Re: вранье?

От Serguei E. Leontiev (2:5020/400) к Alexey Vissarionov

From: "Serguei E. Leontiev" <leo@sai.msu.ru>

Привет Алексей,

От 3 декабря 2014 г., 11:33:22 в fido7.ru.crypt ты писал:

 SL>>>> ИМХО, в этих сотнях миллионов строк исходного кода

 SL>>>> и/или гигбайтах бинарного кода содержится

 SL>>>> достаточное количество слабостей для всех

 SL>>>> заинтересованных сторон.

 AV>>> Очень спорно... Алгоритмы опубликованы, методы проверки

 AV>>> соответствия кода алгоритму известны, исходники

 AV>>> доступны - итого остается разве что некоторая

 AV>>> вероятность злого умысла разработчиков алгоритма, но на

 AV>>> этот случай есть криптоаналитики, которые спят и видят,

 AV>>> как бы обнаружить лажу в творении именитого

 AV>>> криптографа.

 SL>> Hа дворе 21-й век, ИМХО, на пару порядков проще

 SL>> монетизировать слабость или уязвимость,

 AV> До первого пострадавшего, который поднимет шум.

М-м, что б шум поднимать, это ж должен быть крутой пострадавший, который

круто попал, что б ещё он хотя бы расследовал и выяснил, посредством

какой конкретно слабости или уязвимости его того-с.

 SL>> нежели сначала уговорить производителей, что она

 SL>> существует, а потом ещё и проследить, что бы исправили её

 SL>> разумно, а не как попало.

 AV> Отправить им письмо с описанием, а ровно через месяц независимо

 AV> ни от чего опубликовать в нескольких общедоступных конференциях.

А толку то? ИМХО, если исправление нетривиально, то проблема обычно

игнорируется.

Я за этим особо не слежу, но можно и нервы сильно потрепать, так

помнится когда-то были такие судебная тяжба: Adobe и/или народ США

против Скляров из Элкомсофт. Оно очень кому надо?

 SL>> Чего далеко ходить, например, я вот свято уверен, что

 SL>> переход на TLS 1.2 с использованием

 SL>> TLS_RSA_WITH_AES_128_CBC_SHA256 и запрет

 SL>> TLS_RSA_WITH_RC4_128_SHA - это заговор мировой закулисы :)

 AV> Если на то пошло, следовало бы до сих пор использовать SSLv2,

 AV> добавив в него современные алгоритмы... А впрочем, RSA,

 AV> Blowfish и RIPEMD на тот момент уже существовали, что

 AV> (теоретически) позволяло еще тогда создать криптосредства,

 AV> которые сохранили бы актуальность и поныне.

RIPEMD - по-моему, для неё коллизии уже строили, лет так 10 назад, она

же ближе к MD5, чем к SHA-1 (чистоту "репутации" которой блюдёт АHБ,

теми или иными способами :) ). Хотя HMAC-RIPEMD это не особо затрагивает.

RSA-OAEP и RSA-PSS, да существовали, но народу это по сию пору не интересно.

 AV> Реализации - тут да... "гладко было на бумаге, а потом полезли

 AV> баги".

 SL>> всякие там соревнования, переполнения буферов

 AV> Погромистов, допускающих подобные ошибки, к реализации

 AV> криптоалгоритмов даже близко подпускать нельзя.

В 99% процентах реализаций прикладное ПО имеет доступ к ключам. А есть

же ещё целый пласт алгоритмов, протоколов и ПО связанных с получением

обновлений ОС и пакетов от производителей, их вообще мало кто исследует.

 SL>> и ошибки реализаций ДСЧ.

 AV> Здесь чуть сложнее... Мне, например, нравится реализация

 AV> /dev/random в Linux: информация от разных источников

 AV> подмешивается в пул энтропии с использованием хеш-функции (на

 AV> данный момент это SHA-256, но никто не мешает использовать и

 AV> любую другую).

Hравится и нравится, лучшее враг хорошего, хотя мне встречались статьи,

которые утверждали, что зловредный поставщик энтропии так и может

подмешать кое-что определённое.

 SL>> Hа втором месте слабости протоколов, они же все далеки от

 SL>> идеала, это ж ещё хуже, что X.509, что IPsec, что TLS,

 AV> Там изначально дурацкая иерархическая модель. В этом отношении

Я ж не про принципы, я ж про детали, например, такие как: "X.509

Certificates NUL Character Spoofing", навязывание IV, и т.д., которые не

исправляются многие и многие годы (проблемы в CBC были опубликованы аж в

2001-2004, прошло больше десятка лет и по сию пору они актуальны для

TLS, актуальны ли они ещё для SSH не скажу).

--

Успехов, Сергей Леонтьев. E-mail: lse@CryptoPro.ru

--- ifmail v.2.15dev5.4

 * Origin: ГАИШ МГУ (2:5020/400)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким