Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | | | | | | |
Не верю. Либо читал и ни фига не понял 02.06.06 19:34 Число просмотров: 3347
Автор: amirul <Serge> Статус: The Elderman
|
> Я то читал и внимательно. А вот ты похоже нет, если
Не верю. Либо читал и ни фига не понял
> пропусил описание недостатков, где все сводится к тому что: > "слишком зависим от криптосистемы", "непризнан" или > "другого выбора нет"
Наоборот. Основные недостатки: маленькое внутренее состояние и медленный "разогрев". Первый недостаток НИКАК не связан с собственно хэшем и даже не связан с методом сбора энтропии - простым увеличением размера пула энтропии этот недостаток устраняется полностью. Второй недостаток - чаще всего много энтропии и не надо. Около 128 бит достаточно с головой.
А вот то, что тебе показалось основным (к чему все сводится) встречается по разу у разных криптосистем.
|
<theory>
|
Cамый изощренный способ взлома стойких ключей 26.05.06 19:59
Автор: Led Статус: Незарегистрированный пользователь Отредактировано 26.05.06 20:00 Количество правок: 1
|
Cамый изощренный способ взлома стойких ключей, как я и думал, разработан Юрием Решетовым. Для взлома сильного ключа нужно перебрать такое количество вариантов, которое можно записать 27 битным числом.
Если не верите, то читайте его рассказ на http://betaexpert.narod.ru/ под названием "27 бит" (первый в списке, pdf формат).
Рассказ Юрия Решетова
|
|
Красиво, но... 26.05.06 20:39
Автор: Heller <Heller> Статус: Elderman Отредактировано 26.05.06 20:41 Количество правок: 1
|
> Cамый изощренный способ взлома стойких ключей, как я и > думал, разработан Юрием Решетовым. Для взлома сильного > ключа нужно перебрать такое количество вариантов, которое > можно записать 27 битным числом. > Если не верите, то читайте его рассказ на > http://betaexpert.narod.ru/ под названием "27 бит" (первый > в списке, pdf формат).
Красиво, но "стандартные генераторы случайных чисел" на самом деле не такие уж и стандартные.
Во-первых, даже в одной криптосистеме эти алгоритмы могут отличаться от реализации к реализации. Более того, зачастую алгоритм ПСГ в конкретной реализации неизвестен (только в общих чертах, чего не достаточно для проведения предлагаемой атаки).
Во-вторых, ключи генерируются не совсем случайно - для их генерации существуют специальные генераторы ключей, так как еще далеко не любой ключ может ситаться надежным.
В-третьих, ПСГ - это не функция от времени, а последовательность, где от времени зависит только первый элемент (остальные вычисляются рекурсивно). Вероятность того, что ключ будет генерироваться используя этот самый первый элемент последовательности ничтожно мала. А какой именно элемент будет использоваться - неизвестно.
В-четвертых, для генерации ключей в криптографических целях обычно используется не таймер, а, например, функция от клавиатурного буффера, шумы на входе звуковой карты или просто генератор в виде девайса, который генерирует свою псевдослучайную последовательность, не вызывая каждый раз "randomize", а значение начального случайного числа в него вшивается еще на заводе.
Но все равно красиво. Многие продукты к такой атаке будут уязвимы (но никак не разведки и контрразведки :)).
|
| |
Все правильно. Автор в своем разрезе на простом, понятном... 30.05.06 16:49
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 30.05.06 16:51 Количество правок: 1
|
> Красиво, но "стандартные генераторы случайных чисел" на > самом деле не такие уж и стандартные.
Все правильно. Автор в своем разрезе на простом, понятном даже ребенку, доступном языке донес/изложил вполне простые истины: "ГСЧ" не существуют, есть только ГПСЧ от элементарных, до навароченых. Разница только во времени атаки на ГПСЧ, но в любом случае это будет меньше, чем ломать килобитные ключи.
> Во-первых, даже в одной криптосистеме эти алгоритмы могут > отличаться от реализации к реализации. Более того, зачастую > алгоритм ПСГ в конкретной реализации неизвестен (только в > общих чертах, чего не достаточно для проведения > предлагаемой атаки).
