> Kerneli.org loop crypto implementation (and derived versions such as Debian, SuSE and others) are vulnerable to optimized dictionary attacks because they use unseeded (unsalted) and uniterated key setup.

все видели какие пионеры лялих делают..

Такие же какие делали тебя, комсомолец ты наш

http://forum.ixbt.com/0022/048683.html

я-то думал, что красноглазые только на ЛОРе сидят :-/

есть же стандарт pkcs5_pbkdf2. Что так сложно было его почитать перед реализацией:)

А как же loop-AES?

Этой новости больше месяца. Вообще, это не уязвимость кода, это просто неотъемлемая особенность всей идеи. Достаточно использовать длинные сложные пароли, и все будет ок.

>unseeded (unsalted) and uniterated key setup

Это дополнительные возможности, их отсутствие некритично.

>Этой новости больше месяца.

А про то что криптолуп могут реально выкинуть из mainstream-ядра, этой новости времени поменьше...

> Достаточно использовать длинные сложные пароли, и все будет ок.

просто когда используется метод pkcs5_pbkdf2 то в этом нет необходимости:

за счет salt нельзя создать precomputed словарь

а за счет числа итераций преобразование словесный_пароль->реальный_пароль медленное и поэтому ты все равно не можешь перебрать словарь.

Может быть я последний пункт неправильно понимаю.

Тут упомянули dm-crypt как альтернативу cryptoloop пошарив по нету я нашел только пару патчей в lkml и все. Подскажите где просветиться по этому поводу.

>А как же loop-AES?

Он и противопоставляется как "правильное" решение так-же как и dmcrypt, а если вспомнить еще "atomic loop", разные версии losetup, несовместимость разных cryptoAPI и т.д., то получается, что о едином стандарте никак договориться не могут. Легко можно потерять данные, если завтра будет в ядре все по-другому.

>There is documentation at > http://www.saout.de/misc/dm-crypt/

cryptoloop is evil

Subj.

Шифровать ФС вместо того, чтоб шифровать файл -- это изврат.

> Шифровать ФС вместо того, чтоб шифровать файл -- это изврат.

еще один красноглазый:)

с файлами обычно нужно работать. Поэтому они обязательно будут в нешифрованном виде в памяти и в файлах. Первое решается размещением свопа на шифрующемся девайсе, второе файловой системой на шифрующемся девайсе.

Не, лучше иметь шифрованные файлы на шиф. файловой системе.

Причем части одного файла шифруются независимо, а также механизм

самоликвидации файлов, фс, криптопроца, сервера и админа.

>Не, лучше иметь шифрованные файлы на шиф. файловой системе.

>Причем части одного файла шифруются независимо, а также механизм

>самоликвидации файлов, фс, криптопроца, сервера и админа.

Паранойя - лучшая подруга сисадмина!

1984 (с) Мое, из неопубликованного.

А нах тогда вообще крипто использовать?
Что бы дети до порнухи не добрались?

>> Достаточно использовать длинные сложные пароли, и все будет ок.

> просто когда используется метод pkcs5_pbkdf2 то в этом нет необходимости:

> за счет salt нельзя создать precomputed словарь

> а за счет числа итераций преобразование словесный_пароль->реальный_пароль медленное и поэтому ты все равно не можешь перебрать словарь.

Согласен. Хотя salt надо где-то хранить, что, к сожалению, усложняет систему...

cryptoloop is evil

Скажите, а у вас не возникло впечатления, что вся эта новость выеденного яйца не стоит.
Ведь очевидно, что перебором всегда можно найти ключ, и при известном открытом тексте всегда можно построить таблицу, вопрос только в ее размере.
Вот скажем, вы не считали какого размера нужна таблица для описанной на сайте атаки? А вы попроьуйте подсчитать!

Судя по разным форумам, основные предназначения систем шифрования и прочей защиты информации в xUSSR следующие:

1. Попытки скрыть двойную (тройную и так далее) бухгалтерию от "маски-шоу" и братков. Сюда же относятся и различные системы и методы "мгновенного и незаметного" убиения винтов и прочих носителей информации.

2. Попытки скрыть личную переписку среди деловой переписки (воровство ресурсов работодателя).

3. И так далее...

>А вы попроьуйте подсчитать!

~2^64Tb, ну и что? А вдруг еще и шифр окажется слабым и без таблицы можно? Дело не в этом. Реализация крипто должна быть корректной.

> Скажите, а у вас не возникло впечатления, что вся эта новость выеденного яйца не стоит. Ведь очевидно, что перебором всегда можно найти ключ, и при известном открытом тексте всегда можно построить таблицу, вопрос только в ее размере.

Если нет хитрого метода генерации ключа то использовать >100-битные ключи становится бесполезно так как словесный пароль такого размера человек никогда не запомню. С другой стороны вокруг полно методов с 256-битными ключами. Зачем они тогда нужны?

>словесный пароль такого размера человек никогда > не запомню.

10 случайно выбранных слов в случайном порядке даже из небольшого словаря дают ~128bit.

Параноики могут выучить двадцать...

Да ладно, не запомнит

У меня пароль 128 символов

>Ведь очевидно, что перебором всегда можно найти ключ

Даже не то, что не очевидно, а совсем не верно!

Одна из теорем Шеннона, безукоризненно математически доказанная, гласит: существует абсолютно нераскрываемый шифр. Правда, в ней не указанно, как этот шифр найти, но это не значит, что его уже нет.

>> А вы попроьуйте подсчитать!

> ~2^64Tb, ну и что? А вдруг еще и шифр окажется слабым и без таблицы можно? Дело не в этом. Реализация крипто должна быть корректной.

Корректная реализация -- это когда для взлома необходим полный перебор (brute force). Время перебора при этом определяет криптостойкость. И не более того.

Реализация корректна. Однако провести dictionary-атаку на нее было бы несравенно дороже, если бы в ней применялись salting и дорогие по времени преобразования хеш-функции.

>не указанно, как этот > шифр найти,

Его уже нашли сто лет назад: шифр Вернама, одноразовый блокнот. Это не имеет никакого отношения к современной криптографии, используемой в т.ч. и в Линукс-ядре.

>Реализация корректна

Надо учитывать, что файловые системы дают много известного открытого текста и как-то минимизировать возможность использовать это обстоятельство.

> Одна из теорем Шеннона, безукоризненно математически доказанная, гласит: существует абсолютно нераскрываемый шифр. Правда, в ней не указанно, как этот шифр найти, но это не значит, что его уже нет.

Да, действительно, такой шифр существует. Если вы закроете дверь на кодовый замок, а потом заварите эту дверь автогеном, то ни один код к этой двери не подойдет. Вот вам и доказательство этой великой теоремы.

p.s. Если дверь заминировать с помощью тротила, может статься, что, действительно, "шифра уже не будет", так как и двери может уже не оказаться тоже.

Кстати, нераскрываемый шифр один - обычно его назывют шифр Вернама. Это гаммирование на настоящей случайной неповторяющейся последовательности

>У меня пароль 128 символов

Небось записан на обратной стороне клавиатуры ;))

cryptoloop is evil

Кстати, размер таблицы подбора для AES составлял бы не меньше чем 2^128 байт или примерно 10^26 Тбайт, создание такой таблицы в ближайшее время нереально

– Так. Попробуем. Минуточку. Да, такой ящик обнаружен. Скажите, пожалуйста, ваш пароль.
– Пароль у меня такой: мама сшила мне штаны из березовой коры
– Молодой человек, кто вас такие пароли учил делать?.. Набирать также?
– Хакер один знакомый. Да, также. Только вместо символов нижнего подчеркивания ничего не ставьте.
– Вы ошибаетесь - пробелов в пароле быть не может.
– А пробелы и не надо - все слитно пишется.
– А. Понятно. Минуточку.
– Погодите, девушка.
– Я сказала - минуточку.
– Девушка.
– Ваш пароль не подходит
– Это еще не все, девушка. Теперь надо в этом пароле удалить каждую вторую букву
– Конспиратор. Удаляю. Удалила. Все?
– Нет, теперь надо каждую оставшуюся вторую букву заменить на цифру "0"
– Молодой человек, вы часто будете пользоваться своим ящиком?
– Да, каждый день. У меня сейчас интернета нет
– О, боже!

2 dilmah:

> с файлами обычно нужно работать.

Если б не нужно было работать, можно было б просто стереть ( shred /dev/hda :)) -- и никаких проблем.

> Поэтому они обязательно будут в нешифрованном виде в памяти

Что имеется в виду?

1) block cache? Дык в случае cryptoloop все еще хуже.

2) Адресное пространство приложения? -- ставим соотвествующим образом права на IPC > и в файлах

Каким образом?

> Первое решается размещением свопа на шифрующемся девайсе

# /etc/selinux/policy/constraints.te

neverallow ~{ kernel_t fsadm_t } swapfile_t:file { read getattr ioctl lock write setattr append }

И не надо никаких изврашений.

> второе файловой системой на шифрующемся девайсе.

Не, просто надо права правильно поставить.

> Кстати, нераскрываемый шифр один - обычно его назывют шифр Вернама. Это гаммирование на настоящей случайной неповторяющейся последовательности

one time pad'ы сколь нераскрываемы, столь и бесполезны.

> p.s. Если дверь заминировать с помощью тротила, может статься, что, > действительно, "шифра уже не будет", так как и двери может уже не оказаться > тоже

Примеры с дверями больше похожи не на шифры, а на односторонние хэш-функции и к Шэннону тоже никакого отношения не имеют.

P.S. Он уже в гробу перевернулся.

Напротив, шифр Вернама, весьма полезен и активно применялся, например во время второй мировой войны, а также и в послевоенное время. Вы слышали что-нибудь о шифровальной машине M-100? Некоторую информацию о ней можно посмотреть здесь: http://www.ancort.ru/newspaper_003.htm

В общем всё понятно. Открытые исходники - это зло! Причем страшное зло. Дыра mremap в ядре 2.2.* была хер знает сколько времени, и никто в эти исходники не смотрел, никому они задаром не усрались. А какой-то алкаш по пьяни залезв случайный кусок кода и дыру узрел. А не было бы исходников, и не нашел бы никогда. Жили 100 лет с дырой mremap, и ещё столько же прожили бы. Исходники нужно прятать. Сваливаю на Win2003Server. Куда безопаснее...

Господа!
Почитайте Шнайера. "Секреты и ложь. Безопасность в цифровом мире"
По моему так книжка называется.  Согласно этой книжке каждая последовательность символов имеет энтропию. Для естественного английского она 1,3 бита, для пароля на английском со всеми спецсимволами 4 бит. Так вот для того чтобы вам не был нужен 
salt длина пароля должна быть 128 * 8 / 4 = 256 бит, или 32 символа набранных на клавиатуре.

А вообще могу сказать когда ломают пароли - то все это пофиг.
Пароль одного сотрудника оказался преобразованным именем 
музыкального альбома, который он любил слушать.

Угу. И откуда только дырки в Microsoft Windows находят... А исходников то нет (полных -- то, что украли не в счет)...
Глупость мелете...

Плевать сколько дырок находят в винде. Это не принципиально важно. Принципиально важно, что если бы её исходники были открыты, то дыр было бы в десятки раз больше. Вывод - opensource - это зло! В баню.

Почитай, кстати, про историю криптографии, там тоже раньше господствовала идея закрытых алгоритмов шифрования.
Если кому то _СИЛЬНО_ нужно, то они смогут достать исходный код любой закрытой программы. Кроме того есть достаточно много людей, которые имеют доступ к исходному коду, например, виндов. В результате они оказываются в ситуации зрячих в стране слепых - они могут провести неотразимые атаки на компьютеры.

> Кроме того есть достаточно много людей, которые имеют доступ к исходному коду, например, виндов. В результате они оказываются в ситуации зрячих в стране слепых - они могут провести неотразимые атаки на компьютеры.

MSBlast/Lovesan?

Вирусы это попса!!!

Профессионалы с помощью своих знаний зарабатывают _ДЕНЬГИ_, и если уж они идут на преступление, то точно зная, что в случае успеха их ждет приличный куш. Думаю, что о профессионально выполненных компьютерных атаках рядовые граждане никогда не узнают...

>MSBlast/Lovesan?

Да это все то что выплыло наружу - а что не выплыло? а теперь когда исходники сперли? весь спам и весь варез хостится на виндах с дырками и владельцы не сном ни духом... а теперь будет вообще затсрелиться....

Интересно, что вирусы в большинстве случаев используют уже общеизвестные уязвимости. Вероятно это связано с тем, что если хакеру (в плохом смысле этого слова) известна какая-нибудь неопубликованная уязвимость, он вряд-ли захочет с этой информацией поделится со всеми, скажем изготовив вирус. Скорее он станет осуществлять целенаправленные атаки

> Напротив, шифр Вернама, весьма полезен и активно применялся, например во время второй мировой войны, а также и в послевоенное время. Вы слышали что-нибудь о шифровальной машине M-100? > Некоторую информацию о ней можно посмотреть здесь: http://www.ancort.ru/newspaper_003.htm

Вот тут Bruce Schneier подробно пишет о пользе/бесполезности one time pads:

http://www.schneier.com/crypto-gram-0210.html#7

Ssany4:У меня пароль 128 символов
ага, а как правильно написать союз чтобы мозгов не хватает.
NP,FY.

2 ikm

Нет, я конечно понимаю, авторитет ШпикенШнайдера велик и ужастен, но тем не менее шифр однократного блокнота широко и успешно использовался, и этот факт отрицать никак невозможно!

> Нет, я конечно понимаю, авторитет ШпикенШнайдера велик и ужастен, но тем не менее шифр однократного блокнота широко и успешно использовался, и этот факт отрицать никак невозможно!

Ладно, ладно, не будем отрицать! :) Просто слава этого шифра явно преувеличена, и вспоминают о нем в большинстве случаев не к месту =)