AES

[metaclass]

Тут один знакомый, по долгу службы знакомый с криптографией, утвеждает, что широко используемые криптоалгоритмы типа AES или DES не являются криптографически устойчивыми, а "настоящие" алгоритмы, используемые военными, дико секретны. При этом, насколько я в курсе, устойчивость не должна зависеть от секретности или несекретности алгоритма, а только от ключа (сие утверждение он тоже назвал "для непосвященных").
Вопрос, где правда? AES используется, насколько мне известно, достаточно массово, в том числе и для криптодисков. Чем, кроме брутфорса, его можно вскрыть?

Comments

Различия не в секретности

[(Anonymous)]

Различия в том, что "народные" алгоритмы гарантированно вскрываются математическими методами.

Re: Различия не в секретности

[trueblacker.livejournal.com]

а ещё некоторые научные учёные открыли, что на планетах нет воздуха и поэтому на них неуместно какое-либо сожительство

[trueblacker.livejournal.com]

Например, методами ректотермального криптоанализа...

А что касается надёжности криптосистемы, вы совершенно правы - она должна базироваться на стойкости, а не на закрытости алгоритма. Правда, это не мешает спецслужбам иметь собственные разработки, не публикуемые массово. Что, в свою очередь, не мешает широко известным алгоритмам быть устойчивыми.
Кроме того, важно не путать устойчивость алгоритма и защищённость криптосистемы. Обеспечить надёжный уровень защиты с помощью "гражданской криптографии" вполне возможно - в этом смысле AES ничуть не менее "настоящий" чем мифический мегаалгоритм из генштаба. Что касается DES - он действительно уже не достаточно стойкий, потому как устарел в силу развития вычислительной техники.

[kong-en-ge.livejournal.com]

> он действительно уже не достаточно стойкий, потому как устарел в силу развития вычислительной техники.
Ребе, называйте вещи своими именами: паяльники сейчас нагреваются много быстрее :)

[rumas-d.livejournal.com]

А что, осинка пальчики в косяк уже не в ходу?

[kong-en-ge.livejournal.com]

Знаете, ребе, сдуру можно и хер в кулер сувать для восстановления пароля!

[rumas-d.livejournal.com]

В хороших системах криптографии обрезание, даже радикальное, не прививает скилл "вспомнить пароль"

[kong-en-ge.livejournal.com]

Зато прививает скилл "Вспомнить, где записывал" :)

[medvedd.livejournal.com]

Жаль, хорошая идея с аварийным паролем, который уничтожает данные, слишком легко обходится.

[metaclass.livejournal.com]

Там речь была именно об устойчивости AES в математическом смысле. Организационные методы, вроде паяльников, или там атака на реализацию - это немного более другой аспект.

[kong-en-ge.livejournal.com]

Был бы он математически уязвим -- давно бы результаты наружу выплыли. Открытость алгоритма -- лучший стимул к всестороннему исследованию потенциальных дыр.

[metaclass.livejournal.com]

Вот и я про то же. "Секретные военные алгоритмы" очевидно ассоциируются с попилкой бюджета.

[rumas-d.livejournal.com]

или "у нас есть такиииие шифры, но мы вам их не покажем"

[kong-en-ge.livejournal.com]

Ага, потому как проебали на последних учениях том шифровальных замен :)

[trueblacker.livejournal.com]

Что вам (ему) ещё нужно для признания "математической стойкости" шифра, если всё мировое сообщество математиков и криптологов занимается его анализом ?

[metaclass.livejournal.com]

Пока единственное, что я нашел на эту тематику - это потенциальную возможность алгебраических атак, связанных с решением какой-то системы уравнений, эквивалентной этому шифру и вроде бы продемонстрированной на похожем, но упрощенном шифре.

[trueblacker.livejournal.com]

если это ответ на вопрос, то весьма специфический.... по-крайней мере я его не понял.

[kong-en-ge.livejournal.com]

Какой же Вы после этого криптоаналитик, ребе? :)

[trueblacker.livejournal.com]

да я и "до" не очень-то ;)

[rumas-d.livejournal.com]

как что? Сертификат РБ!

[kong-en-ge.livejournal.com]

Ага, на шифрование пузырьковым методом :)

[trueblacker.livejournal.com]

мыльным ?

