Неплохо, неплохо
Sep. 12th, 2013 03:41 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
jsnМеж тем, fallout от публикаций Сноудена в криптографии продолжает выпадать со страшной силой. Последнее из принесённого, на этот раз, Слэшдотом: после заявления Шнайера о том, что он теперь не доверяет шифрованию на эллиптических кривых, народ побежал вспоминать-искать, нет ли там чего-нибудь, похожего на закладку. И практически сразу же нашёл:
>> Bruce Schneier recommends *not* to use ECC. It is safe to assume he
>> knows what he says.
>
> I believe Schneier was being careless there. The ECC parameter sets
> commonly used on the internet (the NIST P-xxxr ones) were chosen using
> a published deterministically randomized procedure. I think the
> notion that these parameters could have been maliciously selected is a
> remarkable claim which demands remarkable evidence.
Okay, I need to eat my words here.
[...]
The deterministic procedure basically computes SHA1 on some seed and uses it to assign the parameters then checks the curve order, etc.. wash rinse repeat.
Then I looked at the random seed values for the P-xxxr curves. For example, P-256r's seed is c49d360886e704936a6678e1139d26b7819f7e90.
_No_ justification is given for that value. [...]
I now personally consider this to be smoking evidence that the parameters are cooked.
(original mailing list message)
Рекомендованные стандартом константы ECC изготовлены человеком NSA с помощью довольно подозрительного процесса. (Это не та же старая история про практически общеизвестную старую закладку NSA в Dual_EC_DRBG, это новое и гораздо круче). Дискуссия на соответствующем StackExchange:
The NIST FIPS 186-3 standard provides recommended parameters for curves that can be used for elliptic curve cryptography. These recommended parameters are widely used; it is widely presumed that they are a reasonable choice.
Тут сказано "широко используется". Насколько я понимаю, ECC-криптография вообще сильно менее "широко используется", чем DLP или IFP. Но вообще это big deal вроде бы -- один из трёх мейнстримовых математических фреймворков для шифрования с открытым ключом содержит палёные константы от NSA.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2013-09-12 09:11 am (UTC)Буллшит -- потому что называют next generation, хотя оно явно никаким местом не next. Я раньше двумя руками ратовал за NTRU в качестве действительно "next", но вдумчивое прочтение некоторых статеек привело меня к ощущению (скорее именно ощущению), что на решетках / CVP хрен что сделаешь действительно надежно.
Next это то, что выстоит, когда у NSA будет алгоритом Шора в железе.
С другой стороны, у меня есть сомнения в том, что с созданием универсального квантового компьютера public key crypto выживет в принципе, кроме м б странной экзотики вроде McEliece. Но фора лет в двадцать меня устроит вполне.