Открой для себя уже асимметричное шифрование. Алиса и Боб обмениваются по ЛЮБЫМ им доступным (хоть через газету) каналам связи ОТКРЫТЫМИ (их еще называют «публичными») ключами. Затем свои сообщения расшифровуют своими приватными ключами, которые никто никуда не отправлял.

man PGP и асимметричное шифрование.

Интересно, а почему у американцев стандарт AES который симметричный? Надежней?

Асиметричное шифрование применяется для передачи ключа, которым уже по симметричному алгоритму шифруется дальнейшая переписка.

и не имеют возможности обменяться ключами по другим каналам связи.

тогда предотвратить Man-in-the-Middle будет невозможно

Алиса и Боб обмениваются по ЛЮБЫМ им доступным (хоть через газету) каналам связи ОТКРЫТЫМИ

газету можно подменить

хоть весь тираж, хоть один экземпляр

а почему у американцев

Где у американцев?

Если что-то существует - значит для него есть своя сфера применения.

Это мелочи. Способов защититься от подобного рода проблем есть достаточно много. Зависит от ситуации.

man Diffie Hellman Это если для общего развития вопрос.

Ну AES их же стандарт? Разве нет?

у американцев много разных стандартов, не только AES

AES - это симметричный шифр.
Для асимметричной криптографии свои алгоритмы, например, RSA, ECDSA, тот же протокол Диффи-Хеллмана.

DSA, RSA, ECDSA и кучи других. И как ты, мой зелёный друг, собираешься сравнивать симметрию и ассиметрию?

Вот я и хочу выяснить почему в одних случаях одни шифры симметричные в других ассимитричные и в чем их преимущество друг перед другом

Ну тогда нужно прочитать соответствующие статьи на википедии. Там неплохо объяснят, что ассиметрия - передача ключей, электронная подпись, аутентификация, а симметрия - шифрование данных. Хотя, в универе помню объясняли как заменять ассиметрию симметрией, но это теория, которая на практике бессмысленна.

Насколько я понимаю, практическая реализация популярных асимметричных шифров получается медленнее. Поэтому удобнее шифровать асимметричными только небольшие блоки данных. Например, симметричных ключи, которые при большой длине (а зашифровать асимметрично даже несколько килобайт - не проблема, а стойкость получается огого) и защищённой передаче (чтобы исключить MITM) уже ничем не хуже.

Вычислительная сложность асимметричных алгоритмов опять же является преимуществом - затрудняется брутфорс при меньшей длины ключа. Так для RSA стандартом является всего лишь 128 или 256 бит, а для симметричных алгоритмов куда больше.

Печатный станок посередине

Алиса и Боб обмениваются по ЛЮБЫМ им доступным (хоть через газету) каналам связи ОТКРЫТЫМИ (их еще называют «публичными») ключами.

Я так понимаю если Алиса опубликует свой открытый ключ в газете, а злобный Чак на своём печатном станке печатает похожую газету, но со своим ключом, то он может сколько угодно потом втирать Бобу любую чушь от имени Алисы. Так?

Насколько я понимаю, практическая реализация популярных асимметричных шифров получается медленнее.

Да, она сильно более затратна в плане ресурсов + нужно учитывать в протоколе защиту от различных видов атак: вероятностных, связанных с повторением данных или временем обработки. Куда проще взять готовый симметричный протокол, где всё уже давно продумано и хорошо работает. У меня в студенческие годы даже были лабы, где надо было навелосипедить криптопротокол на основе, скажем, RSA (готовые модули юзать нельзя, все реализации с нуля), с различными методами распределения ключей и т.п., с демонстрацией атаки или невозможности атаки определённого вида.

AES'ом ты только что воспользовался, загрузив страницу лора по https. Этим стандартом пользуются все.

Можно через Web of Trust, если удастся установить, что A доверят публичному ключу B через смежных знакомых с которыми был обмен ключами по надежным канал связи, например, при личной встрече.

сказано же, что

и не имеют возможности обменяться ключами по другим каналам связи.

через смежных знакомых - это тоже обмен ключами по другим каналам связи

А публичный ключ не идентифицирует владельца. На всяких криптопати, собственно, тем и занимаются, что строят WOT идентифицируя владельца ключа (по документам) и по сути говоря он - это он, я доверяю этой информации (потому что сам ее проверил).

Сказано, что они не могут надежно обменяться ключами *между собой*. WOT это не обмен ключами между A и B, это возможность проверить, что A получил ключ именно B , при это сам ключ может быть передан по ненадежным каналам связи.

симметричные блочные шифры (AES и прочие) в основном как потоковые используются.

Симметричные в запароленых архивах и дисках, например.

Алиса шифрует пакет своим приватным ключом и пересылает Бобу. Боб приняв пакет шифрует его своим приватным ключом и пересылает Алисе.Алиса приняв пакет расшифровывает его свои ключом и пересылает его обратно Бобу.Боб расшифровывает пакет своим ключом.

Ты, конечно, очень хорошо придумал

Алиса шифрует пакет своим приватным ключом и пересылает Бобу. Боб приняв пакет шифрует его своим приватным ключом и пересылает Алисе.Алиса приняв пакет расшифровывает

Только объясни как на этом шаге A что-то там расшифрует, что зашифровано «приватным ключом B». Я уже с попкорном.

