The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск криптографической библиотеки wolfSSL 5.1.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск криптографической библиотеки wolfSSL 5.1.0"  +1 +/
Сообщение от opennews (??), 29-Дек-21, 16:17 
Подготовлен выпуск компактной криптографической библиотеки wolfSSL 5.1.0, оптимизированной для использования на встраиваемых устройствах с ограниченными ресурсами процессора и памяти, таких как устройства интернета вещей, системы умного дома, автомобильные информационные системы, маршрутизаторы и мобильные телефоны. Код написан на языке Си и распространяется под лицензией GPLv2...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=56431

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


3. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +8 +/
Сообщение от Аноним (-), 29-Дек-21, 16:30 
Существует множество алгоритмов для организации дустороннего шифрования с открытым ключем. Почему мы жрем зеленые замочки x509 ? Проверка подленности сертификата васяном из забугорья никогда ничего не давала, только забирала - твое бабло.
Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (5), 29-Дек-21, 17:57 
Откуда мне знать почему вы жрете. У меня везде 25519
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +3 +/
Сообщение от Ivan_83 (ok), 30-Дек-21, 02:27 
Забавно слышать про 25519.

Вот смотрите.

Есть RSA, там все косяки известны и огорожены заборами, из неудобств только нагрузка на проц и большой размер ключа.

Потом придумали ECDSA на элиптике.
Ключи там от 128 бит (хотя были и 96 варианты, задепрекейтили) до 521 бита.
Есть параметры (кривые) от NIST, есть браинпул и есть всякие национальные включая наш ГОСТ.
Его Бернштейн захэйтил за возможность тайминг атаки.
И есть слухи что элиптику научились ломать.

25519 придумал Бернштейн, при этом там на выходе ключ в 126 бит, но про это никто не пишет, все пишут что оно лучше ECDSA потому что констант тайм.
Тут только одна кривая и только 126 бит ключ на выходе, без вариантов.
Те это по факту элиптика с 126 бит.


В общем мой скепсис на максимуме относительно 25519, у себя я даже ECDSA убрал и оставил только RSA с ключами от 4к бит до 16к бит.

Против Бернштейновской же чачи20 я ничего против не имею, но крайне необычно что во всём мире после теперь уже печально известного RC4 только ему удалось создать поточный шифр и только он пролез везде.

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +4 +/
Сообщение от Аноним (-), 30-Дек-21, 08:02 
> Есть RSA, там все косяки известны и огорожены заборами,

Сказать что все косяки известны применительно к сложной математической проблеме может только дилетант. Кстати, на RSA в не так давно прикольные атаки были, типа мелкой экспоненты. Ты не представляешь себе сколько фэйковых сертов разлетелось. Крутые схемы секурбутов резко поломали. Никто не сказал имплементерам что это подставляет схему, лол. DJB как-то лучше лимиты на ключи описал. С самого начала.

И кстати у 25519 вообще нет таких приколов в обычной реализации. Любые ключи валидны. Если взать тупой приватный ключ типа {0}, атакующий, конечно, может это угадать. Но взяв случайное 256-битное число - не требуется делать никаких проверок. Это валидный приватный ключ. Сразу. Без каких либо особенностей. Это очень удобно и сильно спасает зады имплементеров от вон того.

> Ключи там от 128 бит (хотя были и 96 варианты, задепрекейтили) до 521 бита.

Порядка 256 битов в общем случае нормально. Обычные компьютеры при отсутствии косяков реализации это не сжуют.

> Есть параметры (кривые) от NIST, есть браинпул и есть всякие национальные включая наш ГОСТ.

Есть разные кривые, с разными свойствами. Выбирать что-то гостовское или анбшное не стоит, по понятным причинам. Там довольно много чего может пойти не так и обоснование выбора параметров и криптоанализ - не пустой звук. 25519 вылупился не вчера и в силу происхождения, криптографы в этом основательно копались.

> 25519 придумал Бернштейн, при этом там на выходе ключ в 126 бит,

Для обычных компьютеров 25519 хватит. А квантовые, если Шорр сработает, поимеют и эллиптику и RSA совершенно одинаково. И никакие 16К ключи от этого не помогут, от них только дикие тормозняки во имя хзчего.

> оставил только RSA с ключами от 4к бит до 16к бит.

Счастье крипто не только в битности ключа, чудак. А в совокупности параметров.

Ну вот например, публичный ключ 25519 можно передать в смс. Или Наколотить с клавиатуры при нужде. Попробуй так с ключом RSA. Это позволяет например какой-нибудь Tox ID копипастой передать, в чем угодно. Хоть по телефону надиктовать. Это - апгрейд свойств алгоритма.

То что еще и считается быстро - делает бессмысленными ремотные атаки ствящие целью выжрать CPU. Например в ssh можно RSA целенаправленно хост грузить, атакующий тратит намного меньше ресурсов чем цель. В результате ssh занимается счетом RSA оптом и все дико тормозит. На каком-нибудь хостинге вас через пару дней этого - вынесут "за майнинг", и доказывайте потом что не верблюд.

Итого: ты дико тормознул себе крипто, получил возможность атак на ресурсы и ничерта не приобрел. Сомнительный tradeoff.

Те кто поумнее - делают иначе. Они в протокол возможность симметричного PSK встраивают. Симметричное крипто это другой класс проблем и даже квантовые компьютеры ничего не смогут сделать с 256-битным симметричным ключом. Шорр если сработает то обвалит сложность проблемы до 128 битов, но и этого хватит, брут этого будет неперспективен. В таком виде оно и квантовые компьютеры переживет. И любую иную лажу {RSA. 25519, что там у вас для паблик}. И симметричное крипто - довольно изученный класс проблем с весьма развитым криптоанализом. Вот там неожиданностей меньше. Но даже там - бывает.

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  –1 +/
Сообщение от Аноним (-), 30-Дек-21, 17:02 
я щитаю коекому стоит почитать хоть что-то по криптографии прежде чем плевать такие простыни. 25519 и рса норм и укаждой свое применение
Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Ivan_83 (ok), 30-Дек-21, 19:15 
Какая то каша.

> Сказать что все косяки известны применительно к сложной математической проблеме может только дилетант.

RSA старое и хорошо изученное.
Никаких принципиальных косяков там нет.


> Для обычных компьютеров 25519 хватит. А квантовые, если Шорр сработает, поимеют и эллиптику и RSA совершенно одинаково.

Ну вот есть мнение что квантовые не обязательны, но на уровне слухов.
Если же они всё таки обязательны, то 16к кубитов квантовый комп появится намного позже чем на 500-600 кубит, который и сможет ломать элиптику с 256 битами.


> публичный ключ 25519 можно передать в смс. Или Наколотить с клавиатуры при нужде.

Мне такое ни в SSH ни в TLS не требуется.


> Например в ssh можно RSA целенаправленно хост грузить, атакующий тратит намного меньше ресурсов чем цель.

На практике атакующий = брутфорс бот с какогонить сломаного роутера, который 16к хостовый ключ не может у себя обсчитать и отваливается по таймауту.


> То что еще и считается быстро - делает бессмысленными ремотные атаки ствящие целью выжрать CPU.

1. Для защиты от такого уже давно придумали лимиты по подключениям.
2. Если вы считаете что ECDSA или 25519 ничего не стоит в вычислительном плане - вы глубоко заблуждаетесь.
Я делал собственную реализацию ECDSA, те совсем-совсем собственную, у меня и математика своя вся, так вот во времена интелов 2016 года там было что то около 1к подписей с ядра, что у моей реализации что у других, которые оптимизированы. У неоптимизированных было всё хуже.
Если сейчас напихать туда инстриктов с AVX2, AVX512 может получится выжать дополнительно 5-15%, у меня то на чистом Си реализация, переносимая куда угодно.


> Итого: ты дико тормознул себе крипто, получил возможность атак на ресурсы и ничерта не приобрел. Сомнительный tradeoff.

Вывод не основанный ни на чём.


> Те кто поумнее - делают иначе. Они в протокол возможность симметричного PSK встраивают. Симметричное крипто это другой класс проблем и даже квантовые компьютеры ничего не смогут сделать с 256-битным симметричным ключом. Шорр если сработает то обвалит сложность проблемы до 128 битов, но и этого хватит, брут этого будет неперспективен.

Я вот что то не видел тех кто поумнее ни разу, и то что вы описали оно тоже не сильно умно, я не отрицаю ценность shared key, но применимость этого крайне ограничена.

То что вы утверждаете что Шорр может "обвалить" сложность симметричной крипты говорит только о том, что вы в теме разбираетесь плохо.
В ассиметричной крипте стойкость держится на том, что некоторые математические опперации вроде как необратимы, и вот квантовые компы вроде как могут это решить.
В симметричной крипте такие математические операции вообще не используются либо не являются основополагающими.


А те кто реально поумнее, они не доверяют одному алгоритму и последовательно шифруют данные разными алгоритмами на разных ключах, и получают при этом офигенную взломостойкость на десятилетия даже для откровенно слабых алгоритмов.
Именно так было сделано шифрование в DVB: два алгоритма: блочный + потоковый, оба хреновенькие, но ломать их и щас проблематично, а их уже поменяли на AES или ещё меняют.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

31. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +1 +/
Сообщение от Аноним (-), 30-Дек-21, 22:33 
> RSA старое и хорошо изученное.

Оно есть несколько дольше эллиптики, и не более того.

> Никаких принципиальных косяков там нет.

Криптографы обычно сдержаны в своих обещаниях и оценках такого рода. Это и отличает их от дилетантов.

> Ну вот есть мнение что квантовые не обязательны, но на уровне слухов.

Для NISTовских кривых - может быть, слухи попадались, мутно сделаны. А 25519... с точки зрения threat model, DJB в отличие от - не может спустить "стандарты" на бошку. И поэтому сделать что-то мутное ему проблематичнее, приходится обосновывать почему он думает что этот дизайн - заслуживает внимания. Делая все прозрачно. Без непонятных левых параметров выбраных хз как неизвестно кем, все такое. У него хватает статей с описанием дизайна и почему он полагает что это ок.

> Если же они всё таки обязательны, то 16к кубитов квантовый комп появится
> намного позже чем на 500-600 кубит, который и сможет ломать элиптику с 256 битами.

Рост технологий бывает экспоненциальный, я бы на это сильно уповать не стал.

> Мне такое ни в SSH ни в TLS не требуется.

Это удобно в VPN типа вайргада, штуках типа Tox и проч. Изначальная идея крипто - в том чтобы заменить большой секрет маленьким. Очевидно 256 ближе к этому чем 16К. Поэтому сильно лучше если удастся отделаться ими.

Ну и используя вон ту парочку за безопасность рассуждать прикольно. Простите, в ssh большую часть сессии реконструируют по таймингам и утечкам, пафос с 16К не поможет. А в TLS весь PKI один большой бэкдор. Как огромный ключ поможет от левого серта? Или вы запинили все ключи во всем софте и уверены что софт корректно проверяет это? Особенно с долбанутыми апи типа опенссл и кодом либы который криптодилетанты делают, ага. Да, атак на валидацию сертов и прочее тоже было более чем.

> На практике атакующий = брутфорс бот с какогонить сломаного роутера, который 16к
> хостовый ключ не может у себя обсчитать и отваливается по таймауту.

Новомодный log4j наверное не на роутерах крутился. А прийти может и эн ботов. Да, вы правильно поняли, я узнал об этом о....в от load average, не понравилось :)

> 1. Для защиты от такого уже давно придумали лимиты по подключениям.

Агаблин, если припирается распределенный ботнет, они либо бесполезны, либо защищают и от админа заодно. Сношаться с вайтлистами и прочим - ну нафиг, неудобно должно быть атакующим а не админу, иначе пойнт утерян.

> 2. Если вы считаете что ECDSA или 25519 ничего не стоит в
> вычислительном плане - вы глубоко заблуждаетесь.

Я неплохо в курсе вычислительной сложности 25519. По сравнению с RSA это мелкая, легкая и очень быстрая штука, разница на порядки. Именно поэтому с ним возятся.

> Если сейчас напихать туда инстриктов с AVX2, AVX512 может получится выжать дополнительно
> 5-15%, у меня то на чистом Си реализация, переносимая куда угодно.

А я затолкал DJBшный 25519 на скромный мк. Съело 1.5к рам, 3 кил кода, на десятке мгц scalarmul (им паблик из привата считается, и шаред секрет) пару секунд. Если юзать djb'шное апи то там есть оптимизация beforenm/afternm, если мсг более 1 то "dh" вообще 1 раз на всю толпу можно. А рса туда бы не впихнулся при всем желании. И я не настолько донкихот чтобы "вообще совсем свой" dh делать. Вот так залететь - легко! У DJB половина алгоримта - срубание тайминг атак. Без этого потом можно будет побитово ключи угадывать по разнице времянок. DJB в курсе и умеет это рубать. А обычные люди - не очень. Для этого надо очень круто знать и железо и крипто.

> Вывод не основанный ни на чём.

Я все же останусь при этом мнении. Особенно когда это для ssh и tls. Несбалансированая схема: жестко тормозит, но может пролететь десятком глупых способов и общий пойнт баланса мне не понятен. Можно я назову это бессмысленным и беспощадным?

> Я вот что то не видел тех кто поумнее ни разу, и то что вы описали оно тоже не
> сильно умно, я не отрицаю ценность shared key, но применимость этого крайне ограничена.

Идея в том что оно переживает фэйл 1 из 2 компонентов. И я это в нескольких крипто протоколах видел. Но для этого надо смотреть на что-то менее дурное чем ssh и tls.

> То что вы утверждаете что Шорр может "обвалить" сложность симметричной крипты говорит
> только о том, что вы в теме разбираетесь плохо.

Эти оценки выдавал кто-то из криптографов, как пессимистичный вариант развития событий относительно квантовых компьютеров, если там удастся применть сравнимые идеи. Я решил что на всякий случай буду на это ориентироваться. Благо симметричных 256-битных алгоритмов есть, они не особо тормозные, даже на мк нормально, с ключом 256 битов я могу жить, даже вбив с бумажки и проч если надо.

> В ассиметричной крипте стойкость держится на том, что некоторые математические опперации
> вроде как необратимы, и вот квантовые компы вроде как могут это решить.

Они не "необратимы" а "сложно обратимы", насколько я понимаю идею вещей типа RSA и DH. И держится на этом "сложно". Шорр пересматривает эти допущения, он изначально про разложение на множители, сильно эффективнее не-квантовых алгоритмов, "сложно" пролетает, RSA наступает крышка. А адаптации сравнимых идей вроде бы можно и для DH и EC сделать. Но да, вы правы, я не про в крипто. Прикладные применения крипто всего лишь мое небольшое хобби, на весьма базовом уровне. В современном мире быть совсем профаном в крипто - икается. А жулья и лапши много.

> В симметричной крипте такие математические операции вообще не используются либо не являются
> основополагающими.

Однозначно. Это была оценка чего-то типа наихучшего случая и явно не Шорр в оригинальном виде. Но там со временем много вариаций на тему появилось.

