Как стать автором
Обновить

На пути к Skein: просто и понятно про Blowfish

Информационная безопасность *Криптография *Алгоритмы *
«От желудка иглобрюхих рыб отходят мешковидные выросты. При появлении опасности они наполняются водой или воздухом, из-за чего рыба становится похожой на раздувшийся шар
с торчащими шипиками. Шарообразное состояние делает рыб практически неуязвимыми. Если всё же достаточно крупный хищник попытается проглотить такой шар, то он застревает
в глотке у хищника, который впоследствии умирает»


                                Википедия, свободная энциклопедия.

К концу 1993 года в мире криптографии возникла очень неловкая ситуация. Алгоритм симметричного шифрования DES, со своим слабеньким 56-битным ключом, был близок к фиаско, а существующие
на тот момент альтернативные варианты, такие как Khufu, REDOC II, IDEA были защищены патентами
и не доступны для свободного использования. Алгоритмы RC2 и RC4, разработанные в то время компанией RSA Security, также требовали проведение процедуры лицензирования. И в целом, индустрия криптографии в рамках государственных организаций и крупных корпораций была
обращена в сторону использования секретных алгоритмов, таких как Skipjack.

Возник определенный ваккум. Необходим был алгоритм шифрования, более криптостойкий нежели отмирающий DES, и в то же время без каких-либо ограничений на право своего использования.

И он появился.
Читать дальше →
Всего голосов 100: ↑98 и ↓2 +96
Просмотры 41K
Комментарии 28

Worst-case thinking

Информационная безопасность *
Перевод
В 2010 году на одной конференции по защите информации круглый стол был посвящён пессимистичным сценариям. На протяжении нескольких часов кряду выдающиеся специалисты по безопасности пугали друг друга возможными крупномасштабными атаками на коммуникационную инфраструктуру, энергетику, экономику вкупе с военным ударом и прочая, и прочая.



Мой пессимистичный сценарий был таков: в будущем все станут обсуждать только пессимистичные сценарии.

Дело в том, что пессимисты многое не принимают во внимание. Раздувая принцип осторожности, они пытаются вообразить последствия самого неудачного стечения обстоятельств и поступать так, как будто самое неудачное стечение обстоятельств является наиболее вероятным. Воображение заменяет логику, слухи заменяют анализ рисков, страх одерживает верх над здравым смыслом. Общество начинает остро ощущать своё бессилие и уязвимость, страх парализует граждан. Worst-case thinking делает нас уязвимыми к террору.
Читать дальше →
Всего голосов 16: ↑13 и ↓3 +10
Просмотры 3.2K
Комментарии 12

SHA-3 скоро появится на свет

Информационная безопасность *Криптография *Алгоритмы *
Как сообщает Брюс Шнаер в своём блоге Национальный институт стандартов и технологий США (National Institute of Standards and Technology, NIST) собирается в скором времени представить новый хеш-алгоритм, который будет называться SHA-3.

За право бороться в финале на звание нового SHA-3 NIST выбрало 5 финалистов: BLAKE, Grøstl, JH, Keccak, и Skein. Последний является детищем самого Брюса Шнаера.
Подробности
Всего голосов 35: ↑32 и ↓3 +29
Просмотры 11K
Комментарии 23

Брюс Шнайер: Иллюзия безопасности

Научно-популярное
image
Брюс Шнайер не нуждается в представлениях. На Хабрахабре можно найти много статей, касающихся деятельности этого «гуру криптографии». Под катом — текстовая расшифровка видеолекции Брюса Шнайера «The security mirage» («Иллюзия безопасности»).
Эта лекция доступна на YouTube, на Amara её можно посмотреть с субтитрами на 28-ми языках (включая русский). Что же заставило меня отнимать твоё время, хабрачитатель?
Ну и что же там?
Всего голосов 80: ↑77 и ↓3 +74
Просмотры 22K
Комментарии 25

Ловушка конкурсов по взлому

Информационная безопасность *Криптография *
Перевод
В продолжение этого топика и новости о конкурсе от разработчиков Telegram предлагаю вашему вниманию перевод статьи Брюса Шнайера 1998 года. В упомянутом топике ссылались на другую его статью, но именно эта, мне кажется, хорошо раскрывает тему бессмысленности затеи с конкурсами. Кстати, именно Брюс, одним из первых, если не первым, заподозрил закладку в затронутом там же ГПСЧ от АНБ.

image

Вы слышите про них постоянно: «Компания Х выплатит $1,000,000 любому, кто сможет пробить их фаервол/взломать их алгоритм/провести мошенническую транзакцию и использованием их протокола/что угодно еще». Это конкурсы по взлому, и они предназначены, чтобы показать, как защищены и безопасны объекты этих конкурсов. Логика примерно такая: мы предложили много денег за взлом нашего продукта, но никто не взломал. Следовательно, продукт безопасен.

Отнюдь.

Читать дальше →
Всего голосов 142: ↑130 и ↓12 +118
Просмотры 65K
Комментарии 44