Skype согласен на сотрудничество с ФCБ

Блин, чувак, сначала я подумал, что это такое петросянство по поводу алгоритмов TripleDES и *fish. Но он таки существует!

Только пока что его потрясающая простота вызывает сомнения... В любом случае, пока можно заюзать Twofish и следить за Treefish.

Похоже на процедуру, что в ssh v2. Вроде ваш оппонент имеел ввиду, что предварительного обмена открытыми ключами не было.

голубая рыба и никаких собственных реализаций если вы не спец. в криптографии. с rsa не стоит заморачиваться.

>Интернет-сервис, считающийся защищенным от прослушки, готов поделиться частью информации о своих пользователях.

а у них был выбор? (%

> голубая рыба
Оно старо как linux 2.4.

Так, учим человека думать:

А1 генерирует два случайных значения, одно это сеансовый ключ Ks, второе - просто случайный текст Rp.

В это время М (человек посредине) генерирует свои Ks' и Rp'...

Оба значения он шифрует открытым ключом А2 и отправляет ему...

но! Ключ оказался не подлинным, а тем, что прислал М. назовем его А2'. Отправленный А2 пакет также застряет у М. А подлинным открытым ключом А2 поспользовался М, отправив А2 свои зашифрованные Ks' и Rp'.

А2 расшифровывает своим секретным ключом, получая TKs и TRp

Да, но на самом деле это Ks' и Rp'

Затем A2 вычисляет M5t=md5(TRp) и отправляет полученное значение А1

Нет, это делает М. А2 же вычисляет M5t'=md5(TRp'), и отправляет М (вернее, отправляет А1, но оно до него не доходит).

А1 Вычисляет M5i=md5(Rp) и сравнивает M5i и M5t, если они равны - подлинность А2 подтверждена.

Ага, подтверждена... только «нахлебник»-то вклинился.

Кто тут сосет? Недокриптологи, уверенные в собственной защищенности.

П.С. Кто-нибудь, объясните мне, зачем нужны пляски с Rp и md5?

> пхахаха=) Как можно ставить DES и Rijndael рядом?

Согласен, DES в 100 раз более продуман, чем Rijndael. Жалко, короткий ключ не позволяет на него рассчитывать в наше время.

Из знаний алгоритма.

Там в принципе просто нечего ломать.

Реалии таковы, что его реализация в нынешнее время совершенно не подходит для защиты. А по поводу теории - ну и чем он лучше за Rijndael? Ссылку хотя бы.

Реализация кого?

> Реалии таковы, что его реализация в нынешнее время совершенно не подходит для защиты.

Какие реалии? Какая реализация имеется в виду?? Я про теоретическую стойкость - ломается брут-форсом из-за слишком короткого ключа.

ну и чем он лучше за Rijndael? Ссылку хотя бы.

Ссылка - http://google.com 1) Посчитайте кол-во успешных атак на старичка DES (для Ъ - 0) и на совсем новый Rijndael. 2) Сделайте выводы.

DES

«Отдайся Ольга!» отрёк Онйфрий

Ключ оказался не подлинным

Толсто. А почему сразу не сказать «а М поставил червя на компьютеры А1 и А2»? Или почему не сказать «а М подкупил сисадминов А1 и А2 и те продали ему ключи за две банки ягуара»?

Кто-нибудь, объясните мне, зачем нужны пляски с Rp и md5?

Аутентификация, епта. Что на той стороне действительно тот кто нужно, дабы он даже шифртекста не получил.

Мне одному кажется, что никто не проводил обширного аудита DES, так как можно отделаться малой кровью, используя брутфорс?

Какие зарекомендовавшие себя алгоритмы (кроме TripleDES) построены на базе DES?

Так бы и сказал, что ключами обмениваются по защищенному каналу. А вот как быть с незащищенным, когда даже первоначальный обмен ключами мужик-по-середине может перехватить?

А вот как быть с незащищенным, когда даже первоначальный обмен ключами мужик-по-середине может перехватить?

Мужику-в-середине просто так не сможет перехватить, для этого ему надо врезаться в провод между абонентам, а это значит дело пошло уже настолько серьезно, что А1 и А2, зная об этом, ключ курьером подгонят.

Мужиком-по-середине может служить любой промежуточный сервер, в том числе сервер провайдера или сервиса (по запросу ФСБ, например), и дело даже не в специальном заказе, а в пассивном мониторинге.

>Если при встрече обменяться DVD с ключами, то этого хватит на весьма долгую переписку.

а чтобы побольше написать, можно в конце сообщения передавать координаты на ключ для следующего

хотел бы я посмотреть на тех инопланетных ботанов, которые смогут это расшифровать

>> Ключ оказался не подлинным

Толсто.

Вот с этого момента я посылаю тебя читать про модель атаки «Man in the middle», ибо понял, что ты не в теме.

Аутентификация, епта. Что на той стороне действительно тот кто нужно, дабы он даже шифртекста не получил.

Нет, ну я догадываюсь, что это была попытка реализовать аутентификацию, но как выше сказали и я, и другие - своей роли она не выполняет.

> Мне одному кажется, что никто не проводил обширного аудита DES?

Может, не одному, но этом мнение ошибочно. Практически в любой работе по анализу стойкости фейстелевских схем ДЕС рассматривается как основной пример.

так как можно отделаться малой кровью, используя брутфорс?

Это стало возможным лишь в последние несколько лет.

Какие зарекомендовавшие себя алгоритмы (кроме TripleDES) построены на базе DES?

Я бы не назвал TripleDES «зарекомендовавшим себя». Это костыль. Причем, он, как раз, и является слабо исследованным. Если рассматривать шифры не совсем «на базе ДЕС», а на фейстелевской схеме (которая как раз дебютировала в ДЕС), то есть очень хорошие - тот же Blowfish, CLEFIA(тяжеловат, правда), отечественный ГОСТ 28147 (почти ровесник ДЕСа, но был опубликован только в 1989 году).

> Мужику-в-середине просто так не сможет перехватить, для этого ему надо врезаться в провод между абонентам

Фуражку ему! Быстро!!!

Еслу мужик-в-середине (т.е. активный перехватчик) не врезался в канал, он уже не мужик-в-середине, а пассивный перехватчик. Кстати, только наивный хомячок может полагать, что это сложно реализуемо на практике. Достаточно DNS- или ARP-спуфинга.

> Я бы не назвал TripleDES «зарекомендовавшим себя».

Я тоже так считаю, просто неудачно построил предложение.

Если рассматривать шифры не совсем «на базе ДЕС», а на фейстелевской схеме

Тогда уже другой разговор.

Вот ещё интересно было бы узнать сравнение фейстелевской схемы и SP-сети (Rijndael и Treefish).

Пассивный мониторинг ничего не даст.

> пассивный мониторинг

В контексте что man-in-middle может применяться для многих пользователей на самом серваке и мониторить передаваемую информацию. Да, его лучше назвать активным мониторингом (в техническом плане). В социальном он будет пассивным.

http://en.wikipedia.org/wiki/RSA

The security of the RSA cryptosystem is based on two mathematical problems: the problem of factoring large numbers and the RSA problem. Full decryption of an RSA ciphertext is thought to be infeasible on the assumption that both of these problems are hard, i.e., no efficient algorithm exists for solving them.

Либо факторизация, либо решение RSA Problem позволят сломать RSA.

Кстати настоящие квантовые компьютеры позволят факторизовать числа, и мне кажется, если у правительств будет возможность скрыть факт успешного создания квантового компьютера, чтобы использовать его в своих целях, они ею обязательно воспользуются. И настоящий параноик не имеет права недооценивать эту опасность.

Skype (как и практически любой VoIP) это P2P, где сервер используется в основном чтобы найти удаленную сторону. И все что даст решание «на самом серваке и мониторить», так это те же самые логи кто кому звонил.

А теперь прикинь, через сколько серваков может пройти твой трафик перед тем, как он попадет до удалённой стороны. Также учитываем, что любой провайдер может негласно прогнуться под ФСБ/СБУ/ФБР etc.

> Вот ещё интересно было бы узнать сравнение фейстелевской схемы и SP-сети

На эту тему можно долго холиварить. Из объективных параметров можно выделить разве что скорость работы - у фейстеля она выше, за счет использования «родных» для ЭВМ операций почти во всех фейстеловских шифров. Ну и также у фейстелевых в разы лучше стойкость к атаком с генерацией ошибок (весьма специфическая модель, неприменимая дистанционно).

> Либо факторизация, либо решение RSA Problem позволят сломать RSA.

А почему вы не огласили весь список задач, эквивалентных факторизации? Тем не менее, в контексте факторизации и взлома RSA как показательную выделяют «задачу о скрытой подгруппе» - она наиболее показательна для объяснения современных субэкспоненциальных алгоритмов ее решения.

RSA Problem не эквивалентна факторизации. Если мы умеем факторизовать число, то мы и корень можем взять, конечно, но если мы умеем брать корень, то не факт, что мы умеем факторизовать. По крайней мере этого ещё никто не показал, насколько мне известно.

> RSA Problem не эквивалентна факторизации.

4.2. То, что из знание факторизации следует ее решение, думаю, пояснять не нужно. В обратную сторону - man «RSA fault atack». Ее вполне можно заэмулировать на компе и получить разложение N.

Если мы умеем факторизовать число, то мы и корень можем взять

Стоп, какой корень? Мы про RSA, а не шифр Рабина...

но если мы умеем брать корень, то не факт, что мы умеем факторизовать. По крайней мере этого ещё никто не показал

Т.е. все корни? Их там 4, если что... Если так, то мы знаем факторизацию. Буквально полгода назад я это на спор доказывал.

А теперь прикинь, через сколько серваков может пройти твой трафик перед тем, как он попадет до удалённой стороны

Через сколько бы он не проходил, если удаленная сторона может аутентифицировать меня (например, по сертификату - считаем что УЦ не скомпрометирован), мне это уже пофиг. Пассивный перехват _ничего_ не даст.

>А почему вы так уверены в стойкости RSA? Может его давно уже поломали в застенках МГУ?

Пофиксено, во имя..науки

http://www.linux.org.ru/jump-message.jsp?msgid=6472710&cid=6475386