> В общем у вас полная убеждённость что из-за сложности TLS нет возможности
> его и ревьювить — не согласен с этим.Факты говорят за себя сами - CVE в ssl'ных либах стали привычным делом. А раньше всех просто лoмaло туда совать нос. Но вот прижало.
> У вас полная убеждённость что атаки которые на деле крайне сложно
Для компьютеров понятия о том что просто и сложно достаточно специфичные.
> применены и сразу же технологии можно закaпывaть.
Практика показала что в криптографии не бывает мелочей и "мелкая проблема" и "сложнореализуемая" атака зачастую заканчивается массовым п-цом.
> не делает ETM и что можно 4 байта plaintext-а у него
> тырить: вы закрываете глаза,
Кто вам это сказал? Мне не нравится объем утечек о сессии в ssh и я считаю это жирным минусом. И не только за это но и за утечку размеров пакетов.
> на практике конечно же безусловно, по вашему, гораздо легче применить.
Вполне реалистично. Практические атаки показаны. Мне этого достаточно.
> RSA видители не имеет много криптоанализа,
Ну это уже утрирование. Я просто считаю что козырять криптоанализами RSA и что они сильно лучше, при том что 25519 существует около 9 лет как-то кривовато.
> Шамиры и прочие видители куда менее доверяемые люди чем Бернштейн
А это уже каждому по делам. Если бы криптографы из RSA вопили что Dual EC ненадежный - вопросов не было бы. А если они его вместо этого впаривать пошли - опппаньки!
> (хотя не Шамиры принимают политические решения
Мне пофиг кто их принимает. Если специалист к такому причастен - для меня его репутация будет подмочена.
> чётко прибиты гвоздями используемые режимы -- вы игнорируете.
В каком проценте применений это именно так? Нужду быть ракетным инженером для того чтобы не налетать на самые тривиальные грабли я считаю за жирный минус всяких TLS, IPSec и прочих переростков.
> но как-то вот не выходит у людей нисколько.
Это неправда. Выходит. А то что это не стандартизируют - вообще второй вопрос.
> тогда как другим достаточно допилить/донастроить TLS/IPsec и они вполне себе будут
В большинстве применений они будут создавать видимость защиты а не реально защищать пользователя. Их дефолтные свойства очень далеки от того что ожидают их пользователи и программеры. И я считаю это проблемой.
> легко может использовать side channel, ну ну.
В криптографии не бывает мелочей.
> И оказывается ваша ОС очень усложняет жизнь по доступу к памяти другого процесса,
Да. У меня не слишком гнилой кернель и там все относительно честно. И опенсорсно. Это вам не дос и не 95-я винда. И MMU железные нынче в моде.
> все атаки как бы заключаются в этом на практике, на деле.
На практике Васе может быть влом и миллион ключей ssh для моего хоста проверять. А придет Петя и окажется что он более сообразительный и менее ленивый. И запустит вобще ботнетик какой-нибудь автоматический. А оно мне надо?
> В теории AES side channel можно использовать,
Были вполне практические демонстрации. Так что это не только в теории но и на практике.
> Шнайер видимо лысый потому-что ужаснулся использованию S-box-ов и ринулся
> переделывать это в Threefish.
От S-box ушло большинство криптогрфов. И да, это мое право наблюдать за тем что творится в отрасли и замечать очевидные вещи.
> возиться с атакой на S-box.
У атаки на кэш есть важное преимущества.
1. Техничски это не есть взлом и скорее всего не влечет легальных последствий само по себе.
2. При этом в системе не остается вообще никаких следов и аномалий.
> AES оказывается можно сделат безопасным против cache side channel атак,
При сильном желании можно даже в ластах и противогазе на потолок залезть. Но зачем? У меня нет цели в жизни принципиально грызть самый колючий кактус из религиозных предрассудков.
> основанная на тьме криптоанализов, не то что у salsa20.
Так вот для меня результаты AES уже сомнительные - за счет s-box'ов. Я вам что, в MS-DOS чтоли чтобы обрубать использование машин 1-пользовательскими сценариями?
> По моему OpenSSL не так уж и плох,
А на мой вкус это макаронный монстр, авторы которого нули в криптографии.
> а CryptoCat это какие-то школьники которые в принципе лучше
> бы не брались за криптографию.
То что они переплюнут heartbleed или ключи в дебиане с 20 битами энтропии - далеко не факт. Замечу что изменение нагибающее энтропию в дебиане подтвердили как безопасное разработчики опенссл.
> А то что SSHv2 не использует ETM, то говорит что они
> даже книжек не читали по крипто.