> А те кто реально поумнее, они не доверяют одному алгоритму и последовательно
> шифруют данные разными алгоритмами на разных ключах, и получают при этом
> офигенную взломостойкость на десятилетия даже для откровенно слабых алгоритмов.

1) Использование psk в паре с паблик примерно такие цели и преследует, только еще PFS в лучшем случае будет. Это вроде бы не получится только симметричными одними. Что-то типа three pass реально сделать внушающими доверие симметричными алго? Или так не катит?

2) Для откровенно слабых алгоритмов - ну, э, по идее сложность увеличивается линейно, если они слабые. Так что всерьез надеяться на это я бы не стал.

3) Есть отличный от ноля шанс нарваться на непредвиденные взаимодействия и зависимости, так что эффективная сложность может оказаться иной чем ожидалось, не в лучшую сторону. Криптографы на это любят пример RC4(RC4) приводить, он сам себя с одинаковым ключом аннулирует полностью. Это утрирование, но идею показывает.

> Именно так было сделано шифрование в DVB: два алгоритма: блочный + потоковый,
> оба хреновенькие, но ломать их и щас проблематично, а их уже
> поменяли на AES или ещё меняют.

В случае DVB все что их интересует это чтобы стоимость вскрытия превышала профит от этого. Не больно какое огромное требование, поэтому за образец стойкости я бы это брать не стал, не это у них design goal. А жирный поток делает таких склонным к компромиссам. И если разговор идет про 16К вы целились явно выше этого компромисса. Или делали неизвестно что и зачем.

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Ivan_83 (ok), 31-Дек-21, 08:31 
> Оно есть несколько дольше эллиптики, и не более того.

1993 RSA стал стандартом, в 1998 ECDSA только первые публикации, хоть как то использоватся в реальном софте он начал лет через 10-15.


> DJB в отличие от - не может спустить "стандарты" на бошку. И поэтому сделать что-то мутное ему проблематичнее, приходится обосновывать почему он думает что этот дизайн - заслуживает внимания.

Вера в непогрешимость пресвятого DJB и алгоритмов его, как она есть.
Вы видимо никогда не видели как человек в теме несёт откровенную чушь а человек не в теме всему верит. А если чушь не очень откровенная то легко одурачиваются и те кто в теме не сильно глубоко.


> Это удобно в VPN типа вайргада, штуках типа Tox и проч. Изначальная идея крипто - в том чтобы заменить большой секрет маленьким. Очевидно 256 ближе к этому чем 16К.

Чиво!?
Удачи вам с ваергардом, когда через 50 лет узнаете что он был изначально дырявый.
Нету у крипты никаких идей по замене длинных ключей на короткие, это ваши фантазии.


> ssh большую часть сессии реконструируют по таймингам и утечкам, пафос с 16К не поможет. А в TLS весь PKI один большой бэкдор. Как огромный ключ поможет от левого серта?

Вы всегда натягиваете свои узкие юзкейсы на других.
Так вот, SSH сессия это не только тупинг в терминале, это ещё и туннелирование соединений и гоняние файлов, и даже проброс иксов.

В TLS лично у меня используется самоподписной сертификат и он банально пиннится в приложениях.


> Новомодный log4j наверное не на роутерах крутился. А прийти может и эн ботов. Да, вы правильно поняли, я узнал об этом о....в от load average, не понравилось :)

Лучше бы man sshd_config почитали, от начала и до конца, там есть волшебные строчки лимитирующие количество неавторизованных соединений, как раз чтобы ничего не выжирало, подозреваю опцию добавили ещё в лохматые годы когда это на 486 работало у многих.


> Агаблин, если припирается распределенный ботнет, они либо бесполезны, либо защищают и от админа заодно. Сношаться с вайтлистами и прочим - ну нафиг, неудобно должно быть атакующим а не админу, иначе пойнт утерян.

У людей которым нужен доступ Control Plane не выставляют в агрессивную среду, в остальных случаях просто нанимаются отдельные люди чтобы именно всякой фигнёй заниматся: спам фильтровать или вот такие типа атаки, это когда сервис нужно оказывать.


> У DJB половина алгоримта - срубание тайминг атак. Без этого потом можно будет побитово ключи угадывать по разнице времянок. DJB в курсе и умеет это рубать. А обычные люди - не очень. Для этого надо очень круто знать и железо и крипто.

Всем фонатам ДЖБ я говорю одно и тоже: тайминг атаки на сетевой сервис крайне легко митигируются: просто ставьте таймер на посылку ответа, хоть с постоянной задержкой (от момента получения запросы) хоть с рандомной (можно даже перед посылкой ответа втыкать).
Для этого надо уметь читать справку по API системы чтобы суметь завести таймер :)

> если разговор идет про 16К вы целились явно выше этого компромисса. Или делали неизвестно что и зачем.

Разумеется я сделал это потому что могу.
Меня не напрягает что и я буду на 1-2 секунды дольше подключатся, и я не вижу минусов для своих применений, только плюсы в виде отвала ботов на слабом железе и потенциально большей защищённости.

У меня точно так же возникает недоумение зачем что то ценное хранить/передавать на всякие мелкие МК, зачем там тратить время на крипту вместо того чтобы помещать их в изолированные сегменты.

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (-), 31-Дек-21, 18:12 
> 1993 RSA стал стандартом, в 1998 ECDSA только первые публикации, хоть как
> то использоватся в реальном софте он начал лет через 10-15.

Есть хорошие истории и есть плохие.
ECDSA: хзкто сделал хзчто, вдавив массой "стандарт".
25519: группа криптографов, известная в среде нашла интересный вариант. Несколько лет он интересовал только криптографов. А популярность пришла когда мутные стандарты и тормоз рса достали много кого.

В (tweet)nacl/libsodium еще апи нормальное. А openssl пример как крипто делать нельзя.

> Вера в непогрешимость пресвятого DJB и алгоритмов его, как она есть.

Есть причины. Я смотрел код и алго. Сравнивал. Имхо djb понимает что делает. Мало кто столь же внимателен к мелочам. В крипто нет мелочей! DJB как и любой нормальный криптограф это понимает.

> одурачиваются и те кто в теме не сильно глубоко.

Есть много мелких вторичных индикаторов. DJB и его фрики не похожи на то. Когда алго и почему оно такое описано а код компактный и прозрачный... сложно что-то спрятать. Дизайн оптимизирован на аудит. Это видно. Про TLS и его либы можно сказать обратное. Даже мелкий сабж сильно сложнее tweetnacl - удачи в аудите.

Явное фуфло чревато жесткой реакцией криптографов. NSIT прилетело же. Это при том что за ними госы сша. Dual EC drbg не хотите? Типа стандарт...

> Удачи вам с ваергардом, когда через 50 лет узнаете что он был изначально дырявый.

Удачи с ipsec, tls и прочим "designed by committee". Я видел автора вайргада "in the wild", он неплохо понимает что делает и может обосновать. Криптосхемы придумал не он, но он понимает что делает, хорошо подкован в крипто, и опять же стремится делать не жирный и не объемистый код, годный для аудита. Так что я доверю тушку ему, а не мутным типам с стремными жирнолибами где CVE раз в месяц. Как 16К ключ поможет от heartbleed? Почти как бэкдор: надуманая фича, сразу с багом.

> Нету у крипты никаких идей по замене длинных ключей на короткие, это ваши фантазии.

Это вольное определение того чем крипто занимается, данное кем-то из криптографов. Мне оно нравится. Иначе я бы пользовался одноразовым блокнотом, там ломать нечего, но...

> Вы всегда натягиваете свои узкие юзкейсы на других.

Ничего себе узкие. Полпанеты ssh юзает, 99% юзает tls для веба.

