Взломан алгоритм шифрования RSA

Ghola>>… Почему-то Вам запомнился именно чемодан.
U235>Это я по поводу Вашего утверждения, что объем информации не влияет на вероятность ее компрометации.
Ну что ж, вернёмся в прошлое:
U235>>Кроме того, чем больше объём передаваемой ключевой информации, тем больше вероятность того, что ее у Вас украдут.
Ghola>>Нич-ч-чегошеньки подобного! Вероятность перехвата прямо пропорциональна количеству актов передачи и практически не зависит от объёма. Азы же, ей Богу![!!!] Кого Вы хотите обмануть, кэ-пи-тэн?!
“И молчите и не спорьте.”© То ли Вы искренне (и упорно !) заблуждаетесь – то ли неумно врёте.(?) Просто даже и за державу обидно. (В обоих случаях – ну до чего непрофессионально!) Во-первых чемодан CD – крайний случай. Рассматривайте это просто как фигуру речи для обозначения объёма ну-у… 70Гб. Если физические размеры станут хо-оть намёком на ограничивающий фактор – можно просто нести винчестер (HDD ) или прекраснейшим образом разместить такой же объём информации на компактной сборке чипов. Во-вторых, Вы что не знакомы с сакраментальными фразами: “Если знают трое – знают все”, “Если знают двое – то один из них должен быть мёртв” – (уж не знаю, стишки что ли рассказывать?!) ?
Здесь тот же принцип. Т.е. первостепенное значение имеет количество актов обмена информацией. Объём же её при условии одномоментности каждого акта обмена и использования современных носителей - практически роли не играет!!! (В данном контексте. В других – максимум малозначителен.) Как можно это отрицать?! “А-ТА-ТА!!! А-ТА-ТА!!!”(с)


Ghola>>Но, если уж Вас потянуло на романтику агентурной разведки...
U235>Так я же и говорил, что одноразовые ключи применимы именно в агентурной разведке и приватной переписке 2-х абонентов. Как только в пытаетесь сделать шифрованную систему электронной почты для не слишком искушенных в шифровании работников офиса средней фирмы, так все Ваши теоретические выкладки летят к чертям. Сразу встает уже описанная проблема с архивом шифрованной почты. Но это уже совсем не главный вопрос. Гораздо серьезнее то, что надо организовать обмен не между двумя, а между целой кучей пользователей, притом что хранить увесистые связки ключей какому-нибудь менеджеру совсем не улыбается.
Ну, в описываемой Вами ситуации, безусловно может подойти гибридная криптосистема. Это если стремиться к удобству (за счёт безопасности). Но если задаться целью обязательно использовать в переписке одноразовые ключи – тогда, конечно, абоненты должны ими обмениваться. Но обмениваться однократно! (“раз в 10 лет”(с)). Не понял Вашего пассажа по поводу “увесистой связки” ключей. Ну лежат они на сервере – лежат и есть не просят. Когда мало становится – новые свои генерим. Гораздо чаще – чужие дописываем. Дублируем естественно. Конечно, не особо удобно. Но терпимо. Зато – безопасность. За всё надо платить.
Весь почтовый траффик делаем как обычно через почтовый/криптографический сервер(ы) локальной сети. Там же храним архив (например). Т.е. рядовые сотрудники к ключам доступа не имеют. Какие ещё детали? Всё преодолимо.

U235>Сразу встает уже описанная проблема с архивом шифрованной почты.
Не понял проблемы с архивом:
U235>А если Вам вздумается вести архив шифрованной переписки? С одноразовым ключом это практически невозможно (почему?!), либо Вам пидется хранить все использованные ключи, лишая одноразовую криптосистему всякого смысла(почему?!), либо хранить шифрпереписку в открытом виде.
Почему так уж нельзя хранить использованные ключи? Если они хранятся надёжно? В чём здесь принципиальное отличие от других криптосистем? Хорошо. Ну, положим – нельзя. (у другого абонента тоже ключ – хм?!) Пожалуйста – заводим (генерим) специальный одноразовый ключ для архива почты. Всё. В чём проблема? В чём в этом случае отличие от другой симметричной криптосистемы?
Позволю себе процитировать снова себя же:
Ghola>… естественно для российских граждан и предпринимателей малого и среднего бизнеса, т.е. тех основная угроза данным которых исходит от государственных органов - выглядит следующий выбор: в первую очередь симметричные криптосистемы с одноразовым ключом, там же где это затруднительно - симметричные, несимметричные и гибридные системы, основанные на зарубежных криптоалгоритмах.

