Re: Любопытны мнения..

To: debian-russian@lists.debian.org
Subject: Re: Любопытны мнения..
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Wed, 14 Jan 2009 13:31:54 +0300
Message-id: <20090114103154.GB5204@wagner.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <20090114095712.382a0a7c@vice.lan>
References: <20090114063227.GA4200@darkstar> <20090114095712.382a0a7c@vice.lan>

On 2009.01.14 at 09:57:12 +0300, Alexander GQ Gerasiov wrote:

> > 
> > Может кто подскажет, надежные и не рискованные криптоалгоритмы?  
> > Наши ФСБшники от слов Camellia и Blowfish ржут как кони, а от AES,
> > ващще,  по полу катаются!!! 
> Ты больше с ФСБшниками общайся они тебе еще и не такого расскажут. Как
> раз "рискованным" скорее можно ГОСТ назвать, в котором нет известных
> уязвимостей, но есть пара странных, не совсем понятно чем
> продиктованных мест.

Вообще-то криптоалгоримты это не только и не столько симметричные шифры.
Симметричные алгоритмы шифрования как раз все (кроме древнего-древнего
DES, который не  tripple) более-менее со своей задачей справляются.

А вот с алгоритмами хэширования, которые применяются, например при
выработке электронной подписи, уже сложнее. В MD5, например, коллизия
сейчас находится часов за 8. Коллизия, это конечно, всего лишь коллизия
(т.е. возможность сгенерировать одновременно два документа с одинаковой
MD5-суммой), но реальзые эксплойты (позволяющие пересадить чью-то
электронную подпись с одного документа на другой, в частности с одного
сертификата на другой) уже есть.

Шнайер, в свое время очень хихикал в Applied Cryptography по поводу
параноиков-русских, которые в ГОСТ Р 34.11-94 сделали такую длинную
хэш-сумму. А на практике это оказалось не так уж глупо. Хотя недавно был
получен результат, снижающий стойкость этого алогоритм вдвое, оставшихся
битов все равно больше, чем в sha1.

Ситуация с асимметричными алгоритмами тоже не слишком радужна.
Существует, грубо говоря, три распространенных алгоритма этого класса -
RSA, схема Эль-Гамаля над полем вычетов (DSA, ГОСТ Р 34.10-94) и
схема Эль-Гамаля над полем точек эллиптической кривой (ECDSA, ГОСТ Р
34.10-2001).

Для того, чтобы взломать RSA, необходимо уметь раскладывать на множители
большие числа. На решение этой задачи тратится очень много усилий, и
результаты постепенно достигаются. То есть уже публиковалась информация
о взломе 640-битного RSA. Поэтому 1024-битный считается несколько, мнэ,
ненадежным, и используются 2048 битные ключи.  Но с ростом длины ключа
растет не только сложность взлома, но и сложность легитимного
использования. И при 2048 битных ключах RSA уже заметно проигрывает в
скорости алгоритмам на базе схемы Эль-Гамаля.

Для взлома алгоритмов на базе схемы Эль-Гамаля над полем вычетов
необходимо уметь решать задачу дискретного логарифмирования, т.е.

находить y по известному x^y mod p, где x  и p - порядка 1024 бит, а 
y - от 160 до 256. Здесь результатов гораздо меньше, чем по части
факторизации больших чисел. Тем не менее "параноики-русские" уже больше
года, как признали устаревшим и запрещенным  к использованию стандарт 
ГОСТ Р 34.10-94, основанный на этой схеме. 

В России теперь официально можно использовать только алгоритмы на
эллиптических кривых. 

Что забавно, на западе большая часть софта эти алгоритмы вообще ещё не
начала поддерживать. Мозилловская libnss уже умеет, а вот версия
OpenSSL, которая умеет их в TLS использовать, 
еще находится в процессе разработки.

Reply to:

Follow-Ups:
- Re: Любопытны мнения..
  - From: Oleksandr Gavenko <gavenko@bifit.com.ua>
- Re: Любопытны мнения..
  - From: "Murat D. Kadirov" <banderols@gmail.com>

References:
- Любопытны мнения..
  - From: "Murat D. Kadirov" <banderols@gmail.com>
- Re: Любопытны мнения..
  - From: Alexander GQ Gerasiov <gq@cs.msu.su>

Prev by Date: Re: монирование файлопомоек
Next by Date: Re: хочу установить oO3.0
Previous by thread: Re: Любопытны мнения..
Next by thread: Re: Любопытны мнения..
Index(es):
- Date
- Thread