Re: Любопытны мнения..
On 2009.01.14 at 09:57:12 +0300, Alexander GQ Gerasiov wrote:
> >
> > Может кто подскажет, надежные и не рискованные криптоалгоритмы?
> > Наши ФСБшники от слов Camellia и Blowfish ржут как кони, а от AES,
> > ващще, по полу катаются!!!
> Ты больше с ФСБшниками общайся они тебе еще и не такого расскажут. Как
> раз "рискованным" скорее можно ГОСТ назвать, в котором нет известных
> уязвимостей, но есть пара странных, не совсем понятно чем
> продиктованных мест.
Вообще-то криптоалгоримты это не только и не столько симметричные шифры.
Симметричные алгоритмы шифрования как раз все (кроме древнего-древнего
DES, который не tripple) более-менее со своей задачей справляются.
А вот с алгоритмами хэширования, которые применяются, например при
выработке электронной подписи, уже сложнее. В MD5, например, коллизия
сейчас находится часов за 8. Коллизия, это конечно, всего лишь коллизия
(т.е. возможность сгенерировать одновременно два документа с одинаковой
MD5-суммой), но реальзые эксплойты (позволяющие пересадить чью-то
электронную подпись с одного документа на другой, в частности с одного
сертификата на другой) уже есть.
Шнайер, в свое время очень хихикал в Applied Cryptography по поводу
параноиков-русских, которые в ГОСТ Р 34.11-94 сделали такую длинную
хэш-сумму. А на практике это оказалось не так уж глупо. Хотя недавно был
получен результат, снижающий стойкость этого алогоритм вдвое, оставшихся
битов все равно больше, чем в sha1.
Ситуация с асимметричными алгоритмами тоже не слишком радужна.
Существует, грубо говоря, три распространенных алгоритма этого класса -
RSA, схема Эль-Гамаля над полем вычетов (DSA, ГОСТ Р 34.10-94) и
схема Эль-Гамаля над полем точек эллиптической кривой (ECDSA, ГОСТ Р
34.10-2001).
Для того, чтобы взломать RSA, необходимо уметь раскладывать на множители
большие числа. На решение этой задачи тратится очень много усилий, и
результаты постепенно достигаются. То есть уже публиковалась информация
о взломе 640-битного RSA. Поэтому 1024-битный считается несколько, мнэ,
ненадежным, и используются 2048 битные ключи. Но с ростом длины ключа
растет не только сложность взлома, но и сложность легитимного
использования. И при 2048 битных ключах RSA уже заметно проигрывает в
скорости алгоритмам на базе схемы Эль-Гамаля.
Для взлома алгоритмов на базе схемы Эль-Гамаля над полем вычетов
необходимо уметь решать задачу дискретного логарифмирования, т.е.
находить y по известному x^y mod p, где x и p - порядка 1024 бит, а
y - от 160 до 256. Здесь результатов гораздо меньше, чем по части
факторизации больших чисел. Тем не менее "параноики-русские" уже больше
года, как признали устаревшим и запрещенным к использованию стандарт
ГОСТ Р 34.10-94, основанный на этой схеме.
В России теперь официально можно использовать только алгоритмы на
эллиптических кривых.
Что забавно, на западе большая часть софта эти алгоритмы вообще ещё не
начала поддерживать. Мозилловская libnss уже умеет, а вот версия
OpenSSL, которая умеет их в TLS использовать,
еще находится в процессе разработки.
Reply to: