихивают абы что в стандарты, делая сами стандарты переусложненными.

Так что вот вам Dual EC DRBG на кривой козе, с кривыми которые никто особо не изучал на публике, без обоснования почему такие, и общий аргумент за дизайн "потому что гладиолуc^W NIST". И что-то вон тех, показывающих пальцами на ЭТО - никто не ликвидировал. Все дружно обгадили NSA и NIST и до сих пор живые.

Или вот TLS, с кучей версий, опций, плохими спеками, и еще более плохими реализациями. А что будет если переусложненный протокол будут реализовывать какие-то ламы которые даже не криптографы толком? А, вот вы тут по дефолту "доверяете" легиону какой-то шушеры со всего глобуса. Вас правда не спрашивали - доверяете ли. А вот супер-апи, где даже просто понять валиден ли серт - рокетсайнс, так что половина программ тупо не чекают серты и толку от их TLS примерно ноль. Даже OpenVPN на эти грабли вставал, чертову кучу лет клиенты могли MITM себе подобным делать от лица сервера, просто потому что тип сертификата по дефолту не чекался, а CA и серт валидные в том контексте по любому. Но конечно вы сбоку можете прописать чек. Вот только кто ожидает такой кидок от VPN в дефолтах? Или вон там более 9000 старых вариантов алго и версий протокола "для совместимости". Так что MITM задаунгрейдит секурное до несекурного, а прога даже и не обратит внимание. С такими апи как в openssl это норма жизни.

> Поэтому чем проще крипта - тем лучше. Эллиптика слишком сложна для нематематика,

RSA на порядки сложнее. И костылей море. Отсев заведомо хреновых ключей, кучи костылей, проверок, можно неудачные параметры типа low exponent attack, а тута, вот, тайминги, оказывается, профачили в таком монстре то. Ну кто бы сомневался. Реально код реализации RSA который без заведомых дыр и факапов - на порядки сложнее кода эллиптики в том же tweetnacl, при том никакого особого криминала на него за столько лет так и не нашлось. В отличие от RSA где с той же low exponent было немало ололо с выносом high-secure систем "на ровном месте".

Конечно истинное понимание математики за этим - отдельный топик. Так что не стоит пытаться менять основы математики не будучи плотно вхожим в область. А еще детали реализации. Типа, вот, учета утечек наружу по косвенным каналам. А вот это уже может и просто нормальный програмер, достаточно аккуратный и параноидальный, понимающий как работает железо. Далеко не любой математик вообще вхож и в этот аспект одновременно. И как видим оно вот тут было полностью профачено, а тормоза алгоритма только усугубили этот аспект.

> решётки ещё страшнее. А вулны в либах гипотетические и их закрыть я
> уже сказал как надо.

Да нет, вот знаете, в сабже довольно практическая атака. И такого счастья - они так то не первые нифига. В крипто не бывает мелочей. То что для пофигиста мелочь и теоретическая атака, для исследователя топик исследования а для атакующего - шансы на успех. Заметно более высокие чем лобовой брут ключа так то.

> Константное время - это нужно, но навесная защита тоже даст константное время.
> Без всякого навязывания сомнительных криптосистем и без слома совместимости.

Ну вы можете WEP использовать "для совместимости", в своем праве. Только не взыщите если его разнесут за 2 минуты. А потом при таком отношении к инфррмационной безопасности разнесут и все остальное не сильно дольше.

И таки нет - я не дам вам грузить мои системы счетом RSA-16384 инициируемым ремотно. Это само по себе вулн - "тяжелый RPC доступный ремоте". Хоть там как, но это возможность DoS атаки, при том судя по тому как мне таймаут на VDSке при нашествии ботов был, довольно работоспособный "в диком виде".

Ответить | Правка | Наверх | Cообщить модератору

107. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (107), 02-Окт-23, 21:10 
>> 1. Спасибо, я предпочту не испытывать резкое торможение благодаря посланным через CAN
>> несанкционированным вредоносным командам.
> Вон тот, с CAN, вылетевший на встречку

Поэтому никаких электроусилителей руля. Их к счастью намного меньше, чем гидроусилителей. Но было бы желание - насадят. Как нассаждают FIDO2.

> после того как публикация выложена уже и ликвидировать смысла нет.

Для тех, кто этим занимается - очень даже есть. К сожалению их не всех можно достать и привлечь по соответствующим статьям.

> Насколько я вижу - все проще: пропихивают абы что в стандарты, делая сами стандарты переусложненными.

Одно другому не мешает. У тех, кто занимается подобной деятельностью, денег на всё хватает. Собственно деньги у них есть именно потому, что они такой деятельностью занимаются. А если перестанут - то и денег не станет, и за деятельность придётся по закону ответить.

> Или вот TLS, с кучей версий, опций, плохими спеками, и еще более плохими реализациями.

Да, TLS сложный. Но тут как раз умысла нет, он так органично развивался. Не раскачивай лодку, новый протокол, сдизайненный сызнова, либо будет бесполезным, либо будет забагованным похуже TLS.

>Вас правда не спрашивали - доверяете ли. А вот супер-апи, где даже просто понять валиден ли серт - рокетсайнс, так что половина программ тупо не чекают серты и толку от их TLS примерно ноль.

Виноваты разрабы библиотек. Нужно простое API `InvalidationReasonsList isValid(cert)` с стандартизированной минимальной реализацией (все сертификаты, невалидные в стандартизированной, должны быть невалидны во всех реализациях, соответствующей стандарту). Про CRL - это просто infeasible. CRLite - уже более feasible, но всё равно весит много. Бесплатного ланча не бывает.

>> Поэтому чем проще крипта - тем лучше. Эллиптика слишком сложна для нематематика,
> RSA на порядки сложнее.

RSA - это теория чисел, примерно понятная по курсам уровня 101. Эллиптика - это какая-то математическая жуть, в которой разобраться более-менее могут только математики. Атаки по времени - они везде. Атаки по энергии - они тоже везде. Атаки по эмиссиям - везде. Атаки по микропробингу - тоже везде. По времени ещё сложно но можно кое-как защититься, а вот по энергии вообще не возможно защититься без учёта особенностей конкретной микроархитектуры. Эти все атаки на реализацию либо предполагают либо физический доступ, который можно законтрить, что и делают в защищённых криптопроцессорах, либо можно законтрить программно, что тоже делают. А атаку на изначально уязвимый алгоритм или протокол не законтришь, поимеют всех, на всех процессорах и вне зависимости от наличия физического доступа. Твой tweetnacl - это proof of concept, который написан ради демонстрации "какой я офигенный, смог в столько-то символов уместить такую сложную вещь", всё остальное приносится в жертву ради попадания в лимит. На практике же все используют nacl/sodium.

На "медленно", "горячо" и "неэнергоэффективно" - учите физику и теорию игр. Безопасность - это небесплатно. Безопасность - это аукцион первой цены, а в качестве оплаты тут - увеличение энтропии Вселенной. Кто больше заплатит - тот и победил. Кто меньше заплатит - тот будет съеден.

> Ну вы можете WEP использовать "для совместимости", в своем праве. Только не взыщите если его разнесут за 2 минуты.

Сравнили WEP с RSA. Пойдите, выберите какой-либо челлендж на факторизацию RSA3072 и факторизуйте за две минуты, заодно приз их получите. Когда сделаете - тогда ваши доводы и будут иметь смысл. А пока это всего-лишь болтовня пустая.

Ответить | Правка | Наверх | Cообщить модератору

123. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (123), 03-Окт-23, 08:30 
> Поэтому никаких электроусилителей руля. Их к счастью намного меньше, чем гидроусилителей.

Электрика может даже надежнее гидравлики быть. Извините, это самолетам уже ок. А на встречку вылетают обычно по другим причинам. И судя по очередной новости - опять жигуль иномарку нашел. И одни в больничку, а другие - в морг. Как-то так и видно полезна ли технология.

> Но было бы желание - насадят. Как нассаждают FIDO2.

Ну как бы мне без моего желания фиг чего насадишь. Тем не менее я не против прогресса если это дает что-то измеримое и полезное. А ритуалы ради ритуалов - нафиг надо. Даже если вы так и привыкли.

> Для тех, кто этим занимается - очень даже есть. К сожалению их
> не всех можно достать и привлечь по соответствующим статьям.

