Дело все в том, что есть большая разница между англоязычной криптографической терминологией и русской. В данном конкретном случае я забыл сказать (не обратил внимания), что на западе теперь почти все биективные преобразования называют термином permutation. Это возникло после того, как развилась теория доказуемой стойкости. Из нее мы узнали такие аббревиатуры, как PRP — pseudo-random permutation и PRF — pseudo-random function. Поэтому на западе что S-блок, что P-блок, теперь часто называют одинаково, хотя изначально с момента появления этой архитектуры (Шеннон) нелинейную часть называли именно substitution. Российские же криптографы не стали менять терминологию, предложенную изначально, и в русскоязычной криптографии S-блок — это подстановка, а P-блок — перестановка (как правило, линейная). Надеюсь, такое пояснение теперь развеет путаницу.
Да, это пример того, как все-таки понятия путают в том числе и докладчики. Ошибки в слайдах допустимы, я говорил о статьях, которые публикуются в LNCS. Как правило, там все «вылизывается» до пунктуации. На слайды это не распространяется, поскольку каждый докладчик сам готовит их и не предоставляет рецензентам.
Думаю, на этом можно ставить точку. Везде есть те, кто знает теорию и те, кто занимается прикладными аспектами, не сильно вдаваясь в терминологию. Однако, если говорить о том же Еврокрипте, то ни одна научная статься, в которой не соблюдена точная терминология, туда не попадет.
В целом, для нас важен результат. Конечно, есть большая вероятность того, что чиновники из ИСО не примут наш шифр и даже отзовут хэш. Но я не думаю, что это приведет к каким-либо существенным последствиям внутри РФ. Будем жить с «местным» стандартом, только и всего.
Насчет ВАК-их буквоедов — полностью Вас поддерживаю, к ним не отношусь (слава Богу).
Народ понимает суть — тоже хорошо.
Но человек, который посещает одну из самых сильных конференций по криптографии, просто обязан писать свои статьи грамотно. Да, он, возможно, не криптограф — но для того и нужны комментарии, чтобы «причесать» сей труд.
Боюсь, что мои замечания как раз из области криптографии, а не из области лингвистики, и вообще из области формальной математики. Википедия, в этом смысле, вообще не то, на что надо ссылаться — там гораздо больше неправильного с точки зрения формальной теории, нежели верного.
С точки зрения алгебры, не буду с Вами спорить, как криптограф-алгебраист могу согласиться с тем, что в классической алгебре перестановки и подстановки рассматривают в едином контексте. Но в криптографии разница определяется однозначно. Посмотрите на докомпьютерную (классическую) криптографию. Там выделяется 2 общих класса шифров — подстановочные и перестановочные. Первый класс — шифры замены, в то время как второй включает только те, в которых буквы текста не заменяются, а перемешиваются в соответствии с ключом и алгоритмом. Далее это распространилось и на современные архитектуры, начиная с работы Клода Шеннона. Под перестановкой в криптографии понимают именно перемешивающее преобразование, а не замену.
А результаты Перрина мы тут и вовсе не обсуждаем — зачем Вы это написали, мне не понятно.
Тем, кто минусит — респект. Изучение матчасти — не ваше дело, видимо. Как показывает опыт, выпускники вузов практически не знают в итоге терминологии в области, в которой они получают дипломы.
Уууу….как тут все же все запущено в плане теории. Вы почитайте определение подстановки — это биективное отображение конечного множества в себя. У DES-а расширяющие и соответствующие сужающие S-блоки (для справки), которые вместе образуют тоже биективное преобразование. Без биективности нельзя вообще построить шифр, так как необходимо получить преобразование расшифрования.
Перестановка — частный случай подстановки, — которая является линейным преобразованием и может быть задана намного проще (как умножение на матрицу, в общем случае). Например, циклический сдвиг на 11 в «Магме» — это тоже перестановка. В архитектуре SP-сети перестановка — это P-блок. Иногда он может быть несколько сложнее — не линейным, а аффинным (тогда архитектура SA). Но в любом случае, он вычисляется проще. Так что тут не может быть двоякого прочтения, если речь идет о нелинейном биективном преобразовании.
Во-первых, поправьте, пожалуйста, текст — в середине статьи везде говорится «перестановка» вместо «подстановка». Это два различных понятия, к тому же перестановка — это линейное преобразование бит в двоичном векторе. Кроме того, термин «устойчивый» не применяется в криптографии — используйте «стойкий».
Во-вторых, приятно видеть наконец-то четкие (на бумаге) слова создателей и обсуждение в международной комиссии. В то, что программа и сиды утеряны (если таковые вообще были), думаю, не верит тут никто, ибо в ФСБ такие материалы должны быть, как минимум, с грифом «секретно», и отдавать их на всеобщее обозрение никто не будет даже в интересах стандартизации в ИСО.
И в-третьих, сам факт того, что наш S-блок можно «сжать» в 4 раза, сделав его «сопоставимым по размеру» S-блоку AES, не может быть аргументом для запрета его использования. Порядок его нелинейности тоже вполне приличный и не сильно уступает аналогам. По «вскрытой» структуре он сложнее того же AES, если говорить о вычислительном аспекте. Например, гомоморфно вычислить функцию обращения достаточно легко (что сделано в 10-ках работ), а вот сделать тоже самое с показательной функцией гораздо сложнее (но такие работы уже ведутся, включая использование найденной алгебраической структуры). Кроме того, S-блок алгоритма BelT, на который похожа подстановка Pi^{-1}, известен, и известны его алгебраические свойства, которые ничем не уступают свойствам S-блока AES. Так что есть надежда на то, что все-таки наш S-блок все же примут в том виде, в котором он сейчас есть.
Дело не в том, «верить или нет» автору. Дело в стиле написания статьи. Видимо, у вас небогатый опыт написания действительно хороших статей в реальных рецензируемых журналах. А именно такие статьи надо писать/читать. Хабр — это лишь песочница для получения новостей, откликов, завязывания контактов и т.п. И на этом я дискуссию с вами заканчиваю. Если вы не устали явно/неявно оскорблять неизвестного вам человека — то флаг вам в руки. Сначала научитесь понимать оппонента, признавать свои ошибки/неточности, принимать критику, а уже потом обвиняйте его в неадекватности, отсутствии банальной логики и т.п.
Scratch, а мне искренне жаль вас, поскольку вы читать не умеете — в первом же предложении я написал, что не смотрел всю презентацию. Когда вы читаете чью-то статью, вы тоже лезете по каждой ссылке на источник, чтобы понять ее суть? Если да, то либо вы, действительно, маньяк, либо статья уж очень нужная и вам срочно надо все в ней выяснить до конца. Но все такие статьи я отношу к категории «плохо написанные», ибо в хорошей статье все должно быть ясно, понятно и прозрачно без каких-либо дополнительных ссылочных материалов. Так что не «я не умею сопоставлять факты», а вы не умеете писать качественные материалы. Вырвали слайд из контекста и что-то утверждаете — это равносильно отсылке читателя вашего труда к первоисточнику: «Вот вам один слайд, дорогие читатели, а хотите его понять — читайте всю презентацию».
Всю презентацию не видел, но я разделяю точку зрения BeoWulf-а (см. комментарии выше). Я тут не один такой, кто заметил сей факт в Вашей статье — нет там на слайде нигде и слова о том, что красным — это то, что выбрано. А вот из того, что в этой самой красной рамочке указаны недостатки такого выбора, которые очевидны (я тоже самое рассказываю своим студентам на курсе КМЗИ!), наталкивает на мысль (лично меня), что скорее все наоборот, случайного выбора не было. Более того, тот факт, что они генерировали случайным образом, а получили отнюдь не случайный S-box, может наталкивать на мысль о том, что к заданным разработчиками критериям в большей мере относятся алгебраические S-блоки, а «безструктурных» среди аналогичных или небольшая доля, или, возможно, и вовсе нет. Это, кстати, интересная научная задача.
«Авторы декларировали, что таблица замен выбрана случайным образом. Вот слайд из презентации алгоритма, на котором указано, что авторы выбирали таблицу случайным образом. Так, чтобы у неё не было явной структуры, которая помогла бы произвести эффективный криптоанализ. (Красным — то, что выбрали)»
С чего Вы взяли, что то, что выделено красным — это то, что они взяли?! Судя по слайду, красным выделено то, что обладает явными недостатками. Наоборот, авторы хотели иметь сильный S-box с известной алгебраической структурой и свойствами. Именно такой они и выбрали. Другое дело, что они не афишировали его структуру, как это сделали разработчики белорусского стандарта BelT. Именно они исследовали экспоненциальные S-box-ы и их характеристики, что и послужило поводом (возможно) использовать аналогичные в Кузнечике. Напомню, что в том же AES используется инверсный S-box — тоже алгебраически заданный, с хорошими характеристиками. Случайные S-box-ы, как правило, не обладают такими свойствами.
А тот факт, что исследователям удалось вскрыть структуру и найти некоторые взаимосвязи, не доказывает наличие Бэкдора (как уже писали тут выше). Давайте тогда искать Бэкдор в AES или BelT, там ведь структура опубликована и общеизвестна?..
Привет, земляк. Я тоже белорус, и тоже сталкивался с кучей багов (фич, как некоторые тут их называют) на портале Госусулг. Техподдержка вообще ни о чем. На данный момент у меня подтвержденная учетная запись, но в которой неверно указаны паспортные данные!!! Вы такое себе можете представить?!) Расскажу о своих «приключениях».
Сначала у меня долго была проблема с переводом учетной записи из обычной в подтвержденную — мои данные не проходили проверку в ПФР (СНИЛС был успешно проверен, а паспорт — ну никак). Оказалось, что причина крылась в следующем:
1. Серия паспорта в системе была введена русскими буквами, а не латинскими (буквы типа P, M, H, A, K, O… — не понятно ведь, на каком языке их завели в системе)
2. Когда мне оформляли СНИЛС в отделе ПФР, то оператор умудрился в систему вбить год выдачи паспорта, совпадающий с годом моего рождения! Но об этом ни я, ни кто-либо другой, разумеется, не знали.
Служба поддержки меня мурыжила месяц, все время отправляя в отедление ПФР для уточнения данных, а там мне говорили, что у вас, мол, все в порядке. На год я «забил» на это дело, не имея возможности получать услуги через портал. Но через год мне срочно понадобилась справка об отсутствии судимости. И вот тут все началось по-новой. И дело каснулось не только сайта Госуслуг, а всей системы в целом — МФЦ, МВД, ПФР.
Сначала я обратился в МФЦ. Думал, сделают бысро. Пришел, а с меня потребовали нотариально заверенный перевод паспорта! Мол, не важно, что паспорт РБ исполнен на трех языках, включая русский!!! Дайте мне перевод с русского на русский, заверенный нотариусом, и тогда мы окажем вам бесплатную услугу!!! Бред? Конечно, бред!
Ладно, я занялся опять порталом госуслуг, и попутсно обратился напрямую с письмом в МВД, скопировав соответствующее положение из регламента, размещенного на их же сайте. Самое интересное, что на портале Госуслуг по этому же регламенту было дано разъяснение, что иностранные граждане, включая РБ, Украину и Казахстан обязаны-таки предоставлять этот злощастный перевод паспорта!
Перевод мне требовался срочно, поэтому я опять связался с техподдержкой портала. Через месяц, отправив с десяток писем, мне все же ответили, почему мои данные не проходят проверку -ошибка в данных вскрылась! При этом у я уже успел обновить СНИЛС. Ладно. Долго не думая, я решил подтвердить учетную запись с неверным годом выдачи паспорта. И да — это мне удалось!!! Ура!
Движемся дальше — нахожу соответствующую услугу по выдаче справки из МВД. И там стандартная форма с такими же требованиями по заполнению: поля обязательные для заполнения. Благо, паспортные данные у подтвержденной записи уже подхватывались, в отличие от описанной тут ситуации. НО зато была доп.форма, в которой ОБЯЗАТЕЛЬНО для иностранного гражданина надо было ввести данные о переводе паспорта! Ха. Я тоже с успехом обманул эту форму: вместо перевода паспорта я подсунул им скан вида на жительство и фотографию с сайта МВД, где черным по белому было написано, в каком случае требуется перевод паспорта!!! Отсмечу, что к этому моменту я еще не получил ответ на мой вопрос из МВД.
Прошло несколько дней. Пришел ответ на запрос по услуге. И что вы думаете? МВД ничего не смог со мной поделать — они выдали мне справку, и через неделю прислали мне официальное письмо с извинениями, в котором также пообещали разослдать во все подведомственные подразделения и МФЦ разъяснения по поводу совего же регламента! Это письмо хранится у меня на всякий случай как доказательство того, насколько в РФ исполнительные органы не понимают собственных же законов! И таких примеров масса.
Через месяц я решил исправить-таки ошибку с моим паспортом на портале. Я поменял год выдачи паспорта на верный, но после этого проверку паспорт уже не проходил в МВД! Я все это написал в техподждержку еще в конце прошлого года — зарегистрировали, ответа нет до сих пор… Видимо, исправить пару цифр в дынных продтвержденной учетной записи — это уже выше их понимания! А ведь у людей действительно может измениться паспорт целиком или еще какой-то документ, и они тоже могут столкнуться с такой проблемой.
Резюме: портал госуслуг содержит массу багов (фич), он изначально ориентирован на граждан РФ, и когда дело касается иностранцев, будьте готовы к тому, что ваши, казалось бы абсолютно верно набранные данные, не пройдут проверку на каком-то из этапов.
Очень интересная статья, спасибо. Все комментарии осилить не смог… пока… :)
Однако, весь смысл Вашей идеи в принципе «разделяй и властвуй»: один ключ шифрования вы оставляете себе в облаке, другой (зашифрованную копию личного ключа RSA) — в браузере. Слой RSA нужен лишь для замедления перебора, хотя с точки зрения криптографии лучше подходит симметричная криптосистема. Я надеюсь, что в Вашем решении открытый ключ RSA pubKey «благополучно» уничтожается и забывается, ведь в противном случае, злоумышленнику предоставляется возможность отдельно решать задачу поиска личного ключа RSA.
Кто-то тут писал, что криптография вряд ли в скором времени предложит что-то принципиально новое. Не разделяю этот пессимизм. Мне верится, что совсем скоро пользователям (в том числе браузеров) и вовсе не понадобятся никакие менеджеры паролей.
Information
Rating
Does not participate
Location
Санкт-Петербург, Санкт-Петербург и область, Россия
В целом, для нас важен результат. Конечно, есть большая вероятность того, что чиновники из ИСО не примут наш шифр и даже отзовут хэш. Но я не думаю, что это приведет к каким-либо существенным последствиям внутри РФ. Будем жить с «местным» стандартом, только и всего.
Народ понимает суть — тоже хорошо.
Но человек, который посещает одну из самых сильных конференций по криптографии, просто обязан писать свои статьи грамотно. Да, он, возможно, не криптограф — но для того и нужны комментарии, чтобы «причесать» сей труд.
С точки зрения алгебры, не буду с Вами спорить, как криптограф-алгебраист могу согласиться с тем, что в классической алгебре перестановки и подстановки рассматривают в едином контексте. Но в криптографии разница определяется однозначно. Посмотрите на докомпьютерную (классическую) криптографию. Там выделяется 2 общих класса шифров — подстановочные и перестановочные. Первый класс — шифры замены, в то время как второй включает только те, в которых буквы текста не заменяются, а перемешиваются в соответствии с ключом и алгоритмом. Далее это распространилось и на современные архитектуры, начиная с работы Клода Шеннона. Под перестановкой в криптографии понимают именно перемешивающее преобразование, а не замену.
А результаты Перрина мы тут и вовсе не обсуждаем — зачем Вы это написали, мне не понятно.
Тем, кто минусит — респект. Изучение матчасти — не ваше дело, видимо. Как показывает опыт, выпускники вузов практически не знают в итоге терминологии в области, в которой они получают дипломы.
Перестановка — частный случай подстановки, — которая является линейным преобразованием и может быть задана намного проще (как умножение на матрицу, в общем случае). Например, циклический сдвиг на 11 в «Магме» — это тоже перестановка. В архитектуре SP-сети перестановка — это P-блок. Иногда он может быть несколько сложнее — не линейным, а аффинным (тогда архитектура SA). Но в любом случае, он вычисляется проще. Так что тут не может быть двоякого прочтения, если речь идет о нелинейном биективном преобразовании.
Во-вторых, приятно видеть наконец-то четкие (на бумаге) слова создателей и обсуждение в международной комиссии. В то, что программа и сиды утеряны (если таковые вообще были), думаю, не верит тут никто, ибо в ФСБ такие материалы должны быть, как минимум, с грифом «секретно», и отдавать их на всеобщее обозрение никто не будет даже в интересах стандартизации в ИСО.
И в-третьих, сам факт того, что наш S-блок можно «сжать» в 4 раза, сделав его «сопоставимым по размеру» S-блоку AES, не может быть аргументом для запрета его использования. Порядок его нелинейности тоже вполне приличный и не сильно уступает аналогам. По «вскрытой» структуре он сложнее того же AES, если говорить о вычислительном аспекте. Например, гомоморфно вычислить функцию обращения достаточно легко (что сделано в 10-ках работ), а вот сделать тоже самое с показательной функцией гораздо сложнее (но такие работы уже ведутся, включая использование найденной алгебраической структуры). Кроме того, S-блок алгоритма BelT, на который похожа подстановка Pi^{-1}, известен, и известны его алгебраические свойства, которые ничем не уступают свойствам S-блока AES. Так что есть надежда на то, что все-таки наш S-блок все же примут в том виде, в котором он сейчас есть.
С чего Вы взяли, что то, что выделено красным — это то, что они взяли?! Судя по слайду, красным выделено то, что обладает явными недостатками. Наоборот, авторы хотели иметь сильный S-box с известной алгебраической структурой и свойствами. Именно такой они и выбрали. Другое дело, что они не афишировали его структуру, как это сделали разработчики белорусского стандарта BelT. Именно они исследовали экспоненциальные S-box-ы и их характеристики, что и послужило поводом (возможно) использовать аналогичные в Кузнечике. Напомню, что в том же AES используется инверсный S-box — тоже алгебраически заданный, с хорошими характеристиками. Случайные S-box-ы, как правило, не обладают такими свойствами.
А тот факт, что исследователям удалось вскрыть структуру и найти некоторые взаимосвязи, не доказывает наличие Бэкдора (как уже писали тут выше). Давайте тогда искать Бэкдор в AES или BelT, там ведь структура опубликована и общеизвестна?..
Сначала у меня долго была проблема с переводом учетной записи из обычной в подтвержденную — мои данные не проходили проверку в ПФР (СНИЛС был успешно проверен, а паспорт — ну никак). Оказалось, что причина крылась в следующем:
1. Серия паспорта в системе была введена русскими буквами, а не латинскими (буквы типа P, M, H, A, K, O… — не понятно ведь, на каком языке их завели в системе)
2. Когда мне оформляли СНИЛС в отделе ПФР, то оператор умудрился в систему вбить год выдачи паспорта, совпадающий с годом моего рождения! Но об этом ни я, ни кто-либо другой, разумеется, не знали.
Служба поддержки меня мурыжила месяц, все время отправляя в отедление ПФР для уточнения данных, а там мне говорили, что у вас, мол, все в порядке. На год я «забил» на это дело, не имея возможности получать услуги через портал. Но через год мне срочно понадобилась справка об отсутствии судимости. И вот тут все началось по-новой. И дело каснулось не только сайта Госуслуг, а всей системы в целом — МФЦ, МВД, ПФР.
Сначала я обратился в МФЦ. Думал, сделают бысро. Пришел, а с меня потребовали нотариально заверенный перевод паспорта! Мол, не важно, что паспорт РБ исполнен на трех языках, включая русский!!! Дайте мне перевод с русского на русский, заверенный нотариусом, и тогда мы окажем вам бесплатную услугу!!! Бред? Конечно, бред!
Ладно, я занялся опять порталом госуслуг, и попутсно обратился напрямую с письмом в МВД, скопировав соответствующее положение из регламента, размещенного на их же сайте. Самое интересное, что на портале Госуслуг по этому же регламенту было дано разъяснение, что иностранные граждане, включая РБ, Украину и Казахстан обязаны-таки предоставлять этот злощастный перевод паспорта!
Перевод мне требовался срочно, поэтому я опять связался с техподдержкой портала. Через месяц, отправив с десяток писем, мне все же ответили, почему мои данные не проходят проверку -ошибка в данных вскрылась! При этом у я уже успел обновить СНИЛС. Ладно. Долго не думая, я решил подтвердить учетную запись с неверным годом выдачи паспорта. И да — это мне удалось!!! Ура!
Движемся дальше — нахожу соответствующую услугу по выдаче справки из МВД. И там стандартная форма с такими же требованиями по заполнению: поля обязательные для заполнения. Благо, паспортные данные у подтвержденной записи уже подхватывались, в отличие от описанной тут ситуации. НО зато была доп.форма, в которой ОБЯЗАТЕЛЬНО для иностранного гражданина надо было ввести данные о переводе паспорта! Ха. Я тоже с успехом обманул эту форму: вместо перевода паспорта я подсунул им скан вида на жительство и фотографию с сайта МВД, где черным по белому было написано, в каком случае требуется перевод паспорта!!! Отсмечу, что к этому моменту я еще не получил ответ на мой вопрос из МВД.
Прошло несколько дней. Пришел ответ на запрос по услуге. И что вы думаете? МВД ничего не смог со мной поделать — они выдали мне справку, и через неделю прислали мне официальное письмо с извинениями, в котором также пообещали разослдать во все подведомственные подразделения и МФЦ разъяснения по поводу совего же регламента! Это письмо хранится у меня на всякий случай как доказательство того, насколько в РФ исполнительные органы не понимают собственных же законов! И таких примеров масса.
Через месяц я решил исправить-таки ошибку с моим паспортом на портале. Я поменял год выдачи паспорта на верный, но после этого проверку паспорт уже не проходил в МВД! Я все это написал в техподждержку еще в конце прошлого года — зарегистрировали, ответа нет до сих пор… Видимо, исправить пару цифр в дынных продтвержденной учетной записи — это уже выше их понимания! А ведь у людей действительно может измениться паспорт целиком или еще какой-то документ, и они тоже могут столкнуться с такой проблемой.
Резюме: портал госуслуг содержит массу багов (фич), он изначально ориентирован на граждан РФ, и когда дело касается иностранцев, будьте готовы к тому, что ваши, казалось бы абсолютно верно набранные данные, не пройдут проверку на каком-то из этапов.
Однако, весь смысл Вашей идеи в принципе «разделяй и властвуй»: один ключ шифрования вы оставляете себе в облаке, другой (зашифрованную копию личного ключа RSA) — в браузере. Слой RSA нужен лишь для замедления перебора, хотя с точки зрения криптографии лучше подходит симметричная криптосистема. Я надеюсь, что в Вашем решении открытый ключ RSA pubKey «благополучно» уничтожается и забывается, ведь в противном случае, злоумышленнику предоставляется возможность отдельно решать задачу поиска личного ключа RSA.
Кто-то тут писал, что криптография вряд ли в скором времени предложит что-то принципиально новое. Не разделяю этот пессимизм. Мне верится, что совсем скоро пользователям (в том числе браузеров) и вовсе не понадобятся никакие менеджеры паролей.