ВИФ2 NE : Ветка : Вопрос по стойкости шифров

От	Добрыня
К	All
Дата	02.08.2010 22:15:40
Рубрики	WWII; Спецслужбы;

Вопрос по стойкости шифров

Приветствую!
1. Применение шифроблокнота (или хотя бы книги) позволяет составить шифровку без единого повторяющегося цифросочетания. Вскрыть такой шифр, по идее, не располагая ключом, невозможно. Метод тривиален, доступен.
2. Однако криптографы всё равно взламывают шифры. Что находится в противоречии с п.1.

Вопрос: в чём дело? Спецслужбы почему-то используют менее стойкие шифры? Или шифр, зашифрованный шифроблокнотом, всё равно нестоек?

С уважением, Д..
Это для вас - Балтия. А для нас - плацдарм для удара по Ленинграду.

От	Добрыня
К	Добрыня (02.08.2010 22:15:40)
Дата	04.08.2010 18:38:01

Спасибо всем, весьма интересно... (-)

От	Klinger
К	Добрыня (02.08.2010 22:15:40)
Дата	03.08.2010 16:45:47

Re: Вопрос по...

Здравствуйте!
Рекомендую почитать "Криптономикон" Нила Стивенсона. Хоть и фантастика, но очень топичная :)

With best regards, Vlad

От	erno
К	Klinger (03.08.2010 16:45:47)
Дата	04.08.2010 10:13:11

"Криптономикон" Стивенсона

Почему фантастика то? Просто приключенческий роман. Да, с достаточно вольным обращением с историей и фактами, но вполне в пределах жанра :)

От	Walther
К	Добрыня (02.08.2010 22:15:40)
Дата	03.08.2010 15:14:44

Re: Вопрос по...

>1. Применение шифроблокнота (или хотя бы книги) позволяет составить шифровку без единого повторяющегося цифросочетания. Вскрыть такой шифр, по идее, не располагая ключом, невозможно. Метод тривиален, доступен.

гамма, на которой производится шифрование, должна быть случайной. Шифроблокнот обладает этим качеством на 100%, книга - нет. Повторяемость "цифросочетания" в шифротексте никакого значения не имеет.

>2. Однако криптографы всё равно взламывают шифры. Что находится в противоречии с п.1.

текст, зашифрованный на разовом блокноте, расшифровать невозможно. Как невозможно решить уравнение X+Y=100. Но если блокнот использовался более чем один раз, вместо уравнения возникает система, имеющая решение или решения. Бывали случаи, что блокноты не успевали завозить и в ход шли использованные блокноты, такие шифры кололи.

>Вопрос: в чём дело? Спецслужбы почему-то используют менее стойкие шифры?

Проблема в гамме. Блокнот имеет конечную гамму, криптоалгоритмы же позволяют генерить псевдослучайную гамму бесконечной длины. Тогда секретом становится не гамма, а начальные установки - т.е. ключ (в особых случаях и таблица подстановки). Идеальный криптоалгоритм ломается только перебором, кол-