Взломан алгоритм шифрования RSA

>Вывод - избегайте ГОСТ'а, если можете.

Блин! Ну с какого фига? КГБ вашу инфу прочтет? Дык эта опасность есть ВСЕГДА. ПРИ ИСПОЛЬЗОВАНИИ ЛЮБОГО АЛГОРИТМА. В случае DES вашу инфу не сможет прочесть только ленивый.

>А если не можете - передавайте по сертифицированным каналам информацию, уже защищённую каким-либо другим альтернативным криптоалгоритмом.

Ну это ежику понятно. Разумеется ключи при каждом шифровании должны быть свои.

>Или, быть может, Вы имеете в виду использование математического сопроцессора?

НЕТ!!!

>Эффективная реализация - только на заказных микросхемах (по крайней мере лет 6 назад).

О каких заказных ИС речь? Что это за схемы такие? iP55 не подойдет? кстати прекрасно шифрует звук ГОСТом в реальном времени.

>на аСсемблере
>и без ассеммблера

figli tut sporit

>Речь идёт об эффективной реализации (в смысле высокой производительности).
>Я как раз и занимался реализацией на аСсемблере. (Но к счастью не ГОСТ'а!) У меня на столе лежит описание ГОСТ'а. Задача конечно решается. Несомненно. Причем может решаться и без ассемблера. Но - значительно труднее чем DES, который, кстати, прекрасно реализуется и без ассеммблера.

ГОСТ в несколько раз БЫСТРЕЕ на ПИСЮКЕ чем DES. У DES очень неудобны и неэффективны перестановки бит. DES делался для спец. шифровальных девайсов (которые больше ничего не умеют), а на универсальных процах DES хуже.

>который, кстати, прекрасно реализуется и без ассеммблера.

Да хоть на прологе!

В отличие от прочих алгоритмов которые время от времени ломают (DES, MD5..) я никогда не слышал о взломе ГОСТа. Могет и есть такие умные, только ничего об этом не слышно. К тому же ГОСТ делался не для того чтобы КГБ было в курсе всего, а для внутреннего применения, для того чтобы империалисты наши секреты не узнали. Для этого специально делали слабый и дырявый алгоритм?

2Ghola
Так это у него лишь год введения 89. По дате разработки он мой ровесник: где-то середина 70-х гг. Разработан был для собственных нужд и, естественно, засекречен. По словам его разработчиков, нынешний ГОСТ 28147-89 (тогда этот шифр имел, естественно, другое название) разработан специально для использования на наших клонах IBM с учетом их системы команд. Т.е. практически под ту же систему команд, что и на наших нынешних персоналках. В 89 году лишь снижен гриф секретности и шифр был выпущен в массы. В настоящее время этот шифр используется не только для защиты коммерческой информации, но и для защиты гостайны (ФАПСИ аттестует средства защиты информаци на базе ГОСТа по этому уровню). Так что Ваши слова о "задней двери" в самом алгоритме неуместны. В таком случае ФАПСИ ни в коем разе не допустила бы такой шифр к защите государственных секретов, пусть даже и не самых важных, ведь до дыры могут докопаться и в АНБ США. А вот вопрос по таблице замен действительно остается. Так что тут вопрос доверия и допустимого риска. С одной стороны могут быть сомнения насчет лояльности ФАПСИ, с другой стороны Вы сами не слишком компетентны, чтобы самостоятельно построить таблицу замен к ГОСТу. И уж тем более Вы не в состоянии изобрести (точнее, проверить на стойкость) хороший шифр.
Если у Вас действительно перед глазами описание ГОСТа, то Ваши слова относително меньшего быстродействия и удобства реализации ГОСТа на IBM-платформах по крайней мере вызывают удивление. Советую скачать статью с http://www.enlight.ru/crypto/download/articles/vinokurov/28147_89.zip . Там приводится сравнение с DESом по скорости шифрования. Есть там и само описание ГОСТа, причем во всех его режимах. ГОСТ примерно в 2 раза бытрее. И это при том, что в нем 32 цикла против 16-ти в DESе. Посмотрите на описание DESa: там есть просто "замечательная" с точки зрения IBMовской системы команд операция: битовая перестановка. Вы запаритесь ее делать даже на ассемблере: архитектура IBMовских процессоров для этого не приспособлена, что выливается в очень приличную потерю производительности. Так что именно DES требует специального железа для хорошей скорости шифрования. В ГОСТе же операция перестановки представляет из себя циклический сдвиг. Он делается хоть и не в одну команду ассемблера, но, по крайней мере, куда быстрее, чем битовая перестановка в DESe. Да и сама структура шага шифрования в ГОСТе куда ПРОЩЕ, чем в DESе: в ГОСТе лишь одна таблица замены, один сдвиг полублока, одна операция сложения полублока с ключом, и одна операция сложения с полублоком. Если Вы утверждаете обратное, то у меня возникает подозрение, что какой-то из алгоритмов Вы не читали. Аппаратная же реализация ГОСТа так же не представляет никаких трудностей: Табличная замена делается на одной схеме ПЗУ, сдвиг вообще может быть реализован перекоммутацией проводов(т.к. его величина строго фиксирована), для сложения по модулю и побитового сложения так же существует куча серийных микросхем. Ну а на ПЛИСах так все это вообще можно в один корпус запихать. С DESом тут как раз куда больше мороки. По скорости аппаратных шифраторов ГОСТа можете справиться на сайте фирмы "Анкад", которая их производит (платы "Криптон") . Там есть устройства со скоростью шифрования до 8Мб/сек (карта PCI).
Тройной DES - это попытка реанимировать покойника (DES). В нем уже найдено немало дыр и продолжают находить новые. Кроме того, имея худшую, чем у ГОСТа, репутацию (а о ГОСТе западные криптологи отзываются очень уважительно) и меньшую длину ключа, тройной DES просто катастрофически уступает ГОСТу по скорости шифрования. В настоящее время В США заменен государственный стандарт шифрования. В качестве него принят алгоритм Rijndael и теперь смерть DESa (по крайней мере тройного) - лишь вопрос времени.
Избегая сертифицированных алгоритмов и пользуясь шифрами собственного изобретения Вы, скорее сделаете куда больший подарок ФАПСИшным криптологам. Они такие самопальные "абсолютно стойкие" шифры пачками ломают в качестве утренней разминки. Притом даже не приходя в сознание и не похмеляясь после вчерашней пьянки . Сделать же качественный шифр не проще, чем хороший самолет. Вы ведь не беретесь же делать свой собственный самолет только потому, что не доверяете профессиональным конструкторам. Почему же Вы думаете, что с шифром у Вас получится лучше? Шифр с одноразовым ключом, конечно неплохое решение, но требуется очень большая осторожность с проектированием генератора случайных чисел: по их взлому у криптологов очень богатые наработки. Особенно это касается программных ГСЧ. Кроме того, чем больше объем передаваемой ключевой информации, тем больше вероятность того, что ее у Вас украдут. А для шифрования, к примеру, сетевого траффика, либо содержимого жесткого диска такой шифр может быть вообще неприемлем из-за слишком большого объема данных и низкой скорости шифрования, определяемой скоростью считывания ключа. Шифры с одноразовым ключом используются агентурной разведкой во всем мире: там объем сообщений относительно невелик и одного шифрблокнота хватает надолго. И уж совсем не Клэнси, естественно, является автором идеи: такие абсолютно стойкие шифры описаны Шенноном. Разумеется, что термин "абсолютно стойкий" - математическая абстракция. Реально они могут быть вскрыты при компрометации ключа, либо при недостаточном качестве случайного ключа.
Несимметричные криптосистемы имеют очень много недостатков по сравнению с симметричными: малая скорость шифрования, слабая устойчивость при атаке с известным шифртекстом и проч. Реально эти системы нормально работают лишь при шифровании псевдослучайного блока данных. Т.е. сеансового ключа симметричной системы. Кроме того, если у Вас существуют лишь 2 абонента и есть относительно надежный курьер, то оказывается незачем умножать сущности и лепить гибридную шифрсистему. Проще сделать классическую симметричную и завезти с курьером ключ. Так что даже в чистом виде симметричные системы и дальше будут иметь широкое применение.
Вообще советую Вам почитать для начала материалы с . Очень полезно для рассеивания некоторых иллюзий относительно криптографии и введения в курс дела.

P.S. Вы, я вижу, мой земляк. Так что если что - пишите приватно. Моя фирма как раз занимается защитой информации.

