Comments 118
Шифр который сам стучит на тебя силовикам?
Спасибо не надо. Доверия все этому — ноль.
Уважаемый kaleman и его плюсующие — поясните, пожалуйста.
По факту конечно сам закон с точки зрения государства логичен. То, что при принятии пакета Яровой казалось бессмысленным (собрать море шифрованного трафика и… что?) теперь становится совершенно понятным. Правда другой вопрос как к этому отнесутся вендоры ЗАРУБЕЖНЫЕ… все-таки у нас нет ничего своего здесь и махать жезлом правосудия нужно с большой аккуратностью, а то отлетим назад в средневековье, а все спецы которые в состоянии — убегут. Патриотизм то нынче уже не в моде, судя по выводам из первой части моего поста
Криптография в этом плане наука строгая и не может строиться на доводе «просто нам поверьте». В современной надёжной криптографии тайным может быть только ключ, а не алгоритм. Подход «security through obscurity» для обеспечения реальной безопасности не работает.
зато в иностранные алгоритмы верите безоговорочно. и в вебсервисы зарубежные, никогда они не сдавали с потрохами когда нужно было.
1. пытки в подвалах — вы их лично видели? или паоверить наслово?
2. подрос наркотиков — т.е. полиция и ФСБ теперь одна структура?
т.е. если один сотрудник ФСБ что-то сделал не то — то надо всю структуру разогнать? ) и в другом мире все всятые с нимбами? )
2. Заказчик из ФСБ. И не какой-то там полуслучайный чувак, а вполне себе «уважаемый сын уважаемых родителей».
Не знаю как у вас, но у меня обратное ощущение. Что нормальных там — человек 100 на всю страну. А остальные вроде таких вот…
если один сотрудник ФСБ что-то сделал не тоНу, во-первых, не один, случаи регулярно случаются. Во-вторых, если этот сотрудник находится в самой главе организации, то организация прогнила независимо от того насколько там много нормальных людей внизу. В-третьих, именно так репутация и работает — достаточно нескольких громких проблем и люди верить перестают. Строить репутацию нужно долго и упорно, а сломать можно за один день. Впрочем я не помню когда ФСБ последний раз вообще своей репутацией заморачивалась.
Так что да — разогнать и построить заново. Ну это если есть доверие к будущему строителю, там тоже есть проблемы.
Место РФ рядом с Ираном и ниже Афганистана в рейтинге свободы Freedom House как-бы намекает, что не всё так уж радужно, как вы тут расписываете.
вы всем западным институтам и организациям верите безоговорочно?
все эти цифры и рейтинги для лохов. завтра на улицу выйдет кто-то с призывом свержения власти и его упекут за решетку (и правильно сделают) — и рейтинг понизят нам до уровня Нигера — а Freedom House скажет — человеку не дали свободно высказаться. все еще веришь в циферки?
все эти агенства, когда надо опубликуют что угодно. В США часть населения живет на картонках, по карточкам питается, нигде не работает, бомжует. где рейтинги? )) никто не опубликует что что-то не впорядке. ААА+++ рейтинг будет )))
тот же ВВП давно уже не отражает реальной экономики.
Там по каждой стране есть обоснование. Разве что-то не соответствует? Вроде всё было. США там тоже не в топе, в топе — Финляндия, Норвегия, Нидерланды. Что конкретно вас не устроило?
выйдет кто-то с призывом свержения власти и его упекут за решетку (и правильно сделают)
А вот нет такой статьи в УК РФ. Зато есть "получше" — про "экстремистскую деятельность", под которую, как показывает практика, можно подвести почти что угодно.
почему я должен прислушиваться к западной конторе, которая диктует нам как жить? как правильно и что правильно? пусть идут лесом.
а еще у нас геям не дают развернуться как на западе
Вы что, задались целью подтвердить место в рейтинге личным примером? Рейтинг ведь не о том, кого слушаться или не слушаться, а о том, как обстоят дела по факту. Кому-то, наверное, ещё и нравится, когда лицом в асфальт кладут, если вышел не на той станции метро. Но вопрос геев, разумеется, гораздо более животрепещущ, чем что-либо другое.
нечто ужасное (типа ковровых блокировок), либо что-то хорошее, типа вот своих алгоритмов шифрования
Если вы забыли, ковровые блокировки тоже были продвинуты как что-то хорошее — под предлогом защиты детей от интернетных извращенцев.
анализ показывает что в них с ненулевой вероятностью есть специально оставленный бэкдор
вы проводили анализ или поверили кому-то наслово? ) или это снова ваши предположения основанные на опыте? )
во что превратили хабр…
eprint.iacr.org/2016/071.pdf
Если лень читать, ограничьтесь главой 6 — все что там изложено легко проверяется.
То есть энтропии там кот наплакал, и нелинейность там дутая.
Поэтому российские шифросьюты в TLS 1.3 завернули. Будут нормальные шифры с нормальной нелинейностью — велкам.
Ну так к ним и возникли вопросы, конкретнее к табрице подстановок. Создатели кузнечика утверждают, что для создания s-box использовалась псевдослучайная последовательность, но они, пардон, просрали seed и теперь не могут её повторить. А сторонние исследователи нашли закономерности, которые ставят под сомнения заявления про случайность s-box.
Если там есть backdoor, то весьма быстро о нем узнает потенциальный противник, стоит ли оно того? А если этим шифровать только информацию обычных юзеров, то рано или поздно бэкдор всплывет у хакеров и доверие к шифру будет подорвано и никакие законодательные меры не помогут
А «сам стучит» — это в моём понимании «отправляет данные третьей стороне», что для шифра (по сути, алгоритма) вообще нонсенс.
Сами для себя можете делать хоть десятирное. Проблема с протаскиванием этого барахла в стандарт и встраиванием в массовое ПО.
И это всё не говоря уж о том, что надзорные органы могут потребовать использовать только их шифрование.
Просто нужно шифровать в несколько слоев. Тише едешь дальше будешь)
Если вы предложите небольшие деньги в обмен на то, что у человека в квартире поставят камеру и будут транслировать видео и движения по банковскому счету, то уверен, очень многие на это согласятся.
Шоу вроде «Дом 2» прямо и понятно говорит участвующим — вашу жизнь снимают с помощью обычных, не замаскированных камер, и круглосуточно транслируют. Это смотрят люди, за что мы получаем деньги за счет рекламы, платного голосования, продажи атрибутики, и вы получаете фиксированную сумму.
А, например, банки делают договоры, в которых прописывают, что банковские данные могут быть отправлены компаниям «Теле2», «Мегафон», «МТС» и «Билайн», где будут обработаны вручную и автоматическими средствами. Какие данные, зачем, как часто — ничего этого нет.
Посмотрите, как много людей выкладывают свои документы в социальные сети. Паспорты, водительские удостоверения, СНИЛС. И, в большинстве случаев, это ничем не чревато.
Обладание этой уязвимостью, для спецслужб любой страны, можно смело приравнивать к обладанию электронным аналогом атомной бомбы. Никто в этом в здравом уме и трезвой памяти не признается.
Используешь свое — наши будут дешифровывать трафик, используешь чужое — чужие будут это делать.
https://habr.com/ru/company/virgilsecurity/blog/439788/
Нет, это, конечно, не "подтвержденная" уязвимость, но осадочек-то остается...
То есть, есть алгоритм, создатели которого говорят «мы совершенно случайно сгенерировали последовательность с такими свойствами, что её случайное получение так же вероятно, как выиграть в лотерею, но доказательства мы потеряли, поверьте на слово». А есть алгоритм, у которого таких подозрительных свойств нет. При прочих равных — зачем выбирать то, что более подозрительно? Понятно, что там, где законодательно предписывается использовать, будут использовать, даже если предписывается использовать полный шлак — деваться некуда. Но там, где есть возможность выбирать — нет смысла выбирать заведомо худшее.
алгоритм, у которого таких подозрительных свойств нет->
алгоритм, у которого таких подозрительных свойств пока не найдено
В остальном звучит разумно)
Шифр это магма
Ну и имиджевая сторона тоже важна. Алгоритмам, которые сейчас используются, уже по 40 – 50 лет, их изучили и вдоль, и поперек. А с этими «кузнечиками» что? Есть доказательства их стойкости, отсутствия бэкдоров и прочих «радостей»? Наверняка нет, а если и есть, до «доказательства» исходят либо от разработчиков, либо весьма сомнительных/нетрастовых личностей. Вот когда Ривест, Шамир и Адлеман проверят всех «кузнечиков», тогда и можно будет говортить о включении этих алгоритмов в софт.