[medvedd.livejournal.com]

Паяльник и без мыла входит, если нагреть хорошо :))

Вы правы

[ex-chistyak.livejournal.com]

Более того, я бы добавил, что секретнсть алгоритма -- это минус для криптосистемы, или как их там называют. Устойчивость за счёт секретности алгоритма -- это временное преимущество. После утечки алгоритма она снижается. А была утечка или нет, неизвестно.

[1ceheart.livejournal.com]

> типа AES или DES не являются криптографически устойчивыми

AES был принят как замена DES после демонстрации успешной атаки на DES, занявшей что-то типа суток. Атака, essentially, представляла из себя брутфорс, так что оба алгоритма являются криптографически устойчивыми в математическом смысле. Просто у DES короткий ключ.

MD5, скажем, является менее криптографически устойчивым, чем AES, т.к. для MD5 известен алгоритм, уменьшающий размерность до 2^64, в то время как для AES - нет. Пока нет.

> сие утверждение он тоже назвал "для непосвященных"

Сие утверждение обычно озвучивается на первой лекции по криптографии.

[kong-en-ge.livejournal.com]

Гм, а насколько вообще корректно сравнение MD5 и AES?! Хэш и шифрование несколько под разные цели заточены.

аффтар жжот

[trueblacker.livejournal.com]

совершенно некорректно

Re: аффтар жжот

[kong-en-ge.livejournal.com]

А может, Вы опять чего-то не знаете "до" или "после"?

Re: аффтар жжот

[trueblacker.livejournal.com]

Видите ли, ребе, данный конкретный вопрос лежит не только в сфере криптоанализа, но и так же и криптографии. А в ней я, не сочтите за нескромность, хотя бы о базовыых вещах имею некоторое представление.

Re: аффтар жжот

[kong-en-ge.livejournal.com]

Знаете, при констатации Вашего незнания, вопрос может оказаться не в базисе, а в надстройке!

Re: аффтар жжот

[trueblacker.livejournal.com]

едва ли можно доказать наличие причинно-следственной связи между этими событиями

Re: аффтар жжот

[kong-en-ge.livejournal.com]

[хорошо поставленным голосом лектора по теории вероятности]
Нет оснований отвергать гипотезу!

Re: аффтар жжот

[trueblacker.livejournal.com]

[голосом сами знаете кого]
тагда атвергнем без усякай причины!

Re: аффтар жжот

[kong-en-ge.livejournal.com]

А Вы кто?

Re: аффтар жжот

[trueblacker.livejournal.com]

т-с-с-с-сс!

[1ceheart.livejournal.com]

В данном случае вполне корректно, так как в обоих случаях задача "взлома" - это задача нахождения исходного сообщения, которое, будучи подвергнуто известному преобразованию, дает известный результат. Принципиальной разницы между блочными кодами и блочными хэш-функциями вообще нет.

[kong-en-ge.livejournal.com]

У меня все-таки складывается ощущение, что Вы не вполне представляете, что же такое хэш и с чем его едят, если говорите о нахождении исходного сообщения по хэшу. Про нахождение одного из бесконечного множества возможных сообщений, имеющих данный хэш -- еще куда ни шло.

[1ceheart.livejournal.com]

Одного из, конечно. Бесконечного при условии неограниченной длины сообщения :)

[trueblacker.livejournal.com]

извините, изменяющий размерность чего ?

[kong-en-ge.livejournal.com]

моска!

[trueblacker.livejournal.com]

только не мой!

Как знаете, ребе!

[kong-en-ge.livejournal.com]

не мытьем, так катаньем!

[1ceheart.livejournal.com]

Размерность задачи по нахождению ключа, она же сложность.

[trueblacker.livejournal.com]

и что в алгоритме MD5 является ключом ?

[metaclass.livejournal.com]

Видимо для MD5 находится не ключ, а сообщение, из которого получается хэш. Это ж шум уже был по поводу того, что придумали способ подбора сообщений для MD5 какой-то упрощенный.

[kong-en-ge.livejournal.com]

Есть подбор с целью получения коллизий, но никак не исходного сообщения. Это тот фарш, который в обратную сторону кроме как загодя составленным словарем не откручивается.