Криптография *

Это вторая часть цикла про mTLS. В первой разобрали теорию: как работает рукопожатие, от каких атак защищает и где принципиально бессилен. Здесь — практика. Разберём реальный сценарий: homelab на одном сервере с Traefik и Dokploy. Пройдём путь от модели угроз до конкретных попыток атаковать собственный сервер — с командами и объяснениями, что происходит.

Если первую часть не читали — не страшно. Ниже есть краткий раздел с основными понятиями, достаточный, чтобы двигаться дальше.

Тридцать секунд, USB-флешка и зажатая клавиша Ctrl — этого достаточно, чтобы превратить «надёжно зашифрованный» корпоративный ноутбук в открытую книгу. Никакого подбора паролей, никаких хитрых атак на TPM — просто папка с подозрительным именем и среда восстановления Windows, любезно открывающая командную строку с полным доступом к диску.

Самодельный генератор псевдослучайных чисел (ГПСЧ) стал побочным продуктом работы над любительским шифром, а шифры для меня всего лишь хобби и поле для творчества и экспериментов. Поскольку в своём шифре я делал упор на заранее непредсказуемые динамические связи, которые зависят от промежуточных состояний шифра, сама собой напросилась идея о применении этой непредсказуемости для генерации псевдослучайных чисел. Нужно было лишь оценить степень случайности полученного генератора. Как выполнялась оценка, что показали тесты NIST и сравнение с известными «эталонами» — далее в статье.

Если вы когда-нибудь выкатывали фичу, которая хранит персональные данные - почтовые адреса, заметки в свободной форме, API-токены, идентификационные номера - у вас наверняка возникала та же неприятная мысль: врядли стоит доверять базе данных. Бэкапы копируются на ноутбуки. Снапшоты оседают на файловых ресурсах. Галочка “encryption at rest” в облачной консоли защищает только от одного конкретного вида кражи - от того, что кто-то унесет диск.

Зашифровать данные до того, как они попадут в базу, на слайде звучит просто - AES, ключ, готово. В реальном коде простая версия ломается ровно в тот момент, когда вы пытаетесь ротировать ключ, найти запись по email, или объяснить ревьюверу, каким именно ключом зашифрована конкретная строка.

Если с покупкой крипты в России нет никаких проблем, то вот с превращением цифровых активов в фиатные сразу возникают трудности.

Разработанный в компании «Криптонит» (входит в «ИКС Холдинг») алгоритм S3G-5G прошёл новый этап согласования: Технический комитет 26 (ТК 26) по стандартизации «Криптографическая защита информации» утвердил методические рекомендации по его применению. Алгоритм представляет собой российский аналог криптографических функций 3GPP (f1–f5), предназначенных для выработки вспомогательных секретных ключей и аутентификационных векторов в сетях подвижной радиотелефонной связи пятого поколения (5G). Его внедрение позволит значительно повысить безопасность абонентов.

Методические рекомендации S3G-5G — это усовершенствованная и специализированная для сетей 5G версия ранее принятых рекомендаций S3G-256 (Р1323565.1.003-2024). Ключевое отличие заключается в добавлении случайности со стороны устройства абонента (UE — User Equipment), что делает невозможными атаки повторного воспроизведения (replay attack). В отсутствие такой защиты злоумышленник может легко отследить факт аутентификации и перемещения пользователя, выяснить, где и когда он бывает, и получить возможность для целенаправленных атак. Таким образом, основная функция нового алгоритма — надёжная защита от отслеживания местоположения абонентов.

Не так давно я публиковал на Хабре обзорную статью о применении кубика Рубика в криптографии, где приводил интересный кейс с крипто-челленджем Клауса Шмеха. Потом мне стали попадаться еще интересные задачи с зашифрованными посланиями на кубике Рубика, как, например, случай на Reddit, где пользователь просил сообщество помочь расшифровать сообщение, которое ему оставила девушка на кубике Рубика. На олимпиадах по криптографии, как выяснилось, тоже периодически появляются задачки с шифрами на кубике Рубика. Всё это привело меня к мысли, что шифрование на кубике Рубика может быть весьма интересным занятными. И я решил поэкспериментировать с "рубошифрованием". В этой статье приведу первую (простую) задачку, на решение которой мне понадобилось около часа. Жду ваших решений в комментариях. А правильный ответ и собственное решение опубликую через пару недель.

AI, которому запрещено быть правым

Когда AI подключают к криптографической системе, обычно задают вопрос: может ли модель найти правильный ответ? Но в криптографии это неправильный вопрос. Правильный вопрос другой: можно ли встроить AI так, чтобы даже при ошибке он не мог принять опасное решение? В этой статье я показываю, как мы реализовали в nonce-observatory отдельный слой governed solver orchestration — архитектуру, в которой AI может:

анализировать public-safe feature contract;

предлагать solver routes;

строить очередь запусков;

помогать с triage и объяснением маршрутов;

но не может:

видеть truth/private/nonce поля;

принимать candidate_d;

принимать k;

формировать recovery claim;

превращать свой score в криптографическое evidence.

Иными словами:

AI suggests. Exact verifier decides. Разбираю, почему для high-assurance систем важен не “умный AI”, а AI без authority, как устроена граница non-escalation, где проходит deterministic integrity gate, и почему в зрелой криптографической системе модель должна оставаться только планировщиком, а не источником истины.

Внутри статьи:

ECDSA / Schnorr / BIP340 контекст;

governed solver orchestration;

non-escalation boundary;

safe payload и forbidden fields;

solver queue vs cryptographic evidence;

deterministic verifier;

clean-control refusal;

claim boundary: что мы не утверждаем.

Статья будет полезна не только тем, кто работает с криптографией, но и всем, кто проектирует AI в критических системах, где ошибка модели не должна автоматически становиться принятым фактом.

Аутсорсинг - передача компанией на основании договора части своих задач или функций другой компании, действующей в нужной области. Например, на аутсорсинг могут быть переданы такие функции, как ведение бухгалтерского учёта, уборка помещений, рекламные услуги, транспортные услуги, внедрение и сопровождение информационных систем и, даже, обеспечение информационной безопасности. Тех, кому передаются задачи/функции по договору подряда, еще называют подрядчики. И они составляют подмножество контрагентов, с которыми нужно и можно взаимодействовать безопасно, сокращая поверхность атак и снижая киберриски. Об этом мы писали в нашей статье «Киберугрозы при взаимодействии с контрагентами и как защититься от них». В статье мы выделяли основные киберриски:

В прошлой статье про трёхуровневый кэш сообщений я уже упоминал, что делаю мессенджер ONEMIX на React Native. Базовое E2E у меня было простое: ECDH P-256 для обмена ключами при первом контакте, AES‑GCM для шифрования каждого сообщения общим секретом. Это работает, но имеет одну проблему: общий секрет один на всю переписку. Если у одной из сторон скомпрометируют приватный ключ — все сообщения за всё время превращаются в открытый текст.

Это называется отсутствием Perfect Forward Secrecy (PFS). И это значит, что человек, к которому в руки попадёт твой телефон через год, может прочитать переписку из прошлого года. WhatsApp, Signal, и серьёзные части Telegram давно используют другую схему — Double Ratchet — которая ключи переизбретает заново на каждом сообщении. Так делают потому, что любой ключ компрометируется в один момент времени, и компрометация не должна давать доступа ни к прошлому, ни к будущему.

Я реализовал Double Ratchet с нуля для ONEMIX. В этой статье разберу:

Если вы когда-нибудь смотрели на свой ноутбук и чувствовали, что он работает исключительно благодаря колдовству, чёрной магии и молитвам инженеров в очках — эта книга для вас. Чарльз Петцольд, автор легендарного «Программирования для Windows», взялся за невозможное: объяснить, как компьютер работает изнутри, начиная с самой базы — с карманного фонарика. Да-да, с обычного фонарика, которым вы светили под одеялом, чтобы дочитать комикс.

Секрет в том, что Петцольд не верит в метафоры. Никаких «паровозиков, везущих нолики и единички», никаких «электронных мозгов».

Приветствую, Хабр!  В анализе криптографических алгоритмов достаточно часто используется понятие оракула. Оракул – это некоторая гипотетическая вычислительная сущность, которая может мгновенно выполнять конкретные требуемые криптоаналитику операции. Например, выдавать истинно случайные числа (случайный оракул), или зашифровывать/расшифровывать данные на некотором априори известном оракулу ключе шифрования (соответственно, оракул зашифрования/расшифрования). 

Предлагаю в этой статье пойти дальше и рассмотреть оракул, способный найти прообраз (точнее, совокупность возможных прообразов) заданного хеш-кода конкретной хеш-функции. Поскольку хеш-функции часто используются в более сложных конструкциях, предлагаем посмотреть и порассуждать, как наличие такого оракула влияет на свойства вышележащих криптографических механизмов. В качестве их примера рассмотрим конструкции HMAC (Hash-based Message Authentication Codes – коды аутентификации сообщений на основе хеширования).

Асинхронная клиент-серверная библиотека для обмена сообщениями между микросервисами на базе ZeroMQ. Реализует гарантированную доставку сообщений (At-Least-Once) с персистентной файловой очередью при обрывах связи, автоматический failover сервера переадресации (клиенты могут подхватывать роль сервера на лету) и два уровня защиты: шифрование канала (CurveZMQ) и сквозное шифрование сообщений (HMAC). Лёгкая альтернатива брокерам вроде RabbitMQ, не требующая отдельного сервера.

Nonce Observatory: как превратить цифровые подписи в систему наблюдаемых nonce-инвариантов

Большинство историй про ECDSA/Schnorr nonce звучит одинаково: “повторили nonce — потеряли ключ”. Но реальные дефекты часто тоньше: короткие nonce, частичная утечка битов, смещение, recurrence, window-locality, prefix-семейства, ошибки в multi-signature контексте.

Мы собрали исследовательскую систему Nonce Observatory — не “кнопку взлома”, а forensic framework для анализа слабых nonce-структур в:

ECDSA • Schnorr/BIP340 • MuSig2/BIP327

Что внутри:

protocol-valid bridges affine hidden-nonce families HNP / lattice routes Q-LLL + fplll same-case checks AI sidecar на gpt-oss-20b-TurboQuant-MLX-8bit exact evidence / redaction / claim boundaries full-system audit

Главный принцип системы:

сигнал ≠ восстановление; кандидат ≠ приватный ключ; claim принимается только если d·G == public key.

В статье расскажу:

— что такое HNP и зачем он нужен для ECDSA; — как подписи превращаются в affine nonce geometry; — почему BIP340 и MuSig2 требуют protocol bridge; — как Q-LLL используется как lattice backend, а не “магический oracle”; — зачем нужен AI sidecar и почему AI не имеет права принимать d; — как мы дошли до full-range controlled HNP recovery без nonce brute force; — почему full-system audit важнее красивого demo.

Это статья не про “сломать Bitcoin”. Это статья про инженерную дисциплину в криптографической форензике: наблюдаемость, воспроизводимость, проверяемость и честные границы заявлений.

Мы привыкли воспринимать LLL-редукцию как «чёрный ящик»: подали целочисленный базис, получили редуцированный базис, проверили результат. Но что, если сделать процесс редукции наблюдаемым?

В статье рассказываю о Q-LLL — exact-certified алгоритме семейства LLL, где классическая корректность сохраняется, но выбор редукционных действий управляется квантизированной Gram/Lovász-геометрией.

Главная идея:

approximate geometry observes, exact arithmetic decides, certificate proves.

Q-LLL не заменяет fplll и не меняет Lovász-критерий. Вместо этого он добавляет новый слой: quantized Gram/Lovász oracle, exact gate, fair scheduler и proof-carrying certificates, которые можно независимо проверить.

В статье разбираю:

— почему обычного sequential LLL недостаточно для больших семейств lattice-вариантов; — что такое Lovász slack и как из него получается карта геометрических дефектов; — как работает quantized Gram/Lovász oracle; — почему approximate слой не принимает математических решений; — зачем нужны exact-сертификаты и independent verifier; — как Q-LLL становится lattice-core для nonce-observatory; — какие результаты уже получены и какие ограничения честно остаются.

Это не статья про «магическую кнопку» и не claim про универсальное превосходство над fplll. Это попытка показать новый взгляд на LLL: как на управляемый, наблюдаемый и проверяемый процесс, где квантизированная геометрия направляет редукцию, а exact-арифметика остаётся источником истины.

В нынешних условиях многим пользователям приходится по принуждению использовать незащищённые мессенджеры и социальные сети, то есть скомпрометированные каналы связи. К счастью, есть возможность передавать секретные зашифрованные сообщения по публичным открытым каналам. Это стандартная задача, которая давно решена в криптографии.

Более того, зашифрованное сообщение можно сделать похожим на обычный текст или даже скрыть в обычном контенте — видео, звуковых файлах и тексте, который не вызовет подозрений у «цензора». Это область стеганографии

Но прямо сейчас людям нужен простой и практичный способ шифровать сообщения, максимально удобным способом. Рассмотрим самые простые онлайновые утилиты, которые позволяют это делать.