U235>2Ghola

U235> Избегая сертифицированных алгоритмов и пользуясь шифрами собственного изобретения Вы, скорее сделаете куда больший подарок ФАПСИшным криптологам. Они такие самопальные "абсолютно

Криптоаналитикам Криптология и криптоанализ - две разные науки, хотя и дополнящие друг друга.

Сойдемся на "криптах", как у нас их называли . Еще "биномами" их величали, но так обзывали всех математиков, не только криптологов и криптоаналитиков.

2 U235:
Что ж, спасибо за столь развёрнутый постинг. Есть в нём некоторые предположения обо мне лично, которые специалист по криптографии счел бы весьма обидными. Спишем их на то, что тезис о широком использовании криптосистем с одноразовым ключом задел органы за живое. (Органы за органы Гы!).
А теперь цитата из пресловутой книги, лежащей у меня на столе

---

Алгоритм криптографического преобразования, являющийся отечественным стандартом и определяемый ГОСТ 28147-89, свободен от недостатков стандарта DES и в тоже время обладает всеми его преимуществами. Кроме того, в стандарт уже заложен метод, с помощью которого можно зафиксировать необнаруженную случайную или умышленную модификацию зашифрованной информации.
Однако у алгоритма есть очень существенный недостаток, который заключается в том, что его программная реализация очень сложна и практически лишена всякого смысла из-за крайне низкого быстродействия. По оценкам авторов, за одну секунду на персональном компьютере может быть обработано всего лишь несколько десятков (максимально сотен) байт данных, а подобная производительность вряд ли удовлетворит кого-либо из пользователей. Хотя сейчас уже разработаны аппаратные средства, реализующие данный алгоритм криптографического преобразования данных, которые демонстрируют приемлемую производительность (около 70 Кб/с для IBM PC AT с тактовой частотой 12 МГц), все же складывается впечатление, что разработчики алгоритма совершенно не заботились об эффективности его программной реализации и о стоимости шифрования данных.

---

// Источник: А.В.Спесивцев и др. "Защита информации в персональных ЭВМ" М., Радио и связь, ВЕСТА, 1993; стр. 44. (Конечно, следует делать определенные скидки на год опубликования.)

Вот такой пассаж! Его-то я, ничтоже сумняшеся, практически и процитировал на первой странице топика. А вообще, книжечка полезная - тут и описания криптоалгоритмов ГОСТ, DES, RSA, и некоторые практические веши как актуальные ныне, так и не очень (вроде копирования ключевых дискет и самомодифицирующегося кода) Ну а вот Вам и ссылочка: Сравнение криптографических методов - здесь практически сокращенная цитата из этой книжки. Статья же, ссылку на которую приводите Вы, лишь подтверждает моё незамысловатое предположение, высказанное в предыдущем постинге:
Ghola>...сравнивалась кривая/самопальная реализация DES с оптимизированным ГОСТом... К примеру, испытания проводились не независимыми экспертами, а производителями криптосистемы на основе ГОСТа...
Автором этой статьи и нескольких других публикаций в Интернете, положительно оценивающих реализацию ГОСТ 28147-89 на платформе Intel x86, является Андрей Виноградов, занимавшийся этой реализацией с 1991 по 1994 годы, о чем он и заявляет в предисловии, наряду с призывом к патриотизму. Как говорится - флаг ему в руки. Однако мнение независимого коллектива авторов вызывает как-то больше доверия...
Так что, представьте мнение коллектива независимых экспертов (да ещё и зарубежных, как грозились) - тогда и поговорим. (Хотя, по большому счёту, меня это и не очень интересует... Да и оффтоп. Уж, простите…) Вообще-то это снова уводит нас от криптосистем с одноразовым ключом...

U235> Так это у него лишь год введения 89....
Относительно истории ГОСТа, рассказанной самими чекистами - это вопрос доверия. Как Вы сами сказали чуть ниже, хотя и немного по другому поводу:
U235> А вот вопрос по таблице замен действительно остается. Так что тут вопрос доверия и допустимого риска.

[ слишком длинный топик - автонарезка ]

U235> Если у Вас действительно перед глазами описание ГОСТа, то Ваши слова относительно меньшего быстродействия и удобства реализации ГОСТа на IBM-платформах по крайней мере вызывают удивление.
Это не мои слова (см. выше). Но, думаю, что тезис о большей сложности логической структуры алгоритма не вызовет сомнения даже у Вас. (Иначе, почему же он, интересно, лучше?) Некоторые сомнения остаются лишь относительно эффективной реализации.

U235>Посмотрите на описание DESa: там есть просто "замечательная" с точки зрения IBMовской системы команд операция: битовая перестановка.
Вот все кричат относительно битовой перестановки. А между тем достаточно всего лишь "...заполнить область данных ПРИЕМНИКА битами ИСТОЧНИКА в последовательности, указанной в ТАБЛИЦЕ ОБМЕНА". Это цитата из комментария к старой ассемблерной реализации DES от 1992 года, завалявшейся у меня на винчестере. В наше время для этого можно использовать, например команды BT и AND (в теле цикла). Единственно, что придётся ещё делать условный переход (вокруг AND) который может сбросить конвейер команд процессора - ну так в цикле он тоже сбрасывается.

U235> В ГОСТе же операция перестановки представляет из себя циклический сдвиг. Он делается хоть и не в одну команду ассемблера...
Странно, а как же команды SHL(D)/ROR(L)? Я, конечно, не видел исходников реализации ГОСТ, которые усиленно обещает Виноградов в своей статье...

U235>но, по крайней мере, куда быстрее, чем в ГОСТе.
ХМ-М-М!?

U235>... у меня возникает подозрение, что какой-то из алгоритмов Вы не читали.
Да читал, читал оба - только особенно подробно ни в одном не разбирался. ("Где деньги, Зин"(с)) А описание DES выглядит проще.

U235>Аппаратная же реализация...
Инсинуации же относительно аппаратной реализации мы с негодованием отвергаем...

U235>Тройной DES - это попытка реанимировать покойника (DES). В нем уже найдено немало дыр и продолжают находить новые.
Ну, как же, как же - знаменитая атака Matsui. Насколько я знаю, никаких особых "дыр" в покойнике не было и нет - просто он сходит со сцены как обладающий малой длиной ключа на фоне роста вычислительной мощности. (На чём и была основана пресловутая атака) Тройной же DES остаётся достаточно надёжным, о чём говорится в статье "Тройной DES. Новый стандарт?" и, конечно, вводился главным образом из-за совместимости аппаратных средств реализации. Он, конечно, наследует все недостатки "предка" - например зависимость от повторов. Привлекательно выглядит новый Rijndael, который позволяет гибко изменять сложность и соответственно время шифрования (в отличие от того же ГОСТа).

U235> Избегая сертифицированных алгоритмов и пользуясь шифрами собственного изобретения Вы, скорее сделаете куда больший подарок ФАПСИшным криптологам. Они такие самопальные "абсолютно стойкие" шифры пачками ломают в качестве утренней разминки. Притом даже не приходя в сознание и не похмеляясь после вчерашней пьянки . Сделать же качественный шифр не проще, чем хороший самолет. Вы ведь не беретесь же делать свой собственный самолет только потому, что не доверяете профессиональным конструкторам. Почему же Вы думаете, что с шифром у Вас получится лучше?
Ну вот он - наезд! Вообще говоря, я свои данные вообще не шифрую. А вот Вы - лучше бы не брались рассуждать "не приходя в сознание и не похмеляясь после вчерашней пьянки" относительно людей, действительно создающих современные криптоалгоритмы. Вы им не годитесь и в подмётки, не в обиду будет сказано!
Налицо беспомощная попытка подменить понятия "криптоалгоритм" и "реализация криптоалгоритма". Действительно, создать криптоалгоритм - титаническое достижение. А вот реализовать его может практический любой программист (или их группа), хотя качество/эффективность реализации и затраченное на неё программистом время могут сильно отличаться.

[ слишком длинный топик - автонарезка ]

U235>Шифр с одноразовым ключом, конечно неплохое решение
Ну, дык, ещё бы...

U235>...но требуется очень большая осторожность с проектированием генератора случайных чисел: по их взлому у криптологов очень богатые наработки.
"Ню-Ню!"(с) Ломайте белый шум, генерируемый физическим генератором - а я посмотрю. Мы окружены белым шумом и, наоборот, изо всех сил пытаемся от него избавиться (в РЭА). В простейшем бытовом случае сойдет даже чуть переделанный транзисторный приёмник или вообще усилитель. Вероятно, можно и без этого обойтись - подшаманить что-нибудь на звуковой карте. В более сложном варианте - например, что-то на тепловом шуме, в общем, - вариантов масса. В любом случае самая дорогая часть "системы" - CD/DVD WRITER(+, ессно, РС) - всё-таки, не у каждого он дома есть. И всё!

