Да пожалуйста.
Затыкать рот неугодным — это тоже ваши культурные традиции.
Я минусы не ставлю принципиально, это мои традиции.
IMHO вы пытаетесь «громче хайпануть», а НЕ разобраться в ситуации,
Свое отношение к этой ситуации и возможные причины уже излагал.
Хайпанул Leo Perrin. Чувака ждет прекрасная карьера. Мне-то чего хайповать?
Меня поражают ваши упорные попытки оправдать Стрибог/Кузнечик, все эти «не следует», «не доказано», рассуждения про алгебру уровня форумного тролля, поэтому я и высказался.
Ведь авторы реально соврали, осознанно или нет.
Мне интересно, что бы вы сказали, если бы в шифре разработки US такое нашли.
Орали бы на весь хабр.
Стрибог/Кузнечик уже «стандартизированы» в документах российского регулятора и RFC.
Этого уже IMHO достаточно как для включения реализации в существующие открытые реализации SSL/TLS, так и для разработки отечественных.
Серьезно?
Будем включать всякие туземные шифры в продукты, которыми пользуется весь
мир?
Что дальше? Индийские шифры, пакистанские шифры?
Это очень стремно, с учетом возможности downgrade attack.
Или может добавим лишние ключи для сборки, типа CONFIG_RU_CRYPTO?
Тем самым усложняя и так непростой продукт и жертвуя безопасностью?
Может, вообще сделаем локализованные сборки OpenSSL, для каждой страны своя?
Основная проблема в том, что «структура есть», а авторы Стрибог/Кузнечник утверждали обратное.
Авторы шифра/хеша всего лишь соврали о его дизайне.
Подумаешь, проблема, правда? Это все культурные традиции.
И вообще, хватит распространять FUD.
Давайте поскорее стандартизируем его и включим во все реализации SSL.
Ведь чем больше разных шифров поддерживается в стандарте SSL, тем секьюрнее.
Нет, это неверный вывод. Пока нет доказательств (наличия/отсутствия тех или иных свойств), никакое знание «просто формулы» не позволяет сделать подобных выводов (как и обратных).
Т.е. видя формулу модульной экспоненты, но не зная всего что «стоит за» RSA и самой проблемы факторизации (и её отсутствия в некоторых случаях), вы не сможете ничего сказать о стойкости.
Вам не кажется, что требования к асимметричным шифрам сильно отличаются от требований к симметричным шифрам и хеш-функциям?
А у хеш функций вообще не должно быть простого описания.
И вроде как это всем понятно, даже самим авторам Streebog.
Кроме того, авторы Streebog в неформальных дискуссиях утверждали (см. Резюме в [ 9 ]), что они хотели избежать слишком сильной алгебраической структуры, чтобы предотвратить некоторые атаки. Хотя в этом подходе априори нет ничего плохого, он полностью расходится с их конечным результатом: как показано в следующем разделе, их S-блок имеет чрезвычайно сильную алгебраическую структуру.
Не могли бы мы чуть более подробнее пояснить, какие именно, на ваш взгляд, преобразования, структуры или шаги в Стрибог или Кузнечике «коррелируют» с процедурой генерации S-Box?
To this end, we provide a newsimpler representation of the linear layer of Streebog as a matrix multiplication in the exact same field as the one used to define pi. We deduce that this matrix interacts in a non-trivial way with the partitions preserved by pi
Но из наличия структуры не следует, что какая-то атака становится проще.
В ваших постах очень много фраз «не доказано/не следует».
А давайте тогда просто считать надежными все шифры, которые еще не взломаны.
Вы же любите бинарную логику? Шифр либо уже взломан, либо надежен. Классно, да?
Только вот криптоанализ — дело длинное и дорогое.
От первого подозрения до полноценного взлома иной раз проходят десятки лет.
Криптоанализировать все шифры нет возможности, не хватит спецов.
Поэтому подход «не доказано/не следует» не прокатывает.
Прокатывает отбрасывать шифры при первых подозрениях.
Шифров не жалко, новых нарожают.
В первую очередь стоит отбрасывать шифры, разработчики которых лгут.
Термин «подозрительно» тут не совсем уместен, это FUD.
Предлагаете вообще убрать FUD из криптографии?
И сразу заживем?
Я ничего не путаю.
Алгебраическое описание — это также инструмент оптимизации системы уравнений в целях взлома.
Вам накидать статей, как шифры семейства ARX пытаются ломать через алгебраические атаки?
Там как раз основная проблема, что после некоторого числа итераций алгебраическое описание плохо работает, поэтому ломают алгоритмы с урезанным числом итераций.
Наличие простого (и согласованного!) алгебраического описания для двух последовательных шагов алгоритма (к тому же, скрытого авторами) — это очень подозрительно, я бы сказал.
В случае Стрибог так и есть. Читаем Leo Perrin.
Два последовательных шага алгоритма описываются операциями по модулю одного и того же полинома, представляете?
Просто нет слов.
Наверняка, кто-то в недрах секретных НИИ получил медаль за это… ну или пулю в затылок.
К вашему сведению, алгебра не ограничивается бинарной логикой.
Начнем с простых примеров.
Какая система уравнений проще, на ваш взгляд?
Вот эта: S = A+B mod 16
Или вот эта:
S0 = (A0 XOR B0)
S1 = (A1 XOR B1) XOR ((A0 AND B0) OR (A0 XOR B0))
S2 = (A2 XOR B2) XOR (((A1 XOR B1) AND ((A0 AND B0) OR (A0 XOR B0))) OR (A1 AND B1))
S3 = (A3 XOR B3) XOR ((((A2 XOR B2) AND (A1 XOR B1)) AND ((A0 AND B0) OR (A0 XOR B0))) OR (((A2 XOR B2) AND (A1 AND B1)) OR (A2 AND B2)))
Основная проблема в том, что «структура» S-box Кузнечика коррелирует со «структурами» других шагов алгоритма.
Это повышает вероятность того, что существует достаточно простое алгебраическое описание работы шифра.
Тот, кому известно просто алгебраическое описание, может взламывать шифр.
Направление мысли понятно?
Не ну, если серьезно параноить, то нужно честно признаться себе, что вы понятия не имеете, какие алгоритмы wear leveling используются в NAND чипе.
Выходит, мобилу продавать вообще небезопасно, а надо торжественно предавать огню.
У меня на Xiaomi Redmi 4X зашифрован раздел /data (это именно те данные, которые нужно стереть перед продажей), а ключ шифрований хранится в некоем таинственном девайсе под названием QSEECOM.
При Factory Reset ключ шифрования /data в QSEECOM изменяется, а старый ключ, похоже, теряется.
Поэтому все бекапы NAND после Factory Reset становятся бесполезными.
Вобщем, вывод такой — на Xiaomi Redmi 4X достаточно Factory Reset.
Не должно быть незаменимых людей, на любого человека в любой момент времени в компании должна быть возможна замена, это как минимум защитит компанию от его болезни или внезапных отпусков.
Каждый человек хочет стать сверхценным, незаменимым, уникальным.
А бизнесу нужны люди-утилиты, эффективные, послушные, и желательно дешевые.
При этом сам владелец бизнеса конечно же хочет быть незаменимым в своей сфере.
Кто тут прав? Тут нет правды, только вечный конфликт :)
Могу добавить, что A2W и T2W еще хуже, чем кажутся.
Если их вызвать в функции, которая вызывается в цикле, а компилятор решит ее заинлайнить…
Ну вы поняли, что будет :)
Вообще, alloca — изощренный способ стать инвалидом.
Я лишь имел ввиду, что минусы в карму ограничивают мою возможность писать комменты.
Да пожалуйста.
Затыкать рот неугодным — это тоже ваши культурные традиции.
Я минусы не ставлю принципиально, это мои традиции.
Хайпанул Leo Perrin. Чувака ждет прекрасная карьера. Мне-то чего хайповать?
Меня поражают ваши упорные попытки оправдать Стрибог/Кузнечик, все эти «не следует», «не доказано», рассуждения про алгебру уровня форумного тролля, поэтому я и высказался.
Ведь авторы реально соврали, осознанно или нет.
Мне интересно, что бы вы сказали, если бы в шифре разработки US такое нашли.
Орали бы на весь хабр.
Серьезно?
Будем включать всякие туземные шифры в продукты, которыми пользуется весь
мир?
Что дальше? Индийские шифры, пакистанские шифры?
Это очень стремно, с учетом возможности downgrade attack.
Или может добавим лишние ключи для сборки, типа CONFIG_RU_CRYPTO?
Тем самым усложняя и так непростой продукт и жертвуя безопасностью?
Может, вообще сделаем локализованные сборки OpenSSL, для каждой страны своя?
Авторы шифра/хеша всего лишь соврали о его дизайне.
Подумаешь, проблема, правда? Это все культурные традиции.
И вообще, хватит распространять FUD.
Давайте поскорее стандартизируем его и включим во все реализации SSL.
Ведь чем больше разных шифров поддерживается в стандарте SSL, тем секьюрнее.
Вам не кажется, что требования к асимметричным шифрам сильно отличаются от требований к симметричным шифрам и хеш-функциям?
А у хеш функций вообще не должно быть простого описания.
И вроде как это всем понятно, даже самим авторам Streebog.
translate.google.com/translate?hl=&sl=en&tl=ru&u=https%3A%2F%2Fwho.paris.inria.fr%2FLeo.Perrin%2Fpi.html%23sec-2-4
Читаем tosc.iacr.org/index.php/ToSC/article/view/7405/6577
В ваших постах очень много фраз «не доказано/не следует».
А давайте тогда просто считать надежными все шифры, которые еще не взломаны.
Вы же любите бинарную логику? Шифр либо уже взломан, либо надежен. Классно, да?
Только вот криптоанализ — дело длинное и дорогое.
От первого подозрения до полноценного взлома иной раз проходят десятки лет.
Криптоанализировать все шифры нет возможности, не хватит спецов.
Поэтому подход «не доказано/не следует» не прокатывает.
Прокатывает отбрасывать шифры при первых подозрениях.
Шифров не жалко, новых нарожают.
В первую очередь стоит отбрасывать шифры, разработчики которых лгут.
Предлагаете вообще убрать FUD из криптографии?
И сразу заживем?
Алгебраическое описание — это также инструмент оптимизации системы уравнений в целях взлома.
Вам накидать статей, как шифры семейства ARX пытаются ломать через алгебраические атаки?
Там как раз основная проблема, что после некоторого числа итераций алгебраическое описание плохо работает, поэтому ломают алгоритмы с урезанным числом итераций.
Наличие простого (и согласованного!) алгебраического описания для двух последовательных шагов алгоритма (к тому же, скрытого авторами) — это очень подозрительно, я бы сказал.
В случае Стрибог так и есть. Читаем Leo Perrin.
Два последовательных шага алгоритма описываются операциями по модулю одного и того же полинома, представляете?
Просто нет слов.
Наверняка, кто-то в недрах секретных НИИ получил медаль за это… ну или пулю в затылок.
Начнем с простых примеров.
Какая система уравнений проще, на ваш взгляд?
Вот эта: S = A+B mod 16
Или вот эта:
S0 = (A0 XOR B0)
S1 = (A1 XOR B1) XOR ((A0 AND B0) OR (A0 XOR B0))
S2 = (A2 XOR B2) XOR (((A1 XOR B1) AND ((A0 AND B0) OR (A0 XOR B0))) OR (A1 AND B1))
S3 = (A3 XOR B3) XOR ((((A2 XOR B2) AND (A1 XOR B1)) AND ((A0 AND B0) OR (A0 XOR B0))) OR (((A2 XOR B2) AND (A1 AND B1)) OR (A2 AND B2)))
А то я теряюсь в догадках.
Это повышает вероятность того, что существует достаточно простое алгебраическое описание работы шифра.
Тот, кому известно просто алгебраическое описание, может взламывать шифр.
Направление мысли понятно?
Выходит, мобилу продавать вообще небезопасно, а надо торжественно предавать огню.
При Factory Reset ключ шифрования /data в QSEECOM изменяется, а старый ключ, похоже, теряется.
Поэтому все бекапы NAND после Factory Reset становятся бесполезными.
Вобщем, вывод такой — на Xiaomi Redmi 4X достаточно Factory Reset.
Каждый человек хочет стать сверхценным, незаменимым, уникальным.
А бизнесу нужны люди-утилиты, эффективные, послушные, и желательно дешевые.
При этом сам владелец бизнеса конечно же хочет быть незаменимым в своей сфере.
Кто тут прав? Тут нет правды, только вечный конфликт :)
Если их вызвать в функции, которая вызывается в цикле, а компилятор решит ее заинлайнить…
Ну вы поняли, что будет :)
Вообще, alloca — изощренный способ стать инвалидом.