> Так вот, SSH сессия это не только тупинг в терминале, это ещё
> и туннелирование соединений и гоняние файлов, и даже проброс иксов.

Так себе радость. По большому числу причин.

> В TLS лично у меня используется самоподписной сертификат и он банально пиннится в приложениях.

И эти люди - про узкие кейсы? Есть уверенность что огромные либы не облажаются? Прецеденты были. В том числе и с проверкой сертов. С nacl так захочешь не обделаешься :)

> ничего не выжирало, подозреваю опцию добавили ещё в лохматые годы когда
> это на 486 работало у многих.

И тогда я имхо отвалюсь по таймауту пока он там ботов обсчитывает. Мде.

> заниматся: спам фильтровать или вот такие типа атаки, это когда сервис нужно оказывать.

Как-то дорого и канительно у вас все. ИМХО можно и лучше.

> Всем фонатам ДЖБ я говорю одно и тоже: тайминг атаки на сетевой
> сервис крайне легко митигируются: просто ставьте таймер на посылку ответа,

1) Сколько программ это реально делает?
2) Вы только своими программами пользуетесь?
3) Есть более локальные атаки, например, на виртуалках с хостом с эн кастомеров.
4) Это убивает перфоманс и создает оверхед.

Крипто срабатывающее за фиксированное время решает сразу несколько проблем. Это и довольно быстро, но не быстрее чем безопасно, и меньше кодинга мне, и не подставляет кодеров.

> хоть с постоянной задержкой (от момента получения запросы) хоть с рандомной (можно
> даже перед посылкой ответа втыкать).

К сожалению это не халявно по ресурсам и перфомансу. У вас какой-то рецепт как все сделать дорого, долго, плохо и тормозно.

Если не создавать почву для проблем, не придется с ними бороться, но вы не в курсе этой простой и очень эффективной парадигмы.

> Для этого надо уметь читать справку по API системы чтобы суметь завести таймер :)

И серваков докупить? Помощнее, подороже? Половина забьет и будет без крипто совсем.

> Разумеется я сделал это потому что могу.

Сделать можно много чего. Далеко не все из этого будет осмысленным. Я предпочитаю более разумный подход к крипто. Понимание модели угроз, возможные проблемы, сбалансированный ответ. А просто 16К с лопаты - какие проблемы решает?

> виде отвала ботов на слабом железе и потенциально большей защищённости.

Каждому свое...

> того чтобы помещать их в изолированные сегменты.

Как выглядит "изоляция сегмента" ворот открываемых с радиобрелка?

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Ivan_83 (ok), 01-Янв-22, 01:57 
> Я смотрел код и алго. Сравнивал. Имхо djb понимает что делает.

И что с того!?
Как будто реализации 3des, RC4, MD5 плохие.
А математику там в основах вы врядли понимаете (я точно нет), без этого решение задачи нахождения приватного ключа из публичного вдруг может оказатся крайне тривиальной.


> Dual EC drbg не хотите?

А какие ваши доказательства что DJB не делает такой же фигни?
Код то вы прочитали, а понимание как оно работает нет.


> В (tweet)nacl/libsodium еще апи нормальное. А openssl пример как крипто делать нельзя.

Мне без разницы какое где АПИ, я редко криптой пользуюсь, а когда пользуюсь то часто это мои имплементации.


> Удачи с ipsec, tls и прочим "designed by committee". Я видел автора вайргада "in the wild", он неплохо понимает что делает и может обосновать. Криптосхемы придумал не он, но он понимает что делает, хорошо подкован в крипто, и опять же стремится делать не жирный и не объемистый код, годный для аудита.

Я не пользуюсь ипсеком, это какой то фуфел оверинженерный.
ТЛС у меня лично защищает коммуникации между жабер сервером и клиентами.
Файлы ходят по ссш.

А ваергард - фуфло, у которого на гвозди прибито 2-3 криптоалгоритма с сомнительной на мой взгляд стойкостью.
И лично меня поражает с какой скоростью его везде протащили, в то время как многие простые патчи висят годами без одобрения.


> И эти люди - про узкие кейсы? Есть уверенность что огромные либы не облажаются?

Внутрисемейный джаббер у нас под ТЛС с самоподписными сертами.
Ценность содержимого там около нулевая.


> 1) Сколько программ это реально делает?

Без понятия.

> 2) Вы только своими программами пользуетесь?

К сожалению нет.

> 3) Есть более локальные атаки, например, на виртуалках с хостом с эн кастомеров.

Это другая область, там можно унести крипту в TPM или просто предупреждать о рисках заранее: хочешь избежать рисков - покупай полноценный хостенг.

> 4) Это убивает перфоманс и создает оверхед.
> К сожалению это не халявно по ресурсам и перфомансу.

Чиво!?
Завести таймер, обсчитать элиптику, потом на срабатывании таймера отправить ответ.
Это 2 сискола на линухе, на фре может быть меньше одного если по полной заюзать kqueue().


> Я предпочитаю более разумный подход к крипто. Понимание модели угроз, возможные проблемы, сбалансированный ответ.

Больше похоже на завышенное самомнение чем на слова подкреплённые чем либо :)
Всё что вы описываете сводится к евангелизму крипты от DJB и попыток решения с её помощью всех проблем мира.


> 16К с лопаты - какие проблемы решает?

Мы это уже обсудили, не понимаю почему у вас бомбит до сих пор.
Но чтобы поддержать накал, напомню, что я отключил всё кроме RSA :)


> Как выглядит "изоляция сегмента" ворот открываемых с радиобрелка?

Ээээ...
Вы там писали про модели угроз: а зачем защищать ворота когда там вокруг "дыр" полно?

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (-), 01-Янв-22, 04:30 
> Как будто реализации 3des,

Он просто унылый: тормоз и уязвим к тайминг атакам. На этом фоне salsa/chacha дикий апгрейд. И судя по всему удачный. На, если не ошибаюсь, чачу, вроде кто-то смог математический пруф почтенной стойкости к дифф криптоанализу подогнать. Могу с salsa путать. Не уверен что для кого-то еще такое вообще смогли.

> RC4, MD5 плохие.

Мир будет лучше если про них все просто забудут. Один ключи течет и state уязвим к таймингам, второй коллайдится играючи. Утечку ключей можно заткнуть, но такой ценой что смысл...

> А математику там в основах вы врядли понимаете (я точно нет),

Я разве что на базовом уровне идей. Математика очень крутая, специфичная, в паре с matching этого с защитой от таймингов серьезно превышает мой уровень. Именно поэтому я предпочитаю делегировать это тем кого считаю компетентным в вопросе. Это не мешает оценивать их деятельность по косвенным индикаторам и мнению других экспертов.

Пример: для RC4 криптографы очень давно заметили что набрав примерно 16 мб шифрованых данных можно заметить bias относительно истинного рандома. Это плохой признак для крипто, поэтому некоторые подозревали RC4 сильно до того как формально анонсировали утечку данных ключа в первых 1024 байтах выхлопа.

> без этого решение задачи нахождения приватного ключа из публичного вдруг может оказатся
> крайне тривиальной.

КМК некий уровень подобного риска присущ большинству публичного крипто, особенно если квантовые компьютеры учитывать. Один из аргументов за двойные схемы с psk для симметричного крипто.

> А какие ваши доказательства что DJB не делает такой же фигни?

Ну, например, dual EC всплыл а на DJB ничего не накопали. Хотя смотрели. Он же это криптограферской тусовке сперва вывалил, как раз для этого. А dual EC вывалили с лопаты, как стандарт. Не помню чтобы его до этого публично анализировали все желающи. Но разумеется ненулевой риск факапов есть всегда, много где. Иногда в самых неожиданных местах. Кто 10 лет назад думал про spectre или rowhammer?

