Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 21
Не хватает постановки задачи:
1) Какую стойкость нужно обеспечить,
2) Какая площадь на чипе доступна? (2000GE?)
Или нужно определение, что есть LW-криптография.
Ничего не сказано про текущий стандарт симметричного шифрования AES.
Гугление подсказывает, что есть реализации на 3000-3400GE.
А что касается самой задачи — конкурс надо объявлять. Как сделали с AES и со SHA-3.
Чтобы каждый автор мог ломать алгоритмы конкурентов.
Алгоритмы, которые никто не ломал, кроме автора — крайне опасны. NXP/Philips уже нарвалась с Crypto1 на Mifare.
1) Какую стойкость нужно обеспечить,
2) Какая площадь на чипе доступна? (2000GE?)
Или нужно определение, что есть LW-криптография.
Ничего не сказано про текущий стандарт симметричного шифрования AES.
Гугление подсказывает, что есть реализации на 3000-3400GE.
А что касается самой задачи — конкурс надо объявлять. Как сделали с AES и со SHA-3.
Чтобы каждый автор мог ломать алгоритмы конкурентов.
Алгоритмы, которые никто не ломал, кроме автора — крайне опасны. NXP/Philips уже нарвалась с Crypto1 на Mifare.
1) Сложно определить из-за разнообразия сфер применения. Алгоритм, который будет применяться в стратегических сферах должен быть, естественно, не хуже обычных алгоритмов, то есть порядка 2200.
2) Как указано в статье, 2000GE. Данная оценка приведена одним из зарубежных авторов как граничная. То есть, можно и 2000, но лучше — меньше.
Про AES — да, мое упущение. Но отчасти здравый смысл подсказывает, что настолько сложный по своей структуре алгоритм довольно сложно уместить в 1000-1500 вентилей.
Конкурс, конечно, хорошая идея. Вот по поточным объявили (EStream) вроде как, правда, результатов нормальных нет. По блочным ситуация сложнее, т.к. придумать что-то принципиально новое сложно, а из простейших шифров лучше PRESENT ничего нет. Его пытаются сломать сейчас чуть ли не каждую неделю. Все новые виды анализа прежде всего применяются к PRESENT. Однако, опять же, говорить более-менее утвердительно о его стойкости пока нельзя. Еще некоторое время для изучения потребуется.
2) Как указано в статье, 2000GE. Данная оценка приведена одним из зарубежных авторов как граничная. То есть, можно и 2000, но лучше — меньше.
Про AES — да, мое упущение. Но отчасти здравый смысл подсказывает, что настолько сложный по своей структуре алгоритм довольно сложно уместить в 1000-1500 вентилей.
Конкурс, конечно, хорошая идея. Вот по поточным объявили (EStream) вроде как, правда, результатов нормальных нет. По блочным ситуация сложнее, т.к. придумать что-то принципиально новое сложно, а из простейших шифров лучше PRESENT ничего нет. Его пытаются сломать сейчас чуть ли не каждую неделю. Все новые виды анализа прежде всего применяются к PRESENT. Однако, опять же, говорить более-менее утвердительно о его стойкости пока нельзя. Еще некоторое время для изучения потребуется.
Значит нужно несколько вариантов определить, для разных сфер. Например, так:
а) 128 бит, 2000GE («Транспорт»)
б) 256 бит, 4000GE («Стратегическая сфера»)
Насколько я вижу, PRESENT не обеспечивает 200 бит, там 128 максимум.
а) 128 бит, 2000GE («Транспорт»)
б) 256 бит, 4000GE («Стратегическая сфера»)
Насколько я вижу, PRESENT не обеспечивает 200 бит, там 128 максимум.
Размер ключа не обязательно ведет к удвоению сложности. Так ГОСТ 28147-89 с 256 битами можно реализовать в классическом виде менее чем за 1000GE.
Про PRESENT — да, только 128 бит. Но лучше пока ничего нет. Да и такой размер ключа не подходит лишь для самых-самых серьезных областей. Если я не ошибаюсь, 10млрд компьютеров, каждый из которых выполняет 10млд операция перебора в секунуд, вскроют шифр только за несколько десятков миллиардов лет, что, конечно отличается от 1047 лет для 256 бит, но тоже неплохо.
Про PRESENT — да, только 128 бит. Но лучше пока ничего нет. Да и такой размер ключа не подходит лишь для самых-самых серьезных областей. Если я не ошибаюсь, 10млрд компьютеров, каждый из которых выполняет 10млд операция перебора в секунуд, вскроют шифр только за несколько десятков миллиардов лет, что, конечно отличается от 1047 лет для 256 бит, но тоже неплохо.
> Так ГОСТ 28147-89 с 256 битами можно реализовать в классическом виде менее чем за 1000GE
Вот его и сломали :)
habrahabr.ru/blogs/crypto/119671
> 10млрд компьютеров, каждый из которых выполняет 10млд операция перебора в секунуд, вскроют шифр только за несколько десятков миллиардов лет.
Надо считать через закон Мура, примерно 1 бит в год каждый симметричный шифр «теряет». Если 56 сейчас не безопасно, значит 80 будет небезопасно через 24 года, а 128 — через 70 лет.
Вот его и сломали :)
habrahabr.ru/blogs/crypto/119671
> 10млрд компьютеров, каждый из которых выполняет 10млд операция перебора в секунуд, вскроют шифр только за несколько десятков миллиардов лет.
Надо считать через закон Мура, примерно 1 бит в год каждый симметричный шифр «теряет». Если 56 сейчас не безопасно, значит 80 будет небезопасно через 24 года, а 128 — через 70 лет.
На самом деле, копипаст из бумажной версии, которая еще не вышла, не думал, что оно дублируется в сеть.
Не важно. Важно, что это не тов. Greyushko написал, а всего лишь скопипастил. Таким образом, инвайт был потрачен на пустое место.
А LW что значит? Light Weigh?
Не совсем понятно с DESL. Насколько я знаю, S-boxes были подобраны таким образом, что эффективно противостоять дифференциальному криптоанализу:
Соотвественно, использование одного и того же S-box вместо восьми разных должно сделать DESL очень восприимчивым к такой атаке.
Some of the suspicions about hidden weaknesses in the S-boxes were allayed in 1990, with the independent discovery and open publication by Eli Biham and Adi Shamir of differential cryptanalysis, a general method for breaking block ciphers. The S-boxes of DES were much more resistant to the attack than if they had been chosen at random, strongly suggesting that IBM knew about the technique in the 1970s.
Соотвественно, использование одного и того же S-box вместо восьми разных должно сделать DESL очень восприимчивым к такой атаке.
>Насколько я знаю, S-boxes были подобраны таким образом, что эффективно противостоять дифференциальному криптоанализу
S-блоки подобраны для DES или DESL? Если для DES, то утверждение слегка некорректно, потому что атака появилась в начале 90х, а сам алгоритм в конце 70х, причем в нем S-блоки зафиксированы и не подлежат изменению. А в DESL да, применяется один, но это не делает алгоритм более слабым. Если использовать S-блок с правильными характеристиками распределения вероятностей, то все будет в порядке.
S-блоки подобраны для DES или DESL? Если для DES, то утверждение слегка некорректно, потому что атака появилась в начале 90х, а сам алгоритм в конце 70х, причем в нем S-блоки зафиксированы и не подлежат изменению. А в DESL да, применяется один, но это не делает алгоритм более слабым. Если использовать S-блок с правильными характеристиками распределения вероятностей, то все будет в порядке.
В том то и дело, что атака появилась в 70, просто ну публиковалась. В той цитате, что я привел — так и написано.
Вот выдержка из русской Википедии:
Вот выдержка из русской Википедии:
Дифференциальный криптоанализ применим для взлома алгоритмов с постоянными S-блоками, таких как DES. При этом его эффективность сильно зависит от структуры S-блоков. Оказалось, что S-блоки DES оптимизированы против дифференциального криптоанализа. Предполагается, что создатели DES знали об этом методе. По словам Дона Копперсмита из IBM:
«При проектировании использовались преимущества определенных криптоаналитических методов, особенно метода «дифференциального криптоанализа», который не был опубликован в открытой литературе. После дискуссий с NSA было решено, что раскрытие процесса проектирования раскроет и метод дифференциального криптоанализа, мощь которого может быть использована против многих шифров. Это, в свою очередь, сократило бы преимущество США перед другими странами в области криптографии.»
А, извиняюсь, не так прочитал. Но в любом случае, как показывает практика, DES обладал не лучшими показателями относительно этой атаки. Подробнее о том, как выбирался S-слой в DESL тут. Там же представлено наглядное обоснование стойкости.
В любом случае, это все разговоры ни о чем. 56 бит сейчас вскрываются при желании легко вскрываются и без особых анализов.
В любом случае, это все разговоры ни о чем. 56 бит сейчас вскрываются при желании легко вскрываются и без особых анализов.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
LW-криптография: шифры для RFID-систем