![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
jsnКак и ожидалось, последние публикации Сноудена сделали шифрование снова модной темой для салонных бесед. В салоны эти ходят самые разные люди, в том числе ветераны индустрии, стоявшие у истоков всего этого компьютерного крипто. И вот теперь они всякое разное начинают припоминать-рассказывать, и публика, приоткрыв рты, слушает. Я, на самом деле, люблю криптографический технопорн, хотя и не очень много понимаю в шифровании. Вот, только с морды HackerNews / блога Шнайера за сегодня, in no particular order:
Косвенное свидетельство того, что с симметричным шифрованием вообще и с AES в частности всё вроде бы выглядит обнадёживающе:
1. There's this proof that a trapdoored symmetric cipher is equivalent to a public key system (there's a link in the metzdowd thread somewhere). No one seems to have figured out how to build a public key system with anything close to the efficiency of AES.
(вся ветка)
Воспоминания участников проектов по IPSEC об историях, очень похожих на саботаж проекта людьми NSA:
Every once in a while, someone not an NSA employee, but who had longstanding ties to NSA, would make a suggestion that reduced privacy or security, but which seemed to make sense when viewed by people who didn't know much about crypto. For example, using the same IV (initialization vector) throughout a session, rather than making a new one for each packet. Or, retaining a way to for this encryption protocol to specify that no encryption is to be applied.
(original mailing list discussion) (discussion on hacker news)
TOR, вероятно, более-менее прозрачен для NSA, ужасная новость, что до такой степени. Следует исходить из того, что существенный процент узлов контролируется NSA напрямую, значительная часть трафика остальных узлов мониторится пассивными средствами Пяти Глаз, и в качестве вишенки на торте -- NSA умеет ломать шифрование большей части TOR-овского трафика:
After more revelations, and expert analysis, we still aren't precisely sure what crypto the NSA can break. But everyone seems to agree that if anything, the NSA can break 1024 RSA/DH keys. Assuming no "breakthroughs", the NSA can spend $1 billion on custom chips that can break such a key in a few hours. We know the NSA builds custom chips, they've got fairly public deals with IBM foundries to build chips.
The problem with Tor is that it still uses these 1024 bit keys for much of its crypto, particularly because most people are still using older versions of the software. The older 2.3 versions of Tor uses keys the NSA can crack, but few have upgraded to the newer 2.4 version with better keys.
(report) (дискуссия на hackernews)
Шнайер с оценкой реального положения дел по NSA cryptographic capabilities:
The NSA has a lot of people thinking about this problem full-time. According to the black budget summary, 35,000 people and $11 billion annually are part of the Department of Defense-wide Consolidated Cryptologic Program. Of that, 4 percent -- or $440 million -- goes to "Research and Technology."
That's an enormous amount of money; probably more than everyone else on the planet spends on cryptography research put together. I'm sure that results in a lot of interesting -- and occasionally groundbreaking -- cryptanalytic research results, maybe some of it even practical.
Still, I trust the mathematics.
(целиком)
О том, почему было бы неправильно предполагать совсем худшее:
That would be consistent with a statement I heard at a Grid security conference 7 or 8 years ago to the effect that public-key systems were not authorised in the UK for military classified material or systems, but the reason for that was itself classified. I assumed at the time that probably meant they knew an unpublished weakness.
(коммент в блоге Шнайера)
Этот же аргумент я видел где-то ещё, в применении к NSA, и он кажется мне очень валидным. В NSA есть, условно, отдел SIGINT (signal intelligence, прослушка и прочий surveillance), и есть отдел SIGSEC (signal security, защита от враждебного SIGINT [прослушки]). Нахождение небольших контролируемых слабостей в широко используемом шифровании помогает решать задачи SIGINT и не слишком ужасно для SIGSEC. Но наличие огромной зияющей дыры в этом шифровании с точки зрения SIGSEC совершенно неприемлемо (см. историю про роль NSA в создании DES).
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2013-09-12 08:52 am (UTC)1. У меня написано неправильно: S-boxes -- это НЕ перемешивание битов на входе, это таблицы трансляции из шестибитных значений в четырёхбитные, используется в ходе алгоритма.
2. Перемешивание битов на входе действительно не является мерой, влияющей на безопасность (были соображения, кажется, что является, поскольку даёт преимущество хардверным имплементациям; не помню).
3. S-boxes были модифицированны NSA, как описано у меня выше, и это оказалось критически важным для устойчивости к дифференциальному криптоанализу через 15 лет, как описано у меня выше, это не городская легенда (здесь (http://simson.net/ref/1994/coppersmith94.pdf) подробнее, от участника событий).