U235>Особенно это касается программных ГСЧ.
У-ГА-ГА! У-ХА-ХА! ОУ-у-у-x!
Кто тут говорит о программных ГСЧ применительно к одноразовым ключам?! ВЫ!? (А-ТА-ТА!!! А-ТА-ТА!!!)

U235>Кроме того, чем больше объём передаваемой ключевой информации, тем больше вероятность того, что ее у Вас украдут.
Нич-ч-чегошеньки подобного! Вероятность перехвата прямо пропорциональна количеству актов передачи и практически не зависит от объёма. Азы же, ей Богу! Кого Вы хотите обмануть, кэ-пи-тэн?! Вот именно поэтому - "Курьер в танке! С чемоданом CD! Раз в 10 лет!"(с)

U235>И уж совсем не Клэнси, естественно, является автором идеи
ЕСТЕСТВЕННО!!! УЖ!

U235>Реально они могут быть вскрыты при компрометации ключа, либо при недостаточном качестве случайного ключа.
"Недостаточное качество?" - это надо оч-чень сильно постараться при физической-то генерации на белом шуме! Там даже не нужен добротный белый шум. Байтики-то не повторя-я-яются! А "компрометация ключа" - это практически утрата секретности - тут по определению говорить не о чем!

U235>Кроме того, если у Вас существуют лишь 2 абонента и есть относительно надежный курьер, то оказывается незачем умножать сущности и лепить гибридную шифрсистему. Проще сделать классическую симметричную и завезти с курьером ключ. Так что даже в чистом виде симметричные системы и дальше будут иметь широкое применение.
Вот такие классические симметричные криптосистемы и будут всё чаще основываться на одноразовом ключе. IMHO. И, ессно, количественно расти. Но вот в них-то, перспектив у других симметричных алгоритмов как раз и нет, что я изначально и имел в виду.

U235>А для шифрования, к примеру, сетевого траффика, либо содержимого жесткого диска такой шифр[одноразовый] может быть вообще неприемлем из-за слишком большого объема данных и низкой скорости шифрования, определяемой скоростью считывания ключа.
А вот здесь Вы правы - это хорошая ниша в частности и для симметричных криптосистем (но не одноразовых). Особенно диск. Так что хоронить я их конечно поторопился. Как-то имел в виду классическую схему с удаленными абонентами...

А теперь проясню свою позицию относительно ГОСТ и ФАПСИ.
Примем для начала такой посыл: "Основная угроза безопасности данных, подвергаемых криптографической защите, исходит от ГОСУДАРСТВА!"
Поэтому, очень естественно для российских граждан и предпринимателей малого и среднего бизнеса, т.е. тех основная угроза данным которых исходит от государственных органов - выглядит следующий выбор: в первую очередь симметричные криптосистемы с одноразовым ключом, там же где это затруднительно - симметричные, несимметричные и гибридные системы, основанные на зарубежных криптоалгоритмах. Это очевидно из самых общих соображений ("Пусть уж лучше мои данные будут читать в АНБ, чем в ФАПСИ/налоговой инспекции"). Подходить же к выбору конкретных криптосистем следует, конечно, с достаточной оглядкой, но то, что из рассмотрения однозначно следует исключить отечественные разработки, одобренные официальными органами - достаточно очевидно. Государственная сертификация - это, по сути, компрометация криптосистемы в глазах указанной группы потребителей. Впрочем, исходя из этих соображений, ФАПСИ может попытаться заинтересовать своим лотком указанные группы потребителей на Западе, например в тех же Штатах, где государственная политика относительно криптосистем примерно такая же жесткая, как и у нас (Так?)... (Только вот, что-то, похоже, не выходит? )
Из этого следует ещё один вывод - российским программистам, не ангажированным официальными структурами, желающими работать в сфере криптографической защиты данных и продавать свои продукты в Росcии следует заниматься оптимальной реализацией криптоалгоритмов отнюдь не отечественной "выпечки". Аналогично же и для Штатов - если ФАПСИ удастся кого-нибудь там заинтересовать. Можно ещё делать у нас реализацию ГОСТа для Штатов, опять же, если удастся найти рынок.

[ слишком длинный топик - автонарезка ]

На все попытки ФАПСИ скомпрометировать алгоритмы DES/RSA/Rijndael и другие перед внутренними российскими потребителями указанной выше (и самой массовой) группы, следует смотреть именно через эту призму. И посылать их туда, куда вы подумали

Проще говоря, следует оценивать основные угрозы для безопасности своей информации - и выбирать криптоалгоритм и систему на нём основанную, исходя из здравого смысла. Как мне представляется, независимая отечественная реализация зарубежного криптоалгоритма должна была бы выглядеть на нашем рынке весьма неплохо. (Это, конечно, если бы у нас был рынок.)

Кстати, вот, что мне ещё пришло в голову, исходя из самых общих представлений об «органах». Есть такое понятие "компрометация шифра". Причём в её целях может быть проведена и спецоперация. Рассмотрим такой пример: некая фирма использует криптосистему неугодную для ФАПСИ. Полученная путём агентурных/технических методов шпионажа скрываемая фирмой информация подбрасывается в налоговую инспекцию или конкурентам фирмы с целью создать впечатление о том, что информация была утрачена в результате слабости криптосистемы. (Аналогично и для физических лиц – только более массированно, но проще в каждом отдельном случае) Результат - криптосистема утрачивает доверие и полностью перестаёт использоваться широким кругом потребителей. Приём, широко известный в "борьбе разведок". Вот почему необходима абсолютная "железобетонная" уверенность в стойкости своего шифра. И такую уверенность даёт только криптосистема с одноразовым ключом. Конечно, остаётся ещё угроза компрометации ключа. Но она равно относится к любой криптосистеме.

(Прошу прощения за оффтопик – наболе-е-ело!)

P.S. Кстати, вчера вечером, когда я набирал этот ответ на форум, в моём районе вдруг неожиданно и надолго погас свет. И сы чего бы это? Значительная часть текста была потеряна. Так что, «я мстю и мстя моя страшна!»

У вас Ghola какое-то нездоровое предубеждение против ГОСТа. Разумеется если вашими основными врагами являются ГБшники, то пользоваться им не надо. Если кто-то иной - нет никаких причин не доверять ГОСТу. Для самостоятельной реализации я выбрал ГОСТ из-за его простоты. Другие алгоритмы либо на порядок сложнее либо ненадежны (DES и "тройной" DES).

Юзать готовые вещи типа PGP я не стал. Особенно учитывая что автор скурвился и продался АНБ.

Я вообще не пользуюсь подобными программами. (Как уже говорилось) Так что ничего нездорового. А вот Вы - попробуйте-ка оспорьте мой тезис об основной угрозе!

TEvg>Для самостоятельной реализации я выбрал ГОСТ
А почему Вы вообще взялись его реализовывать, если не секрет? Ведь статья Виноградова в "Мониторе"'95 была вроде с исходниками? Кстати, а не из-за этого ли накрылся "Монитор"?

TEvg>... я выбрал ГОСТ из-за его простоты. Другие алгоритмы либо на порядок сложнее либо ненадежны (DES и "тройной" DES).
DES - ненадёжен а 3DES - сложен? Ну воля Ваша, как говорится...
По-моему в реализации 3DES как раз весьма прост.

TEvg>Юзать готовые вещи типа PGP я не стал. Особенно учитывая что автор скурвился и продался АНБ.
Так это же только реализация. К тому же уж кого-кого нам бояться - но только не АНБ(NSA).

ХМ-ММ...
Высказывания тов. Спесивцева повергают меня в недоумение. В статье Виноградова приводятся ЭКСПЕРИМЕНТАЛЬНЫЕ данные по скорости шифрования ГОСТом. Там даже допотопная "Искра" с 4МГц тактовой частоты выдает 8 кб/сек. Реализация DESa по его данным работает в 4 раза медленнее ГОСТа. И это притом, что имеется в виду обычный DES, за приемлимое время взламываемый даже современной персоналкой простым перебором ключа. О каких сотнях бит в секуду речь? На моей машине (PIII) все вообще летает. Файлы даже в несколько килобайт шифруются без ощутимой задержки, хотя так и должно быть. Мегабайты просто не пробовал, но думаю что задержка там будет в худшем случае порядка нескольких секунд.
Так что компетентность процитированного Вами автора для меня под некоторым вопросом. Зато историю ГОСТа я привел со статьи Лебедева, криптолога с мировым именем, по слухам одного из авторов этого алгоритма. Хотя конечно, он работал в 8ом ГУ КГБ СССР, так что Вы, в принципе, можете ему и не верить.

Ghola> Но, думаю, что тезис о большей сложности логической структуры алгоритма не вызовет сомнения даже у Вас.

Как раз вызывает. Хотя это может быть и вопрос вкуса, но со всеми его таблицами замен и перестановок, то с расширением, то со свертыванием, то без изменения длины блока; хитрой процедурой вычисления ключа цикла шифрования и специальным конечным преобразованием без поллитры не разберешся. В ГОСТе все гораздо логичнее: длина полублока с самого начала и до конца - 32 бита, в основной шаг алгоритма входят: 1 сложение по модулю 32, 1 таблица замены, 1 циклический сдвиг на 11 бит, 1 побитовое сложение с другим полублоком, перестановка полублоков с присвоением выходного значения шага шифрования одному из них. 32 шага шифрования проводятся на 8-ми 32-разрядных ключах, на которые 256 битный ключ ГОСТа просто втупую делится. Где тут сложная и нелогичная структура, по Вашему?

Ghola>Вот все кричат относительно битовой перестановки. А между тем достаточно всего лишь "...заполнить область данных ПРИЕМНИКА битами ИСТОЧНИКА в последовательности, указанной в ТАБЛИЦЕ ОБМЕНА".

Естественно, что достаточно, вот только сколько, по вашему, тактов процессеора потребуется дя такого заполнения? Тут Вы в разы потеряете по сравнению с теми алгоритмами, где операции идут только с байтами.

[ слишком длинный топик - автонарезка ]

U235>> В ГОСТе же операция перестановки представляет из себя циклический сдвиг. Он делается хоть и не в одну команду ассемблера...
Ghola>Странно, а как же команды SHL(D)/ROR(L)? Я, конечно, не видел исходников реализации ГОСТ, которые усиленно обещает Виноградов в своей статье...

Так вроде бы те команды трактуются процессором как цикл из нескольких одиночных сдвигов.

U235>>но, по крайней мере, куда быстрее, чем в ГОСТе.
Ghola>ХМ-М-М!?

Очепятка. Имелось в виду, чем в DESe

U235>>Тройной DES - это попытка реанимировать покойника (DES). В нем уже найдено немало дыр и продолжают находить новые.
Ghola>Привлекательно выглядит новый Rijndael, который позволяет гибко изменять сложность и соответственно время шифрования (в отличие от того же ГОСТа).

В принципе, можно и в ГОСТе уменьшить число шагов шифрования. Вот только ФАПСИ хранит на этот счет гордое молчание и такие попытки делаются отдельными товарищами лишь на свой страх и риск.

Ghola>Ну вот он - наезд! Вообще говоря, я свои данные вообще не шифрую. А вот Вы - лучше бы не брались рассуждать "не приходя в сознание и не похмеляясь после вчерашней пьянки" относительно людей, действительно создающих современные криптоалгоритмы. Вы им не годитесь и в подмётки, не в обиду будет сказано!

Еще раз хмм... Вы, вообще-то хоть одного живого криптолога, либо криптоаналитика видели ?

Ghola>Налицо беспомощная попытка подменить понятия "криптоалгоритм" и "реализация криптоалгоритма". Действительно, создать криптоалгоритм - титаническое достижение. А вот реализовать его может практический любой программист (или их группа), хотя качество/эффективность реализации и затраченное на неё программистом время могут сильно отличаться.

Глубоко ошибаетесь. Конечно, создание криптоалгоритма сложнее, чем его реализация. Однако и грамотно построить на его базе реальную криптосистему - ой какая нетривиальная и коварная задача. Я Вам могу привести кучу вариантов атаки даже не на алгоритм, а на его реализацию. Тут, в основном, народ и горит.

U235>>...но требуется очень большая осторожность с проектированием генератора случайных чисел: по их взлому у криптологов очень богатые наработки.
Ghola>"Ню-Ню!"(с) Ломайте белый шум, генерируемый физическим генератором - а я посмотрю.

Не все так просто. Теория говорит, что для генерации идеального белого шума необходим бесконечно сложный (т.е. большой) генератор шума. Реальные же генераторы выдают не совсем белый шум, так что зацепки для атаки существуют даже для физических генераторов (может, к примеру, иметься корреляция с сетевой частотой 50Гц, внешними вибрациями, эфирной обстановкой и проч.). В криптографии вообще, как и во всей математике, нет очевидных вещей и все не так просто, как кажется.

U235>>Особенно это касается программных ГСЧ.
Ghola>У-ГА-ГА! У-ХА-ХА! ОУ-у-у-x!
Ghola>Кто тут говорит о программных ГСЧ применительно к одноразовым ключам?! ВЫ!? (А-ТА-ТА!!! А-ТА-ТА!!!)

Зря смеетесь. Попадаются и такие кадры, которые считают псевдослучайные последовательности достаточно надежными. И не так уж этих кадров, кстати, мало. Строго говоря, имеются достаточно надежные с точки зрения криптографов алгоритмы генерации псевдослучайной гаммы, но это уже отдельный разговор.

Ghola>Нич-ч-чегошеньки подобного! Вероятность перехвата прямо пропорциональна количеству актов передачи и практически не зависит от объёма. Азы же, ей Богу! Кого Вы хотите обмануть, кэ-пи-тэн?!

Вообще-то лейтенант . А объем все-же на вероятность компрометации влияет. Во первых, вам надо Ваш чемодан ключей где-то хранить. Обычный ключ я могу записать на чип и повесить его себе на шею, не снимая ни при каких обстоятельствах. Так что отбрать его можно лишь грубой силой. При этом ни о какой скрытности операции речи идти не может. С чемоданом же особенно не потаскаешься. Кроме того, большой чемодан сложно хранить в тайнике, либо просто спрятать в случае опасности. Уничтожение же в случае опасности отъема целого чемодана ключей - задача для мазохиста. Чип же элементарно уничтожается методом двух камней. Идем дальше: Вам придется после каждого сеанса шифрования заниматься уничтожением использованного ключа. Представляете, сколько мороки добавляется? И не дай бог Вам лопухнуться при этой процедуре! А если Вам вздумается вести архив шифрованной переписки? С одноразовым ключом это практически невозможно, либо Вам придется хранить все использованные ключи, лишая одноразовую криптосистему всякого смысла, либо хранить шифрпереписку в открытом виде.

Ghola>"Недостаточное качество?" - это надо оч-чень сильно постараться при физической-то генерации на белом шуме! Там даже не нужен добротный белый шум. Байтики-то не повторя-я-яются! А "компрометация ключа" - это практически утрата секретности - тут по определению говорить не о чем!

А не надо, чтобы они повторялись. Достаточно знать закономерности, присущие конкретному шуму (к примеру, его не совсем равномерный спектр, наличие не совсем случайных марковских цепочек, возможность разложения шума на некий ряд более определенных функций, и т.д.) . На тему взлома ДСЧ, в т.ч. и аппаратных, у криптов защищена не одна диссертация. Им только дай, к чему прицепиться!

Ghola>Примем для начала такой посыл: "Основная угроза безопасности данных, подвергаемых криптографической защите, исходит от ГОСУДАРСТВА!"

Не совсем верно, т.к. главной угрозой безопасности данных в бизнесе являются, скорее конкуренты и криминальные структуры. Им это больше надо. Государство интересует лиш очень ограниченный круг информации и оно и так имеет множество каналов для ее получение. Поставьте себя на место чиновника налоговой, если он вдруг столкнулся с шифрованием данных: Вы думаете, что он побежит в ФАПСИ за помощью? Ничерта подобного, он и без этого найдет до чего, или до кого дое... А даже если он и захочет обратиться в ФАПСИ, Вы представляете, сколько бумаг ему нужно будет написать? И еще не факт, что ФАПСИшники ему помогут: лично их проблемы налоговой волнуют меньше всего, а сам факт вскрытия той или иной криптосистемы является тщательно оберегаемым государственным секретом. Так что скорее всего ФАПСИшники сделают круглые глаза и заявят, что они этого не делают. И уж точно никто и никогда не придет из ФАПСИ в суд, чтобы подтвердить результаты и сам факт взлома шифра. Так что, если Вы не занимаетесь подготовкой государственного переворота или теракта, то ФАПСИ можете не бояться. А вот частная разведка работает по другим законам. Им жизнено важна почти вся информация, идущая от руководства компании. Никаких проблем с бумажной волокитой и различием интересов у них нет. Деньжата на оплату вычислительной техники и специалистов у них тоже водятся. Так что тут все куда реальней. Возможности у них, конечно послабже, но одиночный DES они сломают запросто. Могут сломать и более сложные системы при огрехах в реализации. И последствия при этом могут быть даже похуже, чем при разборках с государством.