Мне свойства протокола ssh не нравятся. Это несколько не то что надо мне. И сам ssh превращается в какое-то монстрило.
> Сложность протоколов это безусловно беда. Но я уже показал выше что даже
> тyпо передавать VPN трафик это уже нужен протокол, в котором будут
> точно такие же баги и ошибки которые возникали везде
Протокол спецализированный под задачу может быть прост как топор и потому легок в аудите. А TLS/SSL извините настолько забагованные что я даже уже не помню полный список проблем безопасности этого крапа которые там исторически были. Экстраполируя тенденцию - show will go on. Не верите? Не забывайте заглядывать в CVE ;). Я знаю толк в вопросах багов.
> писал с нуля. Просто факт. И никто не занимается толком атакой
> на низкоуровневые примитивы, так как всё гораздо проще бывает.
Да, в переусложненном протоколе столько возможных вариантов действий для атакующего и места для лажи что там все сильно проще.
> Никто не знает в относительных величинах как навредил SSH и как навредил heartbleed.
Оба сильно подгаживали лично мне. Экстренный рекеинг 20-битных ключей от дебианщиков и реинсталл/рекеинг после heartbleed - примерно одинаковы по геморности: полная перераскатка машин утративших доверие. И openssh'ники упыри что такое как openssl у себя дергали.
> Heartbleed не во всех библиотеках проявился,
Только в openssl. Которым однако ж пользуется легион софта. Так что сложно даже оценить что и где могло утечь. Онлайн банкинги ряда популярных банков так поломались. Всего блин ничего. Толпе народа пришлось резко менять пароли и ключи.
> как где-то крупно-крупно была беда из-за утечки данных по SSH, так
> как если речь о госах или банках — этого никто не скажет.
Пользователи сами говорили им о heartbleed, что намекает насколько там крЮтые профи по безопасности работают :)
> получается, даже против морально всего такого устаревшего Blowfish.
Практический пример доставания ключа AES продемонстрирован. Кто не ретард - выводы сделают, а остальным хоть кол на голове теши.
> Не вижу с какой стати математики, пускай и основавшие компанию, мешаются с политикой,
С такой что мало ли что политика и их попустительство по части политики им надиктовали сделать в математике.
> где никто не говорил что они принимают решения.
Если некто подписывается под той или иной подляной - он в ответе за это. А у этих господ квалификация вообще позволяла детектировать бэкдор до его внедрения по идее. Но это не было сделано. Почему?
> Да и опять же все люди: у всех есть цена.
Это очень примитивное мышление.
> Бернштейн запросто уже давно куплен АНБ, почему нет?
Потому что не понятно какой в этом смысл. На его алгоритмы смотрит целая толпа криптографов. Да и он как-то не стесняется показыавть математику лежащую в основе и объясняет что и откуда взялось.
> они и сейчас стали продажными -- не означает что они всегда
> такими были. RSA очень хорошо изученный алгоритм.
Это в каком-то роде валидно, но в какой момент они стали продажными - мне неизвестно, поэтому я их алгоритмы лишний раз использовать постремаюсь. Мало ли когда они опаскyдились и что еще я не знаю о их деятельности.
> Ага, прям идеал чтобы его подсадить и ни в чём не заподозрить.
Странный какой-то идеал - тусоваться в толпе криптографов и добиваться того чтобы они проаудитили алгоритмы. Зачем бы это АНБ? Чтобы криптографы бэкдоры нашли? Не логично.
> Чую что я подобное как-то говорил по поводу ревью уже ☺. Не работает это.
Работает. Скупить всех вообще и единовременно - малореально. Значит, если с алгоритмом что-то не так - из разных углов будут периодические вопли. На примере Dual EC видим что это работает. А бонусом видим что бэкдоры в EC криптографы искать умеют.
> решена задача ZK, аутентификации и конфиденциальности: то об анонимности рано ещё думать.
А у DJB как-то так все и сразу можно получить с его криптобоксом.
> Если она нужна, то никто не мешает сделать обычный DH,
DJB интересен тем что у него DH разнесен по времени и как таковой состоялся заранее. Это позволяет ряд интресных применений которые мне нравятся.
> SRP и TLS? Я слышал что SRP встроили в TLS недавно.
Ну да. Мало было в TLS барахла - еще чего-нибудь встроить. "Кадавр жpал".
> Разрабатывался он как-то вообще не соприкасаясь с TLS.
Да я вижу. Только при этом идентити юзера прямым текстом по каналу шлется и зачем-то асимметричность. Ну его такое нафиг, я не фанат таких подходов.
> Ах да, если коснулся TLS, то видимо всё: epic fail.