Насколько я вижу оно на практике и не работает соответственно. NSA и NIST'а за DualEC DRBG зачмырил легион криптографов - и что хотят то пусть с этим и делают.

> Одно другому не мешает. У тех, кто занимается подобной деятельностью, денег на
> всё хватает.

А как тогда ваша теория объяснит факап с DualEC и паливом бэкдора? Да и вообще, даже самые злые зверушки типа Equation-ских тулсов разобрали. И дальше продолжают. Что-то ящерки лажают?!

> Собственно деньги у них есть именно потому, что они
> такой деятельностью занимаются. А если перестанут - то и денег не
> станет, и за деятельность придётся по закону ответить.

Интересно, вы сами то в это все верите? А призвать могут только в вопиющих случаях и даже так - ну вон equation номинально не NSA как бы а какая-то прикормленная группировка.

> Да, TLS сложный. Но тут как раз умысла нет, он так органично развивался.

Слово "органично" применительно к "TLS" звучит как крамола. Или извините, органические отходы. Потому что там и RC4 с 40-битным ключом так то бывал. А на память об этом и атаки на даунгрейд оптом. Получился супер-монстр которым вообще секурно почти никто пользоваться не умеет, с кучей проблем. Отличный пример snake oil encryption. А чтобы совсем не мешался под ногами, вот вам Cloudflare, он вам бесплатно, сайт, акселерирует, блабла, защита от доса! Ну и как вы поняли - если АНБ, ЦРУ или ФБР станет ОЧЕНЬ надо - наверное, они какое-то инфо у клаудспайвари могут и получить. А поскольку технически CF это MITM делающий SSL-бампинг... то в принципе вон те могут получить доступ к дофига трафа. Даже далеко за пределами своей юрисдикции.

> Не раскачивай лодку, новый протокол, сдизайненный сызнова, либо будет бесполезным,
> либо будет забагованным похуже TLS.

Да вот DJB показал как либы делать правильно и на его основе есть немало симпатичных мне протоколов, которые так то сильно лучше по свойствам. А вы можете плыть в своей лодке, только она что-то плавает хреново на мой вкус. И я не буду уповать всерьез на эту посудину.

Даже вон Tox какой - у него end to end крипто в чате 1 на 1 просто не отключается. И центральных серверов нет. Одно это уже здорово порадует желающих вторгаться в приваси нахрапом.

> Виноваты разрабы библиотек. Нужно простое API `InvalidationReasonsList isValid(cert)`

Еще одно булшит-бинго какое-то. Если посмотреть как крипто DJB делал, нужно на самом деле было не это - а вот именно секурный обмен 1 на 1. С минимальным знанием о ремоте. Ну там вот их пубкей. А в этом месиве наворотили черти что - и теперь два легиона хз кого могут "кому-то", "что-то" "удостоверить" и куча софта по дефолту этой кучи мути - "доверяет". Это пример голимо сделаных апи и протоколов. Когда обещают одно, реально совсем другое и вот именно безопасно, с именно TLS бывает довольно редко вообще. А большая часть софта ведется на тривиальные фокусы. Браузеры что-то как-то где-то - но там клаудсвайварь уже аннулировал почти все это добро.

> с стандартизированной минимальной реализацией (все сертификаты,
> невалидные в стандартизированной, должны быть невалидны во всех реализациях,
> соответствующей стандарту). Про CRL - это просто infeasible. CRLite - уже более
> feasible, но всё равно весит много. Бесплатного ланча не бывает.

Посмотрев как API делал DJB и протоколы на его основе я вон тому месиву могу пожелать разве что смерти. Может и мучительной - но желательно быстрой. Чтобы не засоряло планету псевдо-криптой которая не решает по сути никаких проблем. Оставляя море места на залет, несекурное использование апи и проч.

Например вот опенвпн - сертификаты клиента и сервера отличались 1 полем по сути, и это поле как раз все валидировать и забыли поначалу. Крутой дизайн, чо. Секурно - любой клиент подписан валидным CA и MITMает трафик имперсрнируя сервак. Но вы дескать можете вручную прописать.

А теперь берем вайргад и понимаем как делать впн правильно. Ну вот удачи в имперсонации там сервера клиентом. Это просто не предусмотрено. Зато вот роуминг и клиента и сервера сразу есть. Круто, мило, удобно. И в 50 раз меньше кода на аудит.

> RSA - это теория чисел, примерно понятная по курсам уровня 101. Эллиптика
> - это какая-то математическая жуть, в которой разобраться более-менее могут только
> математики.

Теория чисел по мере увеличения размера чисел и появления костыль-требований и требований к скорости так то тоже становится довольно жутковатой. Оказывается что бывают неудачные ключи, что можно неудачные параметры подогнать, а тут еще вот тайминги, и еще более 9000 вариантов что может пойти не так. И даже просто разложение на множитили больших чисел - по сути отдельная категория знаний. С дохрена собственной специфики. Особенно если это все попытаться к практическим применениям прикрутить.

> Атаки по времени - они везде. Атаки по энергии - они тоже везде.

Да вот - если есть алго A где это тривиально и B где это зарулили, это конкурентное преимущество алго B даже если забыть про скорость. Но забыть про нее не получится потому что вычислительные ресурсы - стоят денег. А задача крипто - заменить большой секрет маленьким. У RSA это довольно плохо получается потому что не такое уж оно и маленькое. И не такое уж и быстрое. И возникает куча ограничений на применимость которых у конкурентов нет. А квантовые компьютеры - как угодно но Шор был сформулирован для именно операций характерных для RSA.

> Атаки по эмиссиям - везде. Атаки по микропробингу
> - тоже везде. По времени ещё сложно но можно кое-как защититься,
> а вот по энергии вообще не возможно защититься без учёта особенностей
> конкретной микроархитектуры.

Ну как бы атаки по энергии требуют физический доступ. А по времени - можно и ремотно донимать вон тот беспроводной датчик, сервер, точку доступа, или куда там кто хотел. Одно дело если надо с проводами в сервер лезть и другое если можно пакетов ремотно покидать.

> Эти все атаки на реализацию либо предполагают либо физический
> доступ, который можно законтрить, что и делают в защищённых криптопроцессорах, либо
> можно законтрить программно, что тоже делают.

Ну и вот хорощие реализации крипто кроме всего прочего уж как минимум тайминг атаки в XXI веки должны учитывать. А не перепихивать проблему с больной головы на здоровую, при этом смея еще и козырять что это "решение" каких-то проблем.

> столько-то символов уместить такую сложную вещь", всё остальное приносится в жертву
> ради попадания в лимит. На практике же все используют nacl/sodium.

Я вполне себе tweetnacl пользуюсь, и знаю ряд проектов которые его или его деривативы используют. Особенно на микроконтроллерах, там упомянутые как-то великоваты. Но прелесть сей в портабельности, оно работает и так и сяк.

И идея вот именно маленького кода крипто который можно от и до прочитать - прекрасна. Это образец как надо делать крипто. И то на что либам стоило бы ориентироваться. Но поскольку краткость сестра таланта - да, талант не у всех есть. Заодно и узнаем где голимые посредственности snake oil раздают...

> На "медленно", "горячо" и "неэнергоэффективно" - учите физику и теорию игр. Безопасность
> - это небесплатно. Безопасность - это аукцион первой цены,

Если вон то алго делает это в N раз дешевле - это преимущество этого алго. А вы как, предпочтете вон там между сенсорами и пультиками нешифрованый линк, ломаемый ламо с снифером путем реплея пакета? Без крипты то? А не, на RSA там ресурсов точно нет - это проц цать раз дороже сразу надо ставить. Который от батареечки CR2032 не забутявится. И вот вам вместо брелка кирпичик такой - "зато с RSA".

> Сравнили WEP с RSA. Пойдите, выберите какой-либо челлендж на факторизацию RSA3072 и
> факторизуйте за две минуты, заодно приз их получите. Когда сделаете -
> тогда ваши доводы и будут иметь смысл. А пока это всего-лишь болтовня пустая.

Да спасибо - я видел практический вынос high-secure систем через low exponent attack. Мне хватило. А поскольку оно местами еще и в boot ROM процыков такое - ну вы поняли, некоторые штуки теперь так и умрут несекурными. А обещали, между прочим, совсем другое. И RSA таки помог им облажаться с своей "кучей особенностей".

