digit4lsh4d0w 17 hours ago

Реализация режимов шифрования на языке RUST

Easy

15 min

1.1K

Information Security*Cryptography*Programming*Algorithms*Rust*

Tutorial

-2

Comments 4

digit4lsh4d0w 10 hours ago

Эх если бы люди, ставящие отрицательную оценку писали в чем дело, проблему можно было бы решить. На публикацию и последующие можно повлиять, оставляя осмысленные комментарии. Исправления вносятся, а советы принимаются 😄

Number571 6 hours ago

Я отрицательную оценку не ставил, но пробелы в повествовании всё же есть:

Если мы шифруем, например JSON документ, отправляем на обработку, где вносятся минимальные изменения где-нибудь в конце или середине — мы это узнаем.

Чтобы этого не было, используется как раз вектор инициализации. В статье про его предназначение особо ничего не сказано, кроме того, что он опционален, хотя на деле - скорее обязателен, потому как, действительно, его отсутствие приводит к описанной вами проблеме.

Из этого также вытекает теперь и то, что одинаковый минус, приписанный к CBC, CFB, OFB, по поводу малого изменения данных в середине или конце открытого текста, просто исчезает.

В определении "шифратора", алгоритм дополнения кажется излишним. И действительно, в поточных режимах по типу OFB, CTR, а также "полу-поточном" CFB - алгоритма дополнения нет вовсе.

Плюс к этому, режимы шифрования, базируемые на дополнении (как пример, CBC), могут обладать также интересным вектором атак с оракулом. Было бы неплохо этот пункт внести как минус или предупреждение.

Следуя спецификациям режима CTR мы XOR'им значение счетчика с блоком открытого текста, а затем шифруем. Алгоритм похож на CBC, по крайней мере визуально, но лишен его недостатков.

Ничего также не сказано о минусах поточных режимов шифрования по типу CTR, OFB, а именно - что если мы будем использовать один и тот же ключ шифрования с идентичным вектором инициализации / счётчиком? В таком случае, мы сможем вообще удалить ключ шифрования: (m1 xor k) xor (m2 xor k) = m1 xor m2, что является серьёзной уязвимостью, если не противодействовать повторениям.

UPD. Визуально всё же OFB больше похож на CBC, чем CTR.

UPD. Также почему-то в CTR счётчик стал просто вектором инициализации, хотя это уже не инициализация, раз таковая применяется в каждом блоке шифрования. Плюс к этому у счётчика в CTR - два параметра: константное (сеанс связи) и переменное (сам счётчик) значения. В статье об этом также ничего не сказано.

digit4lsh4d0w 1 hour ago

Добрый день, спасибо за комментарий. Попытаюсь на него ответить.

Чтобы этого не было, используется как раз вектор инициализации. В статье про его предназначение особо ничего не сказано, кроме того, что он опционален, хотя на деле - скорее обязателен, потому как, действительно, его отсутствие приводит к описанной вами проблеме.
Из этого также вытекает теперь и то, что одинаковый минус, приписанный к CBC, CFB, OFB, по поводу малого изменения данных в середине или конце открытого текста, просто исчезает.

Да, понимаю, что упустил описание вектора инициализации. Когда я писал о том, что мы можем косвенно узнать с какого блока начинаются изменения, то не уточнил, что это возможно при зафиксированном векторе инициализации. Моя ошибка, согласен.

В определении "шифратора", алгоритм дополнения кажется излишним. И действительно, в поточных режимах по типу OFB, CTR, а также "полу-поточном" CFB - алгоритма дополнения нет вовсе.

При изучении этой темы было много недосказанностей — я несколько растерялся. В этом, похоже, моя реализация неверна.

Плюс к этому, режимы шифрования, базируемые на дополнении (как пример, CBC), могут обладать также интересным вектором атак с оракулом. Было бы неплохо этот пункт внести как минус или предупреждение.

Я об этой атаке слышал только краем уха, спасибо что поделились, прочту. Свои ошибки я объясню в конце.

Ничего также не сказано о минусах поточных режимов шифрования по типу CTR, OFB, а именно - что если мы будем использовать один и тот же ключ шифрования с идентичным вектором инициализации / счётчиком? В таком случае, мы сможем вообще удалить ключ шифрования: (m1 xor k) xor (m2 xor k) = m1 xor m2, что является серьёзной уязвимостью, если не противодействовать повторениям.

Об этом мне тоже было неизвестно до вашего комментария.

UPD. Визуально всё же OFB больше похож на CBC, чем CTR.

Здесь я преследовал несколько иные цели. Мне важно было не найти что-то похожее на режим шифрования CBC, а сравнить CTR с чем-нибудь. Он мне показался несколько отличным от других, поэтому я упомянул интересное сходство. Возможно только мне кажется, что оно там есть.

UPD. Также почему-то в CTR счётчик стал просто вектором инициализации, хотя это уже не инициализация, раз таковая применяется в каждом блоке шифрования. Плюс к этому у счётчика в CTR - два параметра: константное (сеанс связи) и переменное (сам счётчик) значения. В статье об этом также ничего не сказано.

И вот здесь тоже моя ошибка. Я не знал об этом разделении вектора инициализации на части.

Попробую объяснить почему были допущены такие ошибки. Дело в том, что я рассматривал именно реализацию режимов шифрования. Да, несколько не справился, но заходить на территорию криптографии тем более не рискнул — я совершенно не имею достаточных навыков для объяснения предостережений, поэтому рассмотрение оказалось весьма поверхностным. Спасибо за ваш комментарий, из него можно взять полезные советы.

RodionGork 3 hours ago

я иду себе мимо не будучи большим знатоком или поклонником Rust, оценок не ставлю - но осмелюсь предположить что у статьи есть ощутимый недостаток - вы стали писать об алгоритмах шифрования на достаточно высоком уровне, объясняя (довольно поверхностно и поэтому порой мутно) их свойства и принципы - и тут же затаскиваете низкоуровневые потроха кода, которые в общем-то не нужны. когда нам нужно заимплементить тот или иной алгоритм шифрования на том или ином языке, мы обычно находим библиотечный метод и после пары чертыханий его прикручиваем к нашему коду. а учитывая что Rust сейчас не самый популярный язык (несмотря на то что он горячо любим своими поклонниками) вы как бы нарочно обрекаете свой в общем-то неплохой материал.

резюмируя, скажем так:

можно было больше внимания уделить качественному объяснению принципов обсуждаемых алгоритмов
и меньше озадачиваться реализацией (хоть вообще вынести её на гитхаб и сказать "вот ссылка для любопытных")

напомню что важный принцип в криптографии - не старайся писать криптографию сам по крайней мере для продуктового кода :)