![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
jsnКак и ожидалось, последние публикации Сноудена сделали шифрование снова модной темой для салонных бесед. В салоны эти ходят самые разные люди, в том числе ветераны индустрии, стоявшие у истоков всего этого компьютерного крипто. И вот теперь они всякое разное начинают припоминать-рассказывать, и публика, приоткрыв рты, слушает. Я, на самом деле, люблю криптографический технопорн, хотя и не очень много понимаю в шифровании. Вот, только с морды HackerNews / блога Шнайера за сегодня, in no particular order:
Косвенное свидетельство того, что с симметричным шифрованием вообще и с AES в частности всё вроде бы выглядит обнадёживающе:
1. There's this proof that a trapdoored symmetric cipher is equivalent to a public key system (there's a link in the metzdowd thread somewhere). No one seems to have figured out how to build a public key system with anything close to the efficiency of AES.
(вся ветка)
Воспоминания участников проектов по IPSEC об историях, очень похожих на саботаж проекта людьми NSA:
Every once in a while, someone not an NSA employee, but who had longstanding ties to NSA, would make a suggestion that reduced privacy or security, but which seemed to make sense when viewed by people who didn't know much about crypto. For example, using the same IV (initialization vector) throughout a session, rather than making a new one for each packet. Or, retaining a way to for this encryption protocol to specify that no encryption is to be applied.
(original mailing list discussion) (discussion on hacker news)
TOR, вероятно, более-менее прозрачен для NSA, ужасная новость, что до такой степени. Следует исходить из того, что существенный процент узлов контролируется NSA напрямую, значительная часть трафика остальных узлов мониторится пассивными средствами Пяти Глаз, и в качестве вишенки на торте -- NSA умеет ломать шифрование большей части TOR-овского трафика:
After more revelations, and expert analysis, we still aren't precisely sure what crypto the NSA can break. But everyone seems to agree that if anything, the NSA can break 1024 RSA/DH keys. Assuming no "breakthroughs", the NSA can spend $1 billion on custom chips that can break such a key in a few hours. We know the NSA builds custom chips, they've got fairly public deals with IBM foundries to build chips.
The problem with Tor is that it still uses these 1024 bit keys for much of its crypto, particularly because most people are still using older versions of the software. The older 2.3 versions of Tor uses keys the NSA can crack, but few have upgraded to the newer 2.4 version with better keys.
(report) (дискуссия на hackernews)
Шнайер с оценкой реального положения дел по NSA cryptographic capabilities:
The NSA has a lot of people thinking about this problem full-time. According to the black budget summary, 35,000 people and $11 billion annually are part of the Department of Defense-wide Consolidated Cryptologic Program. Of that, 4 percent -- or $440 million -- goes to "Research and Technology."
That's an enormous amount of money; probably more than everyone else on the planet spends on cryptography research put together. I'm sure that results in a lot of interesting -- and occasionally groundbreaking -- cryptanalytic research results, maybe some of it even practical.
Still, I trust the mathematics.
(целиком)
О том, почему было бы неправильно предполагать совсем худшее:
That would be consistent with a statement I heard at a Grid security conference 7 or 8 years ago to the effect that public-key systems were not authorised in the UK for military classified material or systems, but the reason for that was itself classified. I assumed at the time that probably meant they knew an unpublished weakness.
(коммент в блоге Шнайера)
Этот же аргумент я видел где-то ещё, в применении к NSA, и он кажется мне очень валидным. В NSA есть, условно, отдел SIGINT (signal intelligence, прослушка и прочий surveillance), и есть отдел SIGSEC (signal security, защита от враждебного SIGINT [прослушки]). Нахождение небольших контролируемых слабостей в широко используемом шифровании помогает решать задачи SIGINT и не слишком ужасно для SIGSEC. Но наличие огромной зияющей дыры в этом шифровании с точки зрения SIGSEC совершенно неприемлемо (см. историю про роль NSA в создании DES).
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2013-09-08 08:45 pm (UTC)обычно payload шифруется AES, а ключ от него передаётся в том же пакете в асимметрично зашифрованном виде (обычно RSA), плюс IV, сигнатура и т.д.
и речь шла вроде как об одной из составляющих private key
безотносительно этого, практика escrow keys всегда была, есть и будет
no subject
Date: 2013-09-08 09:06 pm (UTC)no subject
Date: 2013-09-09 03:45 pm (UTC)я говорю, что криптоустойчивость самого AES в этом контексте вообще иррелевантна
потому что к ciphertext всё равно прикладывают ключ от него
no subject
Date: 2013-09-09 03:56 pm (UTC)no subject
Date: 2013-09-09 08:46 pm (UTC)в мире практически всё кроме дурацкого флэша шифруется симметрично, а сами ключи от симметричного шифра шифруются асимметрично и прилагаются к ciphertext
поэтому смысла ослаблять или ломать сам симметричный шифр нет, если можно ломать (или проще оставлять себе escrow key) асимметричный шифр, которым зашифрован ключ от симметричного
типовой пример (упрощённый, без сигнатуры, IV и fingerprint):
шаг 1) симметричное шифрование: plaintext + aes_secret_key => AES => aes_ciphertext_of_plaintext
шаг 2) асимметричное: aes_secret_key + rsa_public_key (получателя пакета) => RSA => rsa_ciphertext_of_aes_secret_key
в результате, хранится и передаётся по каналам связи то, что выделено жирным, в одном пакете
т.е. чтобы получить исходное сообщение, достаточно сломать rsa_ciphertext_of_aes_secret_key и им расшифровать всё остальное
и вроде как речь шла о том, что некоторые составляющие rsa_private_key (он состоит из экспоненты и ещё нескольких чисел) отдаются в руки врага
или даже escrow key, т.е. альтернативный ключ (такой используется например iTunes для синхронизации девайсов)
no subject
Date: 2013-09-09 09:49 pm (UTC)речь шла о том, что некоторые составляющие rsa_private_key (он состоит из экспоненты и ещё нескольких чисел) отдаются в руки врага или даже escrow key, т.е. альтернативный ключ (такой используется например iTunes для синхронизации девайсов)
Вот, где речь шла? Нигде в местах, о которых я тут говорю, ни о чём таком речь не шла же? Там даже о конкретных протоколах речь не шла (про IPSEC разве что косвенно).
no subject
Date: 2013-09-10 06:41 am (UTC)здесь речь об этом действительно не шла, но в прессе это сейчас обсуждается в том же самом контексте
и мне непонятно, почему в этом контексте они вообще беспокоятся об AES, учитывая его типовые применения
это видится мне крайне нелогичным, потому что это далеко не самое уязвимое звено, скорее наоборот
что касается самого AES, то понятно, что всё *сильно* зависит от mode и IV
http://en.wikipedia.org/wiki/Block_cipher_mode_of_operation
если кто-то по незнанию будет использовать ECB или неудачные IV, то сами будут виноваты
а так вроде всё уже проверено-перепроверено вдоль и поперёк
ладно, я перестаю спамить =)
no subject
Date: 2013-10-05 01:03 am (UTC)