> Я привёл эти алгоритмы вам в пример, для того чтобы показать что
> с кодом там проблем не было и нет, Bias в распределении RC4 был известен мне со времен чуть не BBS. Задолго до того как очередной комитет придурков подмахнул WEP/TKIP в угоду чипмейкерам. Ряд криптографов еще тогда считало что это фи. Я был в курсе этого мнения. Не могу пожаловаться что меня не предупредили. Лишний пример почему криптограф без паранои не криптограф.
А то что там используется массив - даже такой дилетант как я безошибочно классифицирует как "timing unsafe", можно поспорить на тему смотрят-видят. На момент дизайна RC4 над этим еще никто не задумывался, но сейчас я анализирую любой код вокруг крипто в этом контексте. State of art такой. Если код его не проходит, это либо легаси, либо дилетанты, "should not be used".
MD5 - им не интересовался настолько чтобы думать о имплементации, не знаю что о нем думали криптографы.
> при этом долгое время они считались надёжными.
Ах да, MDx/RCx - творения господ из RSA. Многие оказались ненадежными. По поводу чего такая безоговорочная уверенность в непогрешимости этих криптографов (RSA) вызывает такой же скепсис как у вас DJB.
Но в отличие от вас я могу предъявить господам их поломаные алгоритмы в солидном количестве :P
> понимаете, потому не исключено есть нюансы знание которых умножает на ноль
> всю красоту кода и прочее чем вы там восхищаетесь.
Это в принципе про все крипто можно сказать. Такие риски есть. И тут схемы с разнородными алгоритмами (типа симметричный psk в паре с pub key exchange) получают некий пойнт, чисто вероятностно. Шанс что оба сильно разных сразу взломают сильно ниже.
Я даже в чем-то соглашусь насчет времени изобретения, это некий бонус. Но, имхо, симметричное крипто внушает больше доверия, класс проблем у них поприятнее. Но я не знаю как PFS одним симметричными делать, а без него не так интересно.
> Ваша проблема в том, что вы мыслите авторитетами,
Авторитет в крипто зарабатываются делами. Я нахожу это разумным.
> трендами
Тренды в крипто появляются когда криптографы находят более удачное решение или получают некие новые данные, вскрывают новый класс проблем, который раньше не заметили, etc. Они обычно не хайпуют просто так, жизнь научила. Крипто не прощает некомпетентности и оптимизма.
> и слишком короткими сроками.
В длинных сроках в крипто слишком много undefined. И если вы об этом - ок, ок, и как вы учли Шор vs RSA тогда? :P
> Например, Crypto AG делала свои шифраторы 50+ лет, а потом оказалось что там бэкдоры.
Как минимум последних лет 30+ криптографы зудят что крипто без сорца вообще внимания не заслуживает. Если кто решил игнорить это предупреждение, кто ему доктор? Туда же идут ваши TPM, покуда его не реализует опенсорсное фирмваре которое можно ВЕРИФИЦИРОВАТЬ.
> Сколько там лет Бернштейновским поделкам? Хотя бы 10 будет?
"In 2005, Curve25519 was first released by Daniel J. Bernstein.[5]" (c) wiki. А унутрях тусовочек оно и подольше летало. Не такой уж и brand new.
Алсо 50 лет назад мир был другим. Теории вокруг крипто были другими. Из было сильно меньше. Подходы к конструированию алго были иными. И проч.
> Там была константа взявшаяся из ниоткуда, любому кто хоть немного разбирался в
> вопросе это показалось бы "интересным".
Эту идею можно расширить. Захотев обоснование дизайна алгоритма и понимание по каким поводам он надизайнен вот так, а не иначе. Когда кто-то вытряхивает некий дизайн с аргументом "потому что гладиолус" и "стандарт, ниипет" - это плохая история. А когда пишет публикации описывающие дизайн и пойнт, чтобы это проверили те кто в теме - так мне сильно больше нравится. Особенно если это задолго до активного продвижения. Кто в 2005 знал про 25519 вообще, лол.
> По этой же причине залажали кузнечика и магму и катят бочку на
> кривые от NIST в пользу браинпула хотя бы.
Так правильно катят. Сейчас как-то стало прилично обосновывать с какого хрена дизайн вот такой, а не просто выгружать с лопаты хзчто и почему. DJB это более-менее умеет, у него публикаций о его алгоритмах есть.
> не все проверки для параметров кривых удалось реализовать, а те что
> удалось - не все кривые от NIST проходят :)
> Отдельная группа кривых где A = -3, тоже несколько сомнительное удоволствие.
DJBшное творчество мне интересно тем что с одной стороны никто не накопал ничего ужасного вроде. С другой, дизайн фиксирован: переменных кроме ключей нет, это делает криптоанализ куда более эффективным. А бонусом проблематично прострелить пятку своей глупостью. То-есть, я не кручу параметры дизайна и использую то что подвергалось хоть какому-то криптоанализу, имея хоть какое-то понимание.
Можно я выдвину "теорию"? ИМХО, нефиксированные параметры которые можно крутить как миниимум саботируют эффективный криптоанализ и размазывают усилия по значительно большей площади. И это ни в раз не фича. А открытая дверь в "hazardous area - trained service personnel only, так что удачной прожарки, абизяны". Я достаточно сообразителен чтобы не хотеть крутить кастомные параметры крипто без понимания импакта, что очень сложно достичь.
> Вы добиваетесь чтобы меня тошнило такими частыми упоминаниями тайминг атак и DJB?
Я не намерен игнорировать современный state of art незвивисимо от того кого и насколько тошнит. А крипто так то бывает назойливым и занудным, паранойя их профессиональное заболевание. У меня есть некоторые задатки. Да и вы в принципе с недоверием DJB получаете некий пойнт. Но есть контрпойнт. Существует технология FUD и я в курсе. Как знать, не оно ли это? Именно поэтому важны данные за пределами слухов и домыслов. Иначе как это можно отличить от атак типа FUD на удачное алго, например? А что, протолкать неудачное алго человеческими манипулятивными методами - довольно эффективная атака на крипто. Как видите, я свои взгляды как минимум пытаюсь обосновать. Стараясь оперировать чем-то более материальным чем слухи в чистом виде. Это чтобы FUD случайно не раздать и проч.
> не нужно было.
А как определяется нужность?
> Если вам нужно делать секурные вычисления наверняка не нужно ипать мозги себе
> и другим, берите и делайте такие вычисления на выделенном железе, будь
> то отдельный сервер или tpm модуль или смарт карта.
Спасибо, я видел что из этого получается, когда фффраную проприетарь ломают деццкими методами из букваря чипмейкеров нахальные студни, эти удилы часто уповают на то что проприетарность их поганого кода дает им карт-бланш и никто не заметит гамнецо :). Дада, хреновой куче смарткарт досталось. И мутной блоботе TMPа я доверять не собираюсь. А тупо потому что не верифицируемое. Декларировать на бумаге и в буклетах можно любой булшит, бумага все стерпит. Хвилипс вон на кривой козе в мифаре рекламил "секурное 48 бит крипто". Смарткарта, между прочим.
> Мы пользовались.
А, даже вот так.
> Меня заплевали домашние:
> - фоточки/видео/голос не встраиваются в сообщения
Ну это на вкус и цвет. Я вообще у себя аудио выпилил. Текстом, все текстом. Для ультра-экстренного "non maskable interrupt" можно телефоном, специально неудобно и дорого чтобы только экстренные случаи и только так. Я не хочу быть марионеткой дергаемой кнопочками с посекундной точностью.
> - ЖРЁТ батарею
В TCP mode вроде не особо.
> - нет оффлайн сообщений
Но клиенты это буферизуют.
> - акк работает только на одном девайсе
> А тогда ещё и клиенты глючные были.
Оно такие малость продвинутое и с своими причудами, для децентрализованности. Мне это импонирует.
> Бриар заметно лучше клиент, но недостатки те же самые.
Какая-то мобайл фест хня, я таким в принципе пользоваться не буду. Для меня важен нормальный эксперинс на моем линуксном десктопе.
> Conversations с даже работающими звонками позволил наконец то снять вообще все возражения
> домашних и даже избавится от скайпа для звонков видео/голосом.
В моем случае звонки и видео в мой адрес - no-go и все об этом с курсе :). И нет, по этому вопросу меня невозможно прожать. Дергание меня такими вещами слишком нагибает эффективность когда я програмлю или в каде рисую и я не могу себе это позволить, я так солью кучу проектов.
> Если вы думаете что браузер у вас украдёт ключ из памяти, логично
> спрятать его там куда браузер не пролезет.
Оно как бы да, однако кто его знает что мутноблоб сделает и насколько это хуже. Браузер и JS в нем под моим контролем, блобота в TPM совсем сама по себе.
> TPM модуль вы и свой можете сделать, это просто пример того что
> есть отдельные девайсы для такого.
Да. Но там довольно навороченый стандарт и не то чтобы сильно дружественный к этому.
> Если у вас нет денег на защиту секретов то наверное и секреты
> ваши не очень ценны.
Вот это достаточно спорный тезис. Я не заметил особой корреляции между объемом вбуханого и результатом. Можно просадить море денег и выкусить, типичная энтерпрайзная история. Комодохакер трахнувший неведому железку за много денег у дигинотара как бы намекает.
> Либо вы можете и дальше оплачивать их защиту своим временем, проводя ритуалы
> изгнания тайминг атак.
Эти ритуалы обычно имеют конкретный пойнт и эффект, понятный мне. Ах да, я предпочитаю понимать с чем борюсь и почему так. А не просто накидывать золото лопатой хз куда и почему полагая что это меня волшебным образом спасет. Деньги и усилия имеет смысл тратить если это дает конкретный эффект понятный мне, и только так, имхо.
> В случае когда таймер с рандомной задержкой взводится после рассчёта для отправки
> ответа ничего брать дополнительно не надо.
Рандомная задержка снизит PPS ничуть не хуже любой другой. И еще надежный рандом это отдельный неприятный топик в крипто, а ненадежный может и подставить пожалуй.
> И "кодинг" в этом случае очень простой.
То что он проще просто вызова алго с фиксироваными таймингами и минимальной аккуратности в кодинге - ну, не факт.
> PPS это пакеты в секунду, и тут вообще не применимо, если конечно
> ваш чудо серверер не занимается только подписыванием или проверками подписи каждого
> пакета.
Наверное "handshakes per second" стоило сказать, чтобы было понятнее, хоть и нестандартный термин. И для допустим веба это не пустой звук.
> Для установления соединения типа ТЛС дополнительная задержка от 5 до 100мс ничего
> особо не изменит.
Случаи бывают разные. Как и применения крипто. Сработавшее за фиксированный интервал крипто, особенно симметричное, может оперировать другими порядками величин, даже на слабых штуках типа мк. Это просто наименее дурацкий способ получить это, имхо.
> имплементации, носился с этим и везде пытался перейти на неё.
> Тогда ни путти ни почти ничего из вендовых клиентов, кроме терратерм не умели ECDSA.
Вот именно ECDSA от NIST лично мне доверия никогда не внушал чтобы с ним носиться. Просто потому что когда нечто кто-то спускает как стандарт, "потому что гладиолус, мы так решили" это не выглядит заслуживающим доверия. DJB в моих глазах имеет фору: он так никогда не делал.
> Это прошло. )
А я увидел CryptoBox от DJB и понял как апи надо делать было, и кто в этом понимает. Это уже не пройдет, билет в одну сторону.
Это апи ими сделано для какой-то криптобенчмаркалки изначально. А, да, нормальные криптографы догадываются что тормозное как трактор крипто ведет к тому что им пользоваться не будут и пойнт не будет достигнут. Довльно забавно что DJB мыслит прагматичнее вас, будучи больше теоретиком, не предлагая "докупить сервер" а работая над улучшением крипто.
Собственно улучшение соотношения скорость-надежность это как раз и есть что-то типа их pareto frontier. Это не константа, постепенно некие соотношения улучшаются. А chacha вместо salsa появилась
> ворота настолько чтобы хотя бы просто банальный открытый сигнал на 433 повторить.
Мне тут попалось в тему такое https://github.com/r3df0xx/flipperzero-firmware/blob/custom_...
Если я не тупой, кроме всего прочего оно пытается что-то сделать даже с динамическими кодами. Я не эксперт в этих алгоритмах, но идея динамического кода без обратной связи не внушает мне особого доверия, на вид очередной случай когда у проприетарщиков было больше маркетинга чем криптографического обоснования стойкости схемы. Может я и не прав, но существование таких тулсов как-то уверенности не добавляет.
> В случае когда это ворота в дом, там опять же как правило
> проще физически что то другое взломать.
У разных людей разные методы. Гоп будет взламывать. Фрик подъедет и откроет, не вызывая лишних вопросов у мордоворотов. И мне что-то совсем не хочется чтобы вон те штуки на моих системах работали. Пусть 2-сторонний паблик крякают как по мне, если смогут :)