Именно так. Еще больше кода в tls либе? Ненене, Дэвид Блейн, ненене. Я такими либами пользоваться не буду. Если такой шмат кода вывешивать в сеть - его будут долбать. Это предсказуемо.
> В качестве identity можно легко использовать CHAP-based протокол,
Ну знаете, если делать chap - SRP при этом повторяющийся функционал, чтоли.
> Skey или что-то подобное. Это уж не хитрое дело и второстепенное.
Мне не нравится когда на меня спихивают протокольные проблемы.
> совершенно задачи в одну кучу. Не везде нужна анонимность.
Ну как бы если шифрование позволяет узнать кто и что - нафига оно такое надо? Чтобы заниматься декоративной имитацией безопасности?
> Можно, но у SRP есть удобные преимущества которые могут оказаться решающими. Как
> например то что он не использует как таковые протоколы шифрования.
А в чем тут преимущество? Ну, математика. Ну, несколько другая.
> Именно это я и сделал в GoVPN в виде DH-EKE.
Я вижу. Но бы это делал на чистом криптобоксе. Нисколько не теряя в свойствах.
> Ну вот вы не видели и не знаете какого уровня там люди,
Какого уровня шпионаж развернул гугль - я прекрасно вижу. И если кто думает что я буду доверять этим privacy breaker'ам "по умолчанию" - это ошибочное мнение. Эти да, не DJB - и давно сдали пользователей как стеклотару. Потому что у корпорации добра бабло победило зло.
> а сразу судите. Одни сплошные стереотипы и epic fail-ы по каждому щелчку.
Не вижу оснований доверять по умолчанию конторе известной тем что это прежде всего борзые privacy intruder'ы, тырящие все данные до которых дотянутся. Вплоть до "резервного копирования" пароля точки доступа, если их ведроид не разминировать.
> Мда, дожили, чтобы делать так сложно обфускацию траффика.
То что в тор - "уж что выросло, то выросло".
> Ну ну. А GOST поломан до 2**178: epic fail, использовать нельзя!
Скорее просто нет никакого смысла. Тормозной алгоритм с фиговыми перспективами из-за утечек через кэш. И нет доверия тем кто его делал - они не говорят с какого потолка s-box взяты и каков критерий этого. Нафига я это буду использовать, спрашивается?
> Если не известно насколько лыжи хороши для снега, то ради того чтобы
> выжить, а не рисковать непроверенной технологией.
Спасибо, я лучше лыжи возьму все-таки. А вы можете в ластах и противогазе выживать. Есть у меня такая привилегия - я могу прикинуть как работает тот или иной дизайн посмотрев на него. Не требуется мне вставать на грабли чтобы убедиться что они бьют в лоб.
> Ага, пока не найдут атаку снижающую brute force взлом на несколько порядков.
Ну вот за 9 лет пока научились вот настолько. И да, с таким же успехом можно и RSA взломать.
> А был бы 256bit, то запаса как у ГОСТа вон был бы!
...пока не сопрут ключ через кэш, решив что это сильно проще чем брут 2^256 и даже 2^128.
И это вообще нормально - сравнивать алгоритм публичной криптографии и симметричный? :)
> будет запросто.
Весьма зависит от того кто и что.
> А вот для гостайн не пойдёт.
Да, да, слышали мы этот булшит. И главное к нему никаких технических аргументов обычно не прилагается.
> что у Бернштейна наверное поэтому и не исследуют так много его
Вообще-то,
1) его исследуют.
2) по этому поводу есть криптоанализы.
3) Эллиптику и 25519 придумал как таковой не он и теорию и прочая делали иные люди.
> алгоритмы потому-что запаса в них никакого. Всё мол ради скорости.
Ну да, RSA 4096 как бы может быть более стойким. Только его скорость работы зарубает большинство применеий. А так то и блокнотик можно. Но непрактично уж очень.
> компромисс между скоростью и безопасностью (от 15 лет кракеров спасёт —
Так у DJB алгоритм и быстрее и более стойкий - одновременно :). Вот и возникает вопрос - а зачем впаривают именно вон то?
> 99.99% атак.
Да щаз. По идее достаточно активно саботировать DNSSEC и клиенту ничего не останется как считать что это обычный (несекурный) DNS. Да и вообще, вся система DNS - один большой кусок проблем.
> Это не уберрешение,
Это очередная имитация защиты, вешающая лапшу на уши в плане того что это от чего-то защищает.
> Ключей таких размеров тьма. Например у Шнайера, у Столлмана с ходу вспоминаю.
Целых 2 человека. А на серверах они рискнут здоровьем их использовать? И, главное, насколько легко будет поставить сервер колом?
> в два раза длину ключа (был 128 бит, стал для brute
> force фактически 64).
Насколько я помню, там ожидалось сильное увеличение эффективности взлома RSA до состояния когда это перестает быть математически сложной проблемой. И для эллиптики вроде как нечто такое ожидается. Поэтому те кто попредусмотрительнее - дизайнят алгоритмы, которым свойства квантовых компьютеров пофигу.
И да, это нормально - мешать в кучу брутфорс симметричных алгоритмов и взлом асимметричных, не являющийся брутфорсом?
> их сводится к проблеме поиска коэффициентов кривых.
Каких коэффициентов? Коэффициенты все известные.
> Не исключено что найдут реальный epic fail
За 9 лет в 25519 не нашли что-то.
> равносилен как бы будет 2**64,
Откуда такие сведения? Как я понимаю, для квантовых компьютеров из-за особенности их работы, проблема P=NP просто не будет математически сложной. Ну и RSA пиндык, как алгоритму. Да и эллиптике возможно тоже.
> тогда как у ECC не доказано что они безопасны в принципе.
Это же можно сказать и про RSA. В смысле, за 9 лет для 25519 вполне себе и теория появилась и криптоанализы были.
> Хм, вы считаете госструктуры полными дураками не разбирающимися в психологии?
Я считаю их powerful adversary. Имеющими мотивы и возможности для того чтобы гадить. И глядя на то что напихали в стандарты я имею заметить что в психологии у них все оки-доки. Вот такие как вы ведь носятся "зато стандарт!", "можно же подкостылить!", "вы можете разминировать TLS, если у вас квалификация ракетчика!". Вроде они таким как вы вполне успешно скормили стремный крап и вы даже готовы защищать оный с пеной у рта. Ну то-есть то что у сноудэна написано - прямо как по нотам все.
> что если активно что-то проталкивают, значит дело запросто не чисто.
Ну так DJB как таковой никогда ничего активно не проталкивал. В отличие от NIST. И да, почему-то интел делает команды AES, а не SALSA или 25519. Кто там что и куда с нахрапом проталкивает?
> его Бернштейн поливает, он круче всех,
Человека видимо элементарно достала текущая ситуация и он позволил себе высказаться что он думает по поводу впаривания фуфла. С учетом документов сноудэна выглядит правдоподобно.
> хотя госы уже давно со своими математиками
А с чего вы взяли что эти математики принципиально лучше (или хуже) академиков из того же CACE? И да, если в DualEC бэкдоры нашли - наверное и остальные криптографы что-то в своем ремесле смыслят, или где? :)
> ржут над его решениями и радуются что их везде впихивают.
Для начала я не вижу чтобы их "везде впихивали". Стандартизируют какой-то стремный и проблемный крап в основном. А потом еще и в процессоры с нахрапом впиливают и прочая.
> У вас есть сомнения -- у меня нет, не скажу откуда.
Ну еще бы. Тезис о том что можно скупить всю планету - не выдерживает никакой критики. Вон в DualEC почему-то довольно быстро бэкдоры нашли. Странно, почему же всю планету не скупили чтобы криптографы молчали в тряпочку? В результате и NIST и RSA (контора) потеряли доверие.
> на это у считанного кол-ва стран.
Так проблема - в специфичных материалах, которые на дороге не валяются. И в процессах требующих кучу оборудования.
> Математика… математиков заприметят гораздо раньше
> и возьмут под контроль чем он успеет ляпнуть что-то лишнее.
Да вот что-то с DualEC это не очень получилось. Ваши тезисы не подтверждаются практикой.
> Много кого долбануло? Ну ну.
Очень много кого. И банки, и кучу серверов, и даже лично меня - предпочел сменить все ключи, т.к. дыра была давно, кто о ней знал - неизвестно, так что сложно установить - что могло утечь. Проще посчитать что утекло все. Атака легкая и сдампить память ремоты через нее фигня вопрос. Можно на хабре для начала посмотреть - как там юзеры строили банки и т.п..
Но да, я теперь кажется начинаю догадываться почему вы пытаетесь даунплеить масштабы проблем. Это или отутствие компетенции, или того хуже - осмысленное желание втравить нас в несекурные алгоритмы. Размахивание гостом и стандартами лишний раз наводит на такую мысль.
> Я у того же Шнайера не видел нигде "нежелание". Есть "если можно,
> то попробуем сделать без этого", а не нежелание.
А я вижу что практически все новые алгоритмы - от таблиц отказались. Как раз из-за кэша.
> нечто чем-то хорошее, а чем-то совершенно не удовлетворительное.
Ну вот мне ssh нравится все меньше. Там больно уж много грабель порылось.