Закон устойчивости системы к взлому говорит о том, чтоб она была таковой, даже если злоумышленнику известно ВСЕ, кроме ключа.
> Во-вторых, ключи генерируются не совсем случайно - для их > генерации существуют специальные генераторы ключей, так как > еще далеко не любой ключ может ситаться надежным.
Все равно это ГПСЧ.
> В-третьих, ПСГ - это не функция от времени, а > последовательность, где от времени зависит только первый > элемент (остальные вычисляются рекурсивно). Вероятность > того, что ключ будет генерироваться используя этот самый > первый элемент последовательности ничтожно мала. А какой > именно элемент будет использоваться - неизвестно.
Алгоритмы "под рукой" у взломщика. Система должна и в этом случае оставаться стойкой.
> В-четвертых, для генерации ключей в криптографических целях > обычно используется не таймер, а, например, функция от > клавиатурного буффера, шумы на входе звуковой карты или
Это ПСЧ. Цифровой шум звуковухи - это отцифровка фона, как правило 50Гц. Периодичность 50*44100Гц. Если знать амплитуду фона и фазу, то можно довольно точно восстановить эту, на перый взгляд кажущуюся случайной, последовательность.
> просто генератор в виде девайса, который генерирует свою > псевдослучайную последовательность, не вызывая каждый раз > "randomize", а значение начального случайного числа в него > вшивается еще на заводе.
Короче все, что в компе - ПСЧ, а значит подвержено атаке на генерацию ключа.
> Но все равно красиво. Многие продукты к такой атаке будут > уязвимы (но никак не разведки и контрразведки :)).
|
| | |
То есть как это ГСЧ не существуют? 30.05.06 19:06
Автор: amirul <Serge> Статус: The Elderman
|
> Все правильно. Автор в своем разрезе на простом, понятном > даже ребенку, доступном языке донес/изложил вполне простые > истины: "ГСЧ" не существуют, есть только ГПСЧ от > элементарных, до навароченых. Разница только во времени > атаки на ГПСЧ, но в любом случае это будет меньше, чем > ломать килобитные ключи.
Пул энтропии куда девать? Сверхточное (RDTSC) измерение времени прихода прерываний (сети, клавиатуры, мыши, винта). Замечу, прерываний асинхронных по самой своей сути, сверхточные замеры температуры и пр.. Если ты когда нибудь видел цифровые фотографии темного фона с чувствительностью 400, ты поймешь о чем я - ни о какой закономерности речи там нет.
> Это ПСЧ. Цифровой шум звуковухи - это отцифровка фона, как > правило 50Гц. Периодичность 50*44100Гц. Если знать
Весьма спорное утверждение.
> Короче все, что в компе - ПСЧ, а значит подвержено атаке на > генерацию ключа.
Не все. У интеловских процессоров есть встроенный генератор рандомов. Причем именно случайных.
|
| | | |
В мышке кварц стоИт, и в кнопках тоже. Сигналы от мышки идут... 31.05.06 18:30
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> Пул энтропии куда девать? Сверхточное (RDTSC) измерение > времени прихода прерываний (сети, клавиатуры, мыши, винта).
В мышке кварц стоИт, и в кнопках тоже. Сигналы от мышки идут с строго кварцованной частотой. Ее асинхронные прерывания будут происходить с постоянным интервалом времени в пределах точности дискретизации - то есть +/- ~1.
> Замечу, прерываний асинхронных по самой своей сути, > сверхточные замеры температуры и пр.. Если ты когда нибудь
Речь только в том, что где-то ее (энтропии) больше, где-то меньше.
> видел цифровые фотографии темного фона с чувствительностью > 400, ты поймешь о чем я - ни о какой закономерности речи > там нет.
Просто найти тяжелее.
|
| | | | |
Все что ты описываешь - суть странные аттракторы 31.05.06 21:13
Автор: amirul <Serge> Статус: The Elderman
|
> > Пул энтропии куда девать? Сверхточное (RDTSC) > измерение > > времени прихода прерываний (сети, клавиатуры, мыши, > винта). > > В мышке кварц стоИт, и в кнопках тоже. Сигналы от мышки > идут с строго кварцованной частотой. Ее асинхронные > прерывания будут происходить с постоянным интервалом > времени в пределах точности дискретизации - то есть +/- ~1.
