> Свободу слова пока еще не отменили ;)
Чего нельзя сказать про конкуренцию алгоритмов (методов) ЭЦП :)
>
> Александр показывает потенциальный механизм мошенничества
> (который был впоследствии опровергнут) и патетически
> вопрошает "Что мы должны думать о ФАПСИ, сознательно
> оставившем такую дыру?!".
Александр показал несколько уязвимостей, одна из которых пока не опровергнута, см. ниже.
> (который был впоследствии опровергнут) и патетически
> вопрошает "Что мы должны думать о ФАПСИ, сознательно
> оставившем такую дыру?!".
Простите а откуда Вы взяли подобную фразу? Если уж цитируете, да ещё с кавычками кавычами, так обеспечьте соответствие тексту.
> > 2) Универсальная подпись: существует подпись,
...
> > Уникальная особенность ГОСТовского матаппарата :).
> Аналогов в других методах подписи нет.
> Т.е. Вы утверждаете, что ни DSA, ни изначальный алгоритм
> Эль-Гамаля (за что ж Вы его выше Гамейном обозвали? ;)) не
> имеют универсальной подписи, проходящей проверку? Я не
> говорю о последующем доказательстве ее умышленности...
Нет не имеет. У них подобной подписью может являеться только (0,1).
Такая подпись не пройдёт входных проверок (s>0, r>0).
Так, что это "достоинство" ГОСТа, вызванное, как правильно пишет Комлин "законадательным" введением ограничений.
> А никак. Эта уязвимость возможна только при
> желании законного владельца секретного ключа Х.
> Не думаю, что кто-то захочет наскрести себе неприятностей,
> особенно после этой дискуссии.
А также в случае когда секретный ключ украден и у вора нет времени разбираться с дополнительными методами защиты в первую очередь с формированием документа для хэширования. (см. ниже.)
> > Совсем недавно (в сентябре 2001) все условия для этого
> > предоставил iBank (предсказуемый генератор k). Не
> думаю, что он последний.
Вот! В связи с этим классно звучит наезд на ФАПСИ.
Претензия к ФАПСИ не в том, что они заставляют всех сертифицироваться, а в том что
1) У пользователя/разработчика отсуствует возможность выбора между методами, как это сделано в DSS.
2) Непонятно зачем не доступен ряд документов,позволяющих повысить стойкость методов.
> по договору риски связанные с компрометацией (в определеии
> компрометации не говорится, умышленная она или нет), несет
> владелец ключа.
Речь идёт о конкретном договоре не так ли? К тому же ущемляющим права клиента? Далеко не всякий крупный клиент подпишет договор ущемляющий его права. Да и мелкий может поискать другой банк.
> > Второй способ, основан на разрешении ГОСТа иметь общие
> > граничные условия, и том факте, что во многих
> программах они общие
> > для всех их пользователей. Анонимно открываем проект
> Замечательно. Наталья, ну откуда у Вас такая тяга все
> усложнять?
Мой пример не слишком удачен, особенно в свете нижесказанного, но он приводился просто для иллюстрации многообразия методов компроментации. Вы ведь тоже привели ещё один?
;) Если по известным Y подбирались X, то зачем с
> подобранным ("случайно" ;)) Х посылать доказательство
> умышленности (Х,1), когда можно послать нормальную подпись
> с k!=0 (S,r')?
"Просто сформировать" подпись не так-то просто (я уже писала это Александру как замечания к способу компроментации подписи, теперь Вам :). Использование универсальной подписи позволяет элементарно обойти одну из самых распрастранённых допзащит: секретная дописка( см. ниже) к документу (Та самая комплексная защита). Поэтому для злоумышленника логичнее всего использовать именно её.
Те, кто знает, что такое секретная дописка могут это пропустить
----------------
Даже захватив (сымитировав захват) секретный ключ ( особенно предлагаемым Владом, путём грабежа оффиса ) атакующему стоит разобраться с особенностями формирования документа для хэширования. По крайней мере туда включаются идентификаторы пользователя, причём они могут и не включаться в отсылаемый документ, а подключаться на этапе хэширования.
Не секрет, что сегодня для любой системы, имеющей доступ в интернет риск поймать троянца достаточно велик (вспомните например последнюю серию дыр в продуктах MS и то с какой попытки MS удалось сформировать корректный патч). О прослушивании каналов связи и говорить нечего. Поэтому практически все зарубежные (VIP DS например) и некоторые наши тоже (называть не буду, а то кто-то в рекламе обвинит ;) ) разработчики в внедряют разнообразные дополнительные методы защиты . Как правило речь идёт о том, что перед получением хэша документа к нему дописывается некоторый код известный только программе/пользователю (в VIP DS паре банк-пользователь, причём вводится непосредственно пользователем в момент подписи) и разумеется, в отсылаемый документ он не дописывается. Это кстати служит и прекрасной защитой от прослушивания /подбора (k,r) .
Полный анализ чужой программы без исходников дело очень долгое и зачастую непосильное, гораздо проще рассмотреть структуру пересыламого документа и использовать универсальную подпись.
Поэтому для использования универсальной подписи у атакующего причины есть.
-------------------------------------
> > Не думаю, что деньги вернут, но и посадить мошенника
> скорее
> > всего не удастся. Как указывалось в статье, бухгалтера
> > госструктуры сбросившего деньги на знакомую
> "однодневку" и
> > такая ситуация прекрасно устроит.
>
> > Поэтому, мне кажется, что ГОСТ выглядит хуже своих
> > американских и европейских одноклассников.
> Не согласен. Если владелец хочет скомпрометировать свой
> ключ, он это сделает независимо от алгоритма.
> Наталья, безопасность - штука комплексная. Не все проблемы
> можно решить математически/криптографически, поэтому по
> использованию ЭЦП и составляют договора. Зачем делать при
> проверке подписи контроль S==X и r'==1? Ну, проверится
> такая подпись корректно, ну будет она универсальной. Зачем
> проверяющему лишние телодвижения, если он все равно не
> пострадает?
О комплексности защиты конечно сказано правильно, но из статьи как раз и следует то, что ГОСТ в эту комплексность лишние дырки добавляет. Их нетрудно перекрыть (проверкой r==2) или другими орг методами( договорами и т.д.), но это не оправдывает стандарт. Ещё раз повторюсь такого прикола как универсальная подпись нет нигде.
Кстати вспомните одно из назначений ЭЦП - она защищает от данные от искажения.
С учётом универсальной подписи, существует по крайней мере одно такое искажение, что документ будет принят. Разумеется подобная ситуация возможна только только теоритически, но в других алгоритмах даже такого нет.
Поэтому я считаю себя в праве говорить,что ГОСТ хуже одноклассников.
> > Учитывая на редкость спокойное и конструктивное
> отношение
> > Komlina к любой критике
> > благодарности высказывались именно за последнюю.
> Обратите
> > внимание Влад, там и Вас упоминают (явно не за
> > поддакивание).
> Да? Не заметил ;)
HTM -вариант статьи (ссылка в конце сообщения об усовершенствованном способе подписи).
>
> > Полагаю, что до разъяснений Александра утвержать, что
> > кто-то поддакивал преждевременно.
> В статье, естественно, цитат не было. Но вокруг самой идеи
> Александра была куча споров/высказываний. Этот форум - не
> единственное место. Почитайте cnews.ru -думаю, многим уже
> стыдно за сказанное.
Вы о форуме cnews? Читала (пока он был доступен) , единственное что написал Волчков - о несбалансированности защиты ГОСТа (абсолютно верно кстати).
> А еще стоит помнить, что никто не безгрешен: ФАПСИ находило
> ошибки и в продуктах ЛК.
Ссылочку?
Насколько я помню речь шла не об ошибках а о несоответствии ГОСТу.
> Вообще, государство для того и существует, чтобы
> регулировать общественные отношения. Лицензирование
> сертификация в области криптографии отданы ФАПСИ. Аналогия
Сертификация- пожалуйста. Только зачем же навязывать свой алгоритм да ещё единственный, да ещё уступающий однокласниккам (см. выше). Вспомните DSS -дан выбор методов, причём их можно использовать одновременно (с разными ключами). В этом случае, даже если вскроют один это мало чем грозит. В условиях роста производительности компъхютерного парка это (комбинированное применение методов без потерь в обслуживании) легко достижимо уже сейчас или в ближайшем будущем.
|
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