> Padding лично мне много где не то что не сдался:
А я вот помню что "безопасность бывает 2 уровней: high и нехай". И последнее что я буду делать так это экономить траффик в секурной сессии. Тем паче что я поэкспериментировал с IRC over Tor (сойдет как грубая оценка влияния padding на интерактивный протокол) и не заметил дикого потребления траффика. На малоактивных линках оверхед может быть процентов 40. На большом потоке оверхеда можно считать что нет.
> а не нужен из-за трафика, который стоит денег.
Если некто разорится на секурной сессии - я не понимаю как он остальным интернетом пользуется. Похоже на подтасовку фактов чтобы люди не стали пользоваться секурными протоколами.
> Плюс какие вы алгоритмы оставите?
> Опять купленного властями Бернштейна и всё?
Я DJB доверяю больше чем дискредитировавшему себя NISTам и прочим гостам. К тому же, DJB доверяют и опеночники: они не только поюзали эти алгоритмы, но и сделали их максимально приоритетными в новых версиях ssh сервера. Как раз 25519, chacha (близкий родственник salsa) и poly1305.
> А если я для Рф хочу сделать железку, то для этого надо ГОСТ,
Меня не интересует Имитация Бурной Деятельности вместо безопасности, извините. Я не играю по заведомо невыигрышным правилам.
> который медленный, но в железке вполне себе безопасный будет.
Когда некто крайне нахраписто и нагло всучивает именно свой алгоритм (DJB до такой борзости как законодательные регуляции как пехом до Пекина) - это вызывает вопросы о мотивах такого впаривания.
А так - в железке алгоритм может быть и быстрым. Ну там s-box в скоростном SRAM, железные блоки и прочая. Там и проблема с кэшом может отсутствовать. Вот только я не могу проверить как это сделано. И потому доверять этой реализации не буду.
> Но у вас же его не будет?
Я занимаюсь впариванием и втиранием очков - так что не будет.
> на любителя. Таких подeлий сделано куча и уже давно.
Не, блин, буду впариваемый с нахрапом (законодательно аж) гост использовать, медленный и с кучей непоняток. Для меня приоритет - фактическая защита данных, а не "соответствие стандартам" которое суть ИБД.
> Да, сделали так. Потому-что вроде как лучше, а не потому-что прошлый вариант
> был в плане безопасности сильно хуже.
Большинство криптографов проблему с кэшами и утечками распознало и признало. End of story.
> Дико оторвано от реалий это паранойа по поводу кэшей,
Дико оторвано от реалий - пользоваться гостами "потому что гестаповец с автоматом сказал что это безопасно" (ну или AES, "потому что внедрили в проц").
> стоит ОС из миллионов строк кода. Атаковать будут её/библиотеки,
Ремотно вывешены далеко не все либы. И вот тут мы видим heartbleed. Или вон ту дыру в polar ssl.
> Реалии это подставить ведро и менять его, если на всю крышу многоквартирного
> дома идёт тоненькая струйка, а не бросаться менять всю крышу полностью,
Вот вы и живите в доме с дырявой крышей. А мне не нравится жить в холупах.
> что имейте возможную протечку, а не то что это равносильно отсутствию крыши.
Мне не нравятся дырявые крыши.
> Не правда. Большинство связаны с тупо обычным программированием
А чем сложне протокол - тем больше кода. И тем больше там багов. За это я и не жалую TLS и прочие.
> Потому-что я меньше доверяю продавшемуся DJB у которого никакого запаса прочности.
А я меньше доверяю вам. С вашим втюхиванием гостов, SSLей и прочим крапом при минимуме технических аргументов и только рассказами про "время выдержки" при игнорирование проблем признанных криптографами.
> PRNG ОС отличается от того что в потоковом шифре. В ОС энтропия
> постоянно (должна) поступает,
Ну да. Там обычно пул энтропии, при том сделанный так что отдельные неидеальности отдельных источников ничего не портят. В линухе этим даже более-менее можно пользоваться.
> и всё. Хотя да: примитивы могут быть схожими.
Где как.
> Ага, с вашим подходом типа только Бернштейн в состоянии что-то кодить.
Не настолько уж и неправда - криптографическую либу должны делать те кто разбирается в криптографии. Иначе получается такое как openssl.
> Все — люди: и все люди допускают ошибки. А также продаются.
Людей много, а наблюдаемые факты можно коррелировать. И если мне нахраписто всучивают AES и ГОСТ, а NIST попадается на пробэкдореном PRNG - определенные выводы по поводу того кому лучше доверять - напрашиваются.
Вариант для распечатки
(??) on 07-Янв-15, 20:55 