А пока что будет только спецсборка очередного «Хренандекс браузера» исключительно для того, чтобы ходить на «Госуслуги», защищенные «кузнечиками». Из виртуальной машины, естественно.
В TLS и OpenSSL есть поддержка шифра Camellia — японского стандарта шифрования. Также есть CAST-128 и ARIA, которые стандартизированы для использования в Канаде и Корее соответственно (хоть и были разработаны не для государственных нужд).
То что, использовать этот «тренд» для недопуска развития криптографии кроме их AES то это да.
Я давно не в этой теме. Но было время, когда своеобразный бэкдор Майкрософт подготовил своим спецслужбам своим генератором случайных чисел, который генерировал заведомо известный ряд чисел. И этот ГСЧ использовался в тот же Windows для TLS и не только. Бывало что новость на ресурсах по ИБ мелькала несколько раз, в разное время, и проблема была долгое время. Сейчас не знаю как с этим.
брать чужие готовые библиотеки — это ж каким сказочным надо быть...Напротив. Писать своё, отказавшись от готовых и (ключевой момент) проверенных библиотек — вот это действительно надо быть сказочным…
1) предлагаемые алгоритмы сами по себе сомнительны;
2) проверенных и заслуживающих доверия библиотек, реализующих эти алгоритмы тоже нет.
Нет, если в команде разработчиков есть несколько высококлассных криптографов, которые несколько месяцев (или лет) будут пилить свой шифр, плюс есть несколько квалифицированных криптологов, которые будут тестить алгоритм и его реализацию на баги (а они там будут, инфа сотка) — то да, тогда можно и своё запилить.
А если в команде десять программистов, которые криптографию изучали один семестр в универе, но возомнили себя особо умными и решили запилить своё, ибо предлагаемые готовые алгоритмы им не нравятся — то у них с очень большой вероятностью получится не шифр, а поделка с сомнительными характеристиками.
Вы можете использовать «свой слой».
Для пущего спокойствия, если затраты на это вас устраивают.
Но использовать при этом и проверенные алгоритмы на основе многократно и перекрёстно обкатанных в криптографическом сообществе библиотек всё же крайне рекомендуется.
Проблема в том, что «кузнечиков» хотят засунуть в каждый браузер каждому пользователю интернета, и выбора при этом у них не будет. Полез человек в интернет-банк, а траффик его «кузнечиком» шифруется, да еще и «налево» утекает. Утром встал — денег нет.
Вы везде пропагандируете позицию, что кровавая гэбня™ пропихнёт во все браузеры свою DLL с троянским функционалом. Хотя вероятность такого исхода сводится к нулю: ни Майкрософт, ни Жужл, ни Эппл на такое не пойдут. А уж мейнтейнеры Linux — и тем более.
кровавая гэбня™ пропихнёт во все браузеры свою DLL с троянским функционалом
Именно так это и выглядит. Российских пользователей TLS — около 1%, но зачем-то весь мир должен реализовывать в TLS какие-то российские алгоритмы. И именно из-за этого
ни Майкрософт, ни Жужл, ни Эппл на такое не пойдут. А уж мейнтейнеры Linux — и тем более.
Именно так это и выглядитДля Вас — возможно, но надеюсь, что у вендоров / мейнтейнеров не настолько всё плохо с паранойей.
Российских пользователей TLS — около 1%, но зачем-то весь мир должен реализовывать в TLS какие-то российские алгоритмы.Ну тогда и языковые пакеты давайте пилить перестанем. Народу всё равно нет — оставим английский, немецкий, французский да китайский, а остальные перебьются. Так?
2. Встроить в систему и оттестировать.
3. Выкатить в прод.
Какие «возможные убытки»?
Опенсорсу типа линухов и мозиллы вообще на убытки плевать с высокой колокольни.
Насчёт экономического обоснования соглашусь — по этой причине отказать могут (вендоры, а не опенсорс). Но это уже чисто вопрос спроса, а не «кровавая гэбня закладок понаделала».
Да и с опенсорсом тоже не все гладко. Чисто хакерским дистрибутивам/командам действительно все пофигу, у них цель повозиться с софтом, компиляциями и пересборками, а вот какому-нибудь «Red Hat» уже не до шуток. Они получают деньги в том числе и за то, что их сборки будут работать как швейцарские часы. И ответственность свою тоже должны страховать, если поставляют свои дистрибутивы в те же банки.
В зависимости от причины убытки возмещает либо страховая, либо виновник — разработчик софта или центр сертификацииВот эта часть особенно интересует. Что, были случаи, чтобы мейнтейнеры OpenSSL что-то выплачивали? Или чтобы MS / Apple возмещала кому-то убытки от проблем с софтом?
P.S. Это ещё не считая принципиальных уязвимостей в самом SSL, из-за которых его прикрыли. Подскажите, разработчики SSL выплатили кому-то денег за POODLE?
Честно говоря, не знаю, прижучивали разработчиков SSL хоть раз или нет, а по поводу банковского и биржевого софта разборки бывают частенько. Результаты разбирательств разные — где-то вину на разработчиков перекладывают, где-то сами банки виноваты.
P.S. Это все не о России. У нас все печально, и никто ни за что отвечать не хочет. Мне как-то по телефону служба поддержки посоветовала зайти за банкомат, найти кабель его питания, выдернуть из розетки и вставить обратно, чтобы банкомат перезагрузился…
Началось всё с того, что
Да не будут никакие «Микрософты», «Эпплы» и иже с ними использовать непонятные шифрыПо-моему, очевидно, что речь шла об обычных пользовательских ОС.
И тут аргумент про банковский и биржевой софт, равно как и embedded-версии Windows, не очень работает.
Опять же, интересно было бы почитать договор, где Microsoft прямо гарантирует работоспособность Windows и берёт на себя возмещение убытков (не в размере $10 за инсталляцию, а прям всех убытков). Что-то слабо в такое верится.
Но даже если такое и есть — к массовому рынку оно не относится вообще никак.
Embedded'ы собираются примерно из тех же исходников, что и десктопные версииДа, но с различными параметрами.
Дополнительного ветвления вообще не нужно — можно просто вырезать эту функцию из Embedded, как вариант.
Хотя учитывая количество версий и лицензий Windows, я думаю, что им и десять лишних ветвлений будет пофиг) Взять хотя бы историю с Windows Media Player — версия с ним, версия без него, ещё какая-то версия…
Берем OpenSSL — смотрим исходик и компилируем. Если нам что-то не нравится — можем обратиться к документации и сравнить ее с реализацией, что бы быть уверенным, что там все чисто.
Если надо, можем вытащить от туда конкретный, проверенный временем алгоритм, перепроверить его и откомпилировать.
В опенсорс, особенно популярный — никто бэкдор установить не сможет, уж слишком заметно будет. Такие библиотеки тестируются всем миром.
Просто берем и открываем спецификацию к тому же AES, RSA и т.п. смотрим, как оно устроено, как шифрует и прочее.
Для надежности — можно самостоятельно написать реализацию этого алгоритма.
Я не вижу причин не доверять проверенному десятелетиями лагоритму, но вижу миллион причин не доверять гос-криптографии.
Лично меня смущает что в магме, что в кузнечике — жестко заданная таблица подстановок. Почему именно такие числа там? Как обоснованы именно они?
Есть компромиссный вариант, на который могут пойти производители софта для TLS, если вендоров припугнут закрытием российского рынка: сделать кузнечика валидным только для доменов в зонах .ru и.рф
Если серьёзно: спайварь в официальной библиотеке шифра спалят за неделю (если не за день). И в чём тогда смысл выпендриваться?
Или, как второй вариант, сами авторы этого всего могут быть твёрдо уверены в своей правоте.
Ситуация, в некотором роде, схожая с попыткой Казахстана протолкнуть в мозилле в доверенные ЦС свой ЦС. Попытка быстро затухла после первого же комментария от кого-то, зачем вообще в Казахстане пытаются это сделать.
Мозилла, разумеется, предложила казахскому УЦ пройти соответствующий аудит, который требуется от любого УЦ перед тем, как выданный этим УЦ сертификат будет добавлен в число корневых. Аудит (и последующую стадию публичного обсуждения) они, разумеется, никогда бы не прошли, учитывая, что выданный сертификат на тот момент использовался для MitM. Казахи, чтобы сохранить лицо, сказали «окей, мы отправляемся проходить аудит и готовить документы» и свалили в закат.