Ответить | Правка | Наверх | Cообщить модератору

125. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (125), 03-Окт-23, 19:12 
> Электрика может даже надежнее гидравлики быть. Извините, это самолетам уже ок.

Спасибо, что предупредили.

>> Но было бы желание - насадят. Как нассаждают FIDO2.
> Ну как бы мне без моего желания фиг чего насадишь.

А куда ты денешься с подводной лодки! Насяльника прикажет на сайте зарегаться, где требование биометрического FIDO2 - возьмёшь под козырёк и зарегаешься как миленький.

> А как тогда ваша теория объяснит факап с DualEC и паливом бэкдора?

А его никто и не скрывал. Просто не болтали о нём. Кому его использовать приходилось - тем никуда не деться было.

> Интересно, вы сами то в это все верите? А призвать могут только
> в вопиющих случаях и даже так - ну вон equation номинально
> не NSA как бы а какая-то прикормленная группировка.

Что номинально есть и что нгминально нет - это одним росчерком пера меняется.

> Получился супер-монстр которым вообще секурно почти никто пользоваться не умеет, с кучей проблем.

Именно потому, что он органично развивался. Все органично выросшие системы такие. От генома человека - до системы команд x86.

>Cloudflare

Нафига ты их притащил? Это к крипте вообще никакого отношения не имеет. У скота нет денег на защищённый от DDOSа сервер и нет влияния продвигать защищённые от DDOS протоколы в браузеры. Приходится продаваться клаудфларям за мелкий прайс.

>> Не раскачивай лодку, новый протокол, сдизайненный сызнова, либо будет бесполезным,
>> либо будет забагованным похуже TLS.
> Даже вон Tox какой

Токс - говно, светящее на всю сеть твои p2p-соединения. Сделанное васянами и написенное на сишке.


> Еще одно булшит-бинго какое-то. Если посмотреть как крипто DJB делал

А это уже культ.

>С минимальным знанием о ремоте.

Это только когда у тебя 1 версия одного протокола. Сломалась - беги с флешкой (качать через инет - небезопасно!) к автору лично за новой. Прибежал с флешкой? "Ой что это у меня ничего не рабоает!?" А потому что 99.99% ни с какой флешкой никуда не ездило и продолжает сидеть на старой версии. А ты такой умный - без сайтов сиди.

Или ты сидел на старой версии - а владелец сервера узнал и сбегал с фбешкой за новой. А ты сиди и гадай, что сломалось.

> Браузеры что-то как-то где-то

Вот полный набор проверок, который браузеры делают, долюен бытт не "как-то где-то" в браузерах, а в tls-библиотеке под простым фасадом. И ты просто пользуешься реализацией в библиотеке, а не пишешь свои проверки. А если в библиотеке не написали достаточные проверки - ты либо контрибьютишь в библиотеку, либо выкидываешь её целиком.

> вайргад

это не vpn, а помойка. Всем, кто с ним имеет дело, приходится свою нестандартную версию вайргарда писать, а не полагаться на игрушку, написанную Доненфильдом.

> И в 50 раз меньше кода на аудит.

Правильно. Нет программы - нечего аудировать. А кому программа нужна чтобы бабло делать - те и без аудита обходятся. Тяп-ляп - готов VPN-провайдер.

>требований к скорости

Безопасность небесплатна. Где ускорили - там и похерили безопасность. Это как раз пример с твоей экспонентой 4.

>> Атаки по времени - они везде. Атаки по энергии - они тоже везде.
> У RSA это довольно плохо получается потому что не такое уж оно и маленькое.

1. с чего ты взял, что большой секрет в принципе возможно заменить маленьким? С чего ты взял, что P≠NP? Может мы живём в одном из трёх первых миров Импаглиаццо. Миров 4, и в 3 из них нет ассиметричной криптографии. Если предположить равномерное распределение, то мы только с вероятностью 1/ живём в мире, где ассиметричная криптография есть.
2. С чего ты взял, что у EC всё лучше, а не людие его просто знают хреновее, и поэтому тебе и кажется, что там меньше всего?

>И не такое уж и быстрое.

хочешь ускорить - вообще не шифруй.

>А по времени - можно и ремотно донимать вон тот беспроводной датчик, сервер, точку доступа, или куда там кто хотел.

Можно. Но время будет константным: достаточно ответ выдавать не когда он готов, а по таймеру. А, вам ускорения надо, времени ожидания жалко! Ну тогда вам нужны реализации максимально оптимизированные, максимально сокращающие время ожидания. Которые подвержены атакам по времени.

Ну и вот хорощие реализации крипто кроме всего прочего уж как минимум тайминг атаки в XXI веки должны учитывать.

в 21 веке тайминг атаки вообще можно не учитывать, а убрать навесной защитой. И будет гораздо энергоэффективнее - вместо сжигания энергии попусту процессор перейдёт на другой поток  бубет там пользу приносить.

> Я вполне себе tweetnacl пользуюсь, и знаю ряд проектов которые его или
> его деривативы используют. Особенно на микроконтроллерах, там упомянутые как-то великоваты.
> Но прелесть сей в портабельности, оно работает и так и сяк.

Вам нужно подешевле или побезопаснее?

> И идея вот именно маленького кода крипто который можно от и до прочитать - прекрасна.

После чего выкинуть этот игрушечный код и пойти использовать работающие в практических применениях решения.

> Если вон то алго делает это в N раз дешевле - это преимущество этого алго.

Да, преимущество экспоненты 4. Продолжайте использовать её - как раз быстро. А ещё быстрее - не шифровать вообще. Используйте алгоритм "ничего не делать" - даст бесконечное ускорение.

> Да спасибо - я видел практический вынос high-secure систем через low exponent attack.

Ты не понимаешь, тебе-то хватило, а бизнесу-то - экономия!

Ответить | Правка | Наверх | Cообщить модератору

136. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 07-Окт-23, 09:01 
> Спасибо, что предупредили.

Пешком ходите. Я не понимаю почему система трубочек, критичных к малейшей потере герметичности, насосы которым моща постоянно нужна (порой электрические, кст) для поддержки давления и куча механики - надежнее чем несколько проводов и приводов. Провода к тому же могут и пережить небольшое повреждение изоляции, а из гидролиний даже с небольшим повреждением жидкость вытечет, закончится - и байбай! Так что отказы ВСЕХ гидролиний у самолета - бывали и не так редко как того бы хотелось.

Электрику с инженерной точки зрения можно вообще в принципе подпирать гибридными решениями. Скажем если все провода перебило можно попытаться бэкап по радиоканалу, менее надежно в обычной ситуации, но если проводов не осталось, почему нет? С гидравликой это сложнее, а чем сложнее тем ниже надежность. То что за столетия электрику делать научились хуже чем гидравлику - с чего б вдруг? А если бы система сравнимая с компом по сложности была на гидравлических принципах - вы бы вообще охренели фиксить это постоянно.

>> Ну как бы мне без моего желания фиг чего насадишь.
> А куда ты денешься с подводной лодки! Насяльника прикажет на сайте зарегаться,

А я сам себе режиссер, такой вот чит. Так что договорюсь с собой как-нибудь, имхо. Так можно было, чо.

> где требование биометрического FIDO2 - возьмёшь под козырёк и зарегаешься
> как миленький.

Я свободный человек. Поэтому могу отогнуть фак, если хочется. На этом глобусе больше тасков чем я могу своротить, поэтому определенный процент допустимо послать, конечно, балансируя потери профита и репутации. Поэтому если хочется послать этого, с FIDO2, он и отправится искать других исполнителей и найдет ли и какое там качество выйдет, "зато с FIDO2" - не мои проблемы. Если кастомер лучше знает какие технологии в деталях надо - я ему не нужен! Или говоря начистоту, это - "проблемный клиент", его проще сразу слать.

>> А как тогда ваша теория объяснит факап с DualEC и паливом бэкдора?
> А его никто и не скрывал. Просто не болтали о нём. Кому
> его использовать приходилось - тем никуда не деться было.