Ага, а песочные часы на одну минуту заканчиваются строго через минуту. Давай поспорим на что угодно, что ты не сможешь предсказать время падения последней песчинки с точностью до наносекунды. А еще поспорим, что ты не сможешь предсказать в какую сторону она скатится.
Во первых есть серьезные сомнения в том, что цепочка "кварц-микрухи на мыше-провода-последовательный контроллер на мамке-прерывание процессора-время работы обработчика прерываний" синхронизировано с точностью до такта процессора. Во вторых никто не заставляет тебя использовать младшие биты этого счетчика. Ты вполне можешь мерять время с точностью до миллисекунды или до .1 секунды - точность, которая во первых значительно превышает точность кварцевания мыши (артефакты кварцевания не будут проявляться - только реальное время, которое ты меряешь), а во-вторых примерна равна частоте на которой "шумит" пользователь.
> Речь только в том, что где-то ее (энтропии) больше, где-то > меньше.
Ага. Но нам не нужна гамма на ВСЕ шифруемые данные. Нам зачастую достаточно 64 бит. Брутфорс на 64 бита уже весьма нетривиальная задача. RSA ключи такие длинные из-за того, что к ним RSA применимы весьма неплохие криптоатаки. Но это не значит, что все 1-4 килобита должны быть действительно случайными. Сам кейспейс может быть и поменьше (например 2^64 разных значений для неприменимости брутфорса), но ключ должен быть достаточно длинным для неприменимости криптоанализа.
> > видел цифровые фотографии темного фона с > чувствительностью > > 400, ты поймешь о чем я - ни о какой закономерности > речи > > там нет.
> Просто найти тяжелее.
Ага, ты мне еще демона Лапласа вспомни. Но с неопределенностью Гейзенберга не поспоришь. В современной микроэлектронике сплошь и рядом квантовые эффекты. А уж с квантовой вероятностью не поспоришь.
Вот тебе еще один пример: вероятность туннелирования частицы (например электрона) через потенциальный барьер - легко рассчитывается, а вот фактически предсказать сколько когда следующая частика преодолеет барьер нельзя.
|
| | | | | |
Если эти часы будет переворачивать робот много раз, то можно... 01.06.06 13:26
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> Ага, а песочные часы на одну минуту заканчиваются строго > через минуту. Давай поспорим на что угодно, что ты не > сможешь предсказать время падения последней песчинки с > точностью до наносекунды. А еще поспорим, что ты не сможешь > предсказать в какую сторону она скатится.
Если эти часы будет переворачивать робот много раз, то можно будет обнаружить закономерности в мире случайного...
В принципе можно построить достоточно "случайный" генератор в компьютере, для бОльшей лучшести прикрутив аппаратные примочки. Суть статьи про 27 бит не в том, что возможно на базе компа построить надежный генератор ключей, а в том, что этого не делают, либо получается не то, что задумано и генератор остается подвержен атакам, о каких и не подозревал его создатель.
|
| | | | | | |
Закономерности есть и у странных аттракторов 01.06.06 15:04
Автор: amirul <Serge> Статус: The Elderman Отредактировано 01.06.06 15:05 Количество правок: 1
|
> Если эти часы будет переворачивать робот много раз, то > можно будет обнаружить закономерности в мире случайного...
Но это не значит, что на эти закономерности не накладывается отпечаток РЕАЛЬНОЙ случайности. Даже если часы будет переворачивать СВЕРХТОЧНЫЙ робот, то все равно ты не узнаешь точного времени падения последней песчинки и сторону, в которую она скатится. Сомневаюсь, что ты не знаешь о том, что такое Демон Лапласа и о том, как лихо этого демона заборол Гейзенберг.
> примочки. Суть статьи про 27 бит не в том, что возможно на > базе компа построить надежный генератор ключей, а в том, > что этого не делают, либо получается не то, что задумано и > генератор остается подвержен атакам, о каких и не > подозревал его создатель.