[ слишком длинный топик - автонарезка ]

U235>…на самом деле в бизнесе скорее стоит проблема неоспоримой подписи под электронным документом, чем собственно проблема приватности сообщения, а тут несимметричной криптографии просто нет альтернатив.
Ну дык и я о том же твержу :
Ghola>>… будущее у криптографии как науки связано только с несимметричными криптоалгоритмами по типу RSA - …- т.е. цифровая подпись.
Или слишком радикально по-вашему?

Ghola>> А теперь представим соседей по дому или конкурентов лавочника, ломающих хотя бы DES. Смешно.
U235>Зря смеетесь. Написать программу для перебора 56-битного (реально он и того меньше) ключа в состоянии даже программист страдающий синдромами похмелья и Дауна одновременно. Итак, пишем программу и пускаем ее на всех оффисных компьютерах нашей фирмы. Время перебора получится просто смешное, особенно если шеф разорился на PIII-и для оффиса.
(Ну, не дают Вам покоя разные синдромы .) Написать-то программку можно. А вот получить результаты – некоторая проблема. Рассмотрим атаку на открытом тексте. Будем ломать путем прямого перебора ключей. Предположим, что удалось добыть оптимальную реализацию DES выполняющую элементарный акт шифрования за 1000 тактов процессора P-IV с тактовой частотой 1.5 ГГц. (Оч-чень оптимистично! Скорость потокового шифрования при этом бы достигла: 1.5 ГГц / 1000 * 64 =~ 91,6 МБ/сек!) Для полного перебора надо выполнить 2⁵⁶ элементарных актов шифрования. Считаем (в “научном виде” “Калькулятора”): 2⁵⁶ * 1000 / 1,5Е+9 = 48038396025,285290(6)(сек) / 3600 = 13343998,9 (часов)/ 24= 555999,9 (суток) /365 = 1523,287545 (лет). (Действительно, “смешное” время - с тысячей “пней”(или полу-мегабаксом) можно и подступиться. У Вас она/он есть? Даже в среднем бизнесе такого не найти. А тысячетактовая реализация?) Так что, пока домохозяйка может спать спокойно. Но, в общем, конечно, сейчас пользовать однократный DES не стоит. Вот та же оценка для 3DES (112-битный ключ): 2¹¹² * 1000 / 1,5E+9 = 3461531239023218419020330886,1467(сек) = 109764435534729148243,922(лет)
Так что, боюсь, опять – “A-TA-TA!!!”(с). Скребя, как говорится, сердце …

Ghola>> Эта угроза[государство] самая реальная если и не по частоте попыток (хотя это тоже не однозначно), то по степени вероятности преодоления защиты.
U235>А если астероиду захочется упасть на Землю, то он обязательно на нее упадет, так что давайте плюнем на все и будем всю систему ПВО строить в рассчете на атаку астероида
Кстати, по поводу предотвращения астероидной угрозы последнее время раздаются вполне осмысленные предложения. По сравнению с расходами на оборону – плюнуть и растереть. Запрашивали всего порядка мегабака на систему наблюдения (“астероидный патруль”). А если вовремя заметить – то предотвратить достаточно просто. “Профилактика – великая вещь” (с). В случае построения криптосистемы такой профилактикой и будет выбор зарубежного криптоалгоритма. Тем более, что никаких принципиальных расходов это не несёт (помните наше отношение к “мягкой” собственности?)

