Озвученные на конференции CRYPTO 2011 результаты дополнительного кроптоанализа (http://research.microsoft.com/en-us/projects/cryptanalysis/a... алгоритма блочного шифрования AES (Advanced Encryption Standard (http://ru.wikipedia.org/wiki/Advanced_Encryption_Standard)) указывают (http://www.theinquirer.net/inquirer/news/2102435/aes-encrypt... на новый способ атаки, позволяющий в четыре раза сократить трудоёмкость выполнения операций по подбору секретного ключа. Иными словами на деле криптостойкость AES-128 сводится к AES-126, а AES-192 к AES-189, что само по себе остается достаточно внушительным показателем (для взлома AES-128 требуется выполнить 2 в 126 степени операций). Предложенный метод атаки работает со всеми вариантами AES. Возможность совершения атаки указанным методом признали создатели AES, Винсент Рэймен (Vincent Rijmen) и Йоан Даймен (Joan Daemen).Интерес представляет то, что это первый независящий от конкретной реализации подтвержденный способ атаки, ...
URL: http://www.theinquirer.net/inquirer/news/2102435/aes-encrypt...
Новость: http://www.opennet.me/opennews/art.shtml?num=31521
Фигня, паяльник и утюг - рулят!
Они, конечно, эффективнее, только...
1) Пациент не всегда доступен физически, а эффективность ремотного криптоанализа паяльником стремится к нулю.
2) Даже если сделать из пациента шашлык, он не вспомнит 256-битный ключ, например.Получается как-то очень уж неуниверсальненько.
поэтому настоящие джедаи хранят ключи в сейфах в охраняемых помещениях с контролем доступа ))
Контроль доступа? :) Посмотри фильм "Ограбление на Бейкер-Стрит", по реальным событиям кстати снят.
> поэтому настоящие джедаи хранят ключи в сейфах в охраняемых помещениях с контролем
> доступа ))Настоящие джедаи хранят ключ в небольшой флехе или катре. В случае если дело пахнет керосином - флешка или карта ломается и спускается в унитаз. После этого ключ получить нереально, очевидно.
> Настоящие джедаи хранят ключ в небольшой флехе или катре. В случае если
> дело пахнет керосином - флешка или карта ломается и спускается в
> унитаз. После этого ключ получить нереально, очевидно.ты видимо реальный джедай если способен руками быстро сломать корпус микросхемы+печатку ...
1) в банк дойти не судьба ?
2) пусть напечатает на принтере !
> 1) в банк дойти не судьба ?В банке охранники попадаются. Они могут неправильно понять ваши начинания в области криптоаналитики, имхо.
> 2) пусть напечатает на принтере !
А что, у вас получалось? Я вот 20-символьный пароль на рар забыл и никак не могу вспомнить. Распечатайте его, а? А то терморектальный криптоанализ не катит и брутфорс будет продолжаться примерно до превращения Солнца в красного карлика, после чего рар-архивы обитателям Земли будут уже ни к чему :\
А хоть последние 3 буквы помнишь? ;)
А если ключ удалить, а копия ключа у другого человека, где-нибудь в лесу зарыта, то тут паяльник не поможет.
А _два_ паяльника??
> А _два_ паяльника??Ну в том и суть, что пока один проговорится, у кого ключ. Второй-то не будет сидеть дома и ждать, когда в дверь постучат?
Правильно, он забьет на первого и соскочит в Уругвай
> Правильно, он забьет на первого и соскочит в УругвайВместе с ключем. Ну и mission failed в результате - гемор с паяльником напрасен.
А в этом случае он не получит второй ключ и доступ к деньгам. А как он без денег в Уругвае?
ZIP-архивы шифруются как раз им, и документы MS Office тоже, http://www.password-crackers.ru/blog/?p=87 здесь можно почитать о недоработках шифрования документов MS Office.
Почему же только ZIP, RAR или 7z шифруются чем-то другим?...
Помнится были у AES какие-то проблемы с лицензией, мешавшие его использованию в свободных программах, - лучше бы про это написали..
Не было и быть не могло.
> Помнится были у AES какие-то проблемы с лицензией,Это как?!
> ZIP-архивы шифруются как раз им,Только в новом варианте. В более старом варианте был какой-то самопальный алгоритм, жутко кривой и напрочь дырявый.
Причем, старые .zip-архивы ломались в считанные секунды, если хоть один и файл из архива был у атакующего.