> Код то вы прочитали, а понимание как оно работает нет.

Я соглашусь что операции над кривыми довольно специфичная штука. Тем не менее, на планете есть и люди поумнее меня. Dual EC они спалили. А тут - ну, ок, где хоть сколь-нибудь правдоподобные претензии для алго вылупившегося не вчера?

> Мне без разницы какое где АПИ, я редко криптой пользуюсь,

Хорошее апи спасает от глупого прострела пяток на ровном месте, обеспечивая желаемые свойства без внимания от того кто рискует это прошляпить.

> а когда пользуюсь то часто это мои имплементации.

Еще одна не самая удачная идея на свете. Профи уровня DJB зарулит тайминг атаки и проч и спасет окорока остальных от хреновой кучи дурного булшита, который даже просто предвидеть довольно трудно. Таймеры - оно как бы да. Но кроме этого есть другие процессы, а всякие спектры и мельдонии это только усугубляют. И если не повезет - при удачном положении звезд вон тот жыэс нагло сопрет ключ из чужого процесса. Если я не полный баклан, штуки типа ARX как в salsa/chacha должны быть устойчивее к этому вроде. Сколько ни мерь фиксированые тайминги линейного reg-only кода, какую новую инфу замер даст?

> Я не пользуюсь ипсеком, это какой то фуфел оверинженерный.

Ну да. TLS так то не сильно лучше.

> ТЛС у меня лично защищает коммуникации между жабер сервером и клиентами.

Там все тоже довольно компромиссно.

> Файлы ходят по ссш.

Ну как бы работать будет, но ssh не предел мечтаний.

> А ваергард - фуфло, у которого на гвозди прибито 2-3 криптоалгоритма с
> сомнительной на мой взгляд стойкостью.

Автор этого неплох в крипто. Он забавный тип, как я понял у него хороший бэкграунд в крипто, или типа того, но при этом он имплементер. Это редкое сочетание. Большинство других вещей, типа опенссл, писано куда менее компетентными людьми. Там и огребают по вулну в месяц. Вайргад будет сильно лучше в этом аспекте имхо. Ну и понятного мне обоснования этих сомнений я так и не увидел.

> И лично меня поражает с какой скоростью его везде протащили, в то
> время как многие простые патчи висят годами без одобрения.

Когда Торвальдс называет что-то "work of art" это что-то значит. Да, кроме всего прочего код вокруг крипто должен быть простым и подлежащим аудиту. Это кроме всего прочего означает что универсальные швейцарские ножи с 150 лезвиями должны умереть. Из-за размера. А куча алгоритмов приводит к выбору явно провальных комбо или слабоизученным взамодействиям.

> Внутрисемейный джаббер у нас под ТЛС с самоподписными сертами.
> Ценность содержимого там около нулевая.

В подобных качествах токс, пожалуй, прагматичнее :P. Он самозапустится, сервер содержать не надо, а бота на сишечке с ништяками (например, показаниями датчика температуры за бортом) я ему сильно быстрее сделаю чем вы это жабиру на чем вам угодно.

> Без понятия.

В этом и проблема. Почти все программы которые я видел работали с TLS криво.

> К сожалению нет.

Ну вот я о чем. Надеюсь это объясняет мою любовь к openssl'ному апи. Если я видел эн программ с тупой лажей примерно одного свойства - упс, паршивое апи.

> Это другая область,

Даже JS в браузере может попытаться что-то такое извлечь. Особенно с спектрами и мельдониями. Это повод его зарубить но это не всегда возможно.

> там можно унести крипту в TPM

Поверим проприетарному мутноблобу в его фирмваре что он белый и пушистый?

> или просто предупреждать о рисках заранее: хочешь избежать рисков
> - покупай полноценный хостенг.

Отлично, а спонсор банкета кто? :)

> Завести таймер, обсчитать элиптику, потом на срабатывании таймера отправить ответ.

При этом
1) Есть сетап таймера и обработка срабатывания. Это некий код и время его выполнения.
2) Это кодинг данного барахла на ровном месте.
3) Это придется брать с запасом относительно worst case. За что заплатим потерей PPS. Для тормозного алго вдвойне весело.

> Это 2 сискола на линухе, на фре может быть меньше одного если по полной заюзать kqueue().

См. выше.

> Больше похоже на завышенное самомнение чем на слова подкреплённые чем либо :)

Мм... ну я это попытался хоть немного. Если не получилось, ну чтож. А, и еще, openssh с неких пор по дефолту DJBшные алго использует. Они там как, тоже все болваны получаются?

> Всё что вы описываете сводится к евангелизму крипты от DJB

Дань уважения хорошей работе теперь вот так называется? Ну наверное можно и так назвать.

> и попыток решения с её помощью всех проблем мира.

Всех? Что вы. Например я не буду настаивать что 25519 точно переживет квантовые компьютеры. Вот это вообще не факт.

> Мы это уже обсудили, не понимаю почему у вас бомбит до сих пор.

Потому что я не понимаю пойнт такого tradeoff? Ну, если вас устроит "бессмысленно и беспощадно", тогда понимаю, хоть оно и странно :)

> Но чтобы поддержать накал, напомню, что я отключил всё кроме RSA :)

Вы в вашем праве наслаждаться счетом 16К RSA во имя луны. Мой пойнт лишь в том что я сомневаюсь что это ощутимо улучшает что-то.

> Вы там писали про модели угроз: а зачем защищать ворота когда там вокруг "дыр" полно?

Допустим что забор нормальный, ворота содержатся хорошо, может быть и гараж вообще. Да и пойнт чаще ограничение авто а не двуногих. Грите, изоляция сегмента? :)

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Ivan_83 (ok), 01-Янв-22, 08:21 
Я привёл эти алгоритмы вам в пример, для того чтобы показать что с кодом там проблем не было и нет, при этом долгое время они считались надёжными.
Это к тому, что вы восхищатесь кодом 25519, но суть математики не понимаете, потому не исключено есть нюансы знание которых умножает на ноль всю красоту кода и прочее чем вы там восхищаетесь.


> Ну, например, dual EC всплыл а на DJB ничего не накопали. Хотя смотрели. Он же это криптограферской тусовке сперва вывалил, как раз для этого.

Ваша проблема в том, что вы мыслите авторитетами, трендами и слишком короткими сроками.
Например, Crypto AG делала свои шифраторы 50+ лет, а потом оказалось что там бэкдоры.
Сколько там лет Бернштейновским поделкам? Хотя бы 10 будет?


> Dual EC они спалили. А тут - ну, ок, где хоть сколь-нибудь правдоподобные претензии для алго вылупившегося не вчера?

Там была константа взявшаяся из ниоткуда, любому кто хоть немного разбирался в вопросе это показалось бы "интересным".
По этой же причине залажали кузнечика и магму и катят бочку на кривые от NIST в пользу браинпула хотя бы.
В ECDSA всё веселее, SEC 1 Ver. 2.0 и X9.62-1998 - мне не все проверки для параметров кривых удалось реализовать, а те что удалось - не все кривые от NIST проходят :)
Отдельная группа кривых где A = -3, тоже несколько сомнительное удоволствие.


> Профи уровня DJB зарулит тайминг атаки и проч и спасет окорока остальных от хреновой кучи дурного булшита, который даже просто предвидеть довольно трудно. Таймеры - оно как бы да. Но кроме этого есть другие процессы, а всякие спектры и мельдонии это только усугубляют. И если не повезет - при удачном положении звезд вон тот жыэс нагло сопрет ключ из чужого процесса.

Вы добиваетесь чтобы меня тошнило такими частыми упоминаниями тайминг атак и DJB?
Я у себя в коде пока не делал задержек, потому что мне не нужно было.
Если вам нужно делать секурные вычисления наверняка не нужно ипать мозги себе и другим, берите и делайте такие вычисления на выделенном железе, будь то отдельный сервер или tpm модуль или смарт карта.


> В подобных качествах токс, пожалуй, прагматичнее :P.

Мы пользовались.
Меня заплевали домашние:
- фоточки/видео/голос не встраиваются в сообщения
- ЖРЁТ батарею
- нет оффлайн сообщений
- акк работает только на одном девайсе
А тогда ещё и клиенты глючные были.
Бриар заметно лучше клиент, но недостатки те же самые.
Conversations с даже работающими звонками позволил наконец то снять вообще все возражения домашних и даже избавится от скайпа для звонков видео/голосом.


> Поверим проприетарному мутноблобу в его фирмваре что он белый и пушистый?

Если вы думаете что браузер у вас украдёт ключ из памяти, логично спрятать его там куда браузер не пролезет.
TPM модуль вы и свой можете сделать, это просто пример того что есть отдельные девайсы для такого.


> Отлично, а спонсор банкета кто? :)

Если у вас нет денег на защиту секретов то наверное и секреты ваши не очень ценны.
Либо вы можете и дальше оплачивать их защиту своим временем, проводя ритуалы изгнания тайминг атак.


> 3) Это придется брать с запасом относительно worst case. За что заплатим потерей PPS. Для тормозного алго вдвойне весело.

В случае когда таймер с рандомной задержкой взводится после рассчёта для отправки ответа ничего брать дополнительно не надо.
И "кодинг" в этом случае очень простой.
PPS это пакеты в секунду, и тут вообще не применимо, если конечно ваш чудо серверер не занимается только подписыванием или проверками подписи каждого пакета.
Для установления соединения типа ТЛС дополнительная задержка от 5 до 100мс ничего особо не изменит.


> Дань уважения хорошей работе теперь вот так называется? Ну наверное можно и так назвать.

Я тоже когда узнал о ECDSA и начал имплементировать или сразу после имплементации, носился с этим и везде пытался перейти на неё.
Тогда ни путти ни почти ничего из вендовых клиентов, кроме терратерм не умели ECDSA.
Это прошло. )


> Допустим что забор нормальный, ворота содержатся хорошо, может быть и гараж вообще. Да и пойнт чаще ограничение авто а не двуногих.

Ни один автодятел (ну ладно, их штук 10 на всю планету может наберётся) не станет ипать мозги чтобы заехать в какие то закрытые ворота настолько чтобы хотя бы просто банальный открытый сигнал на 433 повторить.
В случае когда это ворота в дом, там опять же как правило проще физически что то другое взломать.

Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (-), 01-Янв-22, 13:24 
> Я привёл эти алгоритмы вам в пример, для того чтобы показать что
> с кодом там проблем не было и нет,

Bias в распределении RC4 был известен мне со времен чуть не BBS. Задолго до того как очередной комитет придурков подмахнул WEP/TKIP в угоду чипмейкерам. Ряд криптографов еще тогда считало что это фи. Я был в курсе этого мнения. Не могу пожаловаться что меня не предупредили. Лишний пример почему криптограф без паранои не криптограф.

А то что там используется массив - даже такой дилетант как я безошибочно классифицирует как "timing unsafe", можно поспорить на тему смотрят-видят. На момент дизайна RC4 над этим еще никто не задумывался, но сейчас я анализирую любой код вокруг крипто в этом контексте. State of art такой. Если код его не проходит, это либо легаси, либо дилетанты, "should not be used".

MD5 - им не интересовался настолько чтобы думать о имплементации, не знаю что о нем думали криптографы.

> при этом долгое время они считались надёжными.

Ах да, MDx/RCx - творения господ из RSA. Многие оказались ненадежными. По поводу чего такая безоговорочная уверенность в непогрешимости этих криптографов (RSA) вызывает такой же скепсис как у вас DJB.

Но в отличие от вас я могу предъявить господам их поломаные алгоритмы в солидном количестве :P

> понимаете, потому не исключено есть нюансы знание которых умножает на ноль
> всю красоту кода и прочее чем вы там восхищаетесь.

Это в принципе про все крипто можно сказать. Такие риски есть. И тут схемы с разнородными алгоритмами (типа симметричный psk в паре с pub key exchange) получают некий пойнт, чисто вероятностно. Шанс что оба сильно разных сразу взломают сильно ниже.

Я даже в чем-то соглашусь насчет времени изобретения, это некий бонус. Но, имхо, симметричное крипто внушает больше доверия, класс проблем у них поприятнее. Но я не знаю как PFS одним симметричными делать, а без него не так интересно.

> Ваша проблема в том, что вы мыслите авторитетами,

Авторитет в крипто зарабатываются делами. Я нахожу это разумным.

> трендами

Тренды в крипто появляются когда криптографы находят более удачное решение или получают некие новые данные, вскрывают новый класс проблем, который раньше не заметили, etc. Они обычно не хайпуют просто так, жизнь научила. Крипто не прощает некомпетентности и оптимизма.

> и слишком короткими сроками.

В длинных сроках в крипто слишком много undefined. И если вы об этом - ок, ок, и как вы учли Шор vs RSA тогда? :P

> Например, Crypto AG делала свои шифраторы 50+ лет, а потом оказалось что там бэкдоры.

Как минимум последних лет 30+ криптографы зудят что крипто без сорца вообще внимания не заслуживает. Если кто решил игнорить это предупреждение, кто ему доктор? Туда же идут ваши TPM, покуда его не реализует опенсорсное фирмваре которое можно ВЕРИФИЦИРОВАТЬ.

> Сколько там лет Бернштейновским поделкам? Хотя бы 10 будет?

"In 2005, Curve25519 was first released by Daniel J. Bernstein.[5]" (c) wiki. А унутрях тусовочек оно и подольше летало. Не такой уж и brand new.

Алсо 50 лет назад мир был другим. Теории вокруг крипто были другими. Из было сильно меньше. Подходы к конструированию алго были иными. И проч.

> Там была константа взявшаяся из ниоткуда, любому кто хоть немного разбирался в
> вопросе это показалось бы "интересным".

Эту идею можно расширить. Захотев обоснование дизайна алгоритма и понимание по каким поводам он надизайнен вот так, а не иначе. Когда кто-то вытряхивает некий дизайн с аргументом "потому что гладиолус" и "стандарт, ниипет" - это плохая история. А когда пишет публикации описывающие дизайн и пойнт, чтобы это проверили те кто в теме - так мне сильно больше нравится. Особенно если это задолго до активного продвижения. Кто в 2005 знал про 25519 вообще, лол.

> По этой же причине залажали кузнечика и магму и катят бочку на
> кривые от NIST в пользу браинпула хотя бы.

Так правильно катят. Сейчас как-то стало прилично обосновывать с какого хрена дизайн вот такой, а не просто выгружать с лопаты хзчто и почему. DJB это более-менее умеет, у него публикаций о его алгоритмах есть.

> не все проверки для параметров кривых удалось реализовать, а те что
> удалось - не все кривые от NIST проходят :)
> Отдельная группа кривых где A = -3, тоже несколько сомнительное удоволствие.

DJBшное творчество мне интересно тем что с одной стороны никто не накопал ничего ужасного вроде. С другой, дизайн фиксирован: переменных кроме ключей нет, это делает криптоанализ куда более эффективным. А бонусом проблематично прострелить пятку своей глупостью. То-есть, я не кручу параметры дизайна и использую то что подвергалось хоть какому-то криптоанализу, имея хоть какое-то понимание.