[ слишком длинный топик - автонарезка ]

U235>Ваши слова, что государство может использовать "дырявые" алгоритмы для тотальной слежки и выявления тех, на кого следует обратить внимание, не лишены смысла. Однако для этого надо, чтобы в алгоритме была просто грандиозная дыра
Не обязательно именно и только дырявые алгоритмы. Могут быть и “калитки” в сертифицированных криптосистемах – особенности реализации криптоалгоритма, особенности построения системы. Может быть и творческая композиция вышеперечисленного (ну, например, в совокупности с теми же пресловутыми таблицами перестановки ГОСТ). В общем гадать здесь – занятие бесплодное. Просто надо думать самостоятельно а не повторять официоз. Лично я считаю что такие возможности довольно маловероятны. Но полностью их исключать не стоит. И поэтому при построении криптосистемы не следует оставлять места нежелательным “сущностям”.

U235>…если ФАПСИшникам прикажут поделится с налоговиками методиками криптоанализа, то о сущестововании таких методик не будет знать только ленивый и ценность получаемой информации упадет до нуля. Криптоанализ - слишком деликатный инстумент. И пользуются им с величайшей осторожностью. Вспомните историю с Ковентри: там даже целого города не пожалели, дабы не поставить под угрозу разглашения факт чтения шифрпереписки противника.
Видите ли, не всё так однозначно. В случае с Ковентри возможна была только однозначная реакция и практически единственный канал утечки данных о налёте. В нашем же случае – круг посвящённых может быть достаточно узок. Так что откуда знать, например, “широкому” налоговику как именно получены определённые данные – техническим или агентурным шпионажем, гениальной ли работой аналитиков или все-таки путем взлома криптосистемы. Как говорится – взял конверт из ячейки (или принесла секретарша со входящими бумагами). “Азы!” В случаях же подразумевающих однозначный ответ – вариант Ковентри - Вы знаете. (Т.е. конверт просто не принесут).

U235>Так что будьте проще и исходите из реалий, а не из трепа правозащитников. Они на жизнь языком зарабатывают, а не головой.
Ну вот и вылез-таки звериный оскал тоталитаризма. Не сдержались Вы, разочаровали меня. Правозащитников конечно же слушать надо. (Только я от них ничего подобного не слышал). У меня, например, вызывает вполне определённое уважение Новодворская. Другое дело что слушать надо не только её/их. Правозащитники как правило могут прекрасно объяснить чего НЕ следует делать. А вот как при этом просто продолжить жить или откуда взять на их проект деньги – другими словами практически выполнимой позитивной программы – они предложить не могут. Просто иногда они очень вовремя предостерегают от некоторых глупостей, пока те не стали бедами.

Ghola>Кстати, по поводу предотвращения астероидной угрозы последнее время раздаются вполне осмысленные предложения. По сравнению с расходами на оборону – плюнуть и растереть. Запрашивали всего порядка мегабака на систему наблюдения (“астероидный патруль”).

Так. А можно с этим в космический и поподробнее? Я даже тему сделал: Астероидная угроза

Просто интересно, откуда вы такую взяли цифру - мегабакс

Ghola>Ваши представления несколько устарели – наверно они относятся ко временам Вашего обучения. В представленном фрагменте кода команда ROL займет 1(один) «тик» (на Вашем процессоре)- вне зависимости от величины сдвига.

Мои представления вообще относятся к абсолютно непохожему на Intel PIC-контроллеру (микроконтроллер фирмы Microchip) . Для него я как-то разрабатывал программу для прошивки ПЗУ, которая должна была работать в реальном времени, так что для него я все тонкости с количеством тактов на команду знаю. С Intelами я с такой стороны не сталкивался. Знаю только, что по своей архитектуре они выполняют разные команды за разное число тактов, а глубже не разбирался - нужды не было. Однако это, скорее, приятная новость, т.к. означает, что на новых Intelах ГОСТ идет еще быстрее, чем я предполагал. Кстати, прогнал я через шифрование файл в 1,2 Mb. Использовалась гибридная криптосистема с симметричным шифрованием открытого текста по ГОСТ 28147-89 и шифрованием сеансового ключа на закрытом ключе получателя по ГОСТ 34.10-94. Задержка шифрования составила около 2х секунд на PIII. Это при том, что программа пускалась из под отладчика.

Ghola>Короче говоря, Вы, как правило, рассматриваете атаку на систему с тех направлений с которых она не защищена конструктивно.

Я просто привожу самые клинические случаи, когда защита обходится без каких-нибудь изысков. Более изощренные методы - не тема для публичных разговоров.

Ghola> В большинстве своем, разработчики дешёвых массовых криптографических программ предполагают что злоумышленники имеют доступ только и исключительно к зашифрованному сообщению. И это, конечно, оговаривается. С учетом этой оговорки, они как правило прекрасно справляются. Зашита собственно компьютера отдается на усмотрение владельца (как физический путь так и, например, выбор антивирусов или программ электронной почты для защиты от “мэйл-бомб”). Так что, “сыплются” скорее нерадивые юзеры, а отнюдь не разработчики.

В основном так и есть. Только я бы не назвал это хорошей работой. В реальности ситуация-то гораздо сложнее и требуется комплексный подход к защите. Если сапер дает в руки обалдевшему солдату миноискатель и отправляет его с богом на минное поле, а потом сетует, что "чайник" не справился, Вы ведь не назовете его хорошим профессионалом? Так и в современной компютерной криптографии - мало написать програмку для шифрования файлов. С этим-то как раз любой может справится. Главное - создать защищенную информационную систему. А это уже гораздо более сложная и нетривиальная задача.

Ghola>Органам – по органам! Просто так всех не окунёшь - как бы Вам этого ни хотелось. Нужны какие-то обоснования – хотя бы перед своим началством.

В том то и дело, что факт использования такой экзотики, как одноразовые ключи, заставит этих ребят почесать свои бритые затылки и заитересоваться: "А зачем, собственно?"

U235>Вот Вам реальная физика (злорадно потирая руки и ехидно улыбаясь): берем ручку и пишем из головы случайную подборку в сотню арабских циферок.

Ghola>Где же физика? Здесь добрый доктор диагноз поставит. Тут психология (или психопатология ).

Кстати, наиболее качественные случайные последовательности наблюдаются как раз у психически больных А у людей с высоким IQ даже наоборот: последовательности хуже среднего. А физика тут вот в чем: в природе слишком много закономерностей и неочевидных, на первый взгляд, связей. А статистика - очень мощный иструмент для их выявлений. Так что к выбору ГСЧ, даже аппаратных, надо подходить, как Вы выразились, с соображением. Там все совсем не так очевидно, как кажется. Поэтому теория ГСЧ и являются достаточно крупным и очень уважаемым разделом криптографии

U235>И в природе таких негодных генераторов сколько хочешь. И не всегда их огрехи так очевидны.
Конечно. Например макрообъекты в таком качестве лучше не рассматривать. А вот чем меньше по размера – тем любопытственней. Конечно, тоже соображение надо иметь.

[ слишком длинный топик - автонарезка ]

Ghola>Ну дык! Только как Вы мне её интересно подсунете? Если Вы предложите программный ГСЧ (Ваш любимый) или его формулу – то о чём тут говорить?! Или быть может принесёте готовый одноразовый ключ? Тогда он, естественно, будет скомпрометирован для любой переписки кроме как с Вами.

Программу для генерирования случайной последовательности можно попробовать подменить с помощью трояна, либо получив прямой доступ к ПК. Ключ можно, опять таки, подменить в процессе передачи, подкупив или вырубив курьера.

Ghola>> А как вообще статистику набирать будете? (для каждого “конкретного шума”) Для холодильника каждого лавочника? “Ню-Ню”(с)
U235> А я буду не статистику набирать, а ограничивать пространство возможных значений - это проще.
У-и! Пространство возможных значений байта?
“Ню-Ню”(с) И флаг Вам в руки!