> Причем, старые .zip-архивы ломались в считанные секунды,Именно. Даже файл не надо - достаточно угадать пару десятков байтов какого-либо файла знать. А вот это - запросто. У многих файлов стандартные, предсказуемые хидеры и от них 20 байтов - известны или вычисляются на основании знаний о формате хидера влегкую. А поскольку пароль как правило везде одинаков, кряк 1 файла обычно означает полное вскрытие архива.
Я криптую 14 современными алгоритмами поверх с 2 цифровыми подписями.... сколько компов нужно и лет для взлома?))
Комплексную защиту данных никто не отменял, да и криптование это не самое слабое звено в защите, человеческий фактор - вот основоной изьян, программа то запрограммирована на защиту данных, а человек программирует сам себя иногда на русский авось.
Я далек пока что от криптографии, но на первом спецсеминаре, помню, говорили, про две (не менее двух) заповеди криптографа:
1) криптографический алгоритм открыт
2) криптографический алгоритм самодостаточен. повторное его применение или применение нескольких - потенциальная дыра в безопасности...
ВМК. МГУ. И отец, царствие ему небесное, так говорил. Высшая школа... КГБ.
Хотя Википедия говорит об ином :D
Не скажу что я очень уж спец, но сможет кто то объяснить почему применение нескольких алгоритмов потенциальная дыра в безопасности?
Как бы аналогия с защитой ПО - чем больше прикрутишь хитростей(как и с машине - сигналка + механика типа мултилок) тем больше времени на взлом понадобится.
И тем больше вероятность того, что все эти свистелки посадят батарею за три дня и, собственно, все?
При чём тут батарея? К тому же само криптование - очень быстрый процесс, это обратный процесс затратный.
Ха-ха! Вообще неверный ход мысли... Батарея - то, о чем не думаешь, забываешь. То, что может вызвать конфликт. Применяя 14 алгоритмов Вы существенно повышаете влияние человеческого фактора - вероятность того, что ни один (уж простите) алгоритм не примените качественно...
Думаете их как-то можно некачественно применить? Вон в статье тоже наверное ктото AES128 некачественно применил и видите что произошло?? взломали почи!!!
> AES128 некачественно применил и видите что произошло?? взломали почи!!!А вы уже готовы 126-битный пароль раскрякать? Срочно бегите в органы, они будут счастливы получить такое светило математики и завалят вас долларовыми бумажками, благо, у них хватает нерасшифрованных винтов :)
> Думаете их как-то можно некачественно применить? Вон в статье тоже наверное ктото
> AES128 некачественно применил и видите что произошло?? взломали почи!!!Взломали почти? Вы ощущаете разницу между сотнями и тысячью миллиардов лет? Выражение "на 4 порядка" надо взвешенно воспринимать, и помнить, сколько на эти 4 порядка ушло лет...
А Вы не предполагаете, что на ВАШЕМ (конкретно взятом компьютере) плохой генератор ключа, и это понижает стойкость эдак на 100 порядков? Вот и потенциальная дыра... И все алгоритмы пострадают.
Где-то в хэндбуке GnuPG читал, что по проведенному исследованию 80% пользователей применяют этот инструмент так, что в течение некоторого значительного времени (пока не обнаружат) сообщения зашифрованы неверно... Но это они видно виндузятникам дали юзать))))))))
ой, я даже описался... не 4 порядка, а в 4 раза... 4 порядка - это в 10000 раз я имел ввиду)))))))))
ну так пробои и в printf есть - ну не дешифруется на обратной стороне сообщение ну и что? придёт новое хорошее, как вы там говорили? качественное)))
> Думаете их как-то можно некачественно применить? Вон в статье тоже наверное ктото
> AES128 некачественно применил и видите что произошло?? взломали почи!!!Я бы посоветовал Вам ставить тэги сарказма, иронии т.д. Местный контингент с трудом улавливает такие вещи без явного указания.
> При чём тут батарея? К тому же само криптование - очень быстрый
> процесс, это обратный процесс затратный.У большинства алгоритмов одинаковый процесс, просто идущий в прямую или обратную стороны. По затратам ресурсов эти процессы как правило одинаковы. В случае симметричных алгоритмов типа AES разумеется. В криптографии с публичными ключами все несколько сложнее.
Согласен, так и есть. Имелось ввиду количество вычислений для взлома, правда почему я там так написал и сам не пойму, хотя идеи есть - человеческий фактор)
Если про машину то да) но если угонят, думаю можно уже о том что она разряжается быстро не волноваться
> Не скажу что я очень уж спец, но сможет кто то объяснить почему применение нескольких алгоритмов потенциальная дыра в безопасности?Это вероятностное утверждение. Когда вы зашифровали фразу одним методом - у вас есть мат. аппарат показывающий сложность взлома. Когда вы поверх зашифровали вторым алгоритмом - вы получили непредсказуемый результат. Он может быть как лучше предыдущего, так и хуже.
В университетском курсе криптографии даже показывали пример. Есть 2 самопальных простых и надежных (в смысле что шифровка - P класс, расшифровка - NP) алгоритма. Применяем оба и получаем метод взлома P класса.
+1. Очень точно сказано! Я так не смог... :D Хотя пример, очевидно, специально и тщательно подобран
rot13(rot13(x))
Специально, но не сложно :D
> rot13(rot13(x))Расшифровка rot13 как-то не тянет на NP :P
> Не скажу что я очень уж спец, но сможет кто то объяснить
> почему применение нескольких алгоритмов потенциальная дыра в безопасности?А она в самоуверенности. А вот взломают один из ваших 14 алгоритмов, узнают пароль - остальные и так откроются. И к чему были остальные 13?
ну а если автоэвакуатором машину увезут ? =)))
> Я криптую 14 современными алгоритмами поверх с 2 цифровыми подписями.... сколько компов
> нужно и лет для взлома?))Без указания длины ключа - неинформативно. Может у вас там пароли по 2 буквы в каждом алгоритме, такое можно и с 14 алгоритмами брутом взять :)
> Я криптую 14 современными алгоритмамиДжо, старина!
> Я криптую 14 современными алгоритмами поверх с 2 цифровыми подписями....Вы не проверяли, что в итоге таких манипуляций и наложений на выходе может получиться результат, аналогичный по стойкости ко взлому к "шифрованию" по XOR-маске ? :-)
Вы-таки намекаете, что абсолютно стойкий шифр XOR не является "шифрованием"?
> Вы-таки намекаете, что абсолютно стойкий шифр XOR не является "шифрованием"?Он особенно хорош когда в шифруемом есть повторяющиеся или однородно заполненные области. Когда нулевые области есть его и ломать не нужно.
> Он особенно хорош когда в шифруемом есть повторяющиеся или однородно заполненные области.Ну если я шифрую XORом с псевдослучайной последовательностью - однородно заполненные области проксоренные псевдорандомом станут мусорными данными, как это и должно быть. Кстати именно так делает RC4. Который довольно прост и быстр. Правда у его гпсч нашлись некие изъяны, так что первые 1024 байта проксоренного потока содержат некоторое количество информации которая не совсем случайна и теряет сведения о ключе. Поэтому RC4 не особо используют в новых разработках: скипать первые 1024 байта не очень то прикольно и удобно, да и окупится по скорости над AES или BlowFish такое только на больших потоках данных (шифрованный вариант торрента - им пользуется, впрочем).
до тех пор, пока не станут делать бот-сети, использующие GPU
начало уже положено - троянец Badminer
Проще кейлоггер тогда подложить.
> Проще кейлоггер тогда подложить.Распределенная сеть вычислений - интереснее и имеет больше коммерческих применений, от генерации коинов за чужой счет до брута хешей на заказ и чего там еще.
Лучше бы что-то для науки или медицины считали.
Угу. CERN пишет нового червя для задействования распределенных вычислений и подключает ботсеть к коллайдеру для обработки столкновений частиц
Я им бесплатно свой комп даю (через BOINC), так они, блин, говорят мне, что у них нет для меня заданий. Так и висит с бородатого года у меня лишь 10 баллов по проекту lhcathome.
Тогда подарите немного вычислительной мощности проекту folding@home или ещё кому-то.
> Лучше бы что-то для науки или медицины считали.Предоставьте опенсорсный клиент, использующий GPU с благой целью - и вам воздастся.
>> Лучше бы что-то для науки или медицины считали.
> Предоставьте опенсорсный клиент, использующий GPU с благой целью - и вам воздастся.Давайте без этого. А то потом через 5 лет опять планшетник без подзарядки неделю не проживет.
> Предоставьте опенсорсный клиент, использующий GPU
> с благой целью - и вам воздастся.Они, как правило, и рады бы. Но никто не рискует открывать код клиентов, дабы его не модифицировали и не отравили им результаты расчётов.
Повышеннная нагрузка на CPU и GPU в современных компьютерах приводит к увеличению скорости работы вентиляторов и следовательно к дополнительному шуму, что сразу вызовет подозрение. Нет?
повышенную нагрузку на проц я сразу увижу, для видеокарты надо уже дополнительно устанавливать софт. а с вентиляторами - некоторые карточки пассивно охлаждаются
Те, которые пассивно охлаждаются - непригодны для расчётов, не?
Пригодны, но шума они не издают.
К.О.
Просто интересно: подскажите пару моделей.
