Если криптовелосипед использует какой-то оттестированный стандарт — совершенно не значит что он имеет такую же или лучшую защищенность. Пример: mac-and-encrypt, использует два криптопримитива MAC и блочный или потоковый шифр, однако из-за неправильного применения MAC через него может утекать информация о исходном сообщении. Особенно если учесть что RFC-драфт на scrypt истек почти год назад (пруф: tools.ietf.org/html/draft-josefsson-scrypt-kdf-01).
Но вообще надо отметить что идея scrypt мне нравится.
Ну и замечательно. Чем меньше услуг и товаров я оплачу в России — тем меньше золотых унитазов смогут построить себе чиновники с налогов на эти товары и услуги.
Да хоть пусть он лично знаком с тем кто этот конкретный микрофонный усилитель делал — кроме как статистически этот источник никак моделировать не получится, если только этот конкретный ADC не делали с закладкой (а т.к. этот ADC могут использовать еще в 1000 приложениях — вероятность этого стремиться к нулю). Различайте устройства которые специально делались для применений в криптографии и устройства, побочным эффектом которых является создание энтропии.
В таких случаях в системе сборки энтропии обязательно предусмотрены т.н. randomness тесты, которые в перечисленных вами случаях просто отключат сбоящие каналы энтропии, а если отключается последний — сообщают администратору, т.к. в этом случае не просто не нужно а опасно использовать такой источник. А в случае использования интеловского генератора как раз может случится непоправимое — пара источников энтропии исчезнет, и он останется основным вносящим энтропию. И да, я нигде не говорил что нужно ставить всё на один источник, я говорил всего лишь что ненадежные источники (а это еще и опасный источник — т.к. он ненадежен но randomness-тесты он проходит) стоит заранее исключить из сбора энтропии.
Если у вас для энтропии используется пара LSB с АЦП с микрофона — никому ничего там «смоделировать» не удасться. Проблема в том что есть источники истинного рандома — например шум АЦП (другое дело что он может быть смещен каким либо образом, для этого используются различные алгоритмы типа схемы фон Неймана), а есть источники псевдорандома. Так вот для первых возможны только статистические методы атаки, для вторых же мы просто можем восстановить полную последовательность, следовательно источники второго типа в отличии от первых, каким бы образом вы их не комбинировали — xor'ом или хеш-функцией, в лучшем идеальном случае (к примеру когда у нас идеальная хеш-функция) просто не прибавляют энтропии (читайте безопасности), в худшем — ослабляют её.
В таком случае еще меньше смысла использовать генератор случайных чисел в процессоре — скорости он не прибавит, (т.к. в этом случае скорость наполнения пула энтропии будет равна скорости самого медленного источника), секьюрности тоже — какой смысл xor'ить пул энтропии какой-либо «заранее известной» последовательностью?
Если их смешать с фоном из микрофона и приправить координатами мыши — получится случайный генератор с внедренной неслучайной последовательностью — следовательно он будет более слабый нежели просто фон из микрофона и координаты мыши. Здесь конечно не работает принцип ложки дёгтя в бочке мёда, но всё равно ненадежные источники лучше полностью исключить.
Нужно использовать алгоритмы прошедшие процедуру рецензирования и различные конкурсы (чем больше независимых конкурсов — тем лучше). Если в статье говорится про Dual_EC_DRBG (а судя по ссылкам на статье в википедии — так оно и есть), то о нем, после подобных конкурсов и аудитов, много раз отзывались как о подозрительном и потенциально имеющем бекдор.
Ну и конечно не бывает ничего идеального, P≠NP не доказано посему любой алгоритм потенциально ненадежен и лучше использовать их комбинации, а в случае с генераторами случайных чисел — использовать источники истинного рандома, как то энтропия собранная путём регистрации случайных событий в системе либо использования аппаратных генераторов случайных чисел (с открытым дизайном конечно же)
>ну вот вы все такие криптоанархисты, юзаете всякие bitmessage, i2p и прочее.
>И при этом используете винду, skype
Плохоньие вам криптоанархисты попадались, бракованные.
Никуда бежать не надо, алгоритм не скомпрометирован, скомпрометирован продукт RSA Security. Просто нужно использовать открытые альтернативы, например Gnu PG (а так же всячески напирать на независимый аудит кода, как это было сделано с TrueCrypt)
Но вообще надо отметить что идея scrypt мне нравится.
Ну и конечно не бывает ничего идеального, P≠NP не доказано посему любой алгоритм потенциально ненадежен и лучше использовать их комбинации, а в случае с генераторами случайных чисел — использовать источники истинного рандома, как то энтропия собранная путём регистрации случайных событий в системе либо использования аппаратных генераторов случайных чисел (с открытым дизайном конечно же)
>И при этом используете винду, skype
Плохоньие вам криптоанархисты попадались, бракованные.