Ghola>Ну подумайте (уже уговариваю!) – байтики не повторяются (одноразовый ключ!), спектр достаточно равномерный. Ваши оценки в лучшем случае – вероятностные.

Имя неравномерную статистику как псевдослучайной последовательности, так и текста, на который она налагается, можно попробовать выделить этот самый текст.

Ghola> Сообщение упаковывается – т.е. его спектр – тоже равномерный... Подумайте сами - ведь можно скрестить какой-нибудь достаточно стойкий блочный шифр (ну хоть бы и ГОСТ Ваш любезный или его облегченную вариацию) – и одноразовый ключ.

Это уже шаг в верном направлении. То есть для усиления ГСЧ вы предлагаете проводить дополнительную его рандомизацию каким-нибудь алгоритмом. Достаточно распространенная процедура, кстати, есть даже специальные алгоритмы - усилители случайности. То есть Вы опять-таки признаете, что ГСЧ выливается в не настолько уж простую вещь, как кажется. А про архивирование сообщения, как метод усиления шифрсистемы, я уже и сам говорил. Только там опять же есть свои тонкости.

Ghola>Хм! Диск явно нестандартный.(«миллиарды» - или перевод подкачал?) Хотя, если учитывать упаковку текстового сообщения, то за один гигабайт можно выйти совершенно свободно (и вплотную приблизиться ко второму).

Вообще-то случайный одноразовый ключ не должен упаковываться НИ В КОЕМ СЛУЧАЕ. Если упаковщик смог его сжать, это говорит о его нешумовой статистике. Кстати, это достаточно неплохой в первом приближении способ проверки качества шифралгоритма для "чайников". Если шифртекст на выходе алгоритма УЖИМАЕТСЯ архиваторами, то забудьте о таком алгоритме, как о страшном сне. Неравномерная статистика шифртекста является серьезной зацепкой для криптоаналитиков и грубейшим изъяном шифра.

Ghola>>Нич-ч-чегошеньки подобного! Вероятность перехвата прямо пропорциональна количеству актов передачи и практически не зависит от объёма. Азы же, ей Богу![!!!] Кого Вы хотите обмануть, кэ-пи-тэн?!

Зато само количество актов передачи зависит от объема информации. А уж стоимость передачи информации - тем более. Носители килобитного закрытого ключа стоят копейки. А чипы не гигабайты информации - огромных денег. Мы опять же упираемся в стоимость защиты информации. Если Вы несете затраты на защиту информации превышающие возможный ущерб от ее разглашения, то нафига Вам такая защита?

Ghola>Во-вторых, Вы что не знакомы с сакраментальными фразами: “Если знают трое – знают все”, “Если знают двое – то один из них должен быть мёртв” – (уж не знаю, стишки что ли рассказывать?!) ?

С этой точки зрения гибридные системы тоже предпочтительнее будут, т.к. в симметричных системах, которой является и система с одноразовым ключом, вышеупомянутое условие выполняется лишь в случае 2х пользователей, да и то - не в полной мере . А вот в гибридных системах закрытый ключ абонента известен лишь самому абоненту, а не отнюдь не всем пользователям сети. И мухлевать не может ни один участник защищенной сети, кроме центра сертификации открытых ключей, на доверии которому вся сеть и строится. Но уж лучше доверятьодному известному тебе субъекту, чем целой куче не совсем известных.

[ слишком длинный топик - автонарезка ]

Ghola>>Ну, в описываемой Вами ситуации, безусловно может подойти гибридная криптосистема. Это если стремиться к удобству (за счёт безопасности). Но если задаться целью обязательно использовать в переписке одноразовые ключи – тогда, конечно, абоненты должны ими обмениваться. Но обмениваться однократно! (“раз в 10 лет”(с)).