Это какое-то неубедительное объяснение. К тому же с учетом наличия клаудспайвари в вебе и неспособности типового апликушника секурно юзать TLS не понятно зачем что-то делать с криптографами. Им даже 25519 и ChaCha не поможет в TLS. Задаунгрейдят до чего попроще если не нравится MITMом, будут ломать что нравится, а прогам все пофиг в массе своей. Браузерам не пофиг, но, вот зеленый замочек на клаудспайвару кажет, а за ней шифрования уже нет, даже если крипто супер-честное, оно уже снято. И заметьте, клаудспайварь бесплатно предлагает услуги. Вот это вызывает вопросы, странный какой-то "комерс" получается, вознимает вопрос на чем они отбивают затраты :). Так что если заговоры искать я бы задумался почему клаудспайварь крышу забесплатно предлагает и на чем они затраты отбивают.

> Что номинально есть и что нгминально нет - это одним росчерком пера меняется.

Ну дык Equation вот есть. И гасит на результат. Все догадываются чье это. Ну и где для них последствия где вещали что мол не надо бояться госов? А точно не надо - если вот какая-то левая группировка делает явно незаконные вещи и им как с гуся вода? Этот вопрос не я придумал, он у знакомых амеров возник.

> Именно потому, что он органично развивался. Все органично выросшие системы такие. От
> генома человека - до системы команд x86.

Да как вам сказать? В эволюции неэффективный хлам - просто вымирал. Это жестоко зато честно. А тут вот какие-то господа все за мамонта цепляются. Мол, клевый пушистик, ну и что что не принадлежит к этому климату и бесполезный почти?! Ну я и не против нескольких экспонатов в зоо, но содержать этого мастодонта лично? У себя во дворе? За свой счет? Вот уж нафиг!

>>Cloudflare
> Нафига ты их притащил? Это к крипте вообще никакого отношения не имеет.

Кроме того что честнейше аннулирует все крипто в единственном что с TLS более-мене нормально за годы отучилось стрелять в пятки - т.е. браузерах. Остальные апликухи с TLS вообще и RSA в частности простреливают пятки более 9000 способов и так извращаться просто не требуется, есть более 9000 более-менее общеизвестных векторов атак.

> влияния продвигать защищённые от DDOS протоколы в браузеры. Приходится
> продаваться клаудфларям за мелкий прайс.

А в результате - вот вам зеленый замочек с одной стороны, доступ к трафу с другой. Весь ваш TLS. И да, чем натужнее счет, тем больше стимул сдаться вот таким. Так что RSA16K очень стимулирует делегировать его счет клаудспайвари. Который впрочем врядли это станет делать и в одностороннем порядке решат что там для них ОК.

> Токс - говно, светящее на всю сеть твои p2p-соединения. Сделанное васянами и
> написенное на сишке.

Ну вот когда и если будет что-то лучше, мы об этом поговорим. А до тех пор остальное вообще централизованое гамно с сервером, позволяющее оптом анализ метаданных, и баны аккакнтов, а то и факапящее end to end крипто как матрикс. Секурные вебтехнологии с питоняшами - это вообще вот так.

Кстати есть и вариант на хрусте. А в TCP режиме оно может работать через Tor или что там кому нравится, типа шадоусоксов каких и проч. Так что если светиться не хочется, это можно. Зато никто не зобанит мне акк сегодня по желанию левой пятки. Бот умещается на страничку текста. И я никого не буду спрашивать можно ли мне его запустить. Просто возьму и запущу.

>> Еще одно булшит-бинго какое-то. Если посмотреть как крипто DJB делал
> А это уже культ.

Это не культ, это культура архитектуры и кодинга. И желание чтобы крипто было простым и прозрачным а не кучей мутномегалиб от васянов которые ламы в крипто и ломают дров, а то и просто CVE каждый месяц выкатывают, как openssl. При том порой такие, от которых никакой ЯП не поможет, типа кривой валидации сертификата, так что левый MITM с васян сертом за своего катит. Что в крипто так то заявка на залет. Если поболтать вместо френда с майором, можно довольно долго потом отдохнуть, вон те телеграмеры проверяли.

>>С минимальным знанием о ремоте.
> Это только когда у тебя 1 версия одного протокола. Сломалась - беги
> с флешкой (качать через инет - небезопасно!) к автору лично за новой.

Намного лучше если протокол с более 9000 опций обдурят сожрать левый серт и я уверен что это ремота - а реально это как в openvpn клиент траф MITMает, или как вон с тем CVE в openssl, когда совсем левый серт мог пройти проверку как валидный. Это называется "мужик, ты за меня или за медведя?!" :)

> ездило и продолжает сидеть на старой версии. А ты такой умный - без сайтов сиди.

Я такой умный что решения нахожу. Без счета RSA16K, упаси меня такой вектор DoS ремотам вывешивать. И нанимать админов для костылирования легаси - ваша прерогатива.

> сбегал с фбешкой за новой.

Извините, я не понял - вы тут имели в виду "ФСБшкой" или "ФБИшкой"? :)

> Вот полный набор проверок, который браузеры делают, долюен бытт не "как-то где-то"
> в браузерах, а в tls-библиотеке под простым фасадом.

Учитывая что это знание годами отращивали, и какого размера и уровня сложности достигли либы, мне почему-то кажется что если кадавра покормить вот настолько - лучше отойти подальше.

> И ты просто пользуешься реализацией в библиотеке, а не пишешь свои проверки. А если
> в библиотеке не написали достаточные проверки - ты либо контрибьютишь в
> библиотеку, либо выкидываешь её целиком.

Вон тут уже господин меня попотчевал сказом что тайминг атаки - так и задумано. И страшенный код не подлежащий аудиту - тоже. У меня иные идеи на этот счет. А вон то точно не будет простым компактным кодом подлежащим аудиту. Значит будет более 9000 факапов в этом коде, может даже не со зла.

>> вайргад
> это не vpn, а помойка. Всем, кто с ним имеет дело, приходится свою нестандартную
> версию вайргарда писать, а не полагаться на игрушку, написанную Доненфильдом.

Это донкихотство. Донфилд зарекомендовал себя весьма осмысленным в вопросах крипто, это редкий случай когда человек более-менее вхож и в математику более-менее, и в имплементационные детали. Это позволяет ему делать грамотно и осмысленно. То что кто-то из вон тех мог так же - вот не факт. По его коду (да, я его еще и читал, опять же потому что объем одупляемый) я вижу то он понимает что делает. Вот ему я свою тушку доверить могу, с энными оговорками. А тем донкихотам - нет.

И когда кто-то про бюрократию говорит - я таки вот как раз и видел как его вертали с его суперкрипто в обход ядерных апей. И в итоге совместными усилиями допинали с двух сторон линка до взаимоприемлимого компромисса. Когда и алго на месте, и апи улучшили, и в целом крипто подсистему ядра куда как окультурили. Практикующий имплементер вхожий в аспекты - круче нонейм корпоратов и швали смеющей писать крипто не будучи вхожи в тему даже минимально. И да, даунплееры тайминг атак для меня входят в ту же категорию, сорянчики. Потому что новость типа сабжа не первая и не последняя.

>> И в 50 раз меньше кода на аудит.
> Правильно. Нет программы - нечего аудировать. А кому программа нужна чтобы бабло
> делать - те и без аудита обходятся. Тяп-ляп - готов VPN-провайдер.

Тяп-ляп это openvpn какой. Кода в 50 раз больше, работает в разы тормознее, кучу лет MITMался любым клиентом влет (позор какой) и его секурная конфигурация это рокетсайнс. И прочих айписеков вместе с этой гадостью заберите. А так если кто программу хотел, вон SoftEther есть, навернули еще в 10 раз больше кода, так что за всю жизнь не перечитать. А сколько там багов, в том числе ведущих к вулнам - можно только гадать, ибо ни 1 безопасник ЭТО юзать не будет просто посмотрев на объем кода и прикинув вот это соображение.

> Безопасность небесплатна. Где ускорили - там и похерили безопасность. Это как раз
> пример с твоей экспонентой 4.

Самый кайф это когда удалось сделать и шустро и безопасно и ключи небольшие. Чем ближе к этой точке тем лучше крипто. И какойнить ключ типа 256 битов еще реально на бумажку записать и мануально вбить, послать смс (публичный конечно) и проч. А RSA - уже в пролете. И это серьезный минус. Если б он постквантум предлагал, может и забили бы, но Шор для него первого и был.

