Разработчики пакета TurboCrypt обнаружили (http://www.techworld.com/security/news/index.cfm?newsid=105263) способ частичного восстановления содержимого изображений, сохраненных в зашифрованном виде. Получив две зашифрованные копии одного и того-же изображения, например из зашифрованного дискового раздела и бэкапа, оказалось возможным (http://www.turbocrypt.com/eng/content/TurboCrypt/Backup-Atta... воссоздать содержимое контрастных областей, без наличия ключа шифрования.
Тестирование показало, что представленному виду атак подвержены все исследованные пакеты шифрования потоков данных (On-The-Fly-Encryption), использующие AES (http://ru.wikipedia.org/wiki/AES) или подобные алгоритмы симметричного шифрования, работающие в блочном режиме. Для успешного использования уязвимости, атакующий должен иметь под рукой более 512 байт открытых данных, находящихся в зашифрованном объекте (в простейшем случае достаточно, чтобы был зашифрован файл с областью из 512 нулевых байт).
URL: http://www.techworld.com/security/news/index.cfm?newsid=105263
Новость: http://www.opennet.me/opennews/art.shtml?num=18270
Мораль сей басни такова, не стоит делать серию бекапов с одинаковым ключом.
>Мораль сей басни такова, не стоит делать серию бекапов с одинаковым ключом.
>Мораль то еще проще: штатовцы опять прокололись со своим методом шифрования. Пользуйтесь ГОСТ ;). (А точнее the encryption algorithm is designed for use in the TurboCrypt OTFE).
>Мораль то еще проще: штатовцы опять прокололись со своим методом шифрования. Пользуйтесь
>ГОСТ ;). (А точнее the encryption algorithm is designed for use
>in the TurboCrypt OTFE).Про ГОСТ тоже недавно какие-то пренеприятнейшие известия были, к сожалению, деталей не помню.
>Про ГОСТ тоже недавно какие-то пренеприятнейшие известия были, к сожалению, деталей не
>помню.Были про коллизии в хэш алгоритме ГОСТ-34.11, к блочным шифрам не имеет отношения.
Путаете теплое с мягким.
А на основании чего ГОСТу следует доверять больше?
я немного не понял. В статье речь идёт о возможности восстановления части изображения битмап (т.е. несжатая графика). Но разве все нормальные проги не производят сжатие перед шифрованием? Я где-то читал, что это само собой разумеется. Ежу понятно, что в битмапе энтропия не очень.
Ну а, например, dm-crypt — нормальная прога?
>Ну а, например, dm-crypt — нормальная прога?не знаю. Лично я редко пользуюсь шифрованием и никогда не провожу анализ эффективности работы таких прог.
>Лично я редко пользуюсь шифрованиемЧто, вы не используете ни SSH, ни AD? :)
>>Лично я редко пользуюсь шифрованием
>
>Что, вы не используете ни SSH, ни AD? :)SSH пользуюсь. Но не для прересылки картинок. АД уже не пользуюсь.
>>>Лично я редко пользуюсь шифрованием
>>
>>Что, вы не используете ни SSH, ни AD? :)
>
>SSH пользуюсь. Но не для прересылки картинок. АД уже не пользуюсь.Угу. Вы их пересылаете открытым текстом, я правильно понимаю? :)
>>>>Лично я редко пользуюсь шифрованием
>>>
>>>Что, вы не используете ни SSH, ни AD? :)
>>
>>SSH пользуюсь. Но не для прересылки картинок. АД уже не пользуюсь.
>
>Угу. Вы их пересылаете открытым текстом, я правильно понимаю? :)чертовски верно! Нет у меня секретных картинок. Не все работают тайными агентами.
>>>>>Лично я редко пользуюсь шифрованием
>>>>
>>>>Что, вы не используете ни SSH, ни AD? :)
>>>
>>>SSH пользуюсь. Но не для прересылки картинок. АД уже не пользуюсь.
>>
>>Угу. Вы их пересылаете открытым текстом, я правильно понимаю? :)
>
>чертовски верно! Нет у меня секретных картинок. Не все работают тайными агентами.Ура, хоть кто-то не страдает излишней паранойей. :) Нет, серьёзно.
кстати, в ССШ есть компрессия данных, если вы не в курсе
>кстати, в ССШ есть компрессия данных, если вы не в курсеА Вы, видимо, не в курсе, что по дефолту она обычно выключена ;)
>>кстати, в ССШ есть компрессия данных, если вы не в курсе
>
>А Вы, видимо, не в курсе, что по дефолту она обычно выключена
> ;)Знаю, но опять же не пересылаю картинки. Самое секретное, что у меня идёт по ссш - это пароль. Который сильно недотягивает до 512 байт.
>>>кстати, в ССШ есть компрессия данных, если вы не в курсе
>>
>>А Вы, видимо, не в курсе, что по дефолту она обычно выключена
>> ;)
>
>Знаю, но опять же не пересылаю картинки. Самое секретное, что у меня
>идёт по ссш - это пароль. Который сильно недотягивает до 512
>байт.Кстати, в SSH попутно передаётся ещё и (шифруемый, ессесно) мусор (padding и всё такое), так что за пароли и тому подобные "короткие" моменты бояцца нечего:).
> Ежу понятно, что в битмапе энтропия не очень.Сильному шифрованию это должно быть пофигу.Если возникают такие проблемы это первый звоночек что у алгоритма или как минимум конкретного режима его применения есть проблемы.
Мы все знаем что WEP можно быстро сломать.А "заслуга" в этом у алгоритма RC4 (aka ArcFour, ARC4 и т.п.) - при определенном стиле использования RC4 компрометирует ключ шифрования (для предотвращения эффекта достаточно скипать первые 1024 байта псевдослучайного потока).А начиналось все с того что в RC4 заметили не очень рандомное распределение данных, позволяющее как минимум понять что используется именно RC4 а не что-то еще.Дальше - больше, оказалось что первые 1024 байта псевдослучайной последовательности могут нести достаточно много инфо о ключе.
Соответственно если алгоритм проявляет такие совсем-не-случайные свойства, стремно ему конфиденциальные данные доверять, как минимум в долговременном плане.
Во чувакам как сильно хотелось посмотреть домашние фотки секретарши то
Вообще хоть один человек с интеллектом удосужился прочесть статью прежде чем комментировать?!Авторы этой "аццкой" атаки просто ищут дешёвого пиара: тот факт, что при использовании режима шифрования ECB любой блочный шифр небезопасен был известен ещё до моего рождения.
Тот факт, что при сравнении двух шифрованных бэкапов можно понять что "что-то где-то изменилось" тоже нифига не новость.
Вот только для восстановления изображения НА ПРАКТИКЕ нужно чтобы число байт на пиксел соответствовало рабочему размеру блока шифрования - у вас есть форматы изображения с параметрами 128 байт на пиксел? 256 байт на пиксел?