Совок

Основная проблема с ГОСТ т на конкурсе AES участники должны были обосновывать свои решения перед спецами со всего мира, а тут - мы сделали так, потому что специальные люди так решили, и вообще заткнитесь там, о вещах типа криптографии надо говорить с придыханием, не учёным с публикациями судить. Потому отношение к ГОСТу не очень в мире криптографии.

баскдоор

Значит ли это, что алгоритм не взламываемый? Что может служить лучшим доказательством, чем трепыхания врагов?

В ядре, к слову, есть и SHA-1,

https://github.com/torvalds/linux/blob/b71acb0e372160167bf6d5500b88b30b52ccef6e/crypto/hash_info.c

Для которого вообще имеется https://shattered.io/

Завязываться на одну хеш-функцию тем более в криптографическом плане – глупо. Git, вон, теперь вынужден внедрять в архитектуру возможность выбора более стойких хешей, ибо изначально не подумали об этом.

белки истерички подъехали. тебя ж никто не заставляет этим пользоваться.

Как мне кажется, самым кошерным вариантом будет - взять несколько функций от разных (враждующих) лагерей и наложить одна на другую. Так можно будет с очень высокой вероятностью утверждать, что ни у ФСБ ни у ЦРУ не будет возможности их реверснуть. Тут, конечно, будет просадка по производительности, но, как говорится, что-то находим, что-то теряем...

белки истерички подъехали. тебя ж никто не заставляет этим пользоваться.

Сегодня не заставляют - завтра заставят. Для хранения персональных данных же и, безусловно, защиты детей.

Чисто технически криптостойкость при этом падает. Предсказуемость возрастает или что-то вроде того. Я в этом не разбираюсь, но звучит логично.

Чисто технически криптостойкость при этом падает.

Да.

тебя ж никто не заставляет этим пользоваться.

м? Я выбираю себе функцию хэширования, чтобы сервис был надёжным.

Вот с тобой я согласен. Конечно, не всё написано в книжках для вузов.

а что скажешь насчёт JavaScript-реализации -

Looks like something went wrong!

We track these errors automatically, but if the problem persists feel free to contact us. In the meantime, try refreshing.

короче, гитхаб чё-то навернулся, вот по этой ссылке: https://github.com/rudonick/crypto/blob/master/gostDigest.js

GOST R 34.11-2012 hash function with 512/256 bits digest, Pure Javascript implementation of WebCrypto API interfaces and Public Key Infrastructure for GOST algorithms (Russian Cryptographic Standards) by Rudolf Nickolaev.

а что скажешь насчёт JavaScript-реализации -

Я не являюсь криптоаналитиком или ИБ-специалистом и сказать ничего не могу. Это просто был комментарий «к слову».

м? Я выбираю себе функцию хэширования, чтобы сервис был надёжным.

Git выбрал SHA-256, например,

https://github.com/git/git/blob/master/Documentation/technical/hash-function-transition.txt

м? Я выбираю себе функцию хэширования, чтобы сервис был надёжным.

Бэкдоры в алгоритмах создаются для того, чтобы можно было при необходимости получить доступ к тому, что ты (по твоему мнению) защитил/зашифровал. А чтобы обязать компании использовать эти алгоритмы - принимаются законы о защите персональных данных и прочее-прочее. Всё во благо детей, естесственно.

Git выбрал SHA-256, например,

Ждём новость о том, что гитхаб забанили в РФ. Никогда такого небыло, и вот опять.

Я выбираю себе функцию хэширования

Используй несколько функций. Только не так, как выше предлагали, а параллельно. Вероятность подобрать коллизию одновременно в двух разных алгоритмах хэширования ничтожна. Так что даже если подберут коллизию к md5 то не сойдётся по sha1 и наоборот.

Что значит «параллельно» в данном случае?

Так какой-то мессенджер делал, насколько я помню.

Дык, в этом и суть. Правда, мне не Digest нужно, на самом деле. Поэтому и спрашиваю про ГОСТ, как оно нынче.

на конкурсе AES участники должны были обосновывать свои решения перед спецами со всего мира

Причем тут спецы со всего мира? AES — это американский стандарт.

Что значит «параллельно» в данном случае?

Считаешь и хранишь две суммы от данных. А не сумму от суммы данных.

Считаешь и хранишь две суммы от данных.

Ну по сумме от ГОСТа тебя и вскроют.

Не вскроют, а подберут коллизию к ГОСТУ. Которая обломается на втором алгоритме хэширования. А если угадают точно, то и sha512 не особо поможет.

Но ведь по sha512 не угадают точно, а по ГОСТу угадают, потому что в нём дыра для этого.

А если не гост, то ты сразу же готов поставить на кон что там нет дыр от АНБ. Ясно, но я не про это писал, а про то, что комбинация двух хеш функций, особенно алгоритмически разных, сильно понижает вероятность нахождения коллизий. Не ищи здесь того, что тебе так хочется кому-то доказать. У меня еды для тебя нет.

А если не гост, то ты сразу же готов поставить на кон что там нет дыр от АНБ.

Вероятность того, что я интересен АНБ стремится к нулю. Вероятность же того, что мной заинтересуется местный майор, чтобы раскрываемость повысить – вполне осязаема, учитывая, что у нас сажали даже за лайки с репостами.

комбинация двух хеш функций, особенно алгоритмически разных, сильно понижает вероятность нахождения коллизий

А я писал про то, что взломают тебя через ГОСТ, если ты наложишь функции хеширования не одну на другую, а «параллельно».

Не ищи здесь того, что тебе так хочется кому-то доказать. У меня еды для тебя нет.

На Лахте-2 стали нормально платить или ты идейный?

Так truecrypt делал(как вариант), если я правильно понял.

Вероятность того, что я интересен АНБ стремится к нулю.

Хорошая мантра, но у местного майора на карандаше есть куча идиотов с репостами, чтобы повысить раскрываемость. Или ты один из них? Тогда это много объясняет. Но, если ты заинтересуешь майора, то тебя просто возьмут с пакетом герыча на кармане, а дело ты будешь подписывать с паяльником в жопе, причём его даже включать не понадобится. И сдадут тебя твои друзья, подельники, или бывшая. Никаких бэкдоров не надо.

А я писал про то, что взломают тебя через ГОСТ, если ты наложишь функции хеширования не одну на другую, а «параллельно».

Зачем ты *мне* это писал? Я писал совсем про другое. Я даже ГОСТ применять не предлагал нигде. Или у тебя совсем всё плохо? Кстати, ты знаешь почему 3des? Почему именно 3? И какую хеш-функцию лучше всего применять на последний раунд?

если ты наложишь функции хеширования не одну на другую

Последовательное наложение функций хеширования может конечно спасти тебя от бэкдора в одной из функций в случае если это разные функции, но это не повышает криптографической стойкости для коллизий, о чём я и писал, а наоборот снижает.

На Лахте-2 стали нормально платить...

Это твоё место работы?

или ты идейный?

Просто грамотный.

В какой-то момент не остаётся выбора и таки придётся пользоваться. Люди, которые пишут: «тебя не заставляют же»; обычно так говорят об аналоге для фекалий в АйТи.

Если ниженаписанное общее мнение, то почему их не разгонят, как институт? Туда же и РКН бы.

майора на карандаше есть куча идиотов с репостами, чтобы повысить раскрываемость. Или ты один из них? Тогда это много объясняет. Но, если ты заинтересуешь майора, то тебя просто возьмут с пакетом герыча на кармане, а дело ты будешь подписывать с паяльником в жопе, причём его даже включать не понадобится.

А можно для недалеких мимокрокодилов про снижение стойкости к подбору коллизий при применении нескольких хеш-функций для тех же данных? Просто понятно, что если есть в каждой функции неустойчивость, соответственно коллизий будет больше, и соответственно больше вероятность подобрать другие данные к тому же хешу, но как сделать чтобы одни и те же данные являлись коллизией для обеих хеш-функций? Или ход моей мысли не совсем корректен?

Дык выбора уже нет если продавать услуги криптографии. Особенно если это должна быть и криптография и линукс. Тут проще за бугор и в облака. Или самому писать/копипастить и платить за сертификацию.

Такое поведение совпадает с линией партии и является общественно приемлемым. Поэтому никого никогда не разгонят.

почему их не разгонят, как институт?

Ну они ещё иногда и с преступностью худо-бедно борятся. Их место сразу же займут братки. И тогда вероятность подвергнуться терморектальному криптоанализу вне любого правового поля будет уже 100%. Вон айрон_баг тоже вся такая либералка-навальнерша, власть клеймит, хэштеги прикладной_фашизм в гэ+... А как ей пьяный гопник фэйс отрихровал во дворе, то сразу побежала сначала в продажную госбольницу, а потом к этим самым так называемым фашистам в ментовку заявления строчить. И это пожалуй всё, что нужно знать про мамкиных революционеров.

Туда же и РКН бы.

А тут всеми руками за. Совершенно бестолковое и вредное заведение.

Кстати, а что ты фразу про подельников и бывшую не процитировал?
Она-то там как раз базовая.

А можно для недалеких мимокрокодилов про снижение стойкости к подбору коллизий при применении нескольких хеш-функций для тех же данных?

Я писал про снижение в случае последовательного наложения. То есть a(b(c(X))), поскольку в этом случае для каждой последующей хэш-функции в качестве множества определения будет весьма куцее множество значений предыдущей хэш-функции.

но как сделать чтобы одни и те же данные являлись коллизией для обеих хеш-функций?

Коллизиями для обоих хэш-функций является пересечение множеств коллизий для каждой функции. Поэтому вероятность одновременной коллизии ниже.

Или ход моей мысли не совсем корректен?

Ход твоей мысли вполне корректен, но ты понял написанное мной с точностью до наоборот. Если ты про мой спор с анонимусом, то там два случая обсуждаем: a(b(X)) и a(X)∩b(X). Можно ещё обсудить до кучи например a(b(c(X)))∩d(e(f(X))) если есть желание.

Если разогнать, назначить хорошую зарплату и принимать по конкурсу, и в обязательном порядке ввести общественный контроль, то и без терморектального раскрываемость повысится в разы. А если еще дать им индульгенцию на посадки ЖуликовИВоров, да провести судебную реформу... ну это я замечтался (

Их место сразу же займут братки. И тогда вероятность подвергнуться терморектальному криптоанализу вне любого правового поля будет уже 100%.

Толи молоды Вы, толи забыли уже как оно тогда было, но с крышей, как правило, вполне можно было договориться. С полиционерами сложней, дороже и ненадежнее. И к стати, заметьте, что многие из тех братков сейчас сидят знаете где?

А как ей пьяный гопник фэйс отрихровал во дворе, то сразу побежала сначала в продажную госбольницу, а потом к этим самым так называемым фашистам в ментовку заявления строчить. И это пожалуй всё, что нужно знать про мамкиных революционеров.

Не надо передергивать! Все правильно сделала. Принимать заявления и расследовать преступления - их прямая обязанность. Мы им за это зарплату платим. С паршивой овцы... Опять же, поднимать хайп с заключением из травмпункта эффективнее.

Специально TL;DR; не хешируйте сообщения ДЛИННЕЕ 2^105 йобибайтов и будет вам счастье.

Теперь чуть подробнее. Кароч, вспомним молодость :) Текст ниже не претендует на полноту понимания вспоминания крипты и прочяго.

Алгоритмически идеальная хеш функция должна требовать сложности вычислений для взлома пропорционально 2^n, где n - длина хеша (в данном случае 512). Взломом алгоритма считается всё, что позволяет уменьшить сложность хотя бы в 2 раза (на практике это всё равно будет овердохренакаксложно, но все математики - идеалисты).

Серьезных претензий к стрибогу по сути две:

1. Константы, которые должны быть вроде как сгенерированы абсолютнорандомно согласно белому шуму центра вселенной вроде как «подозрительно не белошумнорандомны». Кароч - подозревают, что вместо cat /dev/random кто-то сделал cat /dev/urandom. Печаль. Даже если действительно сгенерированные случайно константы на самом деле окажутся результатом какой-то хитромудрой функции (что вполне себе может быть на самом деле) - никого не интересует. Есть ли здесь «закладка» и можно ли ей реально пользоваться - никто не скажет.

2. Парни смогли сломать стрибог (вместо 2^512 можно сломать за 2^342 - если сообщение длиннее 2^185 байт и даже «всего лишь» за 2^266 для письма в 2^265 байт). Ну там правда по-пути надо решить её пару плёвых задач - вроде поиска конкретной коллизии на сообщениях длинной в 512 килобайт - ну чтобы атаку «запустить». Кстати, найти её пока получится только полным перебором всех вариантов таких сообщений (или теоретическим перебором всех хешей, что «короче» - 2^512 вместо 2^522), ибо по collision resistance описанной атаки нет - в статье есть лишь ссылка на общее описание атаки на использованный фреймворк, а можно ли его будет применить - хз. Ладно, пусть будет 2^256, как в статье на поиск мультиколлизии.

P.S. Я уже старый и примеры сложнее 2+2 считать без калькулятора разучился. Поправьте, парни, кто «в теме».

А как ей пьяный гопник фэйс отрихровал во дворе

А ссылка на драму есть?

При определении «правильной защиты» не забывайте про второй вид атаки - подбор исходного сообщения. Ну это чтобы не вышло, что вы «защитившись от коллизий на 100% (не хешируя исходное сообщение ;)» забыли про «восстановление первоначального образа по хешу».

С точки зрения полной криптостойкости к двум видам атаки - второй хеш скорее вредит.

Но ведь подобрать сообщение, чтобы оно удовлетворяло 2 хешам сразу гораздо сложнее, чем удовлетворяющее одному хешу, разве нет?

Проблема в том, что результат то товарищам в погонах не особо важен. Важны погоны. А их дают и за фейковые дела и за фоточки. Гопника Васю приструнить - это жопу поднимать надо, а в Интернете почти все террористы, выбирай любого. И дело громче, и статус выше, и работы значительно меньше. Плюс система, при которой можно наговорить с три короба, и хрен кто докажет, что вранье. И суд будет только тебя слушать. И смысл тогда Васю приструнять? Пускай резвится да на интернетовых воинов страх нагоняет. Ведь Вася свой, у него даже компьютера нету.

Договориться с крышей (: да вы знатный сказочник, покуда крыше выгодно, вы договорились, иначе искать тебе новую. и таки молоды вы, иначе бы точно знали под какую крышу по итогу перешел весь бизнес и как это происходило

Принимать по конкурсу, общественный контроль, мухахахаха, да ты первый сблеванешь или так же деформируешь свой мозг, если наконец познакомишься с работой ментов. И на затравку, 90% преступлений - бытовуха, выводы делай сам

Ну и причём ко всему написанному тобой стрибог? Хомяков в сети на десять поколений майоров хватит.

второй вид атаки - подбор исходного сообщения

А какой первый, ну кроме снижения криптостойкости самого алгоритма хэширования?

«восстановление первоначального образа по хешу»

Какое ещё восстановление?

Видимо к тому, что для человека, проживающего в нашей стране, априори предпочтителен AES, а если и кровавого госдепа опасаешся, то ChaCha-Poly.

А ссылка на драму есть?

Она сама писала Г+ https://plus.google.com/105994334704671449683
Но, листать придётся долго.

Ты тоже решил бояны рвануть, копетан?

Она оказывается вполне симпатичная, а не как тут на аватарке.

Но ведь подобрать сообщение, чтобы оно удовлетворяло 2 хешам сразу гораздо сложнее, чем удовлетворяющее одному хешу, разве нет?

Сложнее.

Зато при наличии двух хешей подобрать ИСХОДНОЕ сообщение - легче. (с точки зрения математики и вероятности обнаружения уязвимостей в алгоритмах).

Первый - нахождение ДРУГОГО сообщения с тем же самым хешем.

«восстановление» - это найти неизвестное исходное сообщение М, хеш от которого равен известному.

Чем я хуже других?

хеш от которого равен известному.

Хеши короткие. Вероятно все хеши повторно хешированные уже посчитаны и записаны, и скорость их расшифровки равна скорости поискового запроса к БД.