Только объясни как на этом шаге A что-то там расшифрует, что зашифровано «приватным ключом B». Я уже с попкорном.

Есть целый ряд криптографических алгоритмов позволяющих производить такие манипуляции.Насколько я помню некоторые варианты DES позволяют такие трюки.

Вычислительная сложность асимметричных алгоритмов опять же является преимуществом - затрудняется брутфорс при меньшей длины ключа.

При расчете времени атаки на ключ учитывается только длина ключа.

Так для RSA стандартом является всего лишь 128 или 256 бит, а для симметричных алгоритмов куда больше.

Рекомендованная длина ключа для RSA - 1024 или 2048 бит. Для AES - 128 и 256.

Тут дело не в вычислительной сложности, а в особенностях алгоритмов. Симметричные алгоритмы могут использовать любое число в том диапазоне, который дает длина ключа, а асимметричные - нет.

Только не DES, а DH. И это не обмен сообщениями, а обмен ключами.

«А так - всё правильно» (с)

Но это не спасет от человека по середине.

На всяких криптопати, собственно, тем и занимаются, что строят WOT идентифицируя владельца ключа

https://xkcd.com/364/

Это хорошо, что он не «склонировал ее репозиторий».

Алиса газету может посмотреть в случайном газетном киоске, то же самое может сделать и Боб, чтобы защититься от подделки всего тиража.

И если уж на то пошло, как вообще Боб определяет Алису? Алиса - это человек, который отвечает по такому-то номеру телефона? Или это вообще случайный человек? Если они не владеют общим секретом, то какая вообще разница, с кем общается Боб - с Алисой или Чарли?

Можно поконкретнее? Мы же тут пытаемся на конкретных примерах что-то более менее конкретное обсудить с претензией на техническую точность, а вы нас просто посылаете за горизонт.

Алиса газету может посмотреть в случайном газетном киоске

Открывает газету, а там ещё 10 объявлений «от Боба» с другими ключами. И ещё два «от настоящего Боба».

Есть подозрение, что вы неправильно вангуете про DH. Человек правильно говорит, что от MITM это не спасет.

Тот же ssh не зря вам графические фингерпринты рисует и не зря после получения эти ключи потом хранятся локально. Я может люто не прав (буду благодарен, если кто поправит), но DH там для установления сессионых ключей и не более: «This gives forward secrecy: stealing the private key doesn't let you decrypt old sessions.»

Я уже с попкорном.

Спрячь попкорн и не позорься, это называется signing.

TL:DL; шифруешь ты публичным ключом получателя, получатель имея свой секретный ключ может прочесть сообщение
подписываешь же ты своим собственным секретным ключом, получатель имея твой публичный ключ (из газеты) может проверить подпись.

Друг, MITM. Почему есть такая уверенность, что А шифрует публичным ключом Б, а не дяди посередине. Незнаю почему вы так игнорирует (теоритическую) идею WOT.

Ты не дал мне дописать PS. ;)

Классическая проблема курицы и яйца — как из over9000 лже-Алис определить правильного Боба?

Web of Trust.

IIRC — broken by design. Человеческий фактор не учтён.

PS: https://www.openbsd.org/papers/bsdcan-signify.html

Странно, что до сих пор никто не упомянул протокол социалиста миллионера.

протокол социалиста миллионера.

identity of the remote party through the use of a shared secret

Алиса и Боб никогда ранее не встречались и не имеют возможности обменяться ключами по другим каналам связи.

Отпадает

Отпадает

Упустил (надо, вестимо, спать больше — раз такие вещи начинаю пропускать). В таком случае сложно придумать что-то вразумительное.

Я пока не осилил целиком, но наскоком вижу тулзу, которая решает конкретные узкие вопросы в духе, например, https://github.com/brianredbeard/gpget

Целиком осилю завтра. Но вы же знаете Тео и ко, в том плане, что «иногда» они через чур радикальны: если бы их попросили заколотить гроб со своим недругом, то гвозди обязатально были бы из титанового сплава, а в конце они все равно его обматали в несколько слоев скотча.

IIRC общего решения и не существует.

Тут надо разбить на подзадачи:

• Любые из Алис и Бобов хотят просто пошушукаться в тайне от Чарли — тут лучше всего подходит DH.
• Некая Алиса желает написать конкретному Бобу. Это в принципе главная проблема топика, которая без side-channel или pre-shared-secret не решабельна. Web-of-trust — это тоже side-channel и pre-shared-secret в одном флаконе.

По условию у нас 2-я задача, но без PSK или side-channel.

Да, DH - это именно протокол обмена сессионными ключами, всё так. Собственно, я на это указывал.

Касательно спасения от MitM... Ну, если перехватывается handshake - то да, вся сессия скомпрометирована. И фингерпринты, которые рисует ssh нужны именно для этого. Если вы знаете открытый ключ сервера или можете его как-то проверить - фингерпринты помогут понять, что ваша сессия перехвачена и предпринять необходимые действия.

MITM

тут лучше всего подходит DH

Нет, не подходит. DH защищает только от пассивного слушателя.

Предлагаю ТС определить вероятного противника. А то может тот, от которого он предлагает защищаться, и не имеет возможности (и желания) производить активные атаки.

Заранее: если нужно «защищаться от всего», то тред можно сразу закрыть. Ибо это будет совсем пустой треп.