> Просто интересно: подскажите пару моделей.Любое без вентилятора. Например встроенное видео обычно с пассивным охлаждением.
И каким образом его задействовать для расчётов? Например, то, что встроено в N68S3+. Подскажите, тогда у меня обязательно найдутся для него задачи.
> И каким образом его задействовать для расчётов? Например, то, что встроено в
> N68S3+. Подскажите, тогда у меня обязательно найдутся для него задачи.1) Идете на сайт производителя чипсета и вдумчиво читаете что поддерживается чипсетом на предмет opencl/CUDA. Если драйвер не поддерживает вычисления на этом изврате (что вполне вероятно) - смачно обламываетесь, соответственно, и курите бамбук, поняв что вам надо купить нормальное дискретное GPU. Кстати да, смешивать амдшное и нвидиевское GPU в одной системе - насколько я знаю не катит. Учтя что всякие там хеши лучше считаются на амд - все выглядит так как будто бы у вас какая-то не очень прикольная и довольно проблемная конфигурация из которой будет проблематично поиметь какой-то вкусный (котирующийся на фоне остальных конфигураций) результат.
2) Читаете маны по хоть тому же OpenCL, качаете сорц какого-нить майнера и/или хэшкрякера (например, hashkill идет с сорцем доступным под GPL) и смотрите умеет ли оно уже то что вам надо или еще нет. Если не умеет - ну значит вдупляете что такое opencl kernel, как его писать и прочая и дотачиваете напильником, если ваша задача похожая по смыслу. Это не очень просто, но и не ракетная наука. Хотя и отличается от того к чему вы привыкли. Также у нвидии и амд на сайтах есть немало примеров как использовать opencl, с сорсами и все такое. Начиная от хелловорлдов всяких.
> Любое без вентилятора. Например встроенное видео обычно с пассивным охлаждением.Далеко не любое встроенное видео катит для вычислений. Например, все встроенные интеловские видеокарты не умеют работать как вычисляторы. Точнее, никаких распостраненных стандартов вычислений - официально не предоставляется и не заявлено. Как абсолютный максимум, если вы возомнили себя тру джедаем, можно попробовать считать представив данные как геометрические сущности, а программу как шейдеры, но это жуткий изврат для тех кто не ищет легких путей. Самые первые потуги использования GPU для вычислений были именно в этом направлении, но это было давно и с тех пор производители GPU предоставили куда менее геморройные методы вычислений.
> Просто интересно: подскажите пару моделей.Ну вот например хиленькая пассивная одноэтажная видяха, худо-бедно годная для вычислений: http://www.nix.ru/autocatalog/sapphire/PCIE_DDR3_Sapphire_Ra... - ну и аналогичные HD 54xx...56xx и 64xx...66xx в таком виде часто бывают. Даже зачастую одноэтажные мало греются потому что мало поточных процессоров и потому и считают - соответственно хуже более старших собратьев. Как вы понимаете, более мощные видеокарты обойдут минимальных 54xx/64xx в РАЗЫ.
Есть штуки посерьезнее, например бывает даже вот такой килограмм радиаторов: http://www.nix.ru/autocatalog/gigabyte/video/PCIE_DDR5_Gigab... - это уже HD 5770. В принципе, это довольно мощная видеокарта: 5770 считается годной для майнинга и прочих применений "всерьез" и даже довольно неплоха по производительности на ватт и на доллар цены. Правда в упомянутом экземпляре - радиатор огромный и составляет чуть не полцены видеокарты. Потому что отвести 80-90 ватт пассивом надо сильно попотеть и в общем то изврат. Как вы понимаете, отсутствие кулера на такой видяхе придется компенсировать качественной продувкой корпуса: интенсивные вычисления греют видяхи сильно, зачастую даже сильнее многих игр.
> Пригодны, но шума они не издают.Плохо пригодны в силу урезанности. Грубое представление о том что могут те или иные процы, видеокарты и прочие на параллельных вычислениях можно посмотреть тут: https://en.bitcoin.it/wiki/Mining_hardware_comparison
Там же видно насколько младшие модели сливают.
Как абсолютный максимум я видел пассивный HD5770, но учтя что он жрет в пике ваттов 80 с лишним (и при расчетах если полностью прогрузить - будет как раз близок к этому) - ну вы понимаете, что корпус с ним надо неслабо продувать другими вентиляторами, не так ли? Поэтому его "пассивность" получается очень условная: без доп.вентилей в корпусе он пережарится.