Честно говоря статью я даже не читал, а спорить стал не со статьей, а с тобой (по поводу невозможности ГСЧ).
|
| | | | | | | |
Не читал, но осуждаю. У автора статьи есть ПО... 02.06.06 17:51
Автор: Led Статус: Незарегистрированный пользователь
|
> Честно говоря статью я даже не читал, а спорить стал не со > статьей, а с тобой (по поводу невозможности ГСЧ).
Не читал, но осуждаю. У автора статьи есть ПО аппроксиматора, который берет поток битов и превращает в арифметическую формулу. Подставляй потом адрес любого бита последовательности в переменные формулы и она вернет точное значение. Перемалывает и мегабайты.
А ты утверждаешь, что закономерности обнаружить "невозможно", даже не поинтересовавшись о чем речь.
Есть очень существенная разница, между термином "предсказать" и "вычислить", дедукцией и индукцией. Если ее все время ради спора опускать, то вместо диалога получаем пустопорожний флейм.
Задача предсказания еще не сгенерированных криптографических ключей пока не имеет решения и вполне возможно никогда не будет решена. А подбор ключей для известных криптосистем более реален и неоднократно осуществлялся.
|
| | | | | | | | |
Ага, у автора статьи помимо прочего есть "опровержение" СТО Эйнштейна [update] 02.06.06 18:31
Автор: amirul <Serge> Статус: The Elderman Отредактировано 02.06.06 19:56 Количество правок: 2
|
Которое строится на том, что "такое бредовое утверждение, как различная скорость времени в различных системах отсчета просто не может быть правдой". Гениальная аргументация. За такое прямиком в science_freaks отправляют.
> > Честно говоря статью я даже не читал, а спорить стал > не со > > статьей, а с тобой (по поводу невозможности ГСЧ). > > Не читал, но осуждаю. У автора статьи есть ПО
Тю. Это ты не читал что написано, я даже не стал стирать заквотированную тобой мою фразу. Перечитай ее еще раз и поймешь, я как раз спорю с тем, что читал. А вот ты - нет.
> аппроксиматора, который берет поток битов и превращает в > арифметическую формулу. Подставляй потом адрес любого бита > последовательности в переменные формулы и она вернет точное > значение. Перемалывает и мегабайты.
Да ты что? А если ему скормить первые 10 метров фотошопвского экзешника, остальные он сможет экстраполировать? А если скормить первые 200 метров архива с виндовыми исходниками?
> А ты утверждаешь, что закономерности обнаружить > "невозможно", даже не поинтересовавшись о чем речь.
Это ты говоришь о возможности даже НЕ ПОНИМАЯ о чем речь.
> Есть очень существенная разница, между термином > "предсказать" и "вычислить", дедукцией и индукцией. Если > ее все время ради спора опускать, то вместо диалога > получаем пустопорожний флейм.
Слов много, смысла - нет. Вот это как раз и есть пустопорожний флейм.
> Задача предсказания еще не сгенерированных > криптографических ключей пока не имеет решения и вполне > возможно никогда не будет решена. А подбор ключей для > известных криптосистем более реален и неоднократно > осуществлялся.
Тоже бессмысленный набор слов. Давай поспорим, что я сгенерирую одной из известных НА ТЕКУЩИЙ МОМЕНТ (той же KeePass) open source программ ключ, если ты (или автор) его подберешь - я отдам 200 баксов, если нет - ты мне 100.
27 - бит это всего примерно 128 миллионов комбинаций. Даже если на проверку каждой комбинации потребуется 1 секунда (на современных процессорах это ОЧЕНЬ много), то на одном компьютере тебе понадобится всего лишь 4 года. Подключив 10 компьютеров у тебя уйдет меньше полугода, а сотня справится мешьше, чем за месяц. Прикол в том, что тебе понадобится значитительно меньше секунды на один AES ключ, так что один компьютер должен справиться за неделю.
Принимай предложение, если ты настолько уверен в авторе, иначе - пустой треп.
------------------------
Прежде чем соглашаться взгляни на реализацию сбора энтропии
void CGetRandomDlg::OnOK()
{
sha256_ctx ctx;
int nStringLen;
UpdateData(TRUE);
if((m_dwCurPoint == 0) && (m_strRandom.GetLength() == 0))
{
MessageBox(TRL("You must generate some random values using the"
"random mouse input box or the edit field before you can close this dialog."),
TRL("No random input"), MB_OK | MB_ICONWARNING);
return;
}
sha256_begin(&ctx);
sha256_hash(m_pFinalRandom, 32, &ctx);
sha256_hash((unsigned char *)m_points, sizeof(POINT) * 100, &ctx);
nStringLen = m_strRandom.GetLength();
if(nStringLen != 0)
sha256_hash((BYTE *)(LPCTSTR)m_strRandom, (unsigned long)nStringLen, &ctx);
sha256_end((unsigned char *)m_pFinalRandom, &ctx);
CDialog::OnOK();
}
void CGetRandomDlg::OnMouseMove(UINT nFlags, CPoint point)
{
if(m_bMouseActive == TRUE)
{
if(PtInRect(&m_rect, point))
{
if(m_dwCurPoint < 100)
{
if((rand() % 5) == 0)
{
m_points[m_dwCurPoint] = (POINT)point;
m_dwCurPoint++;
m_cMouseProgress.SetPos(m_dwCurPoint);
}
}
else
{
m_bMouseActive = FALSE;
GetDlgItem(IDC_BEGIN_MOUSEINPUT)->EnableWindow(TRUE);
GetDlgItem(IDC_BEGIN_MOUSEINPUT)->SetFocus();
}
}
}
CDialog::OnMouseMove(nFlags, point);
}
---
После генерации ключевого файла я не буду менять дату его создания (так что тебе не придется искать миллисекунды в пределах года - всего плюс-минус минута). В качестве энтропии взяты всего лишь 100 точек при движении мышью и строчка текста, набитая от фонаря.
|
| | | | | | | | | |
Ты сначал считать научись, а потом спорь 02.06.06 20:39
Автор: Led Статус: Незарегистрированный пользователь
|
> После генерации ключевого файла я не буду менять дату его > создания (так что тебе не придется искать миллисекунды в > пределах года - всего плюс-минус минута).
И чем ты это докажешь?
В качестве
> энтропии взяты всего лишь 100 точек при движении мышью и > строчка текста, набитая от фонаря.
Ты где арифметику учил? Предлагаешь на спор и на деньги взломать ключ с инициализацией в 27 бит. И как ты собираешься 27 бит запихать в 100 движений мышки и еще строчку текста набитую от фонаря?
У тебя с головой все в порядке или там полная энтропия?
|
| | | | | | | | | | |
Мдя, "тижолый случей" [update] 02.06.06 21:07
Автор: amirul <Serge> Статус: The Elderman Отредактировано 02.06.06 21:10 Количество правок: 1
|
> > После генерации ключевого файла я не буду менять дату > его > > создания (так что тебе не придется искать миллисекунды > в > > пределах года - всего плюс-минус минута). > > И чем ты это докажешь?
Могу ПРИ ТЕБЕ сгенерировать и тут же отдать. Устраивает? Условия: ПРИ ТЕБЕ генерирую новую базу с пустым или любым неслучайным (известным нам обоим) паролем и ключевым файлом. Ты забираешь файл базы (ключ остается у меня). Я отдаю тебе 200 баксов, если ты вернешь этот файл с добавленной записью. Если этого не происходит в течении полугода - ты отдаешь мне 100 баксов.
> В качестве > > энтропии взяты всего лишь 100 точек при движении мышью > и > > строчка текста, набитая от фонаря. > > Ты где арифметику учил? Предлагаешь на спор и на деньги > взломать ключ с инициализацией в 27 бит. И как ты
27 бит - цифра, указанная в статье Решетова. Из-за того, что "случайность" очень длинных ключей у мириканских шпионов на самом деле была в пределах 27 бит в этой статье пытали 3 человек, а один управлял миром. Я отдам тебе конечно же файл, зашифрованный 256-битным ключем, на основании твоей уверенности в том, что перебрать надо только 2^27 вариантов (я тебе их даже сокращу на полтора десятка двоичных порядков - до 2^13 бит) ты вполне без особо риска и напряга можешь получить 200 баксов. Идет?
> собираешься 27 бит запихать в 100 движений мышки и еще > строчку текста набитую от фонаря?
