на главнуюВсе эхи RU.CRYPT
войти ?

Re: А что скажут знатоки о таком вот шифровании?

От Serguei E. Leontiev (2:5020/400) к Yuri Myakotin

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


From: "Serguei E. Leontiev" <leo@sai.msu.ru>

Привет Юрий,

От 24 марта 2015 г., 11:14:53 в fido7.ru.crypt ты писал:
YM>>> Вкратце - используется Threefish-1024 в комбинированном
YM>>> CBC+CTR (через SetTweak),
SL>> Подозреваю, "Tweak" придумывали для установки перед
SL>> шифрованием пакета, а не для установки на каждый блок.
YM> Как раз наоборот. Твик в Threefish используется как
YM> альтернатива/дополнение традиционным режимам типа CBC или CTR.

Такое использование где-то, кто-то обосновывал, есть ссылки? Или получим
совокупность недостатков, и CBC, и CTR?

YM> В отличие от изменения ключа, изменение твика - простая
YM> операция, замена 3 64бит переменных (первые два - вводимый
YM> твик, третье - результат XOR между ними). Из исходного кода

Да, несложная, поэтому и вопрос: зачем ты её применяешь именно так, а не
иначе?

YM>>> результат XORится с 128бит шифром (к примеру,
YM>>> TwoFish или Serpent), работающим в режиме OFB.

Забыл спросить, а почему OFB, а не простое гаммирование (CTR или CNT)?
Просто, что б больше атмосферу нагревать и приближать тепловую смерть
Вселенной, или тому причина есть?

SL>> Hа мой взгляд, вычисление имитовставки (или MAC или HMAC)
SL>> значительно более важно для качественной реализации услуги
SL>> обеспечения конфиденциальности, нежели дополнительное
SL>> шифрование. А так ты оставляешь у нарушителя свободу
SL>> динамических игр с искажением пакетов и наблюдением за
SL>> твоими реакциями.
YM> Любое искажение отдельно взятого блока делает ВСЕ содержимое
YM> "битым" - ибо содержимое является LZMA (7-zip) архивом.
YM> Соответственно, все измененное сообщение клиентским софтом
YM> отправляется в дев-нулл как битое.

Есть пара тезисов:

а) Если мне не изменяет память, то LZMA имеет определённый формат
записей, соответственно, при нарушении формата он выдаёт ошибку, или
очень быстро начинает игнорировать входные данные. Поэтому могут быть
атаки а ля, атак на SSL/TLS или BEAST;

б) Ты используешь шифрование двумя алгоритмами, вероятно опасаясь
нарушителя, который умеет дешифровать Threefish-1024. Предположим,
таковой имеется, тогда, грубо говоря, останется только некий шифр в
режиме OFB. Hо контрольные суммы LZMA - это чаще всего линейные полиномы
CRC-32/CRC-64, поэтому нетрудно выбрать такое искажение неизвестных
данных, которое не изменит контрольные суммы.

В своё время Krawczyk, один из идеологов IPsec даже сформулировал и
доказал теорему, что процедуры шифрования общего вида, которые изменяют
количество информации, в общем случае небезопасны [1]. Поэтому, что бы
не связываться с дополнительными обоснованиями, в IPsec имитовставка
(MAC/HMAC) рассчитывается по уже зашифрованным данным, и проверяется до
расшифровывания.

В твоём случае нагромождения разнообразных алгоритмов, только такой
подход может дать хоть какие-то гарантии. Просто возьми HMAC на основе
какого-нибудь проверенного, надёжного алгоритма SHA-1/SHA-256/ГОСТ Р
34.11-94, и рассчитай его на итоговый зашифрованный блок. Если есть
проблемы с размером, результат даже можешь обрезать, скажем до 8 байт.

[1] H. Krawczyk. The order of encryption and authentication for
protecting communications (or: How secure is SSL?). In Advances in
Cryptology CRYPTO 2001, Lecture Notes in Computer Science 1462, 2001 -
Springer. Pp. 310-331.

SL>> Hу и в коде очень много `new'.
YM> C# же...

C# не синоним new.


--
Успехов, Сергей Леонтьев. E-mail: lse@CryptoPro.ru


--- ifmail v.2.15dev5.4
* Origin: ГАИШ МГУ (2:5020/400)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.CRYPT?msgid=<1187500434@ddt.demos.su>+bdb7d381