Можно я выдвину "теорию"? ИМХО, нефиксированные параметры которые можно крутить как миниимум саботируют эффективный криптоанализ и размазывают усилия по значительно большей площади. И это ни в раз не фича. А открытая дверь в "hazardous area - trained service personnel only, так что удачной прожарки, абизяны". Я достаточно сообразителен чтобы не хотеть крутить кастомные параметры крипто без понимания импакта, что очень сложно достичь.

> Вы добиваетесь чтобы меня тошнило такими частыми упоминаниями тайминг атак и DJB?

Я не намерен игнорировать современный state of art незвивисимо от того кого и насколько тошнит. А крипто так то бывает назойливым и занудным, паранойя их профессиональное заболевание. У меня есть некоторые задатки. Да и вы в принципе с недоверием DJB получаете некий пойнт. Но есть контрпойнт. Существует технология FUD и я в курсе. Как знать, не оно ли это? Именно поэтому важны данные за пределами слухов и домыслов. Иначе как это можно отличить от атак типа FUD на удачное алго, например? А что, протолкать неудачное алго человеческими манипулятивными методами - довольно эффективная атака на крипто. Как видите, я свои взгляды как минимум пытаюсь обосновать. Стараясь оперировать чем-то более материальным чем слухи в чистом виде. Это чтобы FUD случайно не раздать и проч.

> не нужно было.

А как определяется нужность?

> Если вам нужно делать секурные вычисления наверняка не нужно ипать мозги себе
> и другим, берите и делайте такие вычисления на выделенном железе, будь
> то отдельный сервер или tpm модуль или смарт карта.

Спасибо, я видел что из этого получается, когда фффраную проприетарь ломают деццкими методами из букваря чипмейкеров нахальные студни, эти удилы часто уповают на то что проприетарность их поганого кода дает им карт-бланш и никто не заметит гамнецо :). Дада, хреновой куче смарткарт досталось. И мутной блоботе TMPа я доверять не собираюсь. А тупо потому что не верифицируемое. Декларировать на бумаге и в буклетах можно любой булшит, бумага все стерпит. Хвилипс вон на кривой козе в мифаре рекламил "секурное 48 бит крипто". Смарткарта, между прочим.

> Мы пользовались.

А, даже вот так.

> Меня заплевали домашние:
> - фоточки/видео/голос не встраиваются в сообщения

Ну это на вкус и цвет. Я вообще у себя аудио выпилил. Текстом, все текстом. Для ультра-экстренного "non maskable interrupt" можно телефоном, специально неудобно и дорого чтобы только экстренные случаи и только так. Я не хочу быть марионеткой дергаемой кнопочками с посекундной точностью.

> - ЖРЁТ батарею

В TCP mode вроде не особо.

> - нет оффлайн сообщений

Но клиенты это буферизуют.

> - акк работает только на одном девайсе
> А тогда ещё и клиенты глючные были.

Оно такие малость продвинутое и с своими причудами, для децентрализованности. Мне это импонирует.

> Бриар заметно лучше клиент, но недостатки те же самые.

Какая-то мобайл фест хня, я таким в принципе пользоваться не буду. Для меня важен нормальный эксперинс на моем линуксном десктопе.

> Conversations с даже работающими звонками позволил наконец то снять вообще все возражения
> домашних и даже избавится от скайпа для звонков видео/голосом.

В моем случае звонки и видео в мой адрес - no-go и все об этом с курсе :). И нет, по этому вопросу меня невозможно прожать. Дергание меня такими вещами слишком нагибает эффективность когда я програмлю или в каде рисую и я не могу себе это позволить, я так солью кучу проектов.

> Если вы думаете что браузер у вас украдёт ключ из памяти, логично
> спрятать его там куда браузер не пролезет.

Оно как бы да, однако кто его знает что мутноблоб сделает и насколько это хуже. Браузер и JS в нем под моим контролем, блобота в TPM совсем сама по себе.

> TPM модуль вы и свой можете сделать, это просто пример того что
> есть отдельные девайсы для такого.

Да. Но там довольно навороченый стандарт и не то чтобы сильно дружественный к этому.

> Если у вас нет денег на защиту секретов то наверное и секреты
> ваши не очень ценны.

Вот это достаточно спорный тезис. Я не заметил особой корреляции между объемом вбуханого и результатом. Можно просадить море денег и выкусить, типичная энтерпрайзная история. Комодохакер трахнувший неведому железку за много денег у дигинотара как бы намекает.

> Либо вы можете и дальше оплачивать их защиту своим временем, проводя ритуалы
> изгнания тайминг атак.

Эти ритуалы обычно имеют конкретный пойнт и эффект, понятный мне. Ах да, я предпочитаю понимать с чем борюсь и почему так. А не просто накидывать золото лопатой хз куда и почему полагая что это меня волшебным образом спасет. Деньги и усилия имеет смысл тратить если это дает конкретный эффект понятный мне, и только так, имхо.

> В случае когда таймер с рандомной задержкой взводится после рассчёта для отправки
> ответа ничего брать дополнительно не надо.

Рандомная задержка снизит PPS ничуть не хуже любой другой. И еще надежный рандом это отдельный неприятный топик в крипто, а ненадежный может и подставить пожалуй.

> И "кодинг" в этом случае очень простой.

То что он проще просто вызова алго с фиксироваными таймингами и минимальной аккуратности в кодинге - ну, не факт.

> PPS это пакеты в секунду, и тут вообще не применимо, если конечно
> ваш чудо серверер не занимается только подписыванием или проверками подписи каждого
> пакета.

Наверное "handshakes per second" стоило сказать, чтобы было понятнее, хоть и нестандартный термин. И для допустим веба это не пустой звук.

> Для установления соединения типа ТЛС дополнительная задержка от 5 до 100мс ничего
> особо не изменит.

Случаи бывают разные. Как и применения крипто. Сработавшее за фиксированный интервал крипто, особенно симметричное, может оперировать другими порядками величин, даже на слабых штуках типа мк. Это просто наименее дурацкий способ получить это, имхо.

> имплементации, носился с этим и везде пытался перейти на неё.
> Тогда ни путти ни почти ничего из вендовых клиентов, кроме терратерм не умели ECDSA.

Вот именно ECDSA от NIST лично мне доверия никогда не внушал чтобы с ним носиться. Просто потому что когда нечто кто-то спускает как стандарт, "потому что гладиолус, мы так решили" это не выглядит заслуживающим доверия. DJB в моих глазах имеет фору: он так никогда не делал.

> Это прошло. )

А я увидел CryptoBox от DJB и понял как апи надо делать было, и кто в этом понимает. Это уже не пройдет, билет в одну сторону.

Это апи ими сделано для какой-то криптобенчмаркалки изначально. А, да, нормальные криптографы догадываются что тормозное как трактор крипто ведет к тому что им пользоваться не будут и пойнт не будет достигнут. Довльно забавно что DJB мыслит прагматичнее вас, будучи больше теоретиком, не предлагая "докупить сервер" а работая над улучшением крипто.

Собственно улучшение соотношения скорость-надежность это как раз и есть что-то типа их pareto frontier. Это не константа, постепенно некие соотношения улучшаются. А chacha вместо salsa появилась

> ворота настолько чтобы хотя бы просто банальный открытый сигнал на 433 повторить.

Мне тут попалось в тему такое https://github.com/r3df0xx/flipperzero-firmware/blob/custom_...