Привет, Хабр.

Я Java-разработчик и в основном работаю с backend: Spring Boot, базы данных, интеграции, авторизация, WebSocket — всё то, что обычно находится за интерфейсом.

В какой-то момент я поймал себя на мысли: я каждый день пользуюсь мессенджерами, но плохо понимаю, как они устроены внутри. Окей, JWT, WebSocket, PostgreSQL, Redis — это понятно. Но что технически означает фраза “end-to-end encryption”? Как сервер доставляет сообщения, если он не должен их читать? Где живут ключи? Что хранится в базе? Что происходит, если у пользователя два устройства?

Решил разобраться через практику. Написал мессенджер с нуля. Назвал Chaos Messenger.

Сразу честно: криптографическую часть я изучал вместе с Claude и ChatGPT — читал спецификации X3DH и Double Ratchet, разбирал примеры, задавал вопросы, пока не сложилась цельная картина. Frontend тоже делался с активной помощью ChatGPT: я backend-разработчик, React для меня не основная среда. Но архитектура, backend, интеграция WebCrypto, модель конвертов, хранение сообщений и принципиальные решения — мои.

Для меня AI здесь был не заменой понимания, а инструментом — примерно как документация, Stack Overflow и ревью коллег. Без понимания threat model и архитектуры такой проект всё равно не собрать.

В статье расскажу, как работает E2EE изнутри: как устанавливается сессия через X3DH, как каждое сообщение получает отдельный ключ через Symmetric Ratchet, почему сервер хранит только зашифрованные конверты, и какие ошибки я допустил по дороге.

Стек: Spring Boot 3, React 18, WebCrypto API, PostgreSQL, Redis, WebSocket/STOMP, Prometheus, Grafana.

После того как я написал статью «Головоломка на 1000 BTC» мне стали писать в личку авторы программ для их решения. В этой статье я расскажу о целом семействе таких программ и протестирую все те, что попали мне в руки, на скорость.

В этом году меня стали посещать мысли о точке невозврата. Мы оказались там, где степень неопределённости настолько высокая, что мозг начинает выдавать обратное: всё понятно, всё под контролем, беспокоиться не о чём.

Помню, как на лекциях по квантовой физике профессор периодически спрашивал: «Всё понятно? Или всё настолько непонятно, что кажется будто понятно?» Я часто возвращаюсь к этой фразе, когда нужно откалибровать своё положение.

Последние месяцы много читал про то, как ИИ и квантовые компьютеры изменят мир. Консенсуса нет ни одного, кроме одного: всё будет не так как раньше, и скорость изменений вырастет. Одни рисуют массовую безработицу и деградацию, другие — эпоху изобилия. Я склоняюсь к тому, что правы и те и другие, просто для разных людей и в разное время. Но точно знаю одно: те, кто будет сопротивляться прогрессу, окажутся погребены под ним независимо от сценария. Но сегодня про другое.

Пока весь интернет спорит об уязвимости блокчейна перед квантовыми компьютерами и ИИ, я наткнулся на новость в NYT о том, что у клиентки Fidelity внезапно исчез весь счёт. Все накопления. Просто пропали. Чудом удалось восстановить.

Помните, я говорил, что уверенность — это слабость? Вот оно. Банковские счета, брокерские счета, всё то, чем мы пользуемся последние 50 лет, априори считаются безопасными. Эта уверенность и есть главная уязвимость. Люди просто туда не смотрят. А банковское лобби делает всё, чтобы так и оставалось.

Я не уверен, что банковская система защитит мои деньги. И вот почему.

В марте 2026 году криптографы из Google Quantum AI опубликовали доказательство, что сверхпроводящий квантовый компьютер с 500 000 физических кубитов (это 1200 кубитов с коррекцией ошибок) способен взломать приватные ключи Bitcoin максимум за 9 минут (быстрее, чем 10-минутное время генерации новых блоков). Хотя опасность квантовых вычислений для традиционных шифров известна давно, ранее для этого предполагалась более серьёзная конфигурация, чем 500 тыс. кубитов.

Новое доказательство поднимает перед финансовой индустрией несколько вопросов. Самый главный — когда будут разработаны и поступят в продажу квантовые компьютеры на 500 тыс. кубитов, если сейчас у самого мощного около 150 кубитов?

Исследователи Google Quantum AI в техническом отчёте дают рекомендации по минимизации ущерба.