> Пока Komlin раскачается, можно я отвечу? ;)
Свободу слова пока еще не отменили ;)
> > Дело не в уклончивости, а в изначальном стиле статьи и
> > сделанных выводах. Если бы там встречались слова
> > "предпололжительно" и т.п. - это одно.
> Давайте ещё раз повторим заявленные Комлиным недостатки
> ГОСТа(в хронологическом порядке):
Давайте. Но я имел ввиду следующий логический ход: Александр показывает потенциальный механизм мошенничества (который был впоследствии опровергнут) и патетически вопрошает "Что мы должны думать о ФАПСИ, сознательно оставившем такую дыру?!".
> 1) "Слабая подпись": Вычисление секретного ключа при
> известном k. Ничего нового в этом нет, это общая проблема
> всех алгоритмов Эль-Гамейна. Вероятность совпадения очень
> мала. Слабость скорее теоретическая, если нет багов в
> реализации
> (см. ниже). IMHO, сама по себе она неопасна, если бы не
> другое свойство стандарта.
Это аналогично пренебрежению тяготением земли в решении физических задач ;) Сказано ведь : k секретный и случайный. Как этого добиться - не дело ГОСТа. Если уж так все расписывать, то это будет не ГОСТ а готовая реализация ;)
> 2) Универсальная подпись: существует подпись, подходящяя к
> любым документам. При этом она не может быть
> сформирована программой, но всё же проверку пройдёт.
> Уникальная особенность ГОСТовского матаппарата :). Аналогов
> в других методах подписи нет.
Т.е. Вы утверждаете, что ни DSA, ни изначальный алгоритм Эль-Гамаля (за что ж Вы его выше Гамейном обозвали? ;)) не имеют универсальной подписи, проходящей проверку? Я не говорю о последующем доказательстве ее умышленности...
> 3) Обратные ключи. Блестяще опровергнута Сергеем.
> Обратите внимание, что уязвимости № 2 опровержения нет и
> думаю не будет.
> Вопрос только в том, как её использовать злоумышленнику.
А никак. Эта уязвимость возможна только при желании законного владельца секретного ключа Х. Не думаю, что кто-то захочет наскрести себе неприятностей, особенно после этой дискуссии.
> Наиболее очевидный путь, указанный Александром- применение
> её после компроментации секретного ключа.
> Первый вариант- в результате ошибки реализации(например
> генератора случайных). Кстати вещь совсем нередкая, даже
> PGP на этом недавно горел.
> Совсем недавно (в сентябре 2001) все условия для этого
> предоставил iBank (предсказуемый генератор k). Не думаю,
> что он последний.
Вот! В связи с этим классно звучит наезд на ФАПСИ. При сертификации качество ДСЧ проверяют в первую очередь. Единственная конструктивная мысль, звучащая от противников сертификации криптософта в ФАПСИ, эт онезависимый аудит. Но реально, кто это может сейчас делать в России? Вот потому я и считаю, что для потребителя едиснтвенный способ не купить Snake Oil - покупать только сертифицированные СКЗИ. Или использовать open source, в которых общественность не нашла багов, скажем, за последние 5 лет. Хотя, последнее - все равно рисковано. Не факт, что тот же Шнайер будет серьезнго исследовать в свободное время все open source подряд. А надеятся на квалификацию "толпы любопытствующих" - рисковано. Я использую BestCrypt, т.к. могу оценить правильность реализации в нем ГОСТ 28147 (на своем уровне, конечно) и не слышал, чтобы в нем нашли дыру с ключами (хотя реализация мультипарольного доступа вызывает опасения). А большинство потенциальных пользователей не могут сделать даже такую примитивную оценку, и вынуждены доверять рекламе "АБСОЛЮТНАЯ ЗАЩИТА" ;)
> Откровенно говоря, если бы кто-нибудь послал подобное
> сообщение, нельзя предсказать чем закончилось бы судебное
> дело, поскольку нетрудно доказать, что сообщение отосланно не
> программой.
Тогда почему нельзя? Можно. Подпись подходит? Да. Правовые последствия аналогичны собственоручной подписи. Да и по договору риски связанные с компрометацией (в определеии компрометации не говорится, умышленная она или нет), несет владелец ключа.
> Второй способ, основан на разрешении ГОСТа иметь общие
> граничные условия, и том факте, что во многих программах
> они общие
> для всех их пользователей. Анонимно открываем проект по
> перебору пар случайных ключей на примере компании "XXX",
> размещая результаты на открытой страничке. Выжидаем пока
> накопится некоторое их кол-во. Через пару месяцев, наша
> программа "случайно" выдаёт подпись из числа уже
> подобранных (или наоборот, вычисляется подпись из числа уже
> отправленных нами).
> Выжидаем пару дней и отсылаем подпись (x,1).
> На "разборе полётов" тычем пальцем в вышеупомянтую
> страничку, ранее сделанную подпись и ссылаемся, что наша
> программа такого выдать не могла.
> Скорее всего крайними будут создатели странички. Только
> как их найти?