Если я не тупой, кроме всего прочего оно пытается что-то сделать даже с динамическими кодами. Я не эксперт в этих алгоритмах, но идея динамического кода без обратной связи не внушает мне особого доверия, на вид очередной случай когда у проприетарщиков было больше маркетинга чем криптографического обоснования стойкости схемы. Может я и не прав, но существование таких тулсов как-то уверенности не добавляет.

> В случае когда это ворота в дом, там опять же как правило
> проще физически что то другое взломать.

У разных людей разные методы. Гоп будет взламывать. Фрик подъедет и откроет, не вызывая лишних вопросов у мордоворотов. И мне что-то совсем не хочется чтобы вон те штуки на моих системах работали. Пусть 2-сторонний паблик крякают как по мне, если смогут :)

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Ivan_83 (ok), 01-Янв-22, 18:29 
> И мне что-то совсем не хочется чтобы вон те штуки на моих системах работали. Пусть 2-сторонний паблик крякают как по мне, если смогут :)

Чем вам HMAC не угодил?
Кладём закрытый ключ в брелок.
Брелок в первой посылке просит "открытся", ворота спрашивают "атынаш? Докажи!_рандом", клиент суёт рандом в HMAC вместе со своим ключём и шлёт результат, ворота делают тоже самое и сравнивают, при совпадении отворяются.
Можно юзать хоть MD5 или любой другой хэш.
Это использется в POP3 APOP авторизации.

Ответить | Правка | Наверх | Cообщить модератору

44. Скрыто модератором  +/
Сообщение от Аноним (-), 01-Янв-22, 19:12 
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

46. Скрыто модератором  +/
Сообщение от Аноним (-), 01-Янв-22, 19:49 
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

45. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (-), 01-Янв-22, 19:49 
> Чем вам HMAC не угодил?

Ворота были взяты как пример системы для которой "изоляция сегмента" - нечто странное. А не как пример желаемых коммуникационных паттернов.

Вон те уроды обходятся 1-сторонним обменом, если точно надо только это - оно так дешевле и проще, это и есть повод брать те стремные проприетарные динамические схемы с хзкакой надежностью всего этого.

Comm-wise меня интересуют более продвинутые паттерны и сценарии, симметричная природа криптобокса это сильно упрощает. И кода там чего доброго не больше md5 вашего, а гибкость совсем другая.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

10. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +1 +/
Сообщение от Аноним (10), 29-Дек-21, 23:14 
Посмотри доли гугла в каждом CA
Ничего личного, просто бизнес
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +6 +/
Сообщение от Аноним (-), 29-Дек-21, 16:35 
C, Assembly
Simple and Clean API
Hardware crypto support
Modular Design
цAssembly Optimizations
Post Quantum

Да. Так и нужно писать крипто. А то повсюду эти хипстеры с криптографией, политой питоном и го-лангом.

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (7), 29-Дек-21, 19:24 
> Post Quantum

Да ну

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (10), 29-Дек-21, 23:10 
Один раз не ...)
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (-), 29-Дек-21, 23:53 
>Один раз не ...)

Один раз не ... 2

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (-), 30-Дек-21, 08:10 
> Да ну

Ну как бы Шорр, да. Неплохо бы иметь планы на случай если это еще и работает. По крайней мере, никто не придумал почему бы это не работало.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

38. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Goooooooogleetc. (?), 31-Дек-21, 21:36 
> Ну как бы Шорр, да.

Это толком неизвестная экспериментальная личность, созданная нашим AI.

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (8), 29-Дек-21, 20:00 
BLAKE3 как не было так и нет
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +1 +/
Сообщение от Аноним (12), 29-Дек-21, 23:56 
Напиши.
Ах да, ты ж только ныть в коментах можешь...
Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (-), 30-Дек-21, 08:12 
> BLAKE3 как не было так и нет

А он нужен? Какая-то переусложненная фигня с невменяемой референсной реализацией. Те кто это кодил явно не ставили целью реюзабельность реализации и распостранение алго. Иначе они бы это по другому делали. Начиная с дизайна алго.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

19. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +1 +/
Сообщение от Иваня (?), 30-Дек-21, 08:51 
Посоветуйте хорошую книгу по криптографии пожалуйста🥺
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (20), 30-Дек-21, 10:42 
Зачем?
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Иваня (?), 30-Дек-21, 15:05 
> Зачем?

что за глупый вопрос чел...

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (20), 30-Дек-21, 15:33 
Ну а все таки, зачем?

Ну вот, допустим, прочитал ты

“Практическая криптография | Фергюсон Нильс, Шнейер Брюс. ISBN 978-5-8459-0733-2”

Дальше то что?

Свою Blake42 будешь пилить? Или IFS EIDSA 16777217? А с полями Галуа у тебя как, взаимопонимание есть?

Нет? Тогда зачем тебе это?

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (-), 30-Дек-21, 15:55 
> А с полями Галуа у тебя как, взаимопонимание есть?

Там весьма забавная математика, привычным к школьной арифметике мозг рвет в хлам.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Иваня (?), 30-Дек-21, 16:56 
Да просто хочу разобраться в криптографии! Я не хочу писать новые алгоритмы. 😡
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

28. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  –1 +/
Сообщение от Аноним (20), 30-Дек-21, 18:45 
Хорошо! Отлично!

...

Итак, допустим, ты разобрался. Осилил. Ты прочитал несколько 200-300 страничных томов. Не на русском, конечно. Без картинок, зато с изощренной математикой. Молодец!

Ты. Понял. Как. Оно. Работает.

...

Дальше то что?

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Иваня (?), 30-Дек-21, 18:49 
> Дальше то что?

Дальше эти знания мне пригодятся для проектирования сервисов.

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (-), 30-Дек-21, 17:04 
> Дальше то что?

тащмайор, не будем песадь свою криптографию, чесслово (будем)

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

32. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (-), 30-Дек-21, 23:06 
> тащмайор, не будем песадь свою криптографию, чесслово (будем)

Хочешь порадовать майора? :) Блин, врядли ты ее безопсно напишешь, не будучи матерым профи. Разве что одноразовый блокнот какой.

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (33), 31-Дек-21, 01:25 
а ты свято веришь что тащмайор будет нанимать специалистов именно под твою систему шифрования вместо простого нажатия на привычную кнопку для общепринятых алгоритмов ?
Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  +/
Сообщение от Аноним (-), 31-Дек-21, 18:47 
> а ты свято веришь что тащмайор будет нанимать специалистов именно под твою
> систему шифрования вместо простого нажатия на привычную кнопку для общепринятых алгоритмов ?

Большинство самопальных алго требует для аннулирования максимум первокура чуток подучившего матан. Сверх того... удается ой как немногим. Это тот случай когда не надо говорить "гоп" пока не перепрыгнешь. Может быть тебе это и удастся. Но вероятность этого - небольшая.

Для понимания - посмотри на TEA и деривативы например. Прикольные мелкие быстрые алго, полусамопальной природы. Вот так сразу факапов не было. Но более серьезный криптоанализ им таки навесил от души. Было несколько followup затыкающих это, но... в целом народ решил что лучше не связываться.

А так salsa/chacha: core издевательски простое. Криптоанализ особого криминала пока не нашел. И не тормозные. Это пример современных дизайнов и подходов. Из плюсов фиксированые тайминги даже на монстрах с кешами и предикторами бранчей, нормальная скорость, ну и вот никакого особого криминала за довольно много лет не нашли вроде. При наличии именно мощных атак серьезными исследователями, такой уровень внимания еще заслужить надо, 99% самопалов ими отсевается еще на подлете как явные фэйлы.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск криптографической библиотеки wolfSSL 5.1.0"  –1 +/
Сообщение от ryoken (ok), 30-Дек-21, 11:50 
>>криптоалгортимов, стойкий к подбору

"стойких", не..?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру