After all, you only find out who is swimming naked when the tide goes out (c)

[jsn]

Как и ожидалось, последние публикации Сноудена сделали шифрование снова модной темой для салонных бесед. В салоны эти ходят самые разные люди, в том числе ветераны индустрии, стоявшие у истоков всего этого компьютерного крипто. И вот теперь они всякое разное начинают припоминать-рассказывать, и публика, приоткрыв рты, слушает. Я, на самом деле, люблю криптографический технопорн, хотя и не очень много понимаю в шифровании. Вот, только с морды HackerNews / блога Шнайера за сегодня, in no particular order:

Косвенное свидетельство того, что с симметричным шифрованием вообще и с AES в частности всё вроде бы выглядит обнадёживающе:

1. There's this proof that a trapdoored symmetric cipher is equivalent to a public key system (there's a link in the metzdowd thread somewhere). No one seems to have figured out how to build a public key system with anything close to the efficiency of AES.
(вся ветка)

Воспоминания участников проектов по IPSEC об историях, очень похожих на саботаж проекта людьми NSA:

Every once in a while, someone not an NSA employee, but who had longstanding ties to NSA, would make a suggestion that reduced privacy or security, but which seemed to make sense when viewed by people who didn't know much about crypto. For example, using the same IV (initialization vector) throughout a session, rather than making a new one for each packet. Or, retaining a way to for this encryption protocol to specify that no encryption is to be applied.
(original mailing list discussion) (discussion on hacker news)

TOR, вероятно, более-менее прозрачен для NSA, ужасная новость, что до такой степени. Следует исходить из того, что существенный процент узлов контролируется NSA напрямую, значительная часть трафика остальных узлов мониторится пассивными средствами Пяти Глаз, и в качестве вишенки на торте -- NSA умеет ломать шифрование большей части TOR-овского трафика:

After more revelations, and expert analysis, we still aren't precisely sure what crypto the NSA can break. But everyone seems to agree that if anything, the NSA can break 1024 RSA/DH keys. Assuming no "breakthroughs", the NSA can spend $1 billion on custom chips that can break such a key in a few hours. We know the NSA builds custom chips, they've got fairly public deals with IBM foundries to build chips.
The problem with Tor is that it still uses these 1024 bit keys for much of its crypto, particularly because most people are still using older versions of the software. The older 2.3 versions of Tor uses keys the NSA can crack, but few have upgraded to the newer 2.4 version with better keys.

(report) (дискуссия на hackernews)

Шнайер с оценкой реального положения дел по NSA cryptographic capabilities:

The NSA has a lot of people thinking about this problem full-time. According to the black budget summary, 35,000 people and $11 billion annually are part of the Department of Defense-wide Consolidated Cryptologic Program. Of that, 4 percent -- or $440 million -- goes to "Research and Technology."
That's an enormous amount of money; probably more than everyone else on the planet spends on cryptography research put together. I'm sure that results in a lot of interesting -- and occasionally groundbreaking -- cryptanalytic research results, maybe some of it even practical.
Still, I trust the mathematics.
(целиком)

О том, почему было бы неправильно предполагать совсем худшее:

That would be consistent with a statement I heard at a Grid security conference 7 or 8 years ago to the effect that public-key systems were not authorised in the UK for military classified material or systems, but the reason for that was itself classified. I assumed at the time that probably meant they knew an unpublished weakness.
(коммент в блоге Шнайера)

Этот же аргумент я видел где-то ещё, в применении к NSA, и он кажется мне очень валидным. В NSA есть, условно, отдел SIGINT (signal intelligence, прослушка и прочий surveillance), и есть отдел SIGSEC (signal security, защита от враждебного SIGINT [прослушки]). Нахождение небольших контролируемых слабостей в широко используемом шифровании помогает решать задачи SIGINT и не слишком ужасно для SIGSEC. Но наличие огромной зияющей дыры в этом шифровании с точки зрения SIGSEC совершенно неприемлемо (см. историю про роль NSA в создании DES).

Comments

[dkfl.livejournal.com]

(см. историю про роль NSA в создании DES).

а есть подробности?

[dkfl.livejournal.com]

кстати да, викиликс AES использовали..

[dhr-eigen.livejournal.com]

дело не в AES
обычно payload шифруется AES, а ключ от него передаётся в том же пакете в асимметрично зашифрованном виде (обычно RSA), плюс IV, сигнатура и т.д.
и речь шла вроде как об одной из составляющих private key

безотносительно этого, практика escrow keys всегда была, есть и будет

[jsn.livejournal.com]

История достаточно общеизвестная; удивительно, но за пять минут я не смог нагуглить компактного и полного описания. Верхний коммент (https://news.ycombinator.com/item?id=4580434) здесь в общих чертах рассказывает, как всё было. Частью спецификации DES является набор числовых констант, используемых для перемешивания битов шифруемого текста в самом начале шифрования; так называемые S-boxes. Когда IBM опубликовали драфт DES-а, там присутствовали эти самые S-boxes, с конкретными значениями. NSA, без объяснения причин, сказало "вам лучше использовать другие значения для S-boxes, вот такие". Было совершенно непонятно, чем S-boxes от NSA лучше оригинальных; тем не менее, предложение NSA было принято и стало стандартом. Народ подозревал, что NSA таким образом вставило закладку в DES. Через 15 лет был открыт дифференциальный криптоанализ, и выяснилось, что с оригинальными S-boxes DES был очень уязвим для этой техники, а S-boxes от NSA делают его устойчивым к ней.

[jsn.livejournal.com]

Это, наверное, не мне, а в ответ на коммент выше?

[opegs.livejournal.com]

Don Coppersmith комментировал уже раза 3 эту историю (http://cryptome.org/jya/jog-mr.htm). Ищите на его имя и т.д.

[dhr-eigen.livejournal.com]

почему же
я говорю, что криптоустойчивость самого AES в этом контексте вообще иррелевантна
потому что к ciphertext всё равно прикладывают ключ от него

[jsn.livejournal.com]

Контекст к этому всему -- это, например, рекомендации (Шнайера, в частности) использовать симметричное шифрование в случаях, когда им можно обойтись (ассиметричное не необходимо), и в этом контексте криптоустойчивость AES абсолютно релевантна.

[dhr-eigen.livejournal.com]

либо я чего-то не понимаю, либо вы не то же самое имеете в виду, что я сам об этом читал в прессе
в мире практически всё кроме дурацкого флэша шифруется симметрично, а сами ключи от симметричного шифра шифруются асимметрично и прилагаются к ciphertext
поэтому смысла ослаблять или ломать сам симметричный шифр нет, если можно ломать (или проще оставлять себе escrow key) асимметричный шифр, которым зашифрован ключ от симметричного

типовой пример (упрощённый, без сигнатуры, IV и fingerprint):
шаг 1) симметричное шифрование: plaintext + aes_secret_key => AES => aes_ciphertext_of_plaintext
шаг 2) асимметричное: aes_secret_key + rsa_public_key (получателя пакета) => RSA => rsa_ciphertext_of_aes_secret_key
в результате, хранится и передаётся по каналам связи то, что выделено жирным, в одном пакете
т.е. чтобы получить исходное сообщение, достаточно сломать rsa_ciphertext_of_aes_secret_key и им расшифровать всё остальное
и вроде как речь шла о том, что некоторые составляющие rsa_private_key (он состоит из экспоненты и ещё нескольких чисел) отдаются в руки врага
или даже escrow key, т.е. альтернативный ключ (такой используется например iTunes для синхронизации девайсов)

[jsn.livejournal.com]

Эээ, я даже не знаю, пример чего вы приводите (любое сессионное шифрование, если совсем грубо смотреть, так устроено; судя по упоминанию "пакетов", это что-то, связанное с каким-то сетевыми протоколами). Но почему вы думаете, что обсуждение возможностей NSA по отношению к AES имело хоть какое-то отношение к этому контексту? Там же из чтения дискуссии просто очевидно, что не имело. Там совершенно отдельный вопрос про то, насколько мы можем рассчитывать на AES. Он сам по себе применяется безо всяких public key encryption много где, и с public key, но без RSA, тоже много где, и с RSA, но без утечек энтропий, тоже много где.

речь шла о том, что некоторые составляющие rsa_private_key (он состоит из экспоненты и ещё нескольких чисел) отдаются в руки врага или даже escrow key, т.е. альтернативный ключ (такой используется например iTunes для синхронизации девайсов)

Вот, где речь шла? Нигде в местах, о которых я тут говорю, ни о чём таком речь не шла же? Там даже о конкретных протоколах речь не шла (про IPSEC разве что косвенно).

[dhr-eigen.livejournal.com]

а, ну значит мы действительно о разном
здесь речь об этом действительно не шла, но в прессе это сейчас обсуждается в том же самом контексте
и мне непонятно, почему в этом контексте они вообще беспокоятся об AES, учитывая его типовые применения
это видится мне крайне нелогичным, потому что это далеко не самое уязвимое звено, скорее наоборот

что касается самого AES, то понятно, что всё *сильно* зависит от mode и IV
http://en.wikipedia.org/wiki/Block_cipher_mode_of_operation
если кто-то по незнанию будет использовать ECB или неудачные IV, то сами будут виноваты
а так вроде всё уже проверено-перепроверено вдоль и поперёк

ладно, я перестаю спамить =)

[dkfl.livejournal.com]

мать-мать!

[dkfl.livejournal.com]

оказалась городская легенда.
перемешивание никак не усиливает DES.
http://crypto.stackexchange.com/a/6/592

[jsn.livejournal.com]

По вашей ссылке рассказывается, откуда взялись S-boxes. Ничего о роли тех или иных конкретных значений S-boxes там не говорится. И нет, это совсем не городская легенда.

[dkfl.livejournal.com]

With an 8-bit bus, you would need 8 shift registers, each receiving 8 bits for an input block. The first register will receive bits 1, 9, 17, 25, 33, 41, 49 and 57. The second register receives bits 2, 10, 18,... and so on. After eight clocks, you have received the complete 64-bit block and it is time to proceed with the DES algorithm itself.

насколько я понимаю это чисто хардверные заморочки для древнего 8-битного железа того времени.
никакой магии.

[jsn.livejournal.com]

:) Вы не читаете ответы.

[dkfl.livejournal.com]

я не понял. эти S-boxes для перемешивания justified 8-битной шиной на тот момент.

[jsn.livejournal.com]

Уфф. Прошу прощения, вёл себя неправильно, исправлюсь. По существу вопроса:

1. У меня написано неправильно: S-boxes -- это НЕ перемешивание битов на входе, это таблицы трансляции из шестибитных значений в четырёхбитные, используется в ходе алгоритма.

2. Перемешивание битов на входе действительно не является мерой, влияющей на безопасность (были соображения, кажется, что является, поскольку даёт преимущество хардверным имплементациям; не помню).

3. S-boxes были модифицированны NSA, как описано у меня выше, и это оказалось критически важным для устойчивости к дифференциальному криптоанализу через 15 лет, как описано у меня выше, это не городская легенда (здесь (http://simson.net/ref/1994/coppersmith94.pdf) подробнее, от участника событий).

[grey-olli.livejournal.com]

Всё равно любопытно было почитать. ) Спасибо за познавательную для непрофессионалов в crypto дискуссию.