Замечательно. Наталья, ну откуда у Вас такая тяга все усложнять? ;) Если по известным Y подбирались X, то зачем с подобранным ("случайно" ;)) Х посылать доказательство умышленности (Х,1), когда можно послать нормальную подпись с k!=0 (S,r')? Отказ владельца Х от своих подписей юридически значим только для сообщений, подписанных/полученных только после заявления о факте компрометации. При варианте атаки с подбором k - тоже самое, Х вычисляется однозначно, и зачем слать подпись, мошенническую суть которой однозначно можно доказать?
> Не думаю, что деньги вернут, но и посадить мошенника скорее
> всего не удастся. Как указывалось в статье, бухгалтера
> госструктуры сбросившего деньги на знакомую "однодневку" и
> такая ситуация прекрасно устроит.
Золотые слова. Вот потому, конторе надо страховать риски, возникающие в результате компрометации ключа. Смотрите:
1. Утром приходит директор на работу (08:00), а сейф с ключевой дискетой открыт. Это явная компрометация, ключ возможно скопирован.
2. Он заявляет об этом в банк. По договору банк обязан заблокировать доступ (включить сертификат открытого ключа Y в CRL) в течение 1 часа (или 3 часов, или 15 минут - не суть важно).
3. Предположим, злоумышленник добрался до сейфа в 3 часа ночи и до 8 утра послал от имени клиента 5 платежек. Если банк их уже провел, то это потеря клиента. Теперь его задача доказать страховой компании, что платежки ну никак не могли быть посланы им. Не сочтите за нескромность, но я опять сошлюсь на статью http://cybervlad.port5.com/ecp/index.html, там это подробнее расписано.
> Поэтому, мне кажется, что ГОСТ выглядит хуже своих
> американских и европейских одноклассников.
Не согласен. Если владелец хочет скомпрометировать свой ключ, он это сделает независимо от алгоритма.
Наталья, безопасность - штука комплексная. Не все проблемы можно решить математически/криптографически, поэтому по использованию ЭЦП и составляют договора. Зачем делать при проверке подписи контроль S==X и r'==1? Ну, проверится такая подпись корректно, ну будет она универсальной. Зачем проверяющему лишние телодвижения, если он все равно не пострадает?
> Учитывая на редкость спокойное и конструктивное отношение
> Komlina к любой критике
> благодарности высказывались именно за последнюю. Обратите
> внимание Влад, там и Вас упоминают (явно не за
> поддакивание).
Да? Не заметил ;)
> Полагаю, что до разъяснений Александра утвержать, что
> кто-то поддакивал преждевременно.
В статье, естественно, цитат не было. Но вокруг самой идеи Александра была куча споров/высказываний. Этот форум - не единственное место. Почитайте cnews.ru -думаю, многим уже стыдно за сказанное.
> > Теперь даже нам (необразованным в дискретной
> математике
> > пользователям СКЗИ ;))) видна истинная ценность их
> > доморощенных изобретений.
> Камешек в огород Лан крипто? За чтоже вы их так не любите?
> :)))
По соображениям политкорректности я не произносил названий фирм, так что насчет камня в ЛанКрипто - это Ваша личная интерпретация моей фразы ;)
> Вот это уже явный перебор. Если бы в их алгоритмах были
> серьёзные ошибки полагаю их бы давно "осветили".
> И что плохого, что в РФ есть независиымые разработчики и
> оппоненты ФАПСИ? IMHO, от конкуренции потребитель
> только выиграет.
Отвечаю: разработчиков должно быть много, но они должны быть независимы друг от друга, а не от системы контроля качества. Я уже говорил, что рядовой потребитель не может оценить качество СКЗИ самостоятельно, поэтому продукция должна быть сертифицирована. Вопрос об обязательности лицензирования деятельности по разработке - subject to discuss.
Насчет нелюбви к ЛК. Большинство разработчиков - выходцы из той самой структуры, которая сейчас ФАПСИ. Но почему-то только ЛК активно поливает бывших коллег и всячески хочет отменить систему лицензирования и сертификации. При этом, ничего не предлагает взамен. Слышны только намеки на какую-то "независимую экспертизу". Видимо, они имеют ввиду себя. Однако стоит вспомнить непорядочное поведение ЛК/Волчкова по отношению к Бифиту после обнаружения ошибки в ДСЧ.
А еще стоит помнить, что никто не безгрешен: ФАПСИ находило ошибки и в продуктах ЛК.
Вообще, государство для того и существует, чтобы регулировать общественные отношения. Лицензирование сертификация в области криптографии отданы ФАПСИ. Аналогия (хоть это и не лучший способ аргументации): никто не запрещает покупать паленую водку, ее запрещают производить/продавать, оберегая, таким образом, граждан от вредных последствий.
> Как уже говорилось выше радоваться рано. Дырочка, есть и
> рано или поздно кто-нибудь найдёт способ её использовать...
;))
Ну так не факт, что кто-то не найдет полиномиальный алгоритм разложения на простые множители или дискретного логарифмирования в полях Галуа ;)
Кроме того, все время употребляются слова "дырочка" и "ошибка", подразумевающие, что автор знает, как надо было сделать правильно.
|
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