> 1. с чего ты взял, что большой секрет в принципе возможно заменить маленьким?

С того что симметричное крипто, хеши и auth enc в общем то неплохо это иллюстрируют.

> С чего ты взял, что P≠NP? Может мы живём в одном из трёх первых миров Импаглиаццо.

Симметричное крипто от этого допущения не зависит. Ни DJBшное, ни AES. И даже квантовые алгоритмы там не страшны. А таки вот - вместо запоминания чушки на дофига я могу помнить пароль на ее расшифровку. Без этого чушка лишь бесполезный мусор. На память об этом у меня есть несколько архивов от которых я пароль забыл. И не, то крипто за обозримое время не будет разнесено и за глаза я считаю эти данные утерянными.

> мы только с вероятностью 1/ живём в мире, где ассиметричная криптография есть.

А вот кстати если уж так умничать, three-pass к симметричным алго прикрутить не реально? Он так сформулирован что ниоткуда не следует что в его core принципиально нельзя юзать core от симметричных алго. У них должны быть определенные свойства, но не более того. И так вроде бы может получиться нечто типа публичного крипто на совсем другом core математики.

Примерно туда же идут идеи типа double ratchet (как я понимаю некий аналог оного в вайргаде и есть). В практическом сценарии, особенно в p2p, и вдолгую, если атакующий не всемогущий он довольно быстро обнаружит что практическая атака на такую структуру - не особо удобная, потому что динамический обмен ключами, ну, он когда-то, как-то, что-то. Но возможно что момент упущен, а то что вот ща летаеи - взлом не позволяет и в основном вертится вокруг взлома симметричного алго, с синхронными ключами на 2 сторонах линка. А это не прикольно. Даже с квантами.

> 2. С чего ты взял, что у EC всё лучше, а не
> людие его просто знают хреновее, и поэтому тебе и кажется, что
> там меньше всего?

С того что как минимум оно быстрее и ключи меньше и это апгрейд эксплуатационных свойств. А с развитием квантовых компьютеров менять придется и это и RSA, вероятно. Шор изначально сформулирован для разложения на множители так то.

>>И не такое уж и быстрое.
> хочешь ускорить - вообще не шифруй.

Это фиговое предложение, не принимается. Более того ниоткуда не следует что быстрое крипто - небезопасное. Там совсем иные требования в основе лежат, в которые "скорость" в чистом виде вообще не входит. Поэтому возможно бесконечное число реализаций, очень разных по скорости но одинаковых по достигнутому эффекту. Затормозить крипто можно до бесконечности, но это не гарантия получения новых свойств.

Простой пример: salsa или chacha можно легко дописать 100500 раундов, 1 параметр твикнуть. Но после энного числа раундов это ничего нового кроме тормозов особо не дает. Выбор числа раундов DJB в дефолтовой версии и так явно с запасом судя по потугам криптоанализа. В подобных аспектах даже AES вроде ок, его никто и не долбит в лоб. А зачем, если известно его слабое место в виде таймингов? По нему и гасят. Под рассказы что проблемы нет. Исследователям тоже интересно что-то сломать показательно, а не обломаться с 0 результата.

> Можно. Но время будет константным: достаточно ответ выдавать не когда он готов,
> а по таймеру.

Это усложняет имплементацию, требует лишнего внимания и привносит много новых соображений на которых тоже можно налететь. Для имплементера намного лучше если крипто просто не создает им такую проблему. Это повод выбирать вон то крипто вместо вот этого. А на каком-нибудь датчике RSA вообще будет напряжно.

> А, вам ускорения надо, времени ожидания жалко! Ну тогда вам нужны реализации
> максимально оптимизированные, максимально сокращающие время ожидания. Которые
> подвержены атакам по времени.

Ну а вот тут господа научились довольно быстрые алго с фиксированными временами. Шаг вперед по эксплуатационным свойствам. Вы пытались показать что выбор вон тот, а тут пришли вон те и дали новую свободу маневра. Странно что почти все и выбрали их а не вон тот "выбор".

> в 21 веке тайминг атаки вообще можно не учитывать, а убрать навесной защитой.

Это переваливает проблему на имплементера и является недостатком решения и поводом выбрать иное решение раз так можно было. Особенно если там еще и перфоманс на порядки лучше даже с фиксированными таймингами. Это как раз апгрейд эксплуатационных свойств и есть. И повод сменить алго.

> И будет гораздо энергоэффективнее - вместо сжигания энергии попусту процессор
> перейдёт на другой поток  бубет там пользу приносить.

Угу, хочу посмотреть как вы вон там в МК питаемом от CR2032 вообще RSA будете насчитывать и надолго ли вам таблетки CR2032 хватит, если мы уж про энергоэффективность. А что, 25519 я и на таком сворочу за разумное время. И это лучше чем совсем без крипто.

> Вам нужно подешевле или побезопаснее?

И то и другое и можно без хлеба. Чем ближе то или иное решение подходит к этой точке, тем лучше оно по эксплуатационным свойствам.

> После чего выкинуть этот игрушечный код и пойти использовать работающие в практических
> применениях решения.

Для меня tweetnacl работает в вполне практических применениях. И не то чтобы я RSA смогу посчитать на штуке питающейся от CR2032, а вот это - вполне. Да и на серверах мне RSA16K считать... боты и на 4К то серв напрягают. И все жти наймитеадминаfail2banwhatever - я лучше fail2ban сделаю носителям этой точки зрения. Сразу все намного проще и лучше работает. Без видимых ущербов чему либо. А уповать на квантовую секурность RSA когда Шор впервые для него и сформулирован - за кого вы меня держите?

> ещё быстрее - не шифровать вообще. Используйте алгоритм "ничего не делать"
> - даст бесконечное ускорение.

Ниоткуда не следует что безопасный алгоритм обязан быть тормозным. В крипто совсем иные формулировки. И напротив можно сделать море несекурных но тормозных алго. И на ваше горе я эти критерии понмиаю.

> Ты не понимаешь, тебе-то хватило, а бизнесу-то - экономия!

Я я что, рыжий? Я тоже не против процик за доллар с 2032 батареечкой поставить вместо компа и дизельгенератора вон там для счета вашего RSA. А вы на своих серверах можете делать что угодно, мне не жалко если вы будете платить за счет RSA16K. Но - из своих, я этот банкет оплачивать не буду.

Ответить | Правка | Наверх | Cообщить модератору

84. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (84), 01-Окт-23, 15:54 
>Только юзать куда проще, приятнее

Ну представления иллюзионистов в роли и зрителя, и самого выступающего иллюзиониста приятны. Но повторить сможет не каждый, а кто знает в чём фишка - тому смотреть на фокусы не так восторженно, как обычным зрителям.

Но у нас тут речь идёт о безопасности, а не о походе в цирк.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

85. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (84), 01-Окт-23, 15:56 
>Что RC4, что MD4/5, да в общем то почти все что массово использовалось на поверку оказалось хламом. R в RC4 так то - то же что R в RSA :)

Зато у S всё в порядке. Система разделения ключа вообще имеет информационно-теоретическую безопасность.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

88. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 01-Окт-23, 16:35 
>> Что RC4, что MD4/5, да в общем то почти все что массово использовалось
>> на поверку оказалось хламом. R в RC4 так то - то же что R в RSA :)
> Зато у S всё в порядке. Система разделения ключа вообще имеет информационно-теоретическую
> безопасность.

Насколько я вижу - RSA пришлось немало костылять для более-менее безопасного использования. И это ессно вело к залетам имплементеров там и тут.

Я конечно не спорю, иногда, если вы - атакующий, и хотите вон там секурбут трахнуть, лажа с какой-нибудь мелкой экспонентой - фича, конечно, а вовсе и не баг даже. Но, таки, с точки зрения атакующего. А с точки зрения имплементера - фигня вышла, однако.

А если так рассуждать - RC4 тоже в принципе заткнуть можно, скипнув первые 1024 байта выхлопа. Но вот только...
1) Это делает скорость инициализации безблагодатной, особенно на мелких пакетах.
2) Это не фиксит проблемы с тайминг атаками.
3) Bias все же сохранится и ни о чем хорошем это в крипто не свидетельствует.
4) Есть конкурирующие алго где инициализация быстрая, счет не сильно медленнее, и нет тайминг атак.

