> //sweet32.info/ Birthday - generic парадигма атак на крипто. Честно написано что не против 3DES, а против конкретных применений шифров с 64-бит блоками.
> Поиски криминала, то есть криптоанализ, требует выч. ресурсов,
Они требуют знания специфичных разделов математики и должного уровня паранои и изобретательности. До того как считать, надо понять ЧТО и ПОЧЕМУ.
А все тайное становится явным, как показали сливы. Теперь про веселые гаджеты от NSA и проделки Equation не знает только ленивый.
> парадоксами дней рождений.
Плох тот криптограф который забудет про дни рождения. Понятно что алго сделанные позже - делают с учетом факапов. Так что на salsa/chacha какую не сработает довольно много известных грабель.
> 4 ГБ ОЗУ и двуядерным коре2дуо анализировать как себя ведет тот же AES - невозможно.
1) Bias RC4 был пойман на куда более хламежном оборудовании.
2) Есть атаки на ослабленные версии, с меньшим количеством раундов. Позволяет оценить перспективность направления атаки БЕЗ ломовых ресурсов.
3) При наличии перспективных направлений можно и распределенные структуры собирать с группами по интересам.
> Нельзя просто методом пен-енд-пейперс ломать комбинаторные шифры,
Но можно оценить перспективы и свойства алго - анализом 1 раунда. И что меняется. А если допустим 1 бит поменять - что будет? А насколько сложно инвертировать/восстановить состояние? Есть ли аномалии?
В зависимости от ответов - отбираются перспективные направления. Скажем для RC4 сначала кто-то заметил что выхлоп отличим от рандома. А потом доразвили, заметив утечку инфо о ключе в первых 1024 байтах.
> нельзя просто взять редуцировать размер блока, ключа в AES и анализировать
Но можно редуцировать число раундов допустим и изучать поведение.
> другими свойствами. Атаки на редуцированные версии AES давно известны.
Атаки на редуциорованное количество раундов нормальное явление для оценки успешности разных типов атак - и margins.
> 56 битов это в лоб, а там не факт что в лоб,
> история с "бомбой" Тьюринга показывает, что могли и делали и создавали.
Тем не менее - откровенно сломали его только в лоб, брутфорсом. А отмерло в основном потому что в целом дурацкая схема.
> EFF_DES_cracker
Я его видел, спасибо.
> Не поломал кто? условные DJB? А откуда у них ресурсы, чтобы анализировать
> такие комбинаторные шифры?
У него есть тусовочка и грантики они получают и в целом - знают как оно. По моему версии с 7 раундами даже немного досталось. Но непрактично, и даже до 8 раундового огрызка не достали. А это менее половины раундов. При том у криптографов атакой считается что угодно быстрее брута, не обязательно реализуемое практически :)
> Все эти техники - следствия самих шифров,
Не обязательно. Скажем RC4 vs отличия от рандома - generic анализ.
> если шифр другой то и техника другая будет.
Могут потребовать некой адаптации но в целом подходы и направления достаточно общеизвестны.
> направленные на сам шифр, либо на схемы его использования (атаки на
> имплементацию я не рассматриваю).
И таки - есть некий набор реюзабельных техник и подходов. Они более-менее описаны в paper'ах тех или иных господ. Ессно атака может зависеть от конкретики схемы.
> TEA вы имеете ввиду этот Tiny Encryption Algorithm? Потому-что есть еще и
> TETRA Encryption Algorithm куда эпичнее ситуация :)
Да, я про TEA. Его хотели в мелких системах типа микроконтроллеров. Но увы, надежды обломались, не пережило джентльменский минимум криптоанализа.
> Взломали, потому-что имели на то достаточные ресурсы.
Взломали потому что схема сделана относительным дилетантом в крипто, вероятно. С оптимизацией на простоту и минимум ресурсов в ущерб остальному.
> Хочет конечно же, но перед публикацией, они ждут одобрения от дяди сэма.
Зафиг это европейцам и их криптографам, например?
> Закрытая математическая библиотека АНБ тому пример.
А после палива NIST с DualEC DRBG за "менее официозное" крипто вписались жирные корпы. Они не собираются делиться ИХ ассетами с кем-либо.
> Ну так васяны и создают публичную крипту. И даже за закрытыми дверями,
> васян придумывает, а другие васяны в квадрате пытаются его сломать,
Разница тут в основном - в вхожесть в специфичные топики математики и достаточной параное.
> тут надо хорошо понимать, что из себя представляет тот или иной
> крипто-примитив, та или иная мат. проблема лежащая в основе алго от васяна.
Отличие васяна от невасяна - в умении строить абстракции правильно, понимая как это вообще применяют - и атакуют.
> Современная публичная крипта завязана на крипто-примитиве таком как XOR,
Она, к сожалению, завязана не только на него. Сам по себе XOR достаточно безобидный, и в случае одноразового блокнота стойкий. А вот EC, RSA и проч - более стремные конструкции. С кучей проблем, допущений и вероятно неустойчивые к квантовым атакам.
> довольно хорошо изученный, свои плюсы и минусы. А где другие примитивы?
На одном XOR - далеко не уедешь. Разве что с одноразовым блокнотом, но он неудобный.
> обладает теми же свойствами, что и XOR, но анти-коммутативна. Что лучше
> коммутативность или анти-коммутативность?
От реализации зависит насколько я вижу. Как и все крипто по сути. С практической точки зрения в многих схемах используют и то и другое, комбинируя для получения желательных свойств.
> У того и у того свои плюсы и минусы, можно и объединить, и сделать коктейль,
RC4 делал перестановки как PRNG и XOR с тем что получилось. Но суммарно часть которая с перестановками - создала проблемы. Если кусок данных известен - ой, получается WEP.
С другой стороны Salsa/Chacha некая трансформация, на стероидах, и потом с сложением с исходным вариантом с врапом по модулю для предотвращени инвертирования трансформации. И потом XOR опять же. В таком виде ничего ужасного не нашлось за эн лет. Но оно структурно здорово другое и такие скорее - блочное.
> что анб не может ломать 128 битный блок данных? Вы размер
> ключа увеличиваете, алё а блок данных то остался прежним.
1) Под ломанием понимается например что? Birthday? Для 128 бит надо 2^64 трафика, не особо прокатит.
2) Salsa/Chacha за прогон жует 512 битов (64 байта) так то. Алго разные бывают.
> Так в ЦПУ общего назначения всегда будут эти side channel утечки, все
> зависит в каком масштабе мы замеряем допустим тайминги.
Операции регистр-регистр быстрые (e.g. 1 такт) и не зависят от значений операндов. В чем пойнт и состоит. В случае МК это как правило 1 такт и фиксированое время. В системах с кешом и кучей иной активности может быть джиттер, но он не зависит от значений ключа и данных.
"Плохие" операции - условные бранчи или доступы к памяти зависящие от ключа или данных.
> Остаюсь при своем мнении: Крипта должна исполняться на отдельном криптографическом сопроцессоре!
Увы, это вызывает вопрос кто проверит что все честно. Мы на слово поверим блобу? Э не.
> Помимо всего этого, утечка по side channel еще зависит от среды вычислений,
> условно электричество против фотоники.
Фотоника в чистом виде не существует. И питается электричеством. Странно пытаться противопоставлять две ипостаси одного и того же.
> Электричество по определению уже имеет side channel,
> который легко измерять. А квантовые - "дыхнешь" и все развалится :)
Это применимо только к квантовым процессам и алгоритмам. Само по себе например симметричное крипто в обычном виде таковым не является.
А анализ потребления тех систем "в целом" и его перспективность - это отдельный и пока AFAIK малоисследованный топик.
> Тут зависит от определений, как по мне размер данных в один байт
> и 32 байта не делает первый потоком, а второй блоком.
Salsa/chacha делают пермутацию 512 битов за раз (u32[16], точнее 4x4). Трансформация такая. За прогон алго блок 512 битов выхлопа. Оперирует только блоками и баста.
Для сравнения RC4 может выдать и 1 байт, и 64, и 100500. Вот он реально поточный. Он почти уникум в этом. К сожалению не настолько успешный как хотелось бы. На самом деле есть костыль скипнуть первые 1024 байта и тогда дескать ОК. Но это кошмар для мелких пакетов.
> Хотя если объединить все ключи фиксированного размера
> в один блок, получится поток :)
Поток или блок на самом деле - по юниту выхлопа схемы. Salsa/Chacha как таковые блочные трансформации, но регламентированные для работы в поточном режиме. Это спасает от факапов типа "картинка шифрованая AES".
> AES в режиме сцепления блоков (CBC к примеру) мы называем блочным, а
> тот же AES в режиме GCM - поточным, потому-что с каждый
> блоком можно параллельно работать.
AES блочный шифр. Минимальный юнит процессинга - блок.
> Мой посыл был в том, что аутентифицировать шифротекст НЕОБХОДИМО отдельным, НЕЗАВИСИМЫМ
> от ключа шифрования данных, ключом аутентификации.
Это делает схему менее практичной, увы.
> //en.wikipedia.org/wiki/ChaCha20-Poly1305
Я его RFC читал от и до.
> всегда буду верен, что подобранный ключ является тем самым ключом, потому-что
> на выходе при дешифровки - осмысленный открытый текст и совпадает значение
> хеша на этом ключе.
Тем не менее заявленные гарантии схемы накрылись и в целом безопаснее считать что схема сломана.
> ключ от шифрования данных выдал осмысленный текст (любой возможен осмысленный текст
> на неправильном ключе ведь), тогда без знания ключа аутентификации мы не
> сможем выяснить, толи на самом деле мы расшифровали,
Проблема в том что теперь надо менеджить в 2 раза больше ключей, а гарантии уже профачены. И вы хотите что? Помочь атакующему незаметно шпионить не проявляя себя? :)
> То есть, у нас нет механизма верифицировать нашу догадку о ключе
> расшифровки данных, так как для аутентификации используется независимый (неравный!) от
> ключа шифрования ключ.
Но если данные уже расшифровали - это профаканые гарантии. И успех атаки. И успех можно проверить по куче иных факторов. Скажем структуре протокола. Или энтропии. Т.е. гарантии прибавляются умеренно а головняк с менеджментом специфичного ключа и шансы профакаться в наличии.
> что собственно может привести к коллизиям. Тег аутентификации - это по
> факту должна быть тупо подпись, то есть - 2^128 -> 2^128
> (одно-однозначное отображение)!
И где у нас lightweight подписи на 128 битов? И если мое сообщение не 128 битов - то чего? Это сколько во сколько маппинг? Более того - там для этого достаточно специфичные соображения, в том числе birthday и проч. 128 бит как в 1305 это компромисс между оверхедом и реалистичностью атаки.
И, кстати, я не понимаю: что мешает атакующему использовать упомянутый ранее вариант атаки:
- Плевать какой ключ шифрование и сообщение оригинала.
- Пытаемся пробить auth, желательно birthday или подобным.
- При успехе - сообщение расшифруется в рандом, и возможно, это устроит.
А иногда нас устроит и вовсе что-нибудь скромное, типа реплея пакета. Штуки типа nonce этому могут мешать. Все с "seq num <= X" нафиг -> реплей нафиг, дешево и сердито.
Т.е. при практической реализации есть довольно много моментов на которых можно налететь. Упомянутый chacna20-poly1305 интересен тем что прост в применении и залеты того плана заткнул просто и эффективно.
> расходы, но текущая схема, это полное фиаско!!! Ибо одним ключом у
> вас зашифрованы данные и тем же ключом условно заверены данные,
Это простая схема, логичная и легкая в оценке ее свойств и общей модели угроз с одной стороны - и очень небольшим числом мест для факапов. Все чувствительные моменты регламентированы. А как в вашем случае выглядит менеджмент ключей, как предотвращаются дурацкие сценарии с подставами, лажа реализаторов и эксплуатантов - большой вопрос. В схемах по типу AEAD критично чтобы ключ "auth" был реально одноразовый, иначе становятся возможны вычисления ведущие к вскрытию схемы.
> что приводит к однозначному механизму верификации угаданного ключа шифрования. В милитари,
> такая ситуация недопустима.
Не уверен что им жизня с наполовину может-быть-вскрытой схемой нравится намного больше.
> детерминированности алгоритма с секретом, поэтому тот же AES используется в качестве
> PRNG, но тут все зависит как устроена сама схема с использованием
> AES (вспомним факап у амд).
Насколько я помню, можно сделать PRNG из по сути любого норм алго шифрования. При том именно криптографически стойкий. Просто по сравнению с более легкими - медленный. И я в курсе факапов амд. В ядре затронутые системы совсем заблеклистили. К вопросу о доверии блобам.
> Самому PRNG необходим RNG (в идеале - TRNG),
Ему неоьходим "secure seed" непредсказуемый для атакующего. И это зачастую решаемо.
> TRNG -> PRNG -> CSPRNG
Ну я более-менее в курсе соотношений. Зачастую можно и без TRNG накоплением энтропии проскочить.
> Идеальный CSPRNG для шифро-блокнота это своего рода "мешочек с боченками"
Для шифро-блокнота идеально TRNG, оптом. Иначе это уже не блокнот а как раз попытки уменшить его.
На самом деле если надо терабайт - даже RC4 может сойти. Просто скипнуть первые 1024 байта текших инфо о ключе. Но для мелких пакетов скипать 1024 байта кошмар по скорости, пойнт схемы пропадает.
Мне нравится как в новых линух кернелах, разные источники подмешивают энтропию по мере доступности. Так состояние PRNG становится менее детерминированным. Это в каком-то роде релазация того и есть, используя прямо доступные свойства системы, из того что в существующих системах есть. Прагматичный подход. Без упования на какое-то специальное железо которому мы с какого-то должны якобы-доверять. АМД показал как доверие крипто сопроцессорам работает, ага.
>> и правда некая проблема. Но если юзать разные источники подмешивая их
>> в сильный PRNG - номер в принципе катит.
> В таком случае возникает лишь один вопрос в необходимом и достаточном количестве
> таких независимых друг от друга источников. Ведь один источник на один бит случайности.
Ниоткуда не следует что из источника мжно взять 1 бит. Скажем с LSB шустрого ADC можно нагрести довольно много битов с хорошей энтропией за короткое время. Плюс можно хранить seed с прошлого старта - накапливая энтропию. По мере эволюции системы такой PRNG становится все менее предаказуемым. И если в самом PRNG нет крупных факапов, этот рандом будет достаточно непредсказуемый, имхо.
И это точно на голову лучше вооон того выноса low entropy систем не парившихся этим, что привело к крайне жестким атакам. Когда можно угадать пароль вайли с 1 ноты.
> Внутреннее состояние генераторов n случайных битов должно по факту быть с размером
> суперперестановки от n, а это аналог нашего мешка с боченками.
С практической точки зрения мы хотим умеренный размер состояния схемы.
> доказать. Ну и сам идеальный шифроблокнот это по факту одна большая
> строка (конкатенация) всех возможных конечных строк (2^128 допустим)
А это не будет отличимо от рандома?
> Короче, за место отображения K (декартово произведение) M -> C,
Фокус в том что в крипто мы на самом деле хотим менять размер множеств. С одной стороны мы хотим заменять большой секрет маленьким. С другой нам порой хочется раздуть умеренный ключ в во какой выхлоп PRNG. Есть довольно большая разница между тасканием терабайта рандома и 256 бит ключа который можно на клочке бумажки записать или вбить с клавиатуры.
> В моем понимании "трушный" - это хранящий все пространство и иссякающий с
> каждым обращением, который идеален в случае идеального шифроблокнота.
Это какое-то очень экзотичное определение трушности шума. И какое пространство вообще у тепловых шумов, квантовых эффектов, и тому подобного добра? Они существуют сами по себе. Сколько мы битов шума ухватим - отдельный вопрос.
...
> nonce - хорош если примитив анти-коммутативный, а xor коммутативен! Nonce - всегда известен!
Задача nonce в основном избежать одного и того же выхлопа на разных запусках схемы с одним и тем же ключом и данными.
Если этого нет - возможно много всего. Во всех детерминированных схемах при i-m запуске E(K1, T1) == C1, всегда! Получив на вход C1 повторно - атакующий может узнать что это был E(K1, T1), как в первый раз.
С другий стороны E(K1, T1, nonce) != E(K1, T1, nonce+1). И вот тут атакующий получив второй выхлоп не будет знать, тот же это был (K1, T1) или совсем другой(K2, T2). В чем смысл и состоит. Иначе возможно много неудачных атак.
> Вот nonce в случае с транспозицией хорошо блайндит, так как анти-коммутативен.
Это вы по сути chacha описали. Там nonce <-> xor никак не связан. Зато сетап той части где "перестановки на стероидах" (ARX) - вполне. Собственно цель - получить разные варианты шифротекста даже если ключ и текст одинаковые. Иначе это куча подстав. А даже с AES можно налететь как в примере с картинкой и дурным mode где общий вид картинки подлежит анализу даже без знания ключа.
> В публичном крипто мы передали по тому же каналу ключи шифрования. Противник
> сохранил, и когда у него появились ресурсы - расшифровал,
Может да. А может нет.
1) Вечно хранить весь трафик - накладно.
2) Это знание могло давно утратить актуальность.
> сена (ключи от каждого шифро-блока), он ищет ключ от комбайна :)
TLS вообще довольно сложная схема с кучей факапов. NSA по моему однажды выдало рекомендацию сотрудникам - "do not rely solely on TLS".
>> Т.е. такая схема - работает, не ломается, но имеет проблемы с практичностью.
> Возможно её можно решить имея квантовую память, как вы думаете?
Это вроде ниоткуда не следует: если c = xor(a, b) и мы не знаем ни a, ни b, возможны разные варианты чем были a и b для получения такого c. Как кванты помогают от этой неоднозначности сами по себе?
> это отображение является ключем, который менять не надо,
Эта схема как я понимаю тоже страдает тем что E(key, text) всегда одинаковый и атакующий без "костыля" в виде nonce сможет видеть что это одно и то же было.
> случае с полной компрометацией одной из сторон. Каждая пара (m, c)
> - независима. В такой схеме нет понятия key-reuse.
Не понимаю, если ключ и сообщение одинаковы - как получится разный шифротекст? Nonce затыкает в основном это, иначе атакующий может видеть что вы слали тот же пакет что в начале, он не знает что в нем - но знает что ТОТ ЖЕ. Это уже не айс.
> как DJB все меньше доверяю, это как в фокусе следишь за
> одной рукой, которая тебя по факту отвлекает, а вторая тайно проводит трюк.
Тем не менее на DJBщные алго так по жизни мало чего ужасного находится. На salsa/chacha только на ослабленные версии. С одной стороны - пруф что искали. С другой - индикатор что margins норм.
> Шнайер притих? Притих,
Он как бы попробовал те или иные алго. Blowfish обладал своими проблемами и тормоз. Видимо энтузиазм поубавился.
> щас даже про ЫЫ безопасность думает, все эти публичные эксперты - утки по факту,
Вот слушать ИИ на тему теорий заговора я бы не стал. Проблема AI в том что он пытается вас с умным видом накормить тем что вы хотели услышать. Это может быть а может не быть чем-то реальным. AI порой с умным видом кормит адресата 100% бредом.
> Хагелина. Охота на Ассанжа тому доказательство, какого быть врагом бандитской системы.
> Любое государство по определению - бандитская система!
Ни одно государство не жалует тех кто имел привилегированный доступ а потом использовал его против того кто доступ предоставил. И вообще людские общества.
> Тут зависит от рода вычислений, есть ведь разница между детерминированным перебором и
> недетерминированным, плюс квантовые должны быть с появлением квантовой памяти. Все что
> вы описываете, это относится именно к детерминированной модели перебора.
На квантовые вычисления тоже энергия будет тратиться. Чудес не бывает, изменение состояния системы подразумевает затраты энергии.
Мой тезис прост: нельзя произвести вычисления не потратив энергию.
> для детерминированных атак, и это только начало такое урезание, кто знает что будет в будущем.
Это по моему как раз консервативная оценка для именно квантовых атак которые за счет сцепленности множество гипотез за раз проверяют. От чего в хучшем случае и ополовинивается длина ключа.
> Что есть нехватка энергии? Она же не исчезает и не появляется, демон Максвелла.
man "тепловая смерть вселенной". Конечно эти законы могут не удерживаться в пределах квантовых флуктуаций, НО я желаю вам удачи с этим :)
> Но по сравнению с классическим ведь разница будет существенной.
Может. И RSA и EC может настать хана. Потому что их сложность в таком виде - никакая. А у симметричного крипто как я понял за счет квантовой сцепленности можно исследовать сразу много гипотез но по максимуму это ополовинт длину ключа. Откуда и идеи что 128 ключи мало а 256 уже пойдет и от этого.
> Заменив операцию присоединения на операцию перестановки, мы тем самым
> увеличили мощность представления,
Вы ее увеличили раньше. Когда вместо 1 параметра у объекта сделали 2. На таких принципах работает PAM допустим. Вместо 1 бита в проводе может быть сразу N.
> линеен, в отличии от нелинейной простой функции взятия на случайной перестановке
> всего множества C.
Если вы не заметили, xor в чистом виде не годится для криптографии, кроме случая когда у вас был хороший CSPRNG или TRNG. А криптоалгоритмы как раз перестановки активно практикуют.
И если перестановки будут зависеть от ключа - это подставит схему под утечки по side channel на реально существюущем железе.
> Ну может быть весь смысл крипты в том, что она должна быть квантовой,
Да вроде ниоткуда не следует что "не квантовое" крипто - обязательно вскрываемо. Особенно симметричное.
> привел пример шифро-блокнота, который не использует XOR, но для реализации его
> необходимо хранить все множество. Может квантовая память поможет и смена парадигмы
> вычислений, кто знает.
У шифроблокнота и так проблемы с хранением "ключа". А если все множество хранить надо это еще намного хуже с точки зрения реализации.
> Не путайте, механизм верификации, что ключ однозначно от этого шифро-текста, и механизм
> верификации аутентичности шифро-текста - разные механизмы. Существование второго я не
> отменял, я выше уже высказался по этому поводу.
А два разных ключа - заметно усложняют схему и допущения. DJB интересен тем что он посмотрел как другие юзают криптографию - и где они лажаются. И кое-чему он на их ошибках явно научился. А вот другие господа - выкатываю API которые почти невозможно юзать без ошибок, алго с кучей "особенностей" которые все нагибают при случае и проч.
Крипто состоит из внимания к мелочам. И в дизайне и в реализации. В целом секурная схема может быть профакана почти в ноль какой-нибудь мелочью. DJBшное творчество интересно вниманием к этому аспекту.
Пример: мало программ юзает TLS секурно. В ovpn был почти-бэкдор когда оно могло клиентский (!) серт под видом серверного (!) скушать. У каждого клиента есть серт. А тип серта оно не проверяло, если явно не запрошено. Любой клиент мог MITM устроить. Зато баззвордами обвесились! На i++ год дотикало, проверку повесили по дефолту. Но к тому моменту все кто минимально интересовался уже умели и подгонять нежданчики другим и себя от этого защищать.
> ключ, который использовался для шифрования самих данных. Эти два ключа ДОЛЖНЫ
> БЫТЬ независимыми.
Это требование достаточно непрактично и усложняет реализации и применение схем, попутно ведя к непоняткам и факапам. Так можно получить схему которая формально стойкая до небес, а реально двуногие будут лажать.
> И все сведется к угадыванию этого единственного ключа, и квантовый поиск в
> этом случае и поможет.
На примере блока неизвестного рандома как plaintext? В этом случае оно даже не обязано быть верифицируемым: верификация может быть сделана остальной схемой сиииильно опосля.
Как вы вообще узнаете что этот блок рандома - правильный? В допущении что каждый раз блок рандома относительно честный. Это примерно как с аутентификацией, только тут как раз - никаких критериев правильности. Даже по энтропии - не катит.
При практическом usage:
1) Равшифроваем temp key. Понятия не имея сработало или мусор.
2) Пытаемся тем что получилось дешифровать основной поток. А вот тут будет уже кстати верификация, иначе могут покормить рандомным гуано.
Т.е. шифрование делается 2 раза, и пойнт - уменьшает exposure основного ключа в плане объема данных и числа блоков который им шифрованы были. Попутно - нет никакого критерия угадали вы мастерключ или нет. Это даже получатель изначально не знает и узнает лишь опосля, в второй части схемы.
> Чтобы бороться с квантовым "найтмейром",
Он найтмэр в основном для публичного крипто. И собссно это причина по которым wg какой - может PSK юзать дополнительным уровнем. И он такой не один.
> секретности. Не парктично? да, для классики, но возможно для квантовых каналов
> возможно найдут решение (BB84), активно это щас исследуют.
Кванты сами - "не практичны" пока. Крипто на минималках я могу запустить в 20 центовом МК. И пульнуть пакет по радио "относительно секурно". Разбудите когда сможете так же с квантами. Я правда подозреваю что к тому моменту я могу уже спать вечным сном.
> убежден в том, что он знает секретный ключ и расшифрованный шифро-текст
> - соответствует открытому тексту Алисы. А в реальности, существует Ева, которая
> может "подменить" шифро-текст,
Или как в упомянутом примере - может быть даже просто шум в канале. И случайно принятый левак. Отличие в основном в том что одно злонамеренное а другое "само получилось".
> E(k, m) = c - шифро-текст (шифрование данных m на ключе k)
> H(k`, c) = c` - подпись (шифрование шифро-текста c на ключе k`,
> такой, что k` =/= k)
Оно как бы понятно. Собссно прелесть схем типа Chacha-Poly1305 что ключ один, а второй делается на его основе. Да, это означает что знания 1 ключа достаточно для всего. Но это "запроектная" атака. С другой стороны схема и угрозы просты в понимании - и применении.
> там один ключ используется как для шифрования данных, так и верификации
> аутентичности данных.
Да я понял. С другой стороны у Poly1305 например довольно специфичные требования к ключу. Тот подход "дешево и сердито" обеспечивает это на уровне простых регламентов, с минимумом места для лажи.
В вон том случае - этот вопрос полностью открыт и подвисает на реализаторе. И становится и его проблемой, да еще пользователю отсвечивает. Т.е. практичность схемы страдает а реализатор может и облажаться.
> ключ, а новые ключи, которые будет использовать каждая из сторон (схема
> дабл ретчета, recv/send) будут генерироваться наперед и передаваться в самом
...
Мне в этом смысле еще вот чего интересно. Есть такая штука как three-pass algo - это как раз key exchange. Но налагает определенные требования к используемым функциям. Мне интересно, может ли какое-то симметричное крипто пролезть под ТЕ требования к функциям?
>> В сложных системах самое слабое звено - это человек.
> Поэтому в милитари есть еще разделение ответственностей, и крипта - железная.
Тем не менее что их схемы самые безопасные ниоткуда не следует. У таких господ часто ритуалы берут верх над здравым смыслом, все получается дорого, сложно, хреново. А то что оно неломаемо в сумме - сильно отдельный вопрос. Такая реализация кроме всего прочего очень урезает объем аудита.
> Конечно, это как история с якорем и кабелями по дну Балтики :)
Скорее как вон там
- Вырубили электропитание кибератакой.
- ПВО ушло в даун.
- Куча летучего творило что хотело.
- Гражданина вынул из кровати спецназ.
> Есть там некоторые механизмы репиторов, но каждая такая точка является трастом по
> определению.
Что выглядит как некая проблема, имхо.
> Ну я бы сказал, что крипта для милитари и для обывателя -
> небо и земля, требования разные.
Но ниоткуда не следует что оно у них более стойкое на практике. По нему вообще мало данных - и аудита независимыми сторонами.
Вариант для распечатки
(ok), 27-Дек-25, 00:25