Написано "в качестве энтропии взяты 100 точек и строчка текста". Повторюсь: ЭНТРОПИИ. Это все что есть случайного. Все остальное - строго детерминировано. Из этой энтропии хешированием SHA256 получается соответственно 256 бит для ключа (который тебе собственно и надо сломать)
> У тебя с головой все в порядке или там полная энтропия?
Я бы предложил тебе сначала вникать в суть разговора, а потом переходить на личности и высказывать сомнения в умственной полноценности собеседника.
--------------
Да, кстати, то чудное "ПО", которое умеет паковать в мат формулу любую последовательность данных и экстраполировать остальное, оно все-таки сможет упаковать Фотошоп? Или заключим еще одно пари два к одному, чтобы это выяснить?
|
| | | | | | | | | | | |
Завязывали бы вы уже, а? :) 02.06.06 22:35
Автор: Heller <Heller> Статус: Elderman
|
|
| | | | | | | |
Спор, это когда сталкиваются разные мнения на одну и ту же... 02.06.06 17:45
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> Но это не значит, что на эти закономерности не > накладывается отпечаток РЕАЛЬНОЙ случайности. Даже если > часы будет переворачивать СВЕРХТОЧНЫЙ робот, то все равно > ты не узнаешь точного времени падения последней песчинки и > сторону, в которую она скатится. Сомневаюсь, что ты не > знаешь о том, что такое Демон Лапласа и о том, как лихо > этого демона заборол Гейзенберг. > > Честно говоря статью я даже не читал, а спорить стал не со > статьей, а с тобой (по поводу невозможности ГСЧ).
Спор, это когда сталкиваются разные мнения на одну и ту же тему.
На тему "Возможности существования/реализации ГСЧ" я спорить не буду, поскольку мое мнение совпадает с твоим однозначно.
На тему "Атака на генератор ключей возможна и может оказаться легка в большинстве реализаций систем" мое мнение положительно и совпадает с мнением автора статьи и я готов поспорить и продолжать обсуждать эту тему. Хотя бы для того, чтобы кто-нибудь из этого сделал вывод и разработке ГСЧ/ГПСЧ для генерации ключей уделял достаточно серьезное внимание.
|
| | | | | | | | |
Согласен. Большинство *реализаций* хромают 02.06.06 18:16
Автор: amirul <Serge> Статус: The Elderman
|
|
| | | |
Каким образом они встроили в процессор именно _случайный_ генератор? 30.05.06 20:59
Автор: Heller <Heller> Статус: Elderman Отредактировано 30.05.06 21:04 Количество правок: 1
|
|
| | | | |
Тут меня поправили, что не в процессоре, а в чипсете, но это не так важно 31.05.06 13:22
Автор: amirul <Serge> Статус: The Elderman
|
А откуда берет. Хех, основная проблема усилительной техники - борьба с шумами (собственно само усиление - крайне простая задача). Причем борьба с шумами во входном каскаде. Люди не знают куда от этих шумов деться, а ты говоришь, что найти шумы - проблема.
|
| | | | | |
Ага, здесь же и обсуждался "букет" уязвимостей подобных генераторов. 31.05.06 18:33
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
|
| | | | | | |
Расхождение теории и практики 31.05.06 19:19
Автор: Led Статус: Незарегистрированный пользователь
|
И для целей криптования приходится выбирать между разными *ГСЧ, которые либо не имеют равномерного распределения вероятности, но зато выходная последовательность близка к случайной. Либо выдают последовательности близкие к равномерному распределению, но по рекурсивному алгоритму.
Кто-то уже писал статью в "Компьютерре" и сетовал на то, что криптоаналитики только шумно приветствуют аппаратные реализации *ГСЧ от различных корпораций (возможно, что не забесплатно?). А на практике для криптографии используются программные ГПСЧ на стандартных и общеизвестных алгоритмах.
|
| | | | | | | |
А что мешает получить из такого источника энтропию 31.05.06 21:17
Автор: amirul <Serge> Статус: The Elderman
|
А потом захешировать это все каким нибуть SHA для пущей равномерности?
Итого случайность как у аппаратного, равномерность как у программного
|
|
|