Безопасен ли шифр TEA?

128битный

Ключ? Решето.

почему? AES128 же используется

AES128 всерьёз нигде не используется. Стандарт - 256. В блочном шифровании с XTS и вовсе 512, потому что ключ делится пополам.

вы хотите сказать что 128битный уже взломали?

Нет, но и использовать его вроде бы лет десять как не рекомендуется. Особенно учитывая, что по производительности 256 не особо медленнее.

Ломают алгоритмы, а не разрядность ключа, лол. Надо смотреть на вычислительную сложность этого алгоритма, но что-то мне подсказывает, что все компьютеры мира будут целую вечность брутить даже 1% от числа вариантов 128 битного ключа.

Вроде в википедии все довольно понятно расписано (для ботанов есть ссылки на исследования):

TEA has a few weaknesses. Most notably, it suffers from equivalent keys—each key is equivalent to three others, which means that the effective key size is only 126 bits.[5] As a result, TEA is especially bad as a cryptographic hash function. This weakness led to a method for hacking Microsoft's Xbox game console, where the cipher was used as a hash function.[6] TEA is also susceptible to a related-key attack which requires 223 chosen plaintexts under a related-key pair, with 232 time complexity.[2] Because of these weaknesses, the XTEA cipher was designed.

на самом деле я этот вопрос специально задал.

TEA ломается тривиально. в давние времена на wasm.ru очень уважаемый дядька под ником Ruptor эпически обосрал мафию от криптографии в треде про TEA. в те времена способ ломания TEA был описан аж в педивикии, но его оттуда удалили, чтоб лохи пользовались решетом. педивикию можно если что откатить и посмотреть. Дядька кстати таки да, из «академии» по крипте, хотя и сидит на форумах.

У него когда то сайт был про автоматический криптоанализ шифров. Люди взяли работу Жака Патарана и поставили её на поток. И компы потихоньку разматывали шифры. Так AES плавно переполз на моих глазах из голубенькой зоны(есть дефекты но непонятно как ломать) в коричневую(есть существенные дефекты, и истина где-то рядом). Дальше была черная где TEA.

я надеялся что сперва начнется обсуждение, а местные борцуны с конспирологией втянутся и начнут доказывать что вывсёврёти. но увы, слишком сложно для ЛОРа.

Ты столько заговоров раскрыл, а почему-то до сих пор живой. Странно.

столько заговоров раскрыл, а почему-то до сих пор живой. Странно.

Потому что внутри плетущих свои заговоры тайных обществ есть подобщества, плетущие свои собственные тайные заговоры против первых. Все просто %)

Потому что внутри плетущих свои заговоры тайных обществ есть подобщества, плетущие свои собственные тайные заговоры против первых. Все просто %)

Всё не так просто. Во-первых, у подобществ есть ещё подобщества. Во-вторых, есть ещё тайные сверхобщества… В общем, всё очень непросто!

Ты хоть ссылки приводи, а то все утверждения выглядят голословными.

всё просто только у пеонов, которые способны максимум сообразить на троих и украсть водку из магазина. и то не факт что смогут.

тот самый тред.

https://wasm.in/threads/kak-protetestirovat-kripto-algoritm.13318/page-3

Как человек работающий с правоохранительными органами, могу ответственно заверить что любой шифр ломается.

https://imgs.xkcd.com/comics/security.png

По этому шифр не должен знать и тот, к кому применяется ключ. Сколько хочешь пытай его толку не будет.

Ну я почитал тред, посмотрел: сам Ruptor так ничего и не сказал про атаки на TEA, мол я знаю, но у меня на вас времени нет, думайте сами. Плохой, негодный аргумент.

Привел две ссылки, одна на пейпер, в котором сказано:

An equivalent-key attack breaks TEA with any number of rounds. TEA fails our tests

perpetually when the difference is in the key. Its key schedule is obviously flawed.

Что в общем-то не соответствует действительности, т.к. equivalent-key attack лишь снижает ключевое пространство до 126 бит (https://www.schneier.com/academic/paperfiles/paper-key-schedule.pdf). Это, конечно, атака на алгоритм, но на тривиальный взлом не походит, если не использовать как хэш.

Вторая ссылка ведет на список из кучи пейперов, где половина даже не на английском (видимо, на польском).

в те времена это было в педивикии написано. я эту дискуссию в реалтайме читал если что. народ ниже пишет «оо, не знал что теа такое говно» - именно что сходили в по ссылке. а теперь там снова сказочки про «126 бит».

Т.е. мало того, что отредактировали википедию (это не так уж сложно), но еще и пейперы подменили, причем бумагу Шнаера прямо у него на сайте. Ну и анализ генерации ключей (key schedule) не такой уж и сложный, чтобы нельзя было его самому воспроизвести, обладая школьными знаниями математики.

Хотел бы я поверить, но пока не могу. Нужны более веские доказательства, чем «всё подменили, свидетельства спрятали, свидетелей убрали, оставшихся запугали».

Шнаера никто не подменял. Он просто ерунду пишет про 126 бит, ибо нету.

А может быть и сознательно пишет такое. Например вдруг шифры специально делают ломаемыми. И вот сидит шнайдер и заговаривает зубы - всё в порядке, 126 бит еще осталось.

Не думали например, что тот же AES можно 20 раз крутануть вместо 10? Чтоб было и чтоб товарищу майору не скучалось. А думаю что большинству такие мысли даже не в голову приходят. А что, «шнайдер» сказал что всё збс, значит всё збс. Хотя шнайдера в глаза не видели.

Шнаера никто не подменял. Он просто ерунду пишет про 126 бит, ибо нету.

Повторить его выкладки не составит труда - там нет ошибки.

Не думали например, что тот же AES можно 20 раз крутануть вместо 10? Чтоб было и чтоб товарищу майору не скучалось. А думаю что большинству такие мысли даже не в голову приходят. А что, «шнайдер» сказал что всё збс, значит всё збс. Хотя шнайдера в глаза не видели.

Не улавливаю смысла. Атаки делятся на два вида (по применимости): применяемые к исходному алгоритму (без модификации) и применяемые к измененному алгоритму (обычно с фиксированными IV, с измененными блокаи перемешивания, на сниженное (или измененное) кол-во раундов и т.п.). Вторые, несмотря на важные теоретические результаты (иногда из них появляются полноценные атаки), не являются, как правило, практически реализуемыми.

лол, посмотрел в историю педивикии, они даже там подтерли. молодцы, чо. в 2008м(на момент когда шла дискуссия на wasm.ru) всё было на месте а теперь в истории почему-то пустая «реализация на FASM». ну теперь то шняйеру верить можно как самому себе. 126 бит, шняйер врать не будет.

и да, «атаки делятся на два вида». нет, атаки делятся на два вида: один - это сродни выбиванию головой чугунной двери, которая открывается ключем. второй - это подбор ключа. первый метод по сути никуда не ушел со времён 1940х годов. сидят ололоши и пытаются «дифференциальным криптоанализом» найти закономерности. это как взять очень сложную функцию от Н переменных и пытаться найти в ней простую зависимость от небольшого колва аргументов. Ну не находится, а что вы ожидали? Конечно шняйеры будут 126 бит таким образом получать.

Мы переливаем из пустого в порожнее, т.к. я так и не увидел ни аргументов, ни самой атаки.

ну теперь то шняйеру верить можно как самому себе. 126 бит, шняйер врать не будет.

Не надо верить, можно взять и проверить. Если прогуливал математику в школе, да, придется поверить кому-то на слово.

один - это сродни выбиванию головой чугунной двери, которая открывается ключем

Если ключа нет, то да, либо дверь ломать (атака на алгоритм), либо ее окружение (атака по сторонним каналам), либо выбивать ключ из владельца (терморектальный способ), либо ждать пока сами откроют (соц. инженерия, человеческие ошибки). Тут никакого секрета нет.

второй - это подбор ключа

Прямой подбор не работает (очень долго и/или трудозатратно). Непрямой - попадает в первую категорию.

Так что, то, что ты хотел сказать, осталось неясно. Либо прекращай демагогию, либо прекращай писать сюда - бесполезная трата времени.

Ну не находится, а что вы ожидали?

Диффиренциальный криптоанализ вполне себе работает. Конечно, не все примитивы уязвимы для данного вида анализа, но он никогда и не декларировался как серебряная пуля.

Сдается мне ты ничего не понимаешь ни в криптографии, ни в криптоанализе, но пытаешься рассуждать.

так или иначе, ключ всё равно кто-то должен знать, вот к нему и придут

Ключ может не знать никто, если генерацией и обслуживанием ключа занимается исключительно машина. Люди могут иметь доступ лишь к ключам второго уровня (символьный пароль, биометрические данные и т. д.), которые открывают доступ к первым. Однако машина способна при определённых условиях уничтожить основной ключ (например, ввод «паник-пароля», долгое отсутствие пользователя или ещё чего).

Люди могут иметь доступ лишь к ключам второго уровня (символьный пароль, биометрические данные и т. д.)

не спасёт от паяльника

Однако машина способна при определённых условиях уничтожить основной ключ (например, ввод «паник-пароля», долгое отсутствие пользователя или ещё чего)

полная резервная копия данных и опять не спасёт от паяльника

Конечно, от всех случаев не застрахуешься, но в ситуации, когда:

1) Ключ хранился отдельно и его хранилище не было захвачено одновременно с подозреваемым

2) Подозреваемый успел ввести паник-пароль, либо продержался время достаточное, чтобы сработало самоуничтожение ключа из пункта 1

даже если потом владелец данных будет очень хотеть восстановить данные - он уже их не восстановит. Конечно, что-то он может попытаться вспомнить по памяти, но если данных много - то далеко не всё.

Не обязательно. Авторизация не шифрование. У машины могут быть заложенные условия на авторизацию, особенно если она подключена к сети. К примеру ключ для расшифровки может вообще на другой машине быть, которая по какому-то условию его удаляет - например в течении часа отсутствует связь с машиной на которой зашифрованные данные, а человек не прислал за этот час приказа на отмену уничтожения ключа.