И в результате на RC4 как-то все дружно забили болт в новых дизайнах. Хоть его и можно починить. А RSA костыляли уже сильно больше чем. Стоило ли оно того - ну такой себе вопрос.

Ответить | Правка | Наверх | Cообщить модератору

98. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (98), 02-Окт-23, 12:05 
Что ты к Ривесту прицепился, его поделки не используются уже сейчас. Ни MD, ни RC. RSA - труд не одного Ривеста. Я не удивлюсь, если перед публикацией Диффи, Хэллман и Мёркл всё это отревьювили - в одной лаборатории работали как-никак.
Ответить | Правка | Наверх | Cообщить модератору

129. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 04-Окт-23, 14:09 
> Что ты к Ривесту прицепился, его поделки не используются уже сейчас. Ни MD, ни RC.

Да у меня и к RSA как всей корпе претензии есть. Например, попытка бэкдора в PGP. И вот сейчас я буду безоговорочно доверять этим господам и их алго. И впрягаться за них процом тарахтеть на RSA16K. Аж два раза.

> RSA - труд не одного Ривеста. Я не удивлюсь, если перед публикацией Диффи,
> Хэллман и Мёркл всё это отревьювили - в одной лаборатории работали как-никак.

Может и отревьюили. Но RSA как корпа в целом мне очень так себе, отметились бэкдором и дырявыми алго. И когда эти люди на DJB бочку катят это не находит моего понимания, он ни в первом ни во втором вроде бы не замечен.

Ответить | Правка | Наверх | Cообщить модератору

131. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (131), 04-Окт-23, 18:42 
RSA Security - это торговая марка. Когда пошёл позор - никто из указанной троицы там уже не работал.
Ответить | Правка | Наверх | Cообщить модератору

137. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 07-Окт-23, 09:05 
> RSA Security - это торговая марка. Когда пошёл позор - никто из
> указанной троицы там уже не работал.

Т.е. RCx и MDx сломанные от и до - но с активным желанием денег за все из них - это был не позор?

Ответить | Правка | Наверх | Cообщить модератору

117. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 03-Окт-23, 00:49 
> Это дряхлый дедушкин запорожец

Вы не понимаете разницы между legacy и best practices.


> Особенно с жирным ключом. Особенно если HTTPS везде внедрить и проч.

TLS везде и не нужен, как бы не пыжился гугл и прочие мартышки.
Так как гуглаг его внедрил с поделками DJB: ed25519+chacha - это да, жрёт мало, и любой Васян не посмотрит, но назвать это надёжным уровнем я не могу.


> Я как раз таки вижу что нормальные криптолибы этим заморачиваются. И в коде DJB я это вижу.

А я вижу грязный PR от DJB.
Он ходил везде и заявлял что вся крипта кроме его порочна и уязвима и только у него constant time и потому остальную крипту на помойку.
Отлично, только многих не волнует constant time а волнует безопасность, которую DJB доказать не смог.

Для аудита безопасности обычно нанимают специалистов по контракту, за кучу денег, и они спокойно себе изучают и ищут проблемы.
То что DJB вывал в паблик и может кто то это за кружкой пива прочитал не означает аудита.
Так же как и конкурсы бизапасности от телеграмма в стиле: взломай за сутки и получи 100к зелени приз.


> А можно вместо всего этого КОШМАРА - вот - код который реально прочитать за вечер. Без мутноты.

Прочитал ты его, а понял как оно работает и почему это секурно? Объяснить сможешь?

Вот, можешь и мой так же прочитать:
Математика: https://github.com/rozhuk-im/liblcb/blob/master/include/math...
Математика-элиптика: https://github.com/rozhuk-im/liblcb/blob/master/include/math...
Собственно само ECDSA+GOST: https://github.com/rozhuk-im/liblcb/blob/master/include/cryp...
Тестозапускалка: https://github.com/rozhuk-im/liblcb/blob/master/tests/ecdsa/...
почти 9к строк кода, правда там можно немного почистить лишнее.


И последнее.
То что по ссылкам выше это где то пол года моей жизни, а может и больше, если собрать всё в сумме.
У меня хватает смелости признать что хоть это и круто но я лучше на RSA посижу.
Иногда результат не стоит усилий, не потому что плохо старался а потому что это дорога не в том направлении.
Сколько ты там потратил на эксперименты с чужим кодом?)

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

138. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 07-Окт-23, 13:02 
>> Это дряхлый дедушкин запорожец
> Вы не понимаете разницы между legacy и best practices.

Что из вашего спича "best practices"? Тормозить RSA16K? Игнорить атаки? Костылять ремотные досы наймом админов? КМК корпы жестко и невкусно объяснят что они думают о таких практиках. И тут вопли что это заговор!!111. Да не, это не заговор, это пересмотр что у нас теперь best practices. Заслуженно при том.

> TLS везде и не нужен, как бы не пыжился гугл и прочие мартышки.

Как обладатель ряда серверов я резко против чтобы в МОЙ контент ушлые провы врезали СВОИ левые блоки, за которые мне юзеры потом будут пенять. Одно это повод заморочиться.

> Так как гуглаг его внедрил с поделками DJB: ed25519+chacha - это да,
> жрёт мало, и любой Васян не посмотрит, но назвать это надёжным
> уровнем я не могу.

Даунплей тайминг атак, игнор квантовой угрозы для RSA и подход с переваливанием всех проблем на имплементеров и админов я тоже со своей стороны не могу ни безопасным, ни best practices назвать. Вот развидеть это - это да.

> А я вижу грязный PR от DJB.

Человек знатно повкалывал чтобы решить наши проблемы и обеспечить адекватные эксплуатационные свойства. Я буду за такие подходы вместо сказа про наймитеадмина и суперлибы с жутким кодом не способные запатчить тайминг атаки. Судя по вашему спичу, конкуренция для прочистки мозга штука очень полезная, и то что вы ее не выдержали - заслужили. Думаю тут не заговор а чистая прагматика, наслушались ваших best practices, спасиб, теперь попробуем послушать DJB вместо этого всего и посмотрим будет ли чем-то хуже. Чем лучше - я перечислил.

> Он ходил везде и заявлял что вся крипта кроме его порочна и
> уязвима и только у него constant time и потому остальную крипту на помойку.

Судя по сабжевой новости имел пойнт, так что я мог на 10 лет раньше предвидеть - и избегать - целые классы атак. На мой вкус разве что могу "спасибо" сказать за такое.

> Отлично, только многих не волнует constant time а волнует безопасность, которую DJB
> доказать не смог.

Насколько я вижу по внедрениям - потребление ресурсов волнует очень много кого. Ну и доказательств на тот же AES я тоже не видел. Да и на RSA тоже. Так что чем оно лучше я хз, кроме того что ресурсы жрет во как и страдает +1 классом атак.

> Для аудита безопасности обычно нанимают специалистов по контракту, за кучу денег, и
> они спокойно себе изучают и ищут проблемы.

Ну вот наймите и пусть покажут что DJB уязвимее чем вон те. А пока вот тут пейпер висит с обратными сведениями. И вы глуповато смотритесь рассказывая что "проблем нет" в новости про вулн. Это как на Титанике рассказывать что все норм, плывет.

> То что DJB вывал в паблик и может кто то это за
> кружкой пива прочитал не означает аудита.

В силу тусовочки там желающих проаудитить - есть. Разломать алго DJB - это вам не фунт изюма, сразу номинация в серьезные эксперты на всю тусовочку.

> Так же как и конкурсы бизапасности от телеграмма в стиле: взломай за
> сутки и получи 100к зелени приз.

Да вот что-то телеграмщиков упаковывают. Там скорее правда по комплексным факапам безопасности, но видимо конкурсы не помогли. А DJB ничего этакого не предъявили вроде, хотя времени было достаточно уже. Атаки на ослабленные версии? Иллюстрируют в основном достаток margins вроде.

> Прочитал ты его, а понял как оно работает и почему это секурно? Объяснить сможешь?

Уж как минимум - затыки тайминг атак вот вижу. Это дает +10 к респекту такого кода с моей стороны, я вижу что там не просто гамнячили хзчто, с лопаты.

> Вот, можешь и мой так же прочитать:

Во первых я все же имплементер а не крутой криптограф. Во вторых - чтобы на какой-то дизайн тратить время надо понимать зачем это все. Чисто по приколу - не, спасибо, у меня длинная очередь на что я могу время потратить.

> почти 9к строк кода, правда там можно немного почистить лишнее.

Из меня точно не лучший ревьювер такого кода. И боюсь найти хороших вы напряжетесь. Вы уже тут выдали достаточно чтобы большая часть нормальных криптографов на уровне - мимо прошли.

> У меня хватает смелости признать что хоть это и круто но я
> лучше на RSA посижу.

А у меня хватает смелости считать что из-за квантовых придется менять и те и другие, а вот греть проц RSA16K мне - не очень. И затыкать fail2ban'ами дыры под приевшееся уже "наймите админа" тоже.

> Иногда результат не стоит усилий, не потому что плохо старался а потому
> что это дорога не в том направлении.
> Сколько ты там потратил на эксперименты с чужим кодом?)

В случае DJB не так уж много. Хорошие апи тому способствовали. С другими - весьма варьируется.

Ответить | Правка | Наверх | Cообщить модератору

38. "Атака Marvin для расшифровки RSA на основе измерения времени..."  –1 +/
Сообщение от YetAnotherOnanym (ok), 30-Сен-23, 19:35 
Джиттер? Нет, не слышали. Fail2Ban и over9000 аналогов? Даже не знаем, о чём это.
Ответить | Правка | Наверх | Cообщить модератору

100. "Атака Marvin для расшифровки RSA на основе измерения времени..."  –1 +/
Сообщение от коллега автора (?), 02-Окт-23, 16:01 
Ну, хреново, что вы не знаете. А вот автор в курсе, и весь ужас как раз в том, что автор умеет в статистику и с миллионом коннектов джиттер ваш ему больше не помеха. Что делает конкретно эту атаку относительно нестрашной в сравнении с мрачными перспективами от его умения чихать на джиттер.

Так что навешивай fail2ban на все свои web-сервера.

Ответить | Правка | Наверх | Cообщить модератору

110. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от YetAnotherOnanym (ok), 03-Окт-23, 00:15 
Навесил давно, и не только fail2ban. Удачи вашему автору продраться через тарпит со своим миллионом коннектов и что-то выловить в полученной статистике.
Ответить | Правка | Наверх | Cообщить модератору

118. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от коллега автора (?), 03-Окт-23, 01:27 
Прям-таки на все порты с TLS навестил? И на 443? =D

Пиши ещё.

Ответить | Правка | Наверх | Cообщить модератору

124. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от YetAnotherOnanym (ok), 03-Окт-23, 09:54 
> Пиши ещё.

Обязательно. Ожидайте.

Ответить | Правка | Наверх | Cообщить модератору

145. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Tron is Whistling (?), 27-Май-24, 08:24 
Не только джиттер, но ещё и параллельное исполнение, виртуализация, параллельные потоки данных у провайдеров, делающие джиттер вообще плохо оцениваемым явлением, в итоге всё это "статистическое чудо" за пределами локалхоста/локалнета практического применения не имеет.
Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

40. "Атака Marvin для расшифровки RSA на основе измерения времени..."  –2 +/
Сообщение от Anonim (??), 30-Сен-23, 20:01 
А зачем вообще приводить время на ключ рса 1024, есть меньше 2048 давно и не подписывают, а массово используют 4096.. время там не в разы отличается..
Ответить | Правка | Наверх | Cообщить модератору

42. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Атон (?), 30-Сен-23, 20:31 
попробуй думать над прочитанным.

там написано: микропроцессор современной кофеварки раскрыл текст диалога за приемлемое время.

это значит: мощности cloud computing (aws, yandex, DO) позволяют читать (и вмешиваться) в реальном времени.

Ответить | Правка | Наверх | Cообщить модератору

44. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Anonim (??), 30-Сен-23, 20:41 
ну 9 женщин не родят 1 ребёнка за месяц..
Ботнет на 100500 клаудов упрётся в возможности тестируемой стороны. на за ДДОСят они удалённый сервак и всё.
Ответить | Правка | Наверх | Cообщить модератору

45. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +1 +/
Сообщение от Anonim (??), 30-Сен-23, 20:47 
зы
плюс они еще и друг другу будут мешать.. при сильно большой нагрузке время ответа начнёт расти.. как тут задержки измерять, если они плавают ?
поэтому только в мало потоков по несколько раз перепроверяя, чтобы исключит флуктуации от левых факторов... и да, 1024 vs 2048 это не в разы увеличение времени.
Ответить | Правка | Наверх | Cообщить модератору

68. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 01-Окт-23, 01:37 
> А зачем вообще приводить время на ключ рса 1024, есть меньше 2048
> давно и не подписывают, а массово используют 4096.. время там не
> в разы отличается..

Это как-то отменяет тайминг атаки? Зануда DJB давно предупреждал. Как и прочие, только кто их слушает. А вот в своем коде они почему-то повернуты на фиксированных таймингах, что как бы намекает.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

41. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (41), 30-Сен-23, 20:10 
К вопросу о безопасности. Третьего дня отключил все CPU mitigations в ядре - всё летает, настроение улучшилось. Все эти штуки специально сделаны для того чтобы их отключать и радоваться.
Ответить | Правка | Наверх | Cообщить модератору

62. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 01-Окт-23, 00:28 
Да, бежим и чепчики теряем переходить с RSA на ECDSA/ED25519.
Только ECDSA не constatnt time, так что понятно куда опять всех сгоняют.

На deprecated размере в 1024 бита и то ушло 9 часов и 160к попыток, а сколько потребуется на хотя бы актуальных дефолтных 2-3-4к бит ключах?
А сколько оно будет пыхтеть с моими 16к RSA бит ключами?


В остальном всегда стоит выбор: мы будем вываливатся с ошибкой сразу или мы будем тратить время и ресурсы зная что делаем бесполезную работу.
Как человек написавший с нуля реализацию ECDSA могу сказать что никто в здравом уме не станет писать constant time, потому что оно будет очень медленно работать.
Внизу DSA алгоритмов (кроме мутного 25519) лежат обычные математические библиотеки работающие с длинными числами и не делать там кучи оптимизаций на базе входных данных просто глупо.
Для 0, 1 в умножении делении всегда проще держать отдельную ветку сразу возвращающую результат.
Для чисел со степенью 2 проще делать банальный битовый сдвиг.
И там таких мест полным полно где расчёты можно или не проводить совсем или очень сильно упростить.
Такова природа этих крипто алгоритмов.

Решение тоже простое: не нужно лезть в алгоритмы и тратить время на поиски святого constant time, нужно добавлять рандомную задержку перед отправкой ответов.
В целом для этого можно даже какую то универсальную библиотеку враппер написать, в примитивном варианте она будет вызывать usleep() с рандомным числом после возвращения результата от криптооперации.
В продвинутом она будет замерять время затраченное на крипту и вести статистику чтобы автоматом выцепить верхний предел задержки и средний ожидаемый (нормальный) и дальше будет рандомизировать чтобы получать задержку между этими двумя числами.
В очень продвинутом оно вместо usleep() будет поддерживать очеред на отправку ответа с нужно задержкой.

Да, usleep() все не любят, всем надо по быстрее, с другой стороны вот "однострочный фикс": usleep(rand*10ms).
Он так же тупо покрутится на проце и погреет воздух.

Ответить | Правка | Наверх | Cообщить модератору

69. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от morphe (?), 01-Окт-23, 01:57 
Пара лишних измерений - и задержку можно отбрасывать как шум
Если подобное по сети гоняют, где есть непредсказуемая задержка сети, с чего вдруг искуственная, стабильно рандомная задержка должна помогать?
https://crypto.stanford.edu/~dabo/papers/ssl-timing.pdf
Ответить | Правка | Наверх | Cообщить модератору

113. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 03-Окт-23, 00:23 
Как вы отбросите задержку если это будет +-50% времени рассчётов? А 150%?
Ответ прост - вы будете собирать не энтропию с крипто алгоритма а энтропию из рандома+крипты.
Успехов вам в отсеве.
Ответить | Правка | Наверх | Cообщить модератору

142. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Tron is Whistling (?), 26-Май-24, 14:33 
Это если знаешь, чем вызвана задержка. А если задержка состоит из самой сети и ещё пачки факторов неизвестной степени рандомности, превышающей уровень полезного сигнала - будет отбрасываться шум океанов Марса. Вместе с полезным сигналом.
Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

80. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (78), 01-Окт-23, 13:48 
> Да, бежим и чепчики теряем переходить с RSA на ECDSA/ED25519.
> Только ECDSA не constatnt time, так что понятно куда опять всех сгоняют.

Ну вот не надо, у меня tweetnacl весьма близок к этому. И даже так - на порядки быстрее RSA. И там уже тайминги замерять - малоинтенесно станет. В отличие от этого блоатваре. C "супер" либами математики. Как угодно но невозможность аудита криптолибы за обозримое время - это жирный минус. Особенно когда либы пишет абы кто как openssl где в итоге CVE пачками и очень много стремных мест.

А так вас никто насильно не сгонит на ваших серверах. А считать 16К RSA на своих - спасибо но нет. Это идиотия, нагрузки на сервер во, а в случае если атаки работают - надолго этого все равно не хватит. Зато до этого момента тормозили как черти и загадили себе эксплуатационные свойства во имя луны. Оно такое надо?

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

114. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 03-Окт-23, 00:28 
Обозримое время для вас это сколько?
Что вы понимаете под аудитом?


> Особенно когда либы пишет абы кто как openssl где в итоге CVE пачками и очень много стремных мест.

Других людей у нас для вас нет.
Но вы можете заплатить огрызку или МС, у них крипту пишет не абы кто. )
Ещё вам может само RSA, с отцами основателями открытой припты продать Dual_EC_DRBG :))))

Ответить | Правка | Наверх | Cообщить модератору

139. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (-), 07-Окт-23, 13:27 
> Обозримое время для вас это сколько?

Это открыть и посмотреть - что оно такое. И что делает. Чем меньше тем лучше. В этом смысле tweetnacl - просто EPIC WIN по сравнению с вон тем.

И когда я вижу апи в котором почти негде прострелить себе пятку пятку и выравнивание таймингов, я понимаю что тот кто писал код позаботился чтобы я не налетел лищний раз вместо рассказа мне что это все - мои проблемы. И поскольку мне CVE чинить пачками не хочется и я считаю что крипто должно решать проблемы а не создавать новые - ну вы поняли за кого и за какие принципы я буду при таком раскладе.

> Что вы понимаете под аудитом?

Возможность посмотреть и понять что вообще за код, что он делает и как, почему он здесь, оценить его общее качество, а в идеале и принципы работы если знаний хватит.

И когда дизайн сделан с именно прицелом на это - оно видно при попытке изучить этот код. И вообще-то на месте DJB я бы разнес 25519 и чачу vs здоровенный хеш который у него там (лично мне blake2 больше нравится) и явные подписи ed25519 которые все же другой аспект нежели encrypted auth. Пришлось вот за ним самому это самое. Но удаляя фичи для уменьшения веса кода сложно влепить баги, особенно если это осмысленно делать. Со своей стороны как имплементер я хочу видеть крипто либы вот в таком духе, а не монструозных уродов деланых хз кем, хз зачем, с дурными апи и выпихиванием всех мыслимых проблем на имплементера - что ведет к залету и CVE.

То же апи CryptoBox() просто на порядок лучше того невменяемого мусора который генерили вон те господа. Собссно поэтому на его основе и появилось эн протоколов так резко. Удобное апи где сложно пятку себе прострелить это ценно. С OpenSSL сравнимая штука будет в цать раз больше кода, и при этом пятку себе пять раз отстрелишь. И CVE потом в либе каждый месяц выгребать. Такое себе "счастье".

> Других людей у нас для вас нет.
> Но вы можете заплатить огрызку или МС, у них крипту пишет не абы кто. )

Или вот юзать крипто от DJB вместо следования таким советам. Потому что выбор между гамнокодом от неодупляемых людей и мутных проприетарщиков мне очень так себе. А тут оказывается есть и иные опции. Ну вот и...

> Ещё вам может само RSA, с отцами основателями открытой припты продать Dual_EC_DRBG
> :))))

Пусть имхо лучше эскимосам снег продают.

А то что кто-то основатель не значит что он на волне жажды денег скурвиться не мог, например. Примерно такая хрень случилась с Charles Bloom. Он в свое время когда начинал компрессией заниматься - катил бочку на патенты. А в итоге... дожил до того что фирмочка где он работает, RadGameTools вкатила DMCA кляузу реверсеру который их алго сжатия разреверсил. И очередной убийца драконов сам превратился в дракона, зажимающего инфо. Так что до того как обожествлять создателей я лично посмотрю чем они отметились и как это было. Я не против награды автору за труды, но DJB решивший ряд эксплуатационных проблем заслуживает этого не меньше, и я против фуфла и мошенничества в процессе.

Ответить | Правка | Наверх | Cообщить модератору

91. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (91), 01-Окт-23, 23:03 
>сколько оно будет пыхтеть с моими 16к RSA бит ключами?

Уже только ради экологии одной пора это прекращать. Через 5 лет у вас будет сколько? 32К?

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

105. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (107), 02-Окт-23, 20:31 
Простите за цинизм, но мне  новая резиновая страшилка: в добавок для "для защиты детей" и "борьбы с терроризмом" теперь ещё "для защиты экологической ситуации". На самом деле это в целях внутривидовой конкуренции, и в то же время всё правда:
для защиты (положения) детей (господствующей формы жизни);
для борьбы с терроризмом (конкурентов этой самой господствующей формы жизни);
для защиты экологической ситуации(: все ресурсы шарика (которые ограничены и без разбазаривания которых невозможна жизнедеятельность) будут принадлежать господствующей форме жизни, а на всяких Иванов их разбазаривать не следует: меньше на будущее останется).

Хороший, годный раб. Возьми с полки 15 рублей. Всё равно рано или поздно всё что взял обратно отдашь, и сверху ещё дашь себе в убыток.

Ответить | Правка | Наверх | Cообщить модератору

106. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (107), 02-Окт-23, 20:32 
*но мне новая резиновая страшилка на уши не вешается
Ответить | Правка | Наверх | Cообщить модератору

115. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 03-Окт-23, 00:30 
Ради защиты экологии вам надо сделать =роскомнадзор=, ибо вы столько ресурсов потребляете и и так сильно загрязняеете окружающую среду, и помножте это на предполагаемый срок дожития - это просто катастрофа!
Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

72. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (72), 01-Окт-23, 09:40 
Спасибо автору за труд.
Ответить | Правка | Наверх | Cообщить модератору

82. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +1 +/
Сообщение от RTuser (?), 01-Окт-23, 15:50 
ещё одно подтверждение ненадёжности RSA
Ответить | Правка | Наверх | Cообщить модератору

90. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +1 +/
Сообщение от Аноним (91), 01-Окт-23, 23:01 
Лет десять назад уже было понятно, что RSA шифрование с ключами короче 2К уже в зоне риска. С ключами 4К и более оно становится непрактично из-за их размера. Сейчас все это тем более актуально.
ED25519 и точка.
Ответить | Правка | Наверх | Cообщить модератору

116. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Ivan_83 (ok), 03-Окт-23, 00:31 
Ололо!!! Будь как все!
Не слушай рекомендации АНБ для своих, это не модно!
Ответить | Правка | Наверх | Cообщить модератору

97. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Аноним (97), 02-Окт-23, 10:04 
djb was right all along
Ответить | Правка | Наверх | Cообщить модератору

99. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Tron is Whistling (?), 02-Окт-23, 15:02 
2K по сети нереал, этого достаточно.
Ответить | Правка | Наверх | Cообщить модератору

141. "Атака Marvin для расшифровки RSA на основе измерения времени..."  +/
Сообщение от Tron is Whistling (?), 26-Май-24, 14:31 
> при использовании 1024-разрядных ключей RSA заняла 9 часов и потребовала отправки 163 тысячи проверочных запросов

Очередное лабораторное исследование, расходимся.
При длине ключа в 2048-4096 толку нет, рост сложности всё равно экспоненциальный.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру