Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск криптографической библиотеки OpenSSL 4.0.0"	+/–
Сообщение от opennews (ok), 15-Апр-26, 00:18
Состоялся релиз библиотеки OpenSSL 4.0.0, предлагающей с реализацию протоколов TLS и различных алгоритмов шифрования.  OpenSSL 4.0 отнесён к выпускам с обычным сроком поддержки, обновления для которых выпускаются в течение 13 месяцев. Поддержка прошлых веток  OpenSSL 3.6, 3.5 LTS, 3.4 и 3.0 LTS продлится до ноября 2026 года,  апреля 2030 года, октября 2026 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65208
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Страдивариус (ok), 15-Апр-26, 00:18	+1 +/–
> Добавлена поддержка определённых в RFC 8998 алгоритмов, использующих стандартизированный в Китае набор криптоалгоритмов Вот так вот. Китайские госты добавили, а российские - нет. А всё почему? Потому что российские криптографы развели мутную муть вокруг выбора констант.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #9, #73

2. Сообщение от Я (??), 15-Апр-26, 00:30	+2 +/–
Потому, что Беляевского отодвинули.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #40

3. Сообщение от Аноним83 (?), 15-Апр-26, 00:33	+1 +/–
Тоже тригернуло. Но нет, дело было не только в константах - про них были вопросы только для одного из алгоритмов, кузнечика если правильно помню, это симметричный шифр. Стрибог тоже не добавили, там вроде было последний раз: да у вас хайфа криво реализована, вы половину сложности угробили - зачем добавлять кривое. Есть же ещё магма (старый гост89) и гост2012 - ECDSA по сути со своими параметрами и одним вычислением которое перенесли из/в подписи в проверку. Вот их то чего нигде нет - лучшее что слышал: они увеличивают поверхность атаки. Это тормозиловцы со своим nss ответили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4

4. Сообщение от Страдивариус (ok), 15-Апр-26, 00:37	+1 +/–
Зато создатели крипты пры не нарадуются, что без них никуда. Отсюда вопрос: может сие специально было сделано, зная строптивость разрабов openssl и libnss?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #7

6. Сообщение от Аноним83 (?), 15-Апр-26, 00:45	+1 +/–
> криптографическая функция хэширования cSHAKE, основанная на алгоритме SHA-3 Описание в статье так себе. Судя по описанию по ссылке это не совсем классическая хэш функция, это кастомизируемая хэш функция, что то на подобии HMAC констррукта но сделана на базе SHA-3. > Прекращена поддержка SSLv3 и SSLv2 Client Hello. > Из команды "openssl ca" удалена устаревшая опция "msie-hack". Как то зря. Не мешало ведь, а где то такое ещё используется. > Удалена поддержка динамически загружаемых движков, вместо которых для расширения функциональности OpenSSL следует использовать концепцию Те гост енджин теперь на помойку? Опять санкции завезли против отечественной крипты короче.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #41

7. Сообщение от Аноним83 (?), 15-Апр-26, 00:52	+/–
Не, там свои вахтёры же везде сидят. Помните, когда то Хромиум юзал опенссл и технически с гост энджином он должен был поддерживать отечественную крипту. А потом в опенссл нашли багу, от чего у всех пригорело и Тео запилил свою либрессл, а гугль решлил переписать на кресты. И так совпало что в крестовой версии гугла энджины вроде как не поддерживаются. С точки зрения криптолибы/её авторов: не важно какие там уязвимости есть или подозрения на них - если где то оно используется то надо брать. А там прям: ну это не FIPS, у нас такое не используется - идите откудапришли. Как будто ты к ним пришёл со своим rot13(rot13()) а не с гос стандартом страны со 100+м населения. Но они вроде и ЕС так же попускают - их крипты тоже не очень видно, а она есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #44

9. Сообщение от cheburnator9000 (ok), 15-Апр-26, 01:04	+1 +/–
Установи патчи и пользуйся до усрачки. Никому, за пределами гос.структур РФ, оно нафиг не сдалось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #11, #45

10. Сообщение от cheburnator9000 (ok), 15-Апр-26, 01:08	–3 +/–
> Опять санкции завезли против отечественной крипты короче. Это зарубежное "ПО". Они никому ничем не обязаны. Не нравится - форкай и поддерживай. А то привыкли чтобы все за них сделали другие, даже авто уже китайцы им производят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #12

11. Сообщение от Аноним83 (?), 15-Апр-26, 01:12	–1 +/–
Так и за пределами сша FIPS почти никому не нужен, но он почти везде есть. Пусть тоже себе патчи ставят. И собственно почему я должен выбирать между aes/chacha20 которые кто то в сша себе выбрал? Короче у вас как то так получается что сша главный а всех остальных и спрашивать не надо. Притом я не фонат рф, но ведь не спрашивают и китай и ес и прочих у кого своя крипта есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14, #30, #34, #86

12. Сообщение от Аноним83 (?), 15-Апр-26, 01:13	+/–
Я вам выше ответил: оно не зарубежное, оно только сша.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #16

14. Сообщение от Аноним (14), 15-Апр-26, 01:21    Скрыто ботом-модератором	–5 +/–
> Притом я не фонат рф РФ крипту для африканцев придумала? На кой африканцам, китайцам, амерам твоя крипта? Она у каждого своя должна быть, как и собственное достоинство, и триггерить не должно когда твое Г куда то там не сунули. Ты им разве хорошее предлагаешь? Все выше сказанное относится ко всем, не только к РФ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #21

16. Сообщение от Аноним (14), 15-Апр-26, 01:24	+2 +/–
и с какого оно не должно быть только США? для РФ должны делать? чем китайцы не угодили? поди Г китайское вкуснее, когда своего нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #22

21. Сообщение от Аноним83 (?), 15-Апр-26, 01:53	+/–
Какую такую плохую репутацию имеет ЕС, япония, южная корея что их крипты нигде нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #33

22. Сообщение от Аноним83 (?), 15-Апр-26, 01:55	–1 +/–
Остальной мир не важен? Видимо вы считаете себя второсортным раз так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #24

24. Сообщение от Аноним (14), 15-Апр-26, 02:33	–2 +/–
> Видимо вы считаете себя второсортным раз так. Второсортный тот: 1) кто не имеет своей крипты и полагается на амерское, китайское, рфийское и на всякое Г. 2) тот кого триггерит из-за того, что его в куй не ставят, так как не имеет собственного достоинства. пс: Своя крипта это как своя жена, делиться ее не стоит, и тем более не доверять свой супружеский долг - соседу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #25, #26, #36, #39

25. Сообщение от Аноним83 (?), 15-Апр-26, 03:24	+/–
Вы какой то бред пишите, перечитайте ветку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #27, #31

26. Сообщение от анон (?), 15-Апр-26, 03:28	+2 +/–
>Своя крипта это как своя жена, делиться ее не стоит Чyшь собачья. Алгоритмы либо работают, либо нет, и никакой национальной принадлежности не имеют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #28

27. Сообщение от Аноним (14), 15-Апр-26, 03:32	+/–
в зеркало посмотри на себя
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

28. Сообщение от Аноним (14), 15-Апр-26, 03:38	–3 +/–
> Чyшь собачья. Алгоритмы либо работают, либо нет Ты себе должен доказать, что ты мужик, не соседу. В крипте не просто работает алгоритм (и "цезарь работает"), там доказательство надежности этого алгоритма. И этими знаниями не делятся - о том каков ты в постели, должна знать только жена.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #85

30. Сообщение от Аноним (30), 15-Апр-26, 07:42	+/–
> Короче у вас как то так получается что сша главный а всех остальных и спрашивать не надо. > но ведь не спрашивают и китай и ес и прочих у кого своя крипта есть. кто девушку платит, то ее и танцует у китайцев явно свой браузер есть для внутреннего рынка, со всем чем нужно а у нас только шильдики переклеивают (а то и хуже - халтуру выбрасывают с пафосом, как со скамом вышло), вот и результат Делали б браузер сразу, про хромого с лисой реагировали б "а ну чет слышал, не пользовался"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

31. Сообщение от Аноним (30), 15-Апр-26, 07:44	+/–
Тебе б самому перечитать себя, да саморефлексии видимо нет, не поймешь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

32. Сообщение от Аноним (33), 15-Апр-26, 08:27	+/–
> Удалена поддержка динамически загружаемых движков, вместо которых для расширения функциональности OpenSSL следует использовать концепцию подключаемых провайдеров. Тоесть все патчи с ГОСТ криптухой отвалились.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #38

33. Сообщение от Аноним (33), 15-Апр-26, 08:30	+1 +/–
Может наоборот, крыпта у них хорошая по этому не и нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

34. Сообщение от Аноним (34), 15-Апр-26, 08:49	+/–
> Короче у вас А они, если будут ходить за каждым у кого короче, то у них может не хватить их длинны! Ну, короче, Вы понели!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

35. Сообщение от Dmitry (??), 15-Апр-26, 09:08	–1 +/–
Объясните почему за все время существования провайдеров в openssl, никто кому нужен ГОСТ, не написал провайдер для него. Может он не так уж и нужен?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #37

36. Сообщение от Аноним (36), 15-Апр-26, 09:22	+/–
> Своя крипта это как своя жена Глупости пишешь. Ты защищённо только внутри семьи общаешься? С людьми из других семей только открытым текстом?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #58

37. Сообщение от Аноним (37), 15-Апр-26, 09:24	+/–
Так написали же, пакет с этим творчеством даже в дебиане был. Мне доводилось пару раз докеры с гостоп собирать в 2019 году, все работало. С тех пор бох миловал пользоваться этим цифровым мусором.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

38. Сообщение от Аноним (39), 15-Апр-26, 10:26	+/–
Пока дойдет до использования этой версии, пройдет лет 10. К тому времени могут поломать все эти шифры квантами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #42

39. Сообщение от Аноним (39), 15-Апр-26, 10:31	+1 +/–
Если для вас криптография и компьютерная безопасность - что-то вроде ведения совместного хозяйства с какой-нибудь бабой, вам лучше вообще не подходить к чему-то сложнее микроволновки. Это математика и инженерия, там один из фундаментальных принципов - отсутствие доверия к поставщику чего-либо. Своя криптография, это любая, которую ты можешь верифицировать (алгоритм) и контролировать всю цепочку, от сборки инструментов (реализация алгоритма) до применения ее к данным (на этом этапе чаще всего и компрометируются криптосистемы). В общем, иди исполняй свой супружеский долг или на новостных порталах обретайся под новостями о политике, не снижай уровень дискуссии здесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #43, #48

40. Сообщение от Dmitry (??), 15-Апр-26, 10:40	+1 +/–
Это просто неправда. Дмитрий Белявский активный контрибьютор и иммет право коммитить в основной репозиторий, кроме того он представитель Distributions коммьюнити в openssl communties.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

41. Сообщение от Аноним (36), 15-Апр-26, 10:52	+/–
> Те гост енджин теперь на помойку? С фига ли? Во-первых, никто не заставляет бежать обмазываться свеженьким, и никто не запрещает продолжать использовать 3-ю ветку, более того: > Поддержка (...) 3.5 LTS (...) продлится до (...) апреля 2030 года. Кроме того: > следует использовать концепцию подключаемых провайдеров Переписать прокладку кто запрещает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #47, #51

42. Сообщение от syslinux (ok), 15-Апр-26, 11:15	+/–
> Пока дойдет до использования этой версии, пройдет лет 10. К тому времени > могут поломать все эти шифры квантами. Эта конструкция симметричного шифра не подвержена квантовым вычислениям, да и вообще никаким вычислениям https://github.com/everanium/itb
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #62

43. Сообщение от Аноним (43), 15-Апр-26, 12:20	+/–
ну так жену и проще всего контролировать. а как контролировать инженера пупкина, который пишет алгоритмы, и возможно работает на когото еще? майора к нему приставить? а майора как контролировать? криптография это хорошо, но в государстве она исключительно на доверии одних госов к другим, иных форм взаимодействия просто не существует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #55

44. Сообщение от Страдивариус (ok), 15-Апр-26, 12:25	+/–
gost engine не делает возможным использование TLS по госту. Там нужно вносить константы в хэндшейки, чего engine не делает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

45. Сообщение от Страдивариус (ok), 15-Апр-26, 12:26	+/–
А китайская крипта нужна? А корейская? А японская?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #54

47. Сообщение от Аноним (43), 15-Апр-26, 12:27	+/–
ты будешь поддерживать? а фф и хром тоже ты будешь? а ты себе мб янденкс браузер поставишь? и месенджер макс с ним в придачу чтобы к 30 году ходить на google.com, или уже нельзя будет, и у них будет свое, а у нас свое, ну я хз, браузер то "свой" с оговорками, а вот остальное кто будет пилить, гитхаб, поисковик, да впрочем порнлэб...и так запрещен, вот только всегда именно порно индустрия задавала тренды на формат носителей, кого они сделают те и победят, вообще не нам решать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #50

48. Сообщение от Аноним (14), 15-Апр-26, 12:34	–1 +/–
> Если для вас криптография и компьютерная безопасность - что-то вроде ведения совместного хозяйства с какой-нибудь бабой, вам лучше вообще не подходить к чему-то сложнее микроволновки. Ну а как мне до вас донести, что иметь свою крипту, равносильно "иметь" свою жену. Защита информации это такой же супружеский долг, ее нельзя доверять соседу, то есть для альтернативно-одаренных, - нельзя использовать чужую крипту, свою иметь надо! > Это математика и инженерия, там один из фундаментальных принципов - отсутствие доверия к поставщику чего-либо. Ну и как без доверия в семье? > Своя криптография, это любая Своя крипта это своя! Вы думаете анб использует аэс, а фсб какой-то кузнечик? :)) > В общем, иди исполняй свой супружеский долг или на новостных порталах обретайся под новостями о политике, не снижай уровень дискуссии здесь. Это уровень сей аудитории такой низкий, что я привожу бытовые аналогии, чтобы донести мысль, походу даже этот уровень для них оказывается слишком завышенным, ну простите на уровень животных терминов опускаться не буду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #52

49. Сообщение от Аноним (49), 15-Апр-26, 12:50	+/–
> в ECH вместо шифрования на уровне отдельных полей, целиком шифруется всё TLS-сообщение ClientHello Ну наконец то. Ждем обновления xray
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53

50. Сообщение от Аноним (36), 15-Апр-26, 12:55	+/–
Упорядочи, пожалуйста, этот поток сознания. Хотя бы оформи каждый тезис в отдельное предложение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

51. Сообщение от Аноним83 (?), 15-Апр-26, 13:13	+/–
Хорошо, а после 2030 года? Хоть трава не расти? Переписывание плагинов - ну да, но в больших масштабах это всё же неудобство по дистрибуции и настройке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

52. Сообщение от Аноним (39), 15-Апр-26, 13:15	+/–
>Вы думаете анб использует аэс, а фсб какой-то кузнечик Даже комментировать эту тупость не хочется. Это демагогия начального уровня. Какие-то школы поллитруков на факультете менеджмента арбузолитейного ПТУ таких выпускают? >Это уровень сей аудитории такой низкий, что я привожу бытовые аналогии, чтобы донести мысль >ну простите на уровень животных терминов опускаться не буду А надо на уровень технической дискуссии подниматься. Но это не ваш уровень. Просто съе-е отсюда, забудьте дорогу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #60

53. Сообщение от Аноним (-), 15-Апр-26, 13:15	+/–
А когда это все появится в той же Ubuntu 24.04 и в Firefox?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #56, #57

54. Сообщение от DESKTOP3HBS8ID (?), 15-Апр-26, 13:24	+/–
А почему бы и нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

55. Сообщение от Аноним (39), 15-Апр-26, 13:31	+/–
>жену и проще всего контролировать Так и запишем: не женат ))))) В роли жены кто? Разработчики, сидящие в недрах закрытого НИИ? На первый взгляд их легко контролировать, на практике их будут вербовать и завербуют. Возможно даже всех. >криптография это хорошо, но в государстве она исключительно на доверии одних госов к другим, иных форм взаимодействия просто не существует А в это время наши враги разрабатывают системы с нулевым доверием к узлам сети обмена (развед)данными.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #59

56. Сообщение от Аноним (56), 15-Апр-26, 14:36	+/–
Включена поддержка механизма ECH (Encrypted Client Hello) - Firefox 119 https://opennet.ru/59989-firefox
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

57. Сообщение от Аноним (56), 15-Апр-26, 14:37	+/–
https://support.mozilla.org/ru/kb/faq-encrypted-client-hello
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

58. Сообщение от Аноним (14), 15-Апр-26, 15:04    Скрыто ботом-модератором	+/–
чет Максим удаляет коменты :) > Ты защищённо только внутри семьи общаешься? нет, я такого не утверждал, я утверждал то, что "иметь" свою жену должен ты, а не сосед, отсюда - иметь свою крипту, равносильно "иметь" свою жену. Так яснее? > С людьми из других семей только открытым текстом? и такого я не утверждал, странные у вас выводы. Два мужика "имеющие" своих жен, могут общаться на прямую - с "глазу на глаз" (это не передача по открытому каналу), либо через своих "жен" (крипта), то есть две стороны имеющие свою крипту могут использовать оба алгоритма. К примеру, сторона А принимает сообщения от стороны Б зашифрованное алгоритмом А, а сторона Б принимает сообщения от стороны А зашифрованное алгоритмом Б. В таком случае "достоинство" ни одной стороны затронуто не будет, каждый "имеет свою" крипту. В таком случае если взломан один из алгоритмов, можно использовать другой (избыточность). Спросите у "обнуленного буферного" из кр3мля как он общается с банановыми республиками, или с тем же западом, чью крипту юзает? :)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

59. Сообщение от Аноним (14), 15-Апр-26, 15:07	+/–
> А в это время наши враги разрабатывают системы с нулевым доверием к узлам сети обмена (развед)данными. к каким сетям? "секретных" сетей не бывает, любой канал данных (сеть) по определению - не безопасная среда, и криптография решает именно этот вопрос, что обеспечивает безопасность в небезопасной среде. зиротраст о котором вы говорите это совсем другое понятие, в криптографии не используют понятие траст или не траст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #66

60. Сообщение от Аноним (14), 15-Апр-26, 15:12	+/–
> Даже комментировать эту тупость не хочется. потому-что не развираетесь в теме, у вас других аргументов кроме как говорить о "демагогия начального уровня" и нет. > Какие-то школы поллитруков на факультете менеджмента арбузолитейного ПТУ таких выпускают? Ты у академии криптографии при спец связи спроси кого они выпускают или запускают. > Но это не ваш уровень. Конечно это не мой уровень вон погляди на этот уровень "Вот так вот. Китайские госты добавили, а российские - нет." > Просто съе-е отсюда, забудьте дорогу. А вот дорогу на Х я могу тебе указать, а не ты мне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #65

62. Сообщение от Аноним (14), 15-Апр-26, 17:13	+/–
похоже на ЫЫ-ное рукоделие :)) Вся суть опирается на хеш функцию - и советуют взять (SipHash-2-4/ChaCha20/BLAKE2s — chosen at design time). Одним словом ржака, особенно раздел Formal Security Model и SCIENCE.md :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #63, #69

63. Сообщение от syslinux (ok), 15-Апр-26, 17:45	+/–
А это не я сделал, я просто получил ифнормацию о проекте из телеги по криптографии, так как сам плотно в этой теме давно. Вы просто не изучили это нормально, это совсем другой уровень подхода к симметричной криптографии. Если проще - он сломал всю математику крипто-аналитикам, PRF примитив фактически стал IRF ~ ideal random function, выход хеш функции стал ненаблюдаемым. Зашифрованные данные этим невозможно впринципе дешифровать ничем, кроме брут-форса и Grover, притом это дорого, а там все за пределом Ландауэра. Ну и кроме этого там у него все ключи подходят ко всем дверям - неправильные seed выдают результат на выход. Как отличить мусор это или реальные данные, не с чем сравнивать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #64

64. Сообщение от Аноним (14), 15-Апр-26, 19:35	+/–
> А это не я сделал, я просто получил ифнормацию о проекте из > телеги по криптографии, так как сам плотно в этой теме давно. ясно. > Вы просто не изучили это нормально, это совсем другой уровень подхода > к симметричной криптографии. Там весь текст сгенерирован с помощью ЫЫ, нету там никакого алгоритма, больше смахивает на винегрет стеганографии и криптографии известной. > Если проще - он сломал всю математику крипто-аналитикам, > PRF примитив фактически стал IRF ~ ideal random function, выход хеш > функции стал ненаблюдаемым. Что значит "ненаблюдаемым"? > Зашифрованные данные этим невозможно впринципе дешифровать > ничем, кроме брут-форса и Grover, притом это дорого, а там все > за пределом Ландауэра. Голословно! > Ну и кроме этого там у него все > ключи подходят ко всем дверям - неправильные seed выдают результат на > выход. Как отличить мусор это или реальные данные, не с чем > сравнивать. Так это свойство любого современного алгоритма. В отличии от современных алгоритмах там практически ничего не доказанно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

65. Сообщение от Аноним (39), 15-Апр-26, 20:54	+/–
>у академии криптографии при спец связи спроси кого они выпускают или запускают Точняк, именно в таких местах лучше всего толкать с кафедры, что криптография - это супружеский долг ))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #68

66. Сообщение от Аноним (39), 15-Апр-26, 21:05	+/–
>в криптографии не используют понятие траст или не траст Выше про "свою" криптографию и доверие госов это про что было?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #67

67. Сообщение от Аноним (14), 15-Апр-26, 21:22	+/–
а причем тут госы или не госы? Криптография это научная область, в которой нет понятия траста. //ru.wikipedia.org/wiki/Принцип_Керкгоффса
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

68. Сообщение от Аноним (14), 15-Апр-26, 21:23	+/–
продолжай быть куколдом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

69. Сообщение от syslinux (ok), 15-Апр-26, 21:25	+/–
Отвечу сюда, хз как там дать ответ ниже на коммент. Короче, я просто посмотрел как это все работает, меня тонна документации там не особо интересовала, и доказуемость тем более, раз это свежак как бы и хрен с ней с доказуемостью. Там заявлено про ненаблюдаемый выход хеша, я скажу проще, в том же ChaCha20 выход PRF ксорится с plaintext напрямую и атакующий видит keystream-plaintext. Если он знает KPA, он получает keystream и выход PRF напрямую. А у него выход хеша модифицирует случайный байт контейнера, оригинал которого уничтожен при передаче, ну и атакующий видит результат modify(random, hash output), а random неизвестен и hash output невосстановим из наблюдения. А так что вычислять? Как работать? У него даже ротация на каждый пиксель своя от seed а не от алгоритма, байты plaintext разбиты на 2 байта всегда и всегда по-разному. Короче он логикой,стеганографией дополнил математику примитивов и сделал так, что куча мусора там просто повсюду. Там даже если посмотреть тупо на линейный массив байт, данные начинаются в любом месте из-за отдельного seed и даже не заканчиваются толком, потому что его контейнер больше чем нужен и мусор и там остается. ТАм мусор не приклеен в конце или в начале, он там повсюду в битах. Ну nonce там тоже есть. А по поводу "это свойство любого современного алгоритма" — неа. AES-GCM или ChaCha20-Poly1305 имеют authentication tag в открытом виде, неправильный ключ даст reject. Даже без AEAD: попробуй расшифровать AES-CTR с неправильным ключом ZIP-архив, сразу видно что ключ неправильный. А там нет ни тега, ни заголовка и любой ключ выдаёт выход, и нет механизма проверки правильности, точнее есть но если его использовать и то если знаешь что он был использован изначально, потому что его MAC провернут через его же кодирование и тоже размазан где-то хрен знает где. А новых алгоритмов там в чистом виде криптографии и математики нет, там школьная математика и логика, ЫЫшка такое придумать не могла, я вон своей ЫЫ дал поковыряться - так она сказала она такое первый раз в жизни видит и ничего она сделать не смогла. Еще и микс хеш-функций можно делать. Загрузи знакомых криптанов, если есть, пусть удивятся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #70

70. Сообщение от Аноним (14), 15-Апр-26, 23:14	+/–
> Короче, я просто посмотрел как это все работает, меня тонна документации там не особо интересовала, и доказуемость тем более, раз это свежак как бы и хрен с ней с доказуемостью. это не серьезно, поэтому мне даже лень разбирать и обсуждать это поделие сгенерированное с помошью ЫЫ. ЫЫ не может по определению сгенерировать алгоритм шифрования. > я скажу проще, в том же ChaCha20 выход PRF ксорится с plaintext напрямую и атакующий видит keystream-plaintext. с какого это выхлоп кийстрима у чачи доступен атакующему? :))) > А по поводу "это свойство любого современного алгоритма" — неа. AES-GCM или ChaCha20-Poly1305 имеют authentication tag в открытом виде, неправильный ключ даст reject. Это лишь схемы, которые я ранее говорил, имеют свои недостатки, но это никак не относится к самим алгоритмам шифрования AES или ChaCha20. Там как ты выразился "у него все ключи подходят ко всем дверям", так и тут. Reject это необходимость самой схемы, а не алгоритма шифрования. > Даже без AEAD: попробуй расшифровать AES-CTR с неправильным ключом ZIP-архив, сразу видно что ключ неправильный. Невидно никак, ты просто предполагаешь, что на выходи будут какие-либо структруированные данные, а по факту вероятность этого события - 1/2. Ты с большей вероятностью не сможешь никогда сказать, ключ истинный или нет. А вот AEAD на ТОМ ЖЕ самом ключе просто механизм верификации этой истинности, и это самое слабое место такой схемы, такое НЕДОПУСТИМО, по моему мнению. > и тоже размазан где-то хрен знает где. Да хоть распылен по всей галактике, надо понимать одно, это "распыление" должно быть обратимое, а то как расшифровывать, а раз обратимо, то это либо линейная функция, либо - нелинейная зависимая только от ключа. Что там происходит в том алгоритме я разбирать не хочу, повторяю, это выхлоп ЫЫ, ждать там прорыва в криптографии - удел ренТВешников. > А новых алгоритмов там в чистом виде криптографии и математики нет, там школьная математика и логика, ЫЫшка такое придумать не могла, я вон своей ЫЫ дал поковыряться - так она сказала она такое первый раз в жизни видит и ничего она сделать не смогла. Еще и микс хеш-функций можно делать. ЫЫ по определению ничего не сможет сделать с криптой!!! ЫЫ бред другой ЫЫ-шки тем более не способна разобрать. > Загрузи знакомых криптанов, если есть, пусть удивятся. Воздержусь, пусть автор сего чуда отправит описание алгоритма на //eprint.iacr.org
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #71

71. Сообщение от syslinux (ok), 15-Апр-26, 23:43	+/–
Я с вами спорить не буду, не мое это дело, но я то поразбирался, так-то вы цепляться можете за любые слова, на практике это все равно не сработает. Напишу лишь на это ответ: Да хоть распылен по всей галактике - в том то и дело, что только с правильными ключами и больше никак. Потому что нелинейность или линейность не видна, поглощены даже теоретические колиззии или биасы, потому что hash output, выход примитива больше не наблюдаем при применении этой конструкции. Считайте у вас просто отобрали игрушку на которой можно было применять линейный, дифференциальный анализ - больше не можете. Вот там все и распылено по всей галактике, все данные в том числе. И принцип "сохрани сейчас - расшифруй потом" с этой штукой не сработает по своей сути.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #72

72. Сообщение от Аноним (14), 16-Апр-26, 02:10	+/–
> Я с вами спорить не буду, не мое это дело AI generated bullshit!!! пс: Максим, делай что-нибудь с этими ЫЫ-шными ботами!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #74

73. Сообщение от Аноним (73), 16-Апр-26, 05:34	+/–
во-первых, поддержка российских гостов там уже давно есть: https://github.com/openssl/openssl/blob/552fe15da5c57975d123... во-вторых, российские компании сейчас пилят собственные реализации TLS, и в работе с библиотеками вроде openssl в принципе не заинтересованы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

74. Сообщение от syslinux (ok), 16-Апр-26, 10:15	+/–
Вы же не попробовали как это работает в реальности, а в группе криптографии в телеге никто пока плохого там ничего не сказал по этому проекту. Это я здесь один просто решил вставить ответ изначально на "комментарий что все шифры поломают через 10 лет например", имелось ввиду как раз анализами разными поломают, потому что там выход примитива виден. А что если выход примитива убрать из наблюдения архитектурно, сделать чтобы он был поглощен и изолировать домены между собой на разные seed. Мне именно эта идея и понравилась, потому что раньше когда я встречал аналогичные проекты с random container model - у них всегда такие схемы рассыпались под анализом и можно было снять всю маскировку, а в этом проекте эту проблему решили через triple-seed isolation, когда у Вас шум имеет свой seed, стартовый пиксель не передается, он вычисляется на стороне получателя на основе nonce и своего отдельного seed, вы не знаете где начало данных в линейном массиве байт, и еще к тому же отдельный шум остается в самих данных. Не стоит кричать на каждом углу о том, что все что делают с помощью ЫЫ типа не работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #75

75. Сообщение от Аноним (14), 16-Апр-26, 14:56	+/–
> Мне именно эта идея и понравилась Идея энкапсуляции данных в шумовые контейнеры не нова. Но я тут не вижу нелинейного механизма энкапсуляции, он тут линейный. > эту проблему решили через triple-seed isolation не решили, проблема nonce-reuse остается Noise-reuse (позиции). Data-reuse (маски и сдвиги). Start-reuse (смещение начала сообщения). Контейнерный шум просто обертка в которую линейно (зависимо от ключа) энкапсулируют данные, которые так же линейно циклически сдвинуты на одну из 8 позиций (зависящую от ключа и выхлопа хеша) и применение маски для xor сложения (маска также извлекается из хеша зависимого от ключа). В той же ChaCha20 нелинейность добавляет сложение по модулю 2^32. > вы не знаете где начало данных в линейном массиве байт размер контейнера фиксирован, я могу всегда предполагать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #76, #77, #79, #80

76. Сообщение от syslinux (ok), 16-Апр-26, 15:47	+/–
Nonce 128/256/512 bit - поставьте 512 и его reuse случится "никогда" в реальности. Нет Data-reuse там нет потому что там ротация per-byte (0-6) а не на сообщение. Шум и 7/8 там не так что 7 бит данных + 1 шум и следующий бит в следующем байте это конец байта с одинаковыми XOR масками. Там всегда по-разному. Так что проблема решена в практическом смысле. Start-reuse нет - он вычисляется не только от chainhash и seed но и от nonce. Размер контейнера фиксирован только для одного конкретного объема данных например 1000 байт вы шифруете постоянно, но есть SetBarrierFill() функция там, вы не знаете сколько было установлено на получателе и на отправителе - при том он ассиметричен может быть на обоих сторонах. Вы можете предполагать, но это предположение ничего не дает. Я же указал, что конструкция не такая как другие, какие вы раньше видели.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

77. Сообщение от syslinux (ok), 16-Апр-26, 16:24	+/–
Дам уточнение по поводу нелинейности, раз уж речь за это зашла. Например ChaCha20 добавляет нелинейность через + mod 2^32, потому что keystream наблюдаем (XOR с plaintext) и нужна защита от алгебраических атак. В ITB hash output ненаблюдаем, он поглощён random контейнером, добраться мешает ротация от секрета, неизвестная стартовая позиция пикселя, остаток мусора в данных. Нелинейность обеспечивается PRF примитивом изначально. Но этой конструкции не нужна собственная нелинейность, потому что алгебраический анализ не применим к ненаблюдаемому выходу впринципе. Вы не развернете эту конструкцию математикой, чтобы добраться до PRF примитива - если так проще. Между наблюдателем и PRF несколько слоёв, и до PRF не добраться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #78

78. Сообщение от Аноним (14), 16-Апр-26, 16:51	+/–
> Вы не развернете эту конструкцию математикой, чтобы добраться до PRF примитива - > если так проще. Между наблюдателем и PRF несколько слоёв, и до > PRF не добраться. Так вся стойкость упирается в стойкость используемых хеш функций, и нет необходимости восстанавливать весь выхлоп хеш функции. > Нелинейность обеспечивается PRF примитивом изначально. Именно и чем это отличается от того же ChaCha20? Ничем, если в ChaCha20 открытый текст в итоге ксорится (xor) с выхлопом ключевого генератора, то в случае с itb делается дополнительно ротация битов и дополняется одним шумовым битом, все это может быть инвертировано, хотя ротация и дополнения шумового бита зависит от ключа, потому-что при краевых условиях 1111111, 0000000 операции ротации, и дополнения бита шума никак не влияет и маска xor выявляется, молчу про маски вида 0101010 такого рода. Итог, ничего нового в этом алгоритме нет. Я ожидал, что там будет нелинейный алгоритм энкапсуляции, но и его там нет. Тут банальный ARX разделенный на три независимых генератора, а шифрование происходит просто по схеме Xor-Rotate-AddNoiseBit.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #87

79. Сообщение от syslinux (ok), 16-Апр-26, 17:33	+/–
Отвечу чуть выше, мне там кнопка недоступна пока. Вот вы по поводоу XOR масок граничных случаев, задали абсолютно верный вопрос, а так как я сам в теме криптографии разбираюсь то касаемо этой конструкции я могу дать ответ, почему я уверен был что не получится через нее добраться до PRF выхода, чем эта конструкция меня и заинтересовала в общем-то изначально: Маска XOR не выявляется там в ITB, то что вы описали верно с точки зрения если вы думаете - а пойду просто искать XOR маски граничные - это некорректно. Атакующий не может достоверно отличить граничный случай от ложного срабатывания вероятности по существу одинаковы (~1/64 vs ~1/64). Различитель не работает даже теоретически. По поводу крайних условий 0000000/1111111: да, ротация там для для них инвариантна это неоспоримый математический факт. Но маска XOR не выявляется, вероятность ложного срабатывания при неправильном noisePos ≈ 1/64, истинного при правильном ≈ 1/64. Различитель не работает потому что signal/noise ≈ 1:1. Атакующий не может отличить реальный крайний случай от случайного совпадения. И даже если бы мог: 7 бит маски одного канала одного пикселя → инверсия ChainHash (PRF) → 2^1024. Для сравнения: в ChaCha20 при Full KPA атакующий получает 100% keystream достоверно, без всяких проблем. В ITB при Full KPA — 0% keystream - выход не наблюдаем. А сам примитив PRF неинвертируемый, нельзя просто даже при Full KPA тыкаться куда попало в линейном байтовом массиве соединяя байты обратно наугад при угадывании ротации на каждый байт там и заниматься поиском кандидатов. И это ещё без учёта того что startPixel неизвестен, он там от отдельного независимого startSeed и от nonce. Атакующий даже не знает с какого пикселя начинаются данные в линейном массиве, и какие биты plaintext попали в какой канал Даже чтобы попытаться искать карйние случаи, нужно сначала угадать startPixel, а это слой неизвестности, он не передается. Но об этом я ужен выше писал по поводу этой конструкции. И про шум и ротацию все равно не забываем, все это работает за счет triple-seed isolation в сумме, то есть оно связующее звено которого не хватало чтобы такая конструкция стала устойчивой впринципе. Каждый слой по отдельности недостаточен, но изоляция доменов делает их неразделимыми для атакующего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #81

80. Сообщение от syslinux (ok), 16-Апр-26, 17:42	+/–
Забыл еще ответить, я проверил что там получается по маскам такого типа: 0101010 — проверьте: rotateBits7(0101010, 1) = 1010100, rotateBits7(0101010, 2) = 0101001. Все разные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #82

81. Сообщение от Аноним (14), 16-Апр-26, 18:18	+/–
> И про шум и ротацию все равно не забываем, все это работает за счет triple-seed isolation в сумме, то есть оно связующее звено которого не хватало чтобы такая конструкция стала устойчивой впринципе. Каждый слой по отдельности недостаточен, но изоляция доменов делает их неразделимыми для атакующего. Да все это давно уже известно, банальный механизм независимых ратчетов (ratchet). Я не вижу никакой новизны, кроме использования кодирования COBS (Consistent Overhead Byte Stuffing), и представления данных в виде мусорного контейнера с пикселями, все можно сделать куда проще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #83

82. Сообщение от Аноним (14), 16-Апр-26, 18:19	+/–
> Все разные. все верно, потому-что нечетное количество битов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

83. Сообщение от syslinux (ok), 16-Апр-26, 19:14	+/–
Не, я так не думаю, как раз triple-seed isolation то я впервые и увидел здесь и без него у него ничего бы не вышло, это не ратчет: Ratchet это последовательная эволюция ключа (key[n+1] = f(key[n]), forward secrecy). А там в ITB три ключа параллельны и статичны — это domain separation, не ратчет. Разные механизмы, разные цели. Смотрите, если бы он не сделал эту изоляцию, тогда было бы примерно так: Даже при Partial KPA, знаешь один байт, не знаешь соседний. Но без изоляции, noisePos известен, допустим утечка CCA, startPixel вообще можно игнорировать тогда, знаешь какие биты plaintext в каком канале хотя бы частично. Байтовый split больше не имеет смысла, маппинг уже известен. Для каналов где plaintext биты известны частично, уже сужается поиск кандидатов ротации. Каждый подтверждённый бит сужает еще дальше. Подобрал ротацию, значит XOR mask раскрыта, значит PRF выход наблюдаем полностью. 100% сразу же на ладони и можно применять всю математику, все анализы и квантовые вычисления. А с изоляцией, даже при Full KPA + CCA (noisePos всех пикселей) имеем 7 кандидатов ротации, байт split работает дальше, просто сдвинуть биты физически можно, но не имеет смысла, seed то у шума другой был, startPixel не проигнорируешь, signal/noise остался 1:1. Бесполезно гадать на XOR масках. Эта изоляция там не "банальный ratchet". Это то, что и превращает там 100% PRF выход в 0% по итогу. Так что я не уверен, что там всё можно сделать проще было бы. Все другие варианты random container, любые стеганграфические системы всегда можно было развернуть, я про публичные имею ввиду, а как сделать проще, я честно сам понятия не имею, пока есть то что есть. COBS то понятно для чего ему нужен c 0x00 для универсальности, который кстати тоже там зашифрован и его тоже не найдешь, я это пошел искать в первую очередь сначала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

84. Сообщение от Tron is Whistling (?), 17-Апр-26, 14:18	+/–
4.0? Опять API сломали? Да сколько ж можно-то, 1.1 жил вечность.
Ответить | Правка | Наверх | Cообщить модератору

85. Сообщение от Tron is Whistling (?), 17-Апр-26, 14:24	+/–
Ну вот пока не делишься - так и будешь форкать openssl сам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

86. Сообщение от Аноним (86), 18-Апр-26, 02:19	+/–
ARIA? Нет, не слышал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

87. Сообщение от syslinux (ok), 18-Апр-26, 16:08	+/–
Привет. Автор выложил тестирование конструкции, можно скачать и потестить теперь, и я увидел в этой конструкции нелинейность, которой думал что там нет и она не нужна. https://github.com/everanium/itb/blob/main/REDTEAM.md Это если было бы обычно:   Over GF(2) (bit-level linear algebra — что важно для линейного cryptanalysis):   - XOR: линейно   - Shift/rotate: линейно (permutation бит)   - Integer multiplication *: нелинейно (carry bits между позициями)   - Integer addition +: нелинейно (тоже carry) А у него вот это при его ChainHash:   Over Z/2^n (integer arithmetic mod 2^n):   - XOR: нелинейно в этой структуре   - Integer multiplication: линейно (distributes)   - Integer addition: линейно Какой PRF... там FNV1a 128 бит 100% инвертируемый становится нелинейным, уже не развернешь просто так через его ChainHash, если не убрать CCA шум и еще startPixel неизвестен. Но кто же будет MAC Reject светить чтобы убрать CCA шум бит флипом. SAT задача в любом случае, даже если убрать всю конфигурацию, но уже реально становится. ChainHash(FNV-1a) — это hard SAT problem, не O(1) modular inverse. Single FNV-1a round linear в Z/2^128. 8 раундов через XOR-chain: non-linear over GF(2), SAT-hard. ChainHash's XOR-chaining принуждает атакующего работать в GF(2) Если nonce не повторится, убрать конфигурацию не получится и если PRF применен то seeds ключи не получишь обратно при повторе nonce, максимум 2 сообщения с одинаковым nonce можно декодировать, то есть даже ключи менять не нужно если PRF используется и случится повтор nonce. Но а если хеш не PRF? (кому это вообще правда нужно). Тогда можно получить seeds, снимаем маскировку после повтора nonce и дальше Z3 Solver решает Z/2^n и если ключи не поменять то весь трафик декодируется, а если PRF тогда только 2 сообщения без получения реальных seeds. Весь расклад по нелинейности от ЫЫ: 1. FNV-1a (128-bit, non-cryptographic)   Operations: XOR + integer multiplication mod 2^128   Individually:   - Linear over Z/2^128 ✓ (через multiplicative inverse invertible за O(1))   - Non-linear over GF(2) (multiplication creates carry bits)   In ChainHash (8 rounds at keyBits=1024):   - XOR-chain: linear over GF(2)   - Each FNV-1a call: non-linear over GF(2)   - Composition: non-linear over GF(2), deeply nested через 8 levels   - Total: SAT problem (REDTEAM.md Phase 2a: "non-linear through Z/2^128 multiplication and XOR-chained through eight levels")   ---   2. MD5 (128-bit, broken cryptographic)   Operations: Boolean functions (F, G, H, I) + addition mod 2^32 + rotations + constants   Individually:   - Non-linear over GF(2) (через boolean functions с AND, OR + addition carry)   - Not invertible (one-way, хотя preimage weakened)   - Known collisions (обобщённые birthday attack efficient)   In ChainHash (8 rounds):   - XOR-chain: linear over GF(2)   - Each MD5 call: highly non-linear over GF(2)   - Composition: massively non-linear over GF(2)   - Total: inversion even harder than FNV-1a due to MD5's inherent non-linearity + irreversibility   ---   3. AES-CMAC (128-bit, PRF)   Operations: AES round function (SubBytes + ShiftRows + MixColumns + AddRoundKey)   Individually:   - Highly non-linear over GF(2) через SubBytes (S-box is multiplicative inverse в GF(2^8))   - MixColumns: linear over GF(2^8), non-linear over GF(2)   - Invertible only с ключом (PRP)   - Without key: computationally infeasible to invert   In ChainHash (8 rounds):   - XOR-chain: linear over GF(2)   - Each AES-CMAC: composed from 10 AES rounds (AES-128) internally, already super non-linear   - Composition: ChainHash × AES-CMAC = 8 × 10 = 80 effective AES rounds of non-linearity   - Total: astronomically non-linear, algebraic attack completely infeasible   ---   4. SipHash-2-4 (128-bit, PRF)   Operations: ARX (Addition mod 2^64, Rotation, XOR)   Individually:   - Non-linear over GF(2) через addition mod 2^64 (carry bits)   - Rotations: linear over GF(2) (permutation)   - XOR: linear over GF(2)   - Total: non-linear over GF(2) через additions   - Non-invertible (PRF, designed для unpredictability)   In ChainHash (8 rounds):   - XOR-chain: linear over GF(2)   - Each SipHash: 2 + 4 = 6 internal rounds of ARX mixing   - Composition: 8 × 6 = 48 ARX rounds effective non-linearity   - Total: deeply non-linear, no known structural attacks   ---   5. ChaCha20 (256-bit, stream cipher used as PRF)   Operations: ARX (Addition mod 2^32, Rotation by fixed amounts, XOR)   Individually:   - Non-linear over GF(2) через addition mod 2^32   - Same ARX family as SipHash but wider (32-bit words, more parallel lanes)   - 20 rounds ChaCha20 standard, очень well-studied   In ChainHash (4 rounds at keyBits=1024 для 256-bit hash):   - XOR-chain: linear over GF(2)   - Each ChaCha20 invocation: 20 ARX rounds internal   - Composition: 4 × 20 = 80 effective ARX rounds   - Total: deeply non-linear, strong against differential/linear   ---   6. AreionSoEM-256 (256-bit, AES-NI accelerated PRF)   Operations: Areion permutation + Single-key Even-Mansour construction   Individually:   - Uses AES round function (S-box + MixColumns) as core primitive   - Highly non-linear over GF(2) (inherits AES's S-box non-linearity)   - Single-key EM: formally proven PRF security до beyond-birthday-bound   - Invertible with key, computationally infeasible without   In ChainHash (4 rounds):   - XOR-chain: linear over GF(2)   - Each Areion-SoEM: multiple AES-round invocations internally   - Composition: AES-grade non-linearity through 4 ChainHash levels   - Total: highly non-linear, formal PRF security   ---   7. BLAKE2s (256-bit, PRF)   Operations: ARX (Addition mod 2^32, Rotation, XOR) — same family as ChaCha20   Individually:   - Non-linear over GF(2) через additions   - BLAKE2s uses G-function with 4 additions + 4 XORs + 4 rotations per round   - 10 rounds of G-function per compression   - Keyed mode: proper PRF   In ChainHash (4 rounds):   - XOR-chain: linear over GF(2)   - Each BLAKE2s: 10 rounds × 4 G-functions внутри   - Composition: deep ARX nesting через ChainHash composition   - Total: non-linear over GF(2), strong PRF   ---   8. BLAKE3 (256-bit, PRF)   Operations: ARX (similar to BLAKE2 but reorganized для parallelism)   Individually:   - Non-linear over GF(2) через additions   - 7 rounds of G-function (faster than BLAKE2s's 10)   - Native tree hashing (не relevant в ITB usage — single hash mode)   - Keyed mode: proper PRF   In ChainHash (4 rounds):   - XOR-chain: linear over GF(2)   - Each BLAKE3: 7 G-function rounds внутри   - Composition: 4 × 7 = 28 effective G-function rounds   - Total: non-linear over GF(2), formal PRF security   ---   9. BLAKE2b-512 (512-bit, PRF)   Operations: ARX (Addition mod 2^64, Rotation, XOR) — BLAKE2 wider variant   Individually:   - Non-linear over GF(2) через additions mod 2^64   - 12 rounds of G-function per compression   - Keyed mode: proper PRF   In ChainHash (2 rounds at keyBits=1024 для 512-bit hash):   - XOR-chain: linear over GF(2)   - Each BLAKE2b-512: 12 G-function rounds внутри   - Composition: 2 × 12 = 24 effective rounds   - Total: highly non-linear over GF(2)   ChainHash делает только 2 rounds because hash wider (более широкий state consumes больше key material per call). Всё равно non-linearity достаточно глубокая.   ---   10. AreionSoEM-512 (512-bit, AES-NI accelerated PRF)   Operations: Areion-512 permutation + Single-key Even-Mansour   Individually:   - Uses AES round function как internal primitive   - Highly non-linear over GF(2) (AES S-box)   - 512-bit variant with wider state   - Formal PRF security   In ChainHash (2 rounds):   - XOR-chain: linear over GF(2)   - Each Areion-SoEM-512: multiple AES rounds internally   - Composition: AES-grade non-linearity через 2 ChainHash levels   - Total: highly non-linear, formal security
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #88

88. Сообщение от Аноним (14), 19-Апр-26, 16:15	+/–
что будет если в ChainHash seed совпадет с предыдущим выходом хеша? S = {s_0, s_1, s_2 ... s_n-1}, n = keyBits/w, w = {128|256|512} h_0 = H(data, s_0) h_a = H(data, s_1 XOR h_0) .... ChainHash(data, S)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #89

89. Сообщение от syslinux (ok), 19-Апр-26, 19:30	+/–
Получается примерно так: seeds генерируются через NewSeed{128,256,512} из crypto/rand при keyBits ≥ 512. Пространство состояний seed'а огромно (на 1024 битах это 2^1024 возможных значений), вероятность совпадения на раунд ≈ 2^-128, а на всю цепочку ChainHash ≈ 2^-125. За всё обозримое время при любой разумной нагрузке такого не случится. Вероятность события на раунд: 1 / 2^ширина (128 / 256 / 512 бит) Если случилось: тот раунд выдаёт H(data, 0) — предсказуемую функцию от данных, теряет свойство случайности, при этом безопасность цепочки в целом сохраняется: следующий раунд подмешивает новый секретный s_{i+1} и восстанавливает непредсказуемость. Атакующий не видит промежуточные h_i, не может определить факт совпадения и не может его спровоцировать, суммарная вероятность n × 2^-ширина ≈ 2^-125 — на уровне шума самого crypto/rand Это кстати известное явление "слабого ключа" в цепочках хеширования с ничтожно малой вероятностью. Не является дефектом конструкции и не является вектором атаки. -------------------------------------------------------------------------------- Кстати там появился инструментарий у автора и все инструкции, можно самим проверить атаку nonce-reuse теперь на практике, Full KPA и Partial KPA 25, 50, 80 процентов. По его тестам получается что при nonce reuse 2-х разных сообщений при реальном сценарии допустим Partial KPA 25% и только при фактически прецизионной точности знания Partial KPA, а не просто как типа предположить там примерно есть JSON или HTML закодированный, а прямо byte aligned знание предполагаемого формата требуется и там еще других требования хватает, тогда можно сделать демаскировку маленькой части 2-х сообщений ITB и даже применить классическую атаку восстановления plaintext из демаскированного сигнала FNV1-a и BLAKE3 в его примерах все это уже готово для повторения результатов. При Full KPA демаскируется практически 100% ну и дешифруются оба сообщения тоже, но это понятно - для тех кто знает весь исходный plaintext от и до, его барьера и не существовало никогда по сути. seed не восстановим для PRF хешей (не учитывая конечно последующие SAT атаки на FNV1-a из-за ChainHash - который там для сравнения) и самое интересное что при идеальных условиях знания Partial KPA части обоих сообщений, демаскируется только то что ты знаешь и даже меньше. При 25% получаешь 5-6% чистого сигнала keystream и это при идеальном знании, а для бинарных форматов типа ZIP, PDF и так далее там вообще демаскировщик ничего не получит - проверю сам это. То есть все наоборот, в keystream шифрах при nonce reuse - ты даже с KPA 10% и даже меньше можешь восстановить под 100% оба сообщения, а тут демаскируется чистый сигнал keystream даже еще меньше, чем ты идеально знаешь 25% KPA, а в реальных условиях это вообще невозможно практически получается. Я тестировать уже сам начал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема