Вы что-то серьезно путаете.
Еще в USB 1.1 были interrupt endpoint-ы в дополнение к bulk endpoint-ам.
Пруфлинк: www.beyondlogic.org/usbnutshell/usb4.shtml#Interrupt
interrupt endpoint-ы дают возможность послать маленький пакет с минимальной задержкой, в отличике от bulk-ов.
Берете любой usb2ttl адаптер и там будет interrupt endpoint на прием для обновления состояния канала.
Реализуются они через опрос устройств USB хостом, поэтому не сильно эффективно.
Пользователям MacOS стоит воздержаться от распаковки zip-архивов!
Пользователям Windows стоит отказаться от распаковки архивов через WinRAR!
Куда катится этот мир??
Я не знаю, зачем Leo Perrin написал эту фигню с Колмогоровской сложностью.
Это все детский сад с точки зрения науки, но зато остальным понятно.
Наверное, для этого и написал. Такой хайп на Хабре разгорелся из-за ерунды.
Вообще я помню как, имея опыт кодинга, начал читать книжки по алгебре.
И некоторое время не понимал, почему перестановка — это не перемешивание массива, а именно отображение.
То есть, терминология криптографии ближе к кодингу.
У нас тут не экзамен по криптографии, чтобы требовать от всех строгого соблюдения терминологии.
Вы мне чем-то напоминаете ВАК-овских динозавров, которые готовы сожрать за немного корявую формулировку.
В школьной математике тоже подобные веения. Напридумывают терминов и заставляют их зубрить. Термины ради терминов.
Термины никак не помогают решать задачу сами по себе, а только замусоривают мозги.
Я выступаю за то, чтобы народ понимал суть, чтобы имел в голове модели того, что происходит.
Вы несколько драматизируете.
Я как алгебраист всегда называл перестановкой биективное отображение конечного множества в себя.
Википедия со мной вполне согласна.
В теории групп под перестановкой произвольного множества подразумевается биекция этого множества на себя. Как синоним слову «перестановка» в этом смысле некоторые авторы используют слово подстановка. (Другие авторы подстановкой называют наглядный способ записи перестановки.)
А может быть я просто ни разу не пробовал минусовать на Хабре?
Ваш бы уровень паранои — да в лоно криптоанализа.
Никому не верить, во всем сомневаться.
Хорошо, мы пришли к какому-то общему знаменателю в технической части.
По части остального откомменчусь.
Еще раз.
При выполнении обозначенного Т1 у меня будет возможность использовать только те шифры, которым я доверяю своим умом или с помощью регулятора.
Будет дерьмовая ситуация, когда вам надо коннектиться к национальным сайтам стран N1 и N2 с шифрами K1 и K2, при этом вы не хотите использовать K1 и K2 на других сайтах.
То есть, надо где-то в доменной зоне прописывать набор разрешенных шифров и пойдет еще один виток усложнения веба.
А веба уже и так непростой и много где сломанный.
Чтобы этого всего не было, надо просто не пущать туземные шифры.
Пусть туземцы сами разбираются со своими проблемами, раз они их и создают.
Лечить инфраструктуру, включая OpenSSL и прочие аналогичные проекты, не допуская какое-либо навязывание или дискриминацию национальных стандартов.
Это все туземные комлексы у вас.
Сорри за прямоту.
Это проблемы скорее из области психотерапии, чем криптографии.
Хотя есть и решение из области криптографии.
Несколько туземных стран предлагают свои шифры, и в SSL работает их комбинация (с защитой от возможного сговора двух и более туземных стран).
Будет тормозить, но зато секьюрно.
Стремно — это когда вы не можете выбрать набор шифров и приоритет их использования из-за ограничений инфраструктуры.
«downgrade attack» — здесь это манипуляция, FUD или недопонимание.
Набор шифров выбирают клиент и сервер на основе того, что в них реализовано.
Коммуникации на этом этапе еще не защищены шифрованием.
Итак, допустим, сервер говорит вам, что поддерживает только один шифр.
Вы тоже его поддерживаете. Вы начинаете использовать этот шифр, предложенный сервером.
Только это был не сервер, а MITM прокси.
Шифр был слабым. В результате, вас поимели.
Я, думаю, я верно понимаю суть downgrade attack.
Если нет — исправляйте.
Это что, крипто-шовинизм?
Крипто-шовинизм или нет, но рассмотрим гипотетическую ситуацию.
1) Некое государство N стандартизирует у себя некий блочный
шифр K. N переводит все национальные SSL сервера на шифр K.
2) N добивается включения шифра K в OpenSSL.
Шифр K становится доступен в браузерах при установке SSL соединения.
3) Теперь при подключении любого человека на Земле можно провести MITM атаку, downgrade атаку, и заставить его браузер использовать шифр K при установке SSL соединения.
4) Шифр K содержал закладку, которую никто не заметил.
Туземцы из N тихонько имеют весь мир.
Ситуацию можно ухудшить.
Пусть у нас несколько государств Ni и у каждого свой шифр Ki, на котором работают национальные сервера.
Что теперь делать?
Так что я думаю, никто не будет включать национальные шифры в OpenSSL.
Да пожалуйста.
Затыкать рот неугодным — это тоже ваши культурные традиции.
Я минусы не ставлю принципиально, это мои традиции.
IMHO вы пытаетесь «громче хайпануть», а НЕ разобраться в ситуации,
Свое отношение к этой ситуации и возможные причины уже излагал.
Хайпанул Leo Perrin. Чувака ждет прекрасная карьера. Мне-то чего хайповать?
Меня поражают ваши упорные попытки оправдать Стрибог/Кузнечик, все эти «не следует», «не доказано», рассуждения про алгебру уровня форумного тролля, поэтому я и высказался.
Ведь авторы реально соврали, осознанно или нет.
Мне интересно, что бы вы сказали, если бы в шифре разработки US такое нашли.
Орали бы на весь хабр.
Стрибог/Кузнечик уже «стандартизированы» в документах российского регулятора и RFC.
Этого уже IMHO достаточно как для включения реализации в существующие открытые реализации SSL/TLS, так и для разработки отечественных.
Серьезно?
Будем включать всякие туземные шифры в продукты, которыми пользуется весь
мир?
Что дальше? Индийские шифры, пакистанские шифры?
Это очень стремно, с учетом возможности downgrade attack.
Или может добавим лишние ключи для сборки, типа CONFIG_RU_CRYPTO?
Тем самым усложняя и так непростой продукт и жертвуя безопасностью?
Может, вообще сделаем локализованные сборки OpenSSL, для каждой страны своя?
Основная проблема в том, что «структура есть», а авторы Стрибог/Кузнечник утверждали обратное.
Авторы шифра/хеша всего лишь соврали о его дизайне.
Подумаешь, проблема, правда? Это все культурные традиции.
И вообще, хватит распространять FUD.
Давайте поскорее стандартизируем его и включим во все реализации SSL.
Ведь чем больше разных шифров поддерживается в стандарте SSL, тем секьюрнее.
Нет, это неверный вывод. Пока нет доказательств (наличия/отсутствия тех или иных свойств), никакое знание «просто формулы» не позволяет сделать подобных выводов (как и обратных).
Т.е. видя формулу модульной экспоненты, но не зная всего что «стоит за» RSA и самой проблемы факторизации (и её отсутствия в некоторых случаях), вы не сможете ничего сказать о стойкости.
Вам не кажется, что требования к асимметричным шифрам сильно отличаются от требований к симметричным шифрам и хеш-функциям?
А у хеш функций вообще не должно быть простого описания.
И вроде как это всем понятно, даже самим авторам Streebog.
Кроме того, авторы Streebog в неформальных дискуссиях утверждали (см. Резюме в [ 9 ]), что они хотели избежать слишком сильной алгебраической структуры, чтобы предотвратить некоторые атаки. Хотя в этом подходе априори нет ничего плохого, он полностью расходится с их конечным результатом: как показано в следующем разделе, их S-блок имеет чрезвычайно сильную алгебраическую структуру.
Не могли бы мы чуть более подробнее пояснить, какие именно, на ваш взгляд, преобразования, структуры или шаги в Стрибог или Кузнечике «коррелируют» с процедурой генерации S-Box?
To this end, we provide a newsimpler representation of the linear layer of Streebog as a matrix multiplication in the exact same field as the one used to define pi. We deduce that this matrix interacts in a non-trivial way with the partitions preserved by pi
Но из наличия структуры не следует, что какая-то атака становится проще.
В ваших постах очень много фраз «не доказано/не следует».
А давайте тогда просто считать надежными все шифры, которые еще не взломаны.
Вы же любите бинарную логику? Шифр либо уже взломан, либо надежен. Классно, да?
Только вот криптоанализ — дело длинное и дорогое.
От первого подозрения до полноценного взлома иной раз проходят десятки лет.
Криптоанализировать все шифры нет возможности, не хватит спецов.
Поэтому подход «не доказано/не следует» не прокатывает.
Прокатывает отбрасывать шифры при первых подозрениях.
Шифров не жалко, новых нарожают.
В первую очередь стоит отбрасывать шифры, разработчики которых лгут.
Термин «подозрительно» тут не совсем уместен, это FUD.
Предлагаете вообще убрать FUD из криптографии?
И сразу заживем?
Я ничего не путаю.
Алгебраическое описание — это также инструмент оптимизации системы уравнений в целях взлома.
Вам накидать статей, как шифры семейства ARX пытаются ломать через алгебраические атаки?
Там как раз основная проблема, что после некоторого числа итераций алгебраическое описание плохо работает, поэтому ломают алгоритмы с урезанным числом итераций.
Наличие простого (и согласованного!) алгебраического описания для двух последовательных шагов алгоритма (к тому же, скрытого авторами) — это очень подозрительно, я бы сказал.
В случае Стрибог так и есть. Читаем Leo Perrin.
Два последовательных шага алгоритма описываются операциями по модулю одного и того же полинома, представляете?
Просто нет слов.
Наверняка, кто-то в недрах секретных НИИ получил медаль за это… ну или пулю в затылок.
Еще в USB 1.1 были interrupt endpoint-ы в дополнение к bulk endpoint-ам.
Пруфлинк:
www.beyondlogic.org/usbnutshell/usb4.shtml#Interrupt
interrupt endpoint-ы дают возможность послать маленький пакет с минимальной задержкой, в отличике от bulk-ов.
Берете любой usb2ttl адаптер и там будет interrupt endpoint на прием для обновления состояния канала.
Реализуются они через опрос устройств USB хостом, поэтому не сильно эффективно.
Минимальная задержка 0.000125 секунд в high-speed USB 2.0 режиме.
Пруфлинк:
www.keil.com/pack/doc/mw/USB/html/_u_s_b__interrupt__transfers.html
Вы наверное путаете прерывания, генерируемые устройством и interrupt endpoint-ы.
Это походу разные вещи.
Пользователям Windows стоит отказаться от распаковки архивов через WinRAR!
Куда катится этот мир??
Это все детский сад с точки зрения науки, но зато остальным понятно.
Наверное, для этого и написал. Такой хайп на Хабре разгорелся из-за ерунды.
И некоторое время не понимал, почему перестановка — это не перемешивание массива, а именно отображение.
То есть, терминология криптографии ближе к кодингу.
Вы мне чем-то напоминаете ВАК-овских динозавров, которые готовы сожрать за немного корявую формулировку.
В школьной математике тоже подобные веения. Напридумывают терминов и заставляют их зубрить. Термины ради терминов.
Термины никак не помогают решать задачу сами по себе, а только замусоривают мозги.
Я выступаю за то, чтобы народ понимал суть, чтобы имел в голове модели того, что происходит.
Это гораздо интереснее, если честно :)
Но очень платформоспецифично.
Я как алгебраист всегда называл перестановкой биективное отображение конечного множества в себя.
Википедия со мной вполне согласна.
ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D0%B5%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0
Ваши замечения — из области лингвистики, а не криптографии, и никак не отменяют результатов Leo Perrin.
Или обязательно пойдут HTTP заголовки вначале?
Просветите же меня насчет правил.
А может быть я просто ни разу не пробовал минусовать на Хабре?
Ваш бы уровень паранои — да в лоно криптоанализа.
Никому не верить, во всем сомневаться.
По части остального откомменчусь.
Будет дерьмовая ситуация, когда вам надо коннектиться к национальным сайтам стран N1 и N2 с шифрами K1 и K2, при этом вы не хотите использовать K1 и K2 на других сайтах.
То есть, надо где-то в доменной зоне прописывать набор разрешенных шифров и пойдет еще один виток усложнения веба.
А веба уже и так непростой и много где сломанный.
Чтобы этого всего не было, надо просто не пущать туземные шифры.
Пусть туземцы сами разбираются со своими проблемами, раз они их и создают.
Это все туземные комлексы у вас.
Сорри за прямоту.
Это проблемы скорее из области психотерапии, чем криптографии.
Хотя есть и решение из области криптографии.
Несколько туземных стран предлагают свои шифры, и в SSL работает их комбинация (с защитой от возможного сговора двух и более туземных стран).
Будет тормозить, но зато секьюрно.
Набор шифров выбирают клиент и сервер на основе того, что в них реализовано.
Коммуникации на этом этапе еще не защищены шифрованием.
Итак, допустим, сервер говорит вам, что поддерживает только один шифр.
Вы тоже его поддерживаете. Вы начинаете использовать этот шифр, предложенный сервером.
Только это был не сервер, а MITM прокси.
Шифр был слабым. В результате, вас поимели.
Я, думаю, я верно понимаю суть downgrade attack.
Если нет — исправляйте.
Крипто-шовинизм или нет, но рассмотрим гипотетическую ситуацию.
1) Некое государство N стандартизирует у себя некий блочный
шифр K.
N переводит все национальные SSL сервера на шифр K.
2) N добивается включения шифра K в OpenSSL.
Шифр K становится доступен в браузерах при установке SSL соединения.
3) Теперь при подключении любого человека на Земле можно провести MITM атаку, downgrade атаку, и заставить его браузер использовать шифр K при установке SSL соединения.
4) Шифр K содержал закладку, которую никто не заметил.
Туземцы из N тихонько имеют весь мир.
Ситуацию можно ухудшить.
Пусть у нас несколько государств Ni и у каждого свой шифр Ki, на котором работают национальные сервера.
Что теперь делать?
Так что я думаю, никто не будет включать национальные шифры в OpenSSL.
Я лишь имел ввиду, что минусы в карму ограничивают мою возможность писать комменты.
Да пожалуйста.
Затыкать рот неугодным — это тоже ваши культурные традиции.
Я минусы не ставлю принципиально, это мои традиции.
Хайпанул Leo Perrin. Чувака ждет прекрасная карьера. Мне-то чего хайповать?
Меня поражают ваши упорные попытки оправдать Стрибог/Кузнечик, все эти «не следует», «не доказано», рассуждения про алгебру уровня форумного тролля, поэтому я и высказался.
Ведь авторы реально соврали, осознанно или нет.
Мне интересно, что бы вы сказали, если бы в шифре разработки US такое нашли.
Орали бы на весь хабр.
Серьезно?
Будем включать всякие туземные шифры в продукты, которыми пользуется весь
мир?
Что дальше? Индийские шифры, пакистанские шифры?
Это очень стремно, с учетом возможности downgrade attack.
Или может добавим лишние ключи для сборки, типа CONFIG_RU_CRYPTO?
Тем самым усложняя и так непростой продукт и жертвуя безопасностью?
Может, вообще сделаем локализованные сборки OpenSSL, для каждой страны своя?
Авторы шифра/хеша всего лишь соврали о его дизайне.
Подумаешь, проблема, правда? Это все культурные традиции.
И вообще, хватит распространять FUD.
Давайте поскорее стандартизируем его и включим во все реализации SSL.
Ведь чем больше разных шифров поддерживается в стандарте SSL, тем секьюрнее.
Вам не кажется, что требования к асимметричным шифрам сильно отличаются от требований к симметричным шифрам и хеш-функциям?
А у хеш функций вообще не должно быть простого описания.
И вроде как это всем понятно, даже самим авторам Streebog.
translate.google.com/translate?hl=&sl=en&tl=ru&u=https%3A%2F%2Fwho.paris.inria.fr%2FLeo.Perrin%2Fpi.html%23sec-2-4
Читаем tosc.iacr.org/index.php/ToSC/article/view/7405/6577
В ваших постах очень много фраз «не доказано/не следует».
А давайте тогда просто считать надежными все шифры, которые еще не взломаны.
Вы же любите бинарную логику? Шифр либо уже взломан, либо надежен. Классно, да?
Только вот криптоанализ — дело длинное и дорогое.
От первого подозрения до полноценного взлома иной раз проходят десятки лет.
Криптоанализировать все шифры нет возможности, не хватит спецов.
Поэтому подход «не доказано/не следует» не прокатывает.
Прокатывает отбрасывать шифры при первых подозрениях.
Шифров не жалко, новых нарожают.
В первую очередь стоит отбрасывать шифры, разработчики которых лгут.
Предлагаете вообще убрать FUD из криптографии?
И сразу заживем?
Алгебраическое описание — это также инструмент оптимизации системы уравнений в целях взлома.
Вам накидать статей, как шифры семейства ARX пытаются ломать через алгебраические атаки?
Там как раз основная проблема, что после некоторого числа итераций алгебраическое описание плохо работает, поэтому ломают алгоритмы с урезанным числом итераций.
Наличие простого (и согласованного!) алгебраического описания для двух последовательных шагов алгоритма (к тому же, скрытого авторами) — это очень подозрительно, я бы сказал.
В случае Стрибог так и есть. Читаем Leo Perrin.
Два последовательных шага алгоритма описываются операциями по модулю одного и того же полинома, представляете?
Просто нет слов.
Наверняка, кто-то в недрах секретных НИИ получил медаль за это… ну или пулю в затылок.