[ слишком длинный топик - автонарезка ]

Ghola>, там же где это затруднительно - симметричные, несимметричные и гибридные системы, основанные на зарубежных криптоалгоритмах. Это очевидно из самых общих соображений ("Пусть уж лучше мои данные будут читать в АНБ, чем в ФАПСИ/налоговой инспекции").

А вот в этом случае никто не несет ответственности за компрометацию данных по вине криптосистемы. Случись что, предьявить иск по возмещению ущерба будет некому. А зарубежные шифры и так пристально изучаются ФАПСИ, так что ни в чем Вы уверенным быть не можете.

Ghola> Государственная сертификация - это, по сути, компрометация криптосистемы в глазах указанной группы потребителей. Впрочем, исходя из этих соображений, ФАПСИ может попытаться заинтересовать своим лотком указанные группы потребителей на Западе, например в тех же Штатах, где государственная политика относительно криптосистем примерно такая же жесткая, как и у нас (Так?)... (Только вот, что-то, похоже, не выходит? )

Да говорил же я уже, есть на рынке продукты, сертифицированные ФАПСИ на защиту государственной тайны. Они используют тот же ГОСТ. В ФАПСИ что, совсем с ума посходили, допуская к защите госсекретов "кривой" алгоритм? Докопайся до такой дыры АНБ, и: "на скамейке подсудимых нет свободных мест" . Кстати, рассказывали тут одну хохму: одна компьютерная фирма пыталась официально закупить в штатах программу архивирования данных. Однако штатовские власти похерили сделку. Оказалось, что в архиватор встроена функция шифрования архива, которая по длине ключа попадает под ограничения по экспорту сильной криптографии. Ключ симметричного шифрования составлял аж целых 256 бит при разрешенных 56-ти. Когда наши программисты услышали длину ключа, их стали терзать смутные сомнения. И действительно: амы умудрились запретить к экспорту в Россию архиватор, использовавший для защиты данных наш же ГОСТ. Дело в том, что никаких патентов на него никто не брал и юзать его можно совершенно не боясь обвинений в нарушении авторского права. А вот с зарубежными алгоритмами так можно и нарваться: там патентуют все и вся.

Ghola>P.S. Кстати, вчера вечером, когда я набирал этот ответ на форум, в моём районе вдруг неожиданно и надолго погас свет. И сы чего бы это? Ну дык я же вчера на работе сидел допоздна

Ghola>К тому же уж кого-кого нам бояться - но только не АНБ(NSA).

Кому как. Вообще-то АНБ США уже давно сливает перехваты по иностранным компаниям их штатовским конкурентам. Так что крупный и средний международный бизнес вполне может стать их жертвой.

U235>Высказывания тов. Спесивцева повергают меня в недоумение.
U235> Так что компетентность процитированного Вами автора для меня под некоторым вопросом.
Полный список авторов следующий: А.В.Спесивцев В.А.Вегнер А.Ю.Крутяков В.В.Серегин В.А.Сидоров. Так что кто именно поверг Вас в недоумение - вопрос. Но их, в отличие от Виноградова, никак нельзя обвинить в пристрастности - разве только в некомпентности. Хотя, практические вещи которые описаны в книге не вызывают у меня сомнений...

Ghola>> Но, думаю, что тезис о большей сложности логической структуры алгоритма не вызовет сомнения даже у Вас.
U235>Как раз вызывает. ... 2 шага шифрования проводятся на 8-ми 32-разрядных ключах, на которые 256 битный ключ ГОСТа просто втупую делится. Где тут сложная и нелогичная структура, по Вашему?
А кто говорит нелогичная - опять Вы? Ну Вам виднее...

Ghola>Странно, а как же команды SHL(D)/ROR(L)? Я, конечно, не видел исходников реализации ГОСТ, которые усиленно обещает Виноградов в своей статье...
U235>Так вроде бы те команды трактуются процессором как цикл из нескольких одиночных сдвигов.
Ну так команда-то всё-таки одна. А сколько тактов - вопрос отдельный и зависящий в частности от поколения процессора.
Вот Вам, можете поиграться, если будет охота (это, конечно, достаточно грубая модель):

__asm {
 // единичный "обмен битов" 
		rdtsc		// читаем счетчик тактов в eax
		push		eax
		jmp		short $+2 // попытка сброса конвейера команд

		bt		eax, 4
		jnc	 nset
		and		ebx, ecx
nset:
		shl		ecx, 1

		rdtsc		// читаем счетчик в eax
		sub		eax, 0xXX // вычитаем такты затраченные 
 // на rdtsc, push и jmp $+2 – это надо регулировать в зависимости от процессора
 // (можете, например, подобрать опытным путём при пустом измеряемом коде)
		sub		eax, dword ptr [esp] // вычитаем старое значение счетчика
		add		esp, 4 //восстанавливаем стек, брекпойнт, eax = 
                //количество затраченных тактов 
	}
	__asm {
 // циклический сдвиг на 11 бит влево
		rdtsc
		push		eax
		jmp		short $+2

		rol		eax, 11
	
		rdtsc
		sub		eax, 0xXX
		sub		eax, dword ptr [esp]
		add		esp, 4 // брекпойнт, eax = 
                 //количество затраченных тактов
	}

В общем, надо сравнивать оптимальные реализации, а для этого их нужно сначала найти или сделать. Окончательно рассудить нас относительно скорости DES/ГОСТ на Intel может только мнение независимых экспертов (да и то останутся оговорки относительно оптимизации для разных процессоров). Найдёте – представьте. И закончим относительно этого.

Ghola>>Налицо беспомощная попытка подменить понятия "криптоалгоритм" и "реализация криптоалгоритма".
U235>Глубоко ошибаетесь. Конечно, создание криптоалгоритма сложнее, чем его реализация. Однако и грамотно построить на его базе реальную криптосистему - ой какая нетривиальная и коварная задача. Я Вам могу привести кучу вариантов атаки даже не на алгоритм, а на его реализацию. Тут, в основном, народ и горит.
Ну приведите, будет интересно. Только заведомое ламерство разработчиков не рассматриваем. Боюсь, тут скорее выдача желаемого за действительное. Конечно, если будете записывать на свой счёт всех «юношей бледных с Delphi в глазах»(или с Basic'ом) - тогда Вы на высоте. Однако если рассматривать сколько-нибудь продуманные реализации – тут Вам ничего не светит. Конечно на криптографическую систему возможны различные пути атаки, в том числе и физический (всех головой в сортир, например) – однако этим у Вас тоже занимаются «крипты»?

Ghola>>"Недостаточное качество?" - это надо оч-чень сильно постараться при физической-то генерации на белом шуме! Там даже не нужен добротный белый шум. Байтики-то не повторя-я-яются!
U235>А не надо, чтобы они повторялись. Достаточно знать закономерности, присущие конкретному шуму (к примеру, его не совсем равномерный спектр, наличие не совсем случайных марковских цепочек, возможность разложения шума на некий ряд более определенных функций, и т.д.) . На тему взлома ДСЧ, в т.ч. и аппаратных, у криптов защищена не одна диссертация. Им только дай, к чему прицепиться!
Вот типичный пример белого шума. Ваши попытки напустить тумана только показывают Ваше желание скомпрометировать криптоалгоритм. Одно дело математические абстракции – а другое реальная физика. (В том числе не очень добротный АЦП) Уверен, все эти математические цепочки, если вообще применимы на практике – то никак уж не в данном случае. Можете ещё учесть предварительное архивирование сообщения (что, как известно, выравнивает частотный спектр байтов) – с целью экономии длины используемого ключа. Многое Вам даст знание каждого сотого байта ключа с вероятностью 85%, даже если сделать столь маловероятное предположение? А как вообще статистику набирать будете? (для каждого “конкретного шума”) Для холодильника каждого лавочника? “Ню-Ню”(с)

Ghola>>Нич-ч-чегошеньки подобного! Вероятность перехвата прямо пропорциональна количеству актов передачи и практически не зависит от объёма. Азы же, ей Богу! Кого Вы хотите обмануть, кэ-пи-тэн?!
U235>Вообще-то лейтенант . А объем все-же на вероятность компрометации влияет. Во первых, вам надо Ваш чемодан ключей где-то хранить. Обычный ключ я могу записать на чип и повесить его себе на шею, не снимая ни при каких обстоятельствах. Так что отбрать его можно лишь грубой силой. При этом ни о какой скрытности операции речи идти не может. С чемоданом же особенно не потаскаешься. Кроме того, большой чемодан сложно хранить в тайнике, либо просто спрятать в случае опасности. Уничтожение же в случае опасности отъема целого чемодана ключей - задача для мазохиста. Чип же элементарно уничтожается методом двух камней. Идем дальше: Вам придется после каждого сеанса шифрования заниматься уничтожением использованного ключа. Представляете, сколько мороки добавляется? И не дай бог Вам лопухнуться при этой процедуре! А если Вам вздумается вести архив шифрованной переписки? С одноразовым ключом это практически невозможно, либо Вам придется хранить все использованные ключи, лишая одноразовую криптосистему всякого смысла, либо хранить шифрпереписку в открытом виде.
Хорошо, лейтенант. Ваше преданность служебным интересам понятна. Не надо только размазывать понятия и приводить нежизнеспособные примеры. Почему-то Вам запомнился именно чемодан. Но, если уж Вас потянуло на романтику агентурной разведки, то на той же дискете 1.44” можно хранить ключ практически достаточный для передачи текстовой информации в течении всего жизненного цикла агента – с учётом упаковки сообщений. А на чипе можно уместить зна-а-ачительно больше! Просто не надо злоупотреблять JPEG’ами – и всё у Вас получиться. А на одном CD можно разместить ключ достаточный для текстовой деловой переписки двух абонентов (как с учётом упаковки сообщений, так без оной) – в течении многих жизней. Не вижу особенной необходимости обязательно уничтожать ключ после использования. Но если задаться такой целью – можно вообразить простейшее устройство на базе того же CD WRITER’а, которое будет сжигать прочитанные PIT’ы. А для массированной и бытовой процедуры уничтожения CDшников – микроволновка - (с) Том Клэнси.

Ghola>>[i]…"Основная угроза безопасности данных, подвергаемых криптографической защите, исходит от ГОСУДАРСТВА!"[/i]
U235>Не совсем верно, т.к. главной угрозой безопасности данных в бизнесе являются, скорее конкуренты и криминальные структуры. Им это больше надо. Государство интересует лишь очень ограниченный круг информации и оно и так имеет множество каналов для ее получение.
Конечно, достаточно вспомнить такие реалии нашей жизни как СОРМ и автоматизированное прослушивание телефонных переговоров с реакцией на ключевые слова. А теперь представим соседей по дому или конкурентов лавочника, ломающих хотя бы DES. Смешно. Исключая крупный международный бизнес, интересы которого переплетаются с государственными, можно совершенно твёрдо сказать: если кто-то защищает свои данные – то в первую очередь ему следует опасаться того государства, в котором он живёт. Эта угроза самая реальная если и не по частоте попыток (хотя это тоже не однозначно), то по степени вероятности преодоления защиты. Все государства в мире всегда проявляли и проявляют тенденции к вторжению в privacy. Наше, конечно же, не исключение. В информационном обществе такая угроза бесконечно возрастает. Так же как и появляются решительные меры противодействия.
Государственные структуры могут называть это выявлением преступных наклонностей. Налицо следующий механизм их действий. Сначала незаконными и полузаконными методами автоматизировано собирается громадный массив информации о гражданах. В том числе содержимое личной электронной переписки, статистика покупок по кредитной карточке, передвижений и многое другое. Далее это так же автоматизировано обрабатывается и выявляется круг лиц которым следует уделить особое внимание. Вот к ним-то и применяются более традиционные методы вроде технических и агентурных. Т.е. незаконными методами выясняется на кого обратить внимание. Далее разработка ведётся внешне достаточно законно. Кстати, вот ещё одна причина, почему госструктуры противятся широкому распространению криптографической защиты – ведь факт начала использования кем-либо криптосистемы – уже настораживающий признак (А если их будут использовать многие – за всеми традиционными методами не уследишь).

У бандитов и конкурентов нет возможностей государства. В каждом конкретном случае для них взлом криптосистемы как правило не приносит выгоды сравнимой с затратами. Другое дело для государства. Единожды найденную методику взлома можно применять в поистине промышленных масштабах. Тут окупятся любые единовременные затраты.

U235>Поставьте себя на место чиновника налоговой, если он вдруг столкнулся с шифрованием данных: Вы думаете, что он побежит в ФАПСИ за помощью…
Это частность не стоящая даже упоминания. Как только государство решит это сделать(если уже давно не решило) – ФАПСИ прикажут и оно поделится методиками. Конечно, рутиной занимается не оно – пресловутый чиновник просто звонит в другую комнату своего управления.

[i]…"Основная угроза безопасности данных, подвергаемых криптографической защите, исходит от ГОСУДАРСТВА!"[/i]

Ghola>Ну так команда-то всё-таки одна. А сколько тактов - вопрос отдельный и зависящий в частности от поколения процессора.

Вот только вопрос по числу тактов является основным с точки зрения быстродействия. Так что уж лучше несколько команд на один такт, чем одна на кучу тактов. По представленному коду есть только одно замечание: во всех приличных реализациях ГОСТа сдвиг на 11 бит трактуется как сдвиг на байт плюс еще на 3 бита, причем сдвиг на байт реализуется прямо в ходе операции табличной замены. Так как затрата времени на сдвиг сразу на байт аналогична сдвигу на один бит, получаем существенный выигрыш по времени. Табличная замена тоже немного модернизирована: элементами замены явлеются целые байты, а не полубайты, как в каноническом описании. Это позволяет производит замену в оду команду за минимальное число тактов. При этом, правда, размер таблицы замен вырастает с 256 до 1024 байт. Но для ПК это несущественно.
Исходники никаким секретом не являются. У того же Винокурова их можно взять на http://www.enlight.ru/crypto/codes.htm .

U235>>Я Вам могу привести кучу вариантов атаки даже не на алгоритм, а на его реализацию. Тут, в основном, народ и горит.
Ghola>Ну приведите, будет интересно.

К примеру, атака на столь любимый мною генератор случайных чисел. В гибридных системах он отвечает за выбор сеансового ключа. Так что если удастся построить существенно неравномерное распределение вероятностей выпадения значений ключей, то можно существенно сократить время подбора ключа.
Возможно, что атака с помощью троянов покажется Вам слишком наивной, но заткнуть все дыры, куда они могут залезть, тоже непросто. А трояны могут, к примеру, подменить программу шифрования, либо генерирования сеансового ключа, перехватывать значения ключей и блоков открытого текста. И тут даже одним проектированием программы шифрования не обойдешся: надо строить защиту всей системы. Кстати о системе: винда обладает пакостным свойством в самый неподходящий момент сбрасывать на жесткий диск содержимое ОЗУ. А ведь там может оказаться ключ, либо открытый текст. Можно еще вспомнить уже описаную хохму с одной версией PGP, в которой оказалось возможно в связку ключей для многоадресного шифрования вставить свой открытый ключ незаметно для пользователя программы. Таким образом, он даже ни сном ни духом не будет ведать, что его программа делает копию сообщения для чужого дяди. В общем, много там чего веселого. Практика показывает, что атаки на реализацию имеют место быть куда чаще, чем классический криптоанализ, т.к. стоят дешевле и не требуют такой длительной и специфической профессиональной подготовки.

Ghola>Конечно на криптографическую систему возможны различные пути атаки, в том числе и физический (всех головой в сортир, например) – однако этим у Вас тоже занимаются «крипты»?

Нет. Этим у нас занимаются "дубы" при поддержке "физиков" . И государство против Вас, скорее всего, в случае нужды использует именно такой "криптоанализ". Нафига надо уродоваться с шифром, если поместив Вашу голову в сортир и так узнаешь все, что надо?

Ghola>>Одно дело математические абстракции – а другое реальная физика. (В том числе не очень добротный АЦП) Уверен, все эти математические цепочки, если вообще применимы на практике – то никак уж не в данном случае.

Вот Вам реальня физика (злорадно потирая руки и ехидно улыбаясь): берем ручку и пишем из головы случайную подборку в сотню арабских циферок. А затем гоняем полученную подборочку хотя бы тем же маткадом. Я думаю, что диагноз поставит даже простой анализ частот выпадения цифр. Так что мозг человека не в состоянии решить казалось бы элементарную задачу генерации хорошей случаиной последовательности. И в природе таких негодных генераторов сколько хочешь. И не всегда их огрехи так очевидны. Я, к примеру, могу подсунуть вам такую пседослучайную последовательность, которая будет производить полное впечатление абсолютно случайной даже при достаточно пристальном криптоанализе. Однако я без труда смогу подобрать ее текущие значения, либо предсказать последующие биты по ее предыдущим значениям.

[ слишком длинный топик - автонарезка ]

Ghola>> А как вообще статистику набирать будете? (для каждого “конкретного шума”) Для холодильника каждого лавочника? “Ню-Ню”(с)

А я буду не статистику набирать, а ограничивать пространство возможных значений - это проще.

Ghola>>Хорошо, лейтенант. Ваше преданность служебным интересам понятна. Не надо только размазывать понятия и приводить нежизнеспособные примеры. Почему-то Вам запомнился именно чемодан.

Это я по поводу Вашего утверждения, что объем информации не влияет на вероятность ее компрометации.

Ghola>>Но, если уж Вас потянуло на романтику агентурной разведки...

Так я же и говорил, что одноразовые ключи применимы именно в агентурной разведке и приватной переписке 2-х абонентов. Как только в пытаетесь сделать шифрованную систему электронной почты для не слишком исскушенных в шифровании работников оффиса средней фирмы, так все Ваши теоретические выкладки летят к чертям. Сразу встает уже описанная проблема с архивом шифрованной почты. Но это уже совсем не главный вопрос. Гораздо серьезнее то, что надо организовать обмен не между двумя, а между целой кучей пользователей, притом что хранить увесистые связки ключей какому-нибудь менеджеру совсем не улыбается. Так же он пошле Вас ко всем чертям, если Вы попросите его подождать с написанием письма, пока до его адресата не доедет курьер с пистолетом и ключом к шифру. Мало того, вообще-то никакого курьера и не будет, так как директор фирмы вряд-ли будет гореть желанием организовывать ради этого целую курьерскую службу, либо оплачивать услуги сторонних курьеров. Так же учтите, что в фирме обязательно найдется ротозей (и не один!), который эти ключи потеряет.
Именно все описанные выше реалии коммерческой криптографии, а не какие-то злодейские интересы спецслужб, и диктуют традиционную на сегодня гибридную структуру коммерческих криптосистем с распространением ключей по открытым каналам методами несимметричной криптографии. Мало того: на самом деле в бизнесе скорее стоит проблема неоспоримой подписи под электронным документом, чем собственно проблема приватности сообщения, а тут несимметричной криптографии просто нет альтернатив.

Ghola>> А для массированной и бытовой процедуры уничтожения CDшников – микроволновка - (с) Том Клэнси.


Либо Вы что-то не так прочитали, либо mr Клэнси в очередной раз лопухнулся: таким способом Вы скорее угробите микроволновку, чем хотя-бы один байт с сидюка. СВЧ может хорошо размагничивать магнитные носители. Однако разрушить металлическое покрытие компашки - сомневаюсь.

Ghola>> А теперь представим соседей по дому или конкурентов лавочника, ломающих хотя бы DES. Смешно.

Зря смеетесь. Написать программу для перебора 56-битного (реально он и того меньше) ключа в состоянии даже программист страдающий синдромами похмелья и Дауна одновременно. Итак, пишем программу и пускаем ее на всех оффисных компьютерах нашей фирмы. Время перебора получится просто смешное, особнно если шеф разорился на PIII-и для оффиса. Можно пускать такую программку не только в нерабочее время, но круглосуточно, благо многозадачная винда позволяет. А почитайте-ка суммарную производительность компьютеров средней, а тем более крупной фирмы? Очень даже, оказывается, неплохими возможностями они располагают. Так что взлом DESа - реальность даже для неискушенного фирмача.

[ слишком длинный топик - автонарезка ]

Ghola>> Исключая крупный международный бизнес, интересы которого переплетаются с государственными, можно совершенно твёрдо сказать: если кто-то защищает свои данные – то в первую очередь ему следует опасаться того государства, в котором он живёт.

Не-а. Опасаться прежде всего нужно непосредственно того, от кого эти данные защищаешь, и, отталкиваясь от этого, и строить систему защиты. А защищаться от всего и вся - так можно и до паранойи дойти, либо просто разориться на расходах.

Ghola>> Эта угроза самая реальная если и не по частоте попыток (хотя это тоже не однозначно), то по степени вероятности преодоления защиты.

А если астероиду захочется упасть на Землю, то он обязательно на нее упадет, так что давайте плюнем на все и будем всю систему ПВО строить в рассчете на атаку астероида
Государство, если Вы, конечно, не крутой олигарх со связями на самых верхах, - тот же астероид. Если он грохнется на Вас - Вам мало не покажется в любом случае. Оно располагает такими возможностями, что тягаться с ним маленькой, но гордой службе безопасности бесполезно - все равно раздавят не тем, так иным способом. Строить систему безопасности в расчете на противодействие государственным структурам - значить нести очень существенные и необоснованные (опять же, если Вы не олигарх ) затраты.
Ваши слова, что государство может использовать "дырявые" алгоритмы для тотальной слежки и выявления тех, на кого следует обратить внимание, не лишены смысла. Однако для этого надо, чтобы в алгоритме была просто грандиозная дыра, дабы вскрытие шифровки шло "на раз". Однако не держите всех остальных за лохов: шифр исследуется и независимыми криптоаналитиками и криптоаналитиками в погонах из других стран. Так что до такой дыры они вполне могут докопаться и раструбить о ней по всему миру. После этого Вы уже ничего интересного из шифровок не выловите. И по той же причине криптоанализ не станет инструментом для примитивных разборок на уровне налоговой инспекции: если ФАПСИшникам прикажут поделится с налоговиками методиками криптоанализа, то о сущестововании таких методик не будет знать только ленивый и ценность получаемой информации упадет до нуля. Криптоанализ - слишком деликатный инстумент. И пользуются им с величайшей осторожностью. Вспомните историю с Ковентри: там даже целого города не пожалели, дабы не поставить под угрозу разглашения факт чтения шифрпереписки противника.
Так что будьте проще и исходите из реалий, а не из трепа правозащитников. Они на жизнь языком зарабатывают, а не головой.

Ghola>>Странно, а как же команды SHL(D)/ROR(L)?...
U235>>Так вроде бы те команды трактуются процессором как цикл из нескольких одиночных сдвигов.
Ghola>Ну так команда-то всё-таки одна. А сколько тактов - вопрос отдельный и зависящий в частности от поколения процессора.
U235>По представленному коду есть только одно замечание: во всех приличных реализациях ГОСТа сдвиг на 11 бит трактуется как сдвиг на байт плюс еще на 3 бита, причем сдвиг на байт реализуется прямо в ходе операции табличной замены.
Собственно, код я Вам предложил для того чтобы Вы могли на собственном опыте узнать сколько тактов занимает, в частности, команда ROL на современных процессорах (или, скажем даже, не очень современных). Ваши представления несколько устарели – наверно они относятся ко временам Вашего обучения. В представленном фрагменте кода команда ROL займет 1(один) «тик» (на Вашем процессоре)- вне зависимости от величины сдвига. Проверьте. Основные задержки вызывает работа с памятью (в которой, в частности, хранятся различные таблицы), несмотря на то, что обращения к ней, конечно же, кэшируются. (Можете проделать вращение для двойного слова в памяти). Поэтому следует считать аксиомой, что оптимальная реализация для одного поколения процессоров Intel – вовсе не обязана быть ею для другого. Вообще, для сравнения DES/ГОСТ нужно рассматривать полные оптимальные реализации – в том числе с учетом количества основных циклов(шагов). Предлагаю к этому больше не возвращаться, если, конечно, Вы не найдете мнение независимых экспертов, с учетом всех сделанных ранее в этом топике оговорок.
(А за исходники ГОСТа – конечно спасибо. Может и воспользуюсь когда-нибудь. )

