Набор патчей для ускорения шифрования/дешифрования AES-GCM

Т.е. AES - решето, особенно аппаратное AES

Чувак, очнись - т.н. аппаратный AES это просто набор процессорных инструкций, которые выполняют заранее заданное преобразование в соответствии с заданными ключами, и оно ничем не отличается от программной реализации

Зависит от страны. В ЕС только с 2021 разрешили декомпилировать. Да в РФ можно, но не всегда, с условиями, обычно только для целей устранения работоспособности (исправления багов) или взаимодействия с другим ПО и только тех частей ПО для которых это необходимо.

кстати, а что такоа ANB? ;)

в разрезе данной темы и обсуждения - да, ME - это аппаратная часть

Какие такие исходники ты будешь смотреть в закрытых бинарных блобах

Что ты имеешь ввиду? программное шифрование необязательно должно сидеть в блобе

Скидывай тогда исходники Intel ME

Intel ME - это программноаппаратный бэкдор, соответственно все исходники закрыты

У тебя ведь нет исходников аппаратной реализации шифрования? А она - как и программный алгоритм - может иметь случайный или специальный «недостаток», да и просто втихаря сотрудничать с тем же Intel ME

у Intel ME ещё и жирный блоб есть. Парадокс - но если бы Intel ME работал без блоба, то железо с этим бэкдором (разумеется при отсутствии других блобов) в теории могло бы удовлетворять сертификации «Respects Your Freedom» от Free Software Foundation, хорошо что они добавили критерий «No spying or back doors » : https://ryf.fsf.org/about/criteria

нет. тут речь идёт о том, что дескать вы должны пользоваться нашими замками, но вскрывать их для проверки нельзя - вы же типа верите нам на слово?

а никто и не говорит про «упрощён». в NT4 никто ничего не упрощал по этой части. там просто сразу вшиты были ключи с говорящими именами NSA_ . бгг

да, только в железе ты проверить сам алгоритм и отсутствие ддоп. спц. ключей - не смодешь. от слова «никак».

От вопроса ты тихо уходишь. В чём может даже теоретически заключаться дыра в реализации алгоритма шифрования? Если результат не соответствует спецификации, то дешифровка будет провалена. А если алгоритм позволяет зашифровать так, что можно будет расшифровать не тем ключом, что использовался при шифровании — это уже проблема алгоритма, а не реализации.

Аппаратное шифрование несекурно

Если уж взялся быть криптопараноиком, то матчасть надо знать назубок.

В новости речь про аппаратное ускорение, а не аппаратное шифрование, так что дальше ты споришь с соломенным чучелом.

Аппаратное шифрование это, например, когда ты даешь накопителю пароль, а он возвращает тебе расшифрованные данные. Тогда да, ты не можешь знать, вдруг там ключ, которым зашифрованы данные, никак не связан с пароле, который ты даешь накопителю. Так было у Crucial: данные зашифрованы стойким ключом, который сгенерировал контроллер, этот стойкий ключ лежит открытым текстом во флеше, контроллер принимает твой пароль, сверяет с сохранённым и при совпадении берёт ключ и расшифровывает данные. Атакующий может вскрыть накопитель, считать ключ и получить доступ к данным, поскольку ключ шифрования не был зашифрован паролем пользователя.

А в новости речь лишь про то, что CPU быстрее выполняет отдельные инструкции. Ты можешь проверить, правильно ли он это делает - просто возьми и выполни те же инструкции программно, без ускорения. Результат сойдётся.

Эта реализация - детерминированный алгоритм (по сути просто перемножение матриц и векторов). В регистрах задаются адреса фрагмента ключа, блока данных, таблицы замен и всё - дальше обычная математика.

Сам алгоритм может быть умышленно ослаблен какими-нибудь параметрами типа таблиц перестановок или прочего, но это никак не относится к реализации, а уже свойство алгоритма/стандарта и такой уязвимости подвержена любая реализация, как программная, так и софтовая.

Прошу прощения, а нельзя таблицу менее вырвиглазной палитрой сделать?

да, только в железе ты проверить сам алгоритм и отсутствие ддоп. спц. ключей - не смодешь. от слова «никак».

Все ровно как там в железе реализовано я беру набор данных, набор ключей, шифрую своим софтварным алгоритмом, шифрую аппаратным, результаты должны быть одинаковыми, если различные то это значит баг либо в моем софтверном алгоритме, либо баг/закладка в аппаратном. То есть нет смысла именно там делать закладки это ловиться очень быстро.

Ты пользуешся опенсорсным замком и опенсорсной симкартой? Или сдался противной проприетарщине?

Нет, часто это это ускоритель намертво встроенный в процессор. Никакого кода (ну кроме VHDL).

подсунуть нам ослабленную аппаратную реализацию».

Я не думаю что так грубо действует закладка.Можно же специально сравнить результаты под разными платформами и в том числе и софтовыми вариантами.Скандалы Интелу и АНБ не к чему.А вот при получении по вайфаю или сетевой специального сигнала,и затем вычислять упрощённый
вариант,вполне возможно.

затем вычислять упрощённый вариант

что значит «упрощённый»?

шифрование/дешифрование — это строго детерминированная последовательность математических операций, если вы внесёте какие-то изменения в алгоритм шифрования, то при попытке дешифрования получите просто белиберду.

Интересно, а AES в ядре в каких случаях используется?

Для всех ядерных VPN, включая IPsec и Wireguard.

не совсем так. вспоминая историю с выбором констант для ГОСТовского.

Картинка напомнила расчётные листки по з/п на моём прошлом месте работы, где компьютеры ВП МО РФ работают под управлением MS Windows, не смотря на намерения данного военного ведомства перевести служебные ЭВМ под управление Astra Linux SE.

Ну это мы в рамках возможного бэкдора теории строим- я же доказываю что с известным алгоритмом трудно сделать аппаратный бэкдор.Но допустим алгоритм химичит с пробелами в тексте и букву ё не применяет.
Вон энигму с устранением ошибки аж до 90х годов Швейцария применяла- а основная ошибка кроме 3-5 колесиковых версий ( слабый ключ) это то что никогда исходная буква на то же место по сле шифрование не печатались. Т.е криптограф мог проверить на совпадение теоретический текст,что приводило к взлому ключа.

а никто и не говорит про «упрощён». в NT4 никто ничего не упрощал по этой части. там просто сразу вшиты были ключи с говорящими именами NSA_ . бгг

Выше seiken говорил про упрощение.

Но вообще ты понимаешь, что аппаратное ускорение - это просто инструкции процессора, специфичные для алгоритма AES и не более того? Куда там всовывать NSA_ ???? Любое всовывание вызовет несовместимость открытой программной и аппаратной реализации и такая штука очень быстро обнаружится.

Так что я бы не парился насчет аппаратных ускорений, закрытые они там или нет.

Повторюсь, если в AES и есть NSA-ные бекдоры, то они скорее всего на уровне самого алгоритма и/или конкретных реализаций готовых систем (а не инструкций процессора), по типу давнего эпичного бага в дебиан.