УПАСИ БОГ!!! Со сроком хранения ключей увеличивается опасность их компрометации, да и последствия такой компрометации становятся просто катастрофическими. Для чего, к примеру, те же военные регулрно носятся со сменой ключей, а не завозят сразу в части офигенный запас на годы вперед? Ключи - прямо как колбаса - со временем становятся опаснее. А регулярная их смена минимизирует потери от возможной неявной компрометации ключа, и усложняет задачу для разведки противника: ему уже недостаточно один разок стянуть ключи. Приходится организовывать постоянный канал хищения ключа, что явно сложнее.
А к удобству всегда надо стремиться. Ведь человек по своей природе - раздолбай. И если ему становится слишком сложно соблюдать меры предосторожности, то он может на них плюнуть, даже в ущерб своей безопасности.

Ghola>> Не понял Вашего пассажа по поводу “увесистой связки” ключей. Ну лежат они на сервере – лежат и есть не просят.

Плохо, что на сервере. Утрачивается физический контроль за ключами. В идеали они должны быть в несгораемом сейфе, полностью изолированными от окружающих, либо постоянно быть при их владельце.

Ghola> За всё надо платить. Весь почтовый траффик делаем как обычно через почтовый/криптографический сервер(ы) локальной сети. Там же храним архив (например). Т.е. рядовые сотрудники к ключам доступа не имеют. Какие ещё детали? Всё преодолимо.

Хмм... При такой организации сети Вы рискуете обзавестись могильным памятником с эпитафией "Он слишком много знал..." . Гораздо лучше, когда ключ находится непосредственно при получателе сообщения, и только он один может узнать его содержание. Нет такой опасной для здоровья концентрации секретов многих людей в руках одного человека.

Ghola>>Пожалуйста – заводим (генерим) специальный одноразовый ключ для архива почты. Всё. В чём проблема? В чём в этом случае отличие от другой симметричной криптосистемы?

Опять же встает проблема "Он слишком много знал...". Появляется некое третье лицо, владеющее ключом архива, которое может читать переписку.

Ghola>… естественно для российских граждан и предпринимателей малого и среднего бизнеса, т.е. тех основная угроза данным которых исходит от государственных органов - выглядит следующий выбор: в первую очередь симметричные криптосистемы с одноразовым ключом, там же где это затруднительно - симметричные, несимметричные и гибридные системы, основанные на зарубежных криптоалгоритмах.

Один вопрос. Предположим Вы продаете зарубежный продукт для защиты информации. На Вашу беду нашелся некий несовершеннолетний гений, который крякнул алгоритм и облегчил карманы Вашего клиента на изрядную сумму. Кто, по-Вашему, окажется крайним в этой истории? Как нетрудно догадаться, - Вы . Сертифицируя средство криптозащиты, государство берет на себя риски связанные с возможными изъянами самого средства. Вы готовы самолично отвечать за последствия таких изъянов? Не сомневаюсь, если речь идет лишь о Вашей собственной безопасности, то Вы можете на это пойти. А если у Вас имеется достаточно большой круг клиентов?

Ghola>>… будущее у криптографии как науки связано только с несимметричными криптоалгоритмами по типу RSA - …- т.е. цифровая подпись.
Или слишком радикально по-вашему?

Конечно радикально. Чистые несимметричные системы малоприменимы на практике. И весьма опасны. К примеру, имея возможность подсунуть на вход RSA свое сообщение и прочитать то, что получилось на выходе, я на раз вычисляю закрытый ключ, которым оно шифровалось. Да и скорость их работы нервирет. Так что сейчас наиболее перспективны гибридные системы, сочетающие качества как симметричных, так и несимметричных систем.

[ слишком длинный топик - автонарезка ]

Ghola> (Ну, не дают Вам покоя разные синдромы .) Написать-то программку можно. А вот получить результаты – некоторая проблема. Рассмотрим атаку на открытом тексте...

В Ваших рассуждениях есть несколько изъянов. В первых, аппаратные шифраторы, которые заметно ускоряют операции дешифрования - не такая уж дорогая или редкая вещь. С ними акт дешифрования может вообще занять пару-другую тактов. Во-вторых, организаций, располугающих тысячами оффисных компьютеров не так уж и мало. Во-третьих, Вы не рассматриваете всех возможностей, которые предоставляет сеть. Можно, к примеру, написать сетевой вирус, который вместо того, чтобы заниматься всякой ерундой, будет подбирать ключи. Проверку результата можно проводить по орфографическому словарю Word. Он есть, практически, на любой машине. Сколько тогда машин будут работать на взлом? Наконец, в-четвертых - подбор ключа сугубо вероятностная вещь. Все может быть кончено гораздо раньше. Особенно если подбор проводился грамотно с использованием возможных огрехов в выборе сеансового ключа DESa и было построено распределение вероятностей выпадения ключей. Так же, учитывая неслабый суммарный объем памяти такой сети, может быть произведен размен памяти на быстродействие.

Ghola> “Профилактика – великая вещь” (с). В случае построения криптосистемы такой профилактикой и будет выбор зарубежного криптоалгоритма. Тем более, что никаких принципиальных расходов это не несёт (помните наше отношение к “мягкой” собственности?)

Скажем так, незачем ставить железную дверь, если у Вас стены из фанеры. Незачем ставить крутой шифр, который уж точно не взломают даже самые крутые спецслужбы, и при этом оставлять как есть всю остальную систему безопасности. Ведь Ваша безопасность будет определяться слабейшим звеном защиты.

Ghola> В общем гадать здесь – занятие бесплодное. Просто надо думать самостоятельно а не повторять официоз. Лично я считаю что такие возможности довольно маловероятны. Но полностью их исключать не стоит. И поэтому при построении криптосистемы не следует оставлять места нежелательным “сущностям”.

Вот именно. Дабы не наткнуться на подлянку, в том же ГОСТе можно на свой страх и риск применить самопальную таблицу замен.

Ghola>Видите ли, не всё так однозначно. В случае с Ковентри возможна была только однозначная реакция и практически единственный канал утечки данных о налёте.

Не сказал бы. О налете знало не так уж и мало немецких офицеров. Было лишь некоторый риск раскрыть источник сведений. Он и решил дело.

Ghola> В нашем же случае – круг посвящённых может быть достаточно узок.

Но, тем не менее, он расширяется. Риск может быть оправдан, когда на кону крупные суммы, но ИМХО вряд-ли такой метод будет применяться к малому и среднему бизнесу - игра не стоит свеч. Дешевле уж мордой в сортир ...


U235>Так что будьте проще и исходите из реалий, а не из трепа правозащитников. Они на жизнь языком зарабатывают, а не головой.
Ghola>Ну вот и вылез-таки звериный оскал тоталитаризма.

Скорее холодный рассчет. Ни один из этих правозащитников не является хорошим специалистом по безопасности. КГБ знало о них все. Так какого черта я буду доверять ИМ в вопросах собственной безопасности?

Ghola> Правозащитников конечно же слушать надо. У меня, например, вызывает вполне определённое уважение Новодворская. Это которая через раз предлагает расстрелять всех бывших работников КГБ? Ну и кумиры же у Вас По-моему у нее уже сдвиг на этой почве. Чем ей так КГБ насолил? Ghola> Просто иногда они очень вовремя предостерегают от некоторых глупостей, пока те не стали бедами.

Наивно, обычно это у них выглядит. Одно слово - профессиональные дилетанты.

Вообще-то ГОСТ по подписи похож не на RSA, а на DSA, который в свою очередь базируется на алгоритме Эль-Гамаля. В стать на bugtrack описываются атаки с помощью слабых входных параметров алгоритма. Такие слабые значения есть практически в каждом криптоалгоритме. В том же DESe и RSA их тоже хватает. И задача борьбы с ними ложится целиком на авторов программной реализации и органы, сертифицирующие данный продукт. В код программы вставляется проверка на слабые значения и теперь уже пользователь программы не может при генерации слабого значения перевести стрелки на авторов реализации.