вызовет ли подозрение у хомячков или нет - вот в чем вопрос
> вызовет ли подозрение у хомячков или нет - вот в чем вопросКак показывает опыт, хомячки довольно быстро обращаются, если есть знакомый штатный айтишник, которого они когда-то "прикрепили" к своему компьютеру. Если такого нет, то в "компьютерную скорую" они могут позвонить только если мелкие глюки и шумы начнут их конкретно доставать.
Ждём кореетирующий релиз TrueCrypt :)
> Ждём кореетирующий релиз TrueCrypt :)А смысл? Взять брутом что 192, что 189 битов примерно одинаково нереально. Ну да, вместо 4 миллиардов лет работы всех компьютеров мира потребуется один. Вам сильно полегчало? :)
а мне нравится BlowFish (CBC)......потомучто он простой в реализации очень [содержит только два вида операций: "+" и XOR]... и оперирует только с 32-битными числами :-)
# p.s.: вся его гениальная простота -- сразу видится в реализации от Paul Kocher -- http://www.schneier.com/code/bfsh-koc.zip :-)
Да, но насколько он надежен?
Настолько же, насколько и AES, пройдите наконец уже на сайт NIST.
Давным-давно в далекой-далекой галактике кто-то начал перебирать ключи.
>с учетом представленного метода атаки потребуется 2 миллиарда летА без него целых 8...
Если серьёзно, DES в свое время тоже считался достаточно стойким алгоритмом.
потому что скорость компьютеров была мала, и перебирать его было сложно. После того как скорость процессоров выросла в несколько десятков раз, DES стал потенциально уязвим. Что не скажешь о AES.
> Если серьёзно, DES в свое время тоже считался достаточно стойким алгоритмом.Если серьезно, уже тогда всем кто в теме было понятно что у него слишком короткий ключ: его уже много лет назад вскрыли простым брутфорсом. И если в то что 128 битный ключ на квантовых компьютерах в принципе еще можно сломать, 256-битному это не грозит: даже при очень эффективной реализации вычислителя потребуется больше энергии чем вы сможете получить любыми разумными (и неразумными) методами.
>>И если в то что 128 битный ключ на квантовых компьютерах в принципе еще можно сломать
>>>И если в то что 128 битный ключ на квантовых компьютерах в принципе еще можно сломать
> http://www.youtube.com/watch?v=lSdTAm7WaH0Ничего не опровергает: было сделано очень пессимистичное допущение что у атакующего процессоры близкие к идеалу, так что минимальное изменение состояний процессора очень оптимально по затратам энергии (например, 1 квант света, 1 перескок 1 электрона на соседний энергетический уровень, или подобное малое но все еще уловимое изменение, нижний предел вероятно задан постоянной планка). В этом допущении и в допущении что технология более совершенна чем CMOS и не лимитирована частотой и пиханием зарядов, 128, а точнее, 126 битный ключ не выглядит совершенно нерушимо, хотя и представляет из себя заметное препятствие.
А вот 256-битный ключ, и даже 254-битный ключ - нельзя сбрутфорсить, даже на совершенно идеальном процессоре. Независимо от его скорости, если он расходует энергии хотя-бы чуть больше постоянной планка на 1 операцию, тупо не хватит энергии даже если удастся перегнать все вещество вокруг в энергию по формуле E=MC^2, аннигилировав все нахрен :). Соответственно, если не найдется уязвимость снижающая стойкость AES на битов так на 160 - с 256 битным ключем можно спать спокойно, враг не пройдет. Пусть хоть всю вселенную квантовыми компьютерами обставит. Собственно, тот товарисч что-то такое и сказал и это понятно всем у кого есть мозг.
> Соответственно, если не найдется
> уязвимость снижающая стойкость AES на битов так на 160 - с
> 256 битным ключем можно спать спокойно, враг не пройдет. Пусть хоть
> всю вселенную квантовыми компьютерами обставит. Собственно, тот товарисч что-то такое
> и сказал и это понятно всем у кого есть мозг.Наглядный пример мышления в стиле "640 кб хватит всем" :) В данном случае, правда, речь идет о 256 bit.
Сохраните эту свою фразу и обратитесь к ней через 20 лет.
и еще подумайте, найдется ли в будущем такое вещество, которое может использоваться вместо кремния, и при тех же техпроцессах (например, 1 нм, не говоря уже об ангстремах, например, 32 ангстрема или 22 :) ), будет выделять на тысячи порядков меньше тепла и требовать, соответственно, в тысячу раз меньше энергии.
4.5 миллиарда лет это возраст Земли, а не Солнца.
> 4.5 миллиарда лет это возраст Земли, а не Солнца.Вы будете удивлены, но возраст Земли и Солнца примерно одинаковый в разрезе миллиардов лет.