U235>>Я Вам могу привести кучу вариантов атаки даже не на алгоритм, а на его реализацию.
U235> К примеру, атака на столь любимый мною генератор случайных чисел. В гибридных системах он отвечает за выбор сеансового ключа. Так что если удастся построить существенно неравномерное[!!!] распределение вероятностей выпадения значений ключей, то можно существенно сократить время подбора ключа.
Ghola> …Только заведомое ламерство разработчиков не рассматриваем.
U235>Возможно, что атака с помощью троянов покажется Вам слишком наивной
Отнюдь. Или точнее не очень. (Возможно потому, что я и сам баловался с троянским кодом для Wintel. ) Но это атака на систему а не собственно на реализацию криптоалгоритма. Первый Ваш пример был более «в кассу».
U235>Кстати о системе: винда обладает пакостным свойством в самый неподходящий момент сбрасывать на жесткий диск содержимое ОЗУ.
Ну, к примеру, на NT/2000 этому можно воспрепятствовать. (Точнее - можно автоматически очищать swap при штатном отключении питания. А против нештатного - UPS).
Короче говоря, Вы, как правило, рассматриваете атаку на систему с тех направлений с которых она не защищена конструктивно. (т.е. защита и не предусматривалась разработчиком) В большинстве своем, разработчики дешёвых массовых криптографических программ предполагают что злоумышленники имеют доступ только и исключительно к зашифрованному сообщению. И это, конечно, оговаривается. С учетом этой оговорки, они как правило прекрасно справляются. Зашита собственно компьютера отдается на усмотрение владельца (как физический путь так и, например, выбор антивирусов или программ электронной почты для защиты от “мэйл-бомб”). Так что, “сыплются” скорее нерадивые юзеры, а отнюдь не разработчики.

U235>Практика показывает, что атаки на реализацию имеют место быть куда чаще, чем классический криптоанализ
Это само собой. Причём, отнюдь не на реализацию собственно криптоалгоритма, а на криптосистему (программу) в целом, если понимать под криптосистемой весь комплекс мер по защите информации. Таким образом – собственно, «крипты» - не у дел. (Или скажем так – удачи у них очень редки, но значимы).

U235>Нафига надо уродоваться с шифром, если поместив Вашу голову в сортир и так узнаешь все, что надо?
Органам – по органам! Просто так всех не окунёшь - как бы Вам этого ни хотелось. Нужны какие-то обоснования – хотя бы перед своим началством. А ключи всяческие, особенно к этому специально приспособленные (ну там термитное напыление c тыльной стороны СD) – имеют свойство быстро приходить в негодность, оставляя органы – наедине с со своим омонимом. Показания же, относительно непроверяемых фактов данные “окунаемым” клиентом – имеют нулевую (а то и отрицательную) ценность. (Да и человек может элементарно не помнить).

[ слишком длинный топик - автонарезка ]

Ghola>>Одно дело математические абстракции – а другое реальная физика.
U235>Вот Вам реальная физика (злорадно потирая руки и ехидно улыбаясь): берем ручку и пишем из головы случайную подборку в сотню арабских циферок.
(У-ХА-ХА! )
U235>Я думаю, что диагноз поставит даже простой анализ частот выпадения цифр. Так что мозг человека не в состоянии решить казалось бы элементарную задачу генерации хорошей случайной последовательности.
Где же физика? Здесь добрый доктор диагноз поставит. Тут психология (или психопатология ).

U235>И в природе таких негодных генераторов сколько хочешь. И не всегда их огрехи так очевидны.
Конечно. Например макрообъекты в таком качестве лучше не рассматривать. А вот чем меньше по размерам – тем любопытственней. Конечно, тоже соображение надо иметь.

U235>Я, к примеру, могу подсунуть вам такую пседослучайную последовательность, которая будет производить полное впечатление абсолютно случайной даже при достаточно пристальном криптоанализе. Однако я без труда смогу подобрать ее текущие значения, либо предсказать последующие биты по ее предыдущим значениям.
Ну дык! Только как Вы мне её интересно подсунете? Если Вы предложите программный ГСЧ (Ваш любимый) или его формулу – то о чём тут говорить?! Или быть может принесёте готовый одноразовый ключ? Тогда он, естественно, будет скомпрометирован для любой переписки кроме как с Вами.

Ghola>> А как вообще статистику набирать будете? (для каждого “конкретного шума”) Для холодильника каждого лавочника? “Ню-Ню”(с)
U235> А я буду не статистику набирать, а ограничивать пространство возможных значений - это проще.
У-и! Пространство возможных значений байта?
“Ню-Ню”(с) И флаг Вам в руки!

Ну подумайте (уже уговариваю!) – байтики не повторяются (одноразовый ключ!), спектр достаточно равномерный. Ваши оценки в лучшем случае – вероятностные. Сообщение упаковывается – т.е. его спектр – тоже равномерный. Далее можно применить какое-нибудь блочное преобразование – например, умножение на матрицу из очередного фрагмента ключа или хотя бы и тот же однократный DES. То есть пока ты не знаешь ключ совершенно точно – ничего тебе не светит. Т.е. вероятностные оценки не помогут – а перебор бессмыслен. Атака на открытом тексте тоже бессмысленна. (Статистика о фрагменте ключа!?) Подумайте сами - ведь можно скрестить какой-нибудь достаточно стойкий блочный шифр (ну хоть бы и ГОСТ Ваш любезный или его облегченную вариацию) – и одноразовый ключ. Это практически не скажется на быстродействии исходного криптопреобразования.

Ну, уел я Вас?

Ghola>> А для массированной и бытовой процедуры уничтожения CDшников – микроволновка - (с) Том Клэнси.
U235> Либо Вы что-то не так прочитали, либо mr Клэнси в очередной раз лопухнулся: таким способом Вы скорее угробите микроволновку, чем хотя-бы один байт с сидюка. СВЧ может хорошо размагничивать магнитные носители. Однако разрушить металлическое покрытие компашки - сомневаюсь.
Здря сумлеваетесь. ЦЫтирую:

---

- В общем это наш вариант системы “Тэпданс”. Представляет собой одноразовый блокнот с матрицами, накопленными в лазерном диске. Матрицы создаются на основе атмосферных радиопомех и затем вторично кодируются шумом во второй половине дня - атмосферный шум крайне беспорядочен, так что, если использовать два комплекта записанного шума, а также созданный компьютером случайный алгоритм для комбинирования этих комплектов, мы создаем нечто исключительно беспорядочное - по мнению математиков, нет ничего иного, где бы отсутствие системы было выражено настолько очевидно. Матрицы создаются компьютером и вводятся на лазерные диски в реальном времени. Для каждого дня года мы применяем разные диски. Каждый диск является единственным в своем роде, их существует вего два экземпляра - один на станции, другой в “Меркурии”. Запасных нет. Устройство для чтения с лазерного диска выглядит самым обыкновенным, однако лазер в нем обладает особой, повышенной мощностью и по мере чтения кодовых матриц с диска он сжигает их прямо с пластика. После использования всего диска - или по окончании дня, а день закончится раньше, потому что мы имеем дело с миллиардами букв на каждом диске, - он уничтожается путем нагрева в микроволновой печи. На это уходит две минуты. Такая система предельно надежна.

---

// источник: Т.Клэнси «Все страхи мира»


Хм! Диск явно нестандартный.(«миллиарды» - или перевод подкачал?) Хотя, если учитывать упаковку текстового сообщения, то за один гигабайт можно выйти совершенно свободно (и вплотную приблизиться ко второму). Как видите “микроволновка” – в оригинале. Алюминиевый слой обязан в принципе греться. И уж, конечно, поведёт его сердешного как миленького. Почему бы ему при этом ещё и не расплавиться? Он же тонкий – много ли надо? В общем, принцип вполне верный. Вопрос тут только в мощности - хватит ли бытовой (IMHO, да) или нужна спецЫяльная? Правда две минуты многовато для экстренного уничтожения. (ср. термитное напыление (с) – мой!) Но по тексту этого и не требуется. Данная система описывается как применяемая для связи с зарубежными резидентурами (очевидно в посольствах). Т.е. ключи доставляются дипкурьерами и атака возможна только на данные передаваемые по относительно уязвимым для перехвата каналам связи. В частности, в книге американцы посыпались на устаревшем шифре(другом ) применённом для шифрования факса из Японии.
Добавлю ещё, что в случае использования именно атмосферного шума (что, IMHO, отнюдь не обязательно и скорее сомнительно) – лучше использовать диапазоны относительной непроходимости (затухания) эл.-магн. волн в атмосфере – т.е. нечто высокочастотное (например на резонансной частоте водяного пара – слышал я и такой звон ).

[ слишком длинный топик - автонарезка ]