Смысл выпендриться есть — просто покзать, что «мы» это может сделать, а «вы» ничего не сможете сделать в ответ. Это как гопник в подворотне — знает, что утром к нему придут ребята в погонах арестовывать, но все равно достает кирпич и предлагает купить его первому встречному. Потому что первый встречный ничего сделать не сможет. Ну и вообще, власть на чем-то или над кем-то — штука такая, она многих портит, тем более, что в данном случае на кону — власть над миром.
А потом пройдет месяц, пока простые юзеры установят себе этот патч, сколько миллионов его так и не установят — вопрос открытый.Если с этим патчем не будет работать что-то обязательное или привычное, то ставить будут единицы. Банки, соцсети, государственные организации — выбор огромен. Для данной цели подойдёт даже встроить это только в один госбраузер.
Не хотелось вас расстраивать, но как раз таки NSA известно продвижением в стандарты мутных генераторов случайных чисел с подозрительными свойствами. К счастью, потом это чудо-юдо из стандартов отозвали. Осадочек остался, вспоминают до сих пор.
(Случайные числа используются, например, в ECDSA, потому если вы можете угадать последовательность случайных чисел, то вы сможете элементарно получить секретную часть ключа, который использовался для подписи. Практический случай. "Свой" генератор случайных чисел как раз в такой ситуации пригодится. Другой частью цифровой подписи является хеш от данных, а значит если вы каким-то образом можете находить интересные коллизии для хешей, например, из функции «Стрибог», то вы сможете подписать что угодно чужим сертификатом. Потому хеш функции вроде Стрибога представляют интересный вектор для внедрения закладок.)
Станислав Смышляев из «Крипто-ПРО» обращает внимание на превосходство российских шифров над иностранными: по его словам, утверждённые в 2018 году российские криптонаборы протокола TLS 1.2 в отличие от зарубежных гарантируют контроль объёма данных, шифруемых на одном ключе: «Это позволяет обеспечивать противодействие атакам на криптосистемы, которые становятся возможными при шифровании больших объёмов данных.
Кто может расшифровать это? Что за «контроль объёма данных, шифруемых на одном ключе» и какие атаки становятся возможны при шифровании больших объемов данных?
Атаки при шифровании больших объемов данных? — опять же, узнав ключ вы можете расшифровать только кусочек всей переписке, а не переписку за все времена.
Именно об атаке, не знаю.
Да, совершенно верно.
Говоря об опасности шифрования больших объемов данных, скорее следует вспоминать не некие отдельные атаки, а классы атак, а также конкретные примеры, например, вот такую статью об экспериментах с атаками на AES по побочным каналам: https://fox-it.com/en/wp-content/uploads/sites/11/Tempest_attacks_against_AES.pdf.
Восстановление ключа AES за 50 секунд в определенных условиях — не шутки.
Речь идет об ограничении нагрузки на ключ — и именно об "установке на смену ключа через каждые n байт", как верно пишет ниже уважаемый slavashock.
В "научно-популярном виде" рассказ о соответствующих методах можно найти здесь:
https://cryptopro.ru/blog/2017/05/17/o-nagruzke-na-klyuch-chast-1
https://cryptopro.ru/blog/2017/05/29/o-nagruzke-na-klyuch-chast-2
Атаки, "становящиеся возможными при шифровании больших объемов данных", в основном, это атаки по побочным каналам.
Опять же, в научно-популярном виде можно почитать здесь:
https://cryptopro.ru/blog/2014/08/25/nemnogo-ob-atakakh-po-pobochnym-kanalam
Если злоумышленник может подделать шифротекст, значит шифр скомпрометирован и указание длины сообщения тут уже не имеет никакой ценности.
Почему то все спорят о бекдорах и пр.
Да бабло главное!
КриптоПро. Это же мечта любого владельца стать фактически монополистом, чья монополия защищена на гос уровне. Это же какая кормушка то на ближайшие годы.
Сделать стандартное хранилище ключей — да зачем. У крипто про свой формат. Сядешь и не слезешь потом с продуктов КриптоПро.
ФСБ рекомендует внедрить шифры «Магма» и «Кузнечик» в TLS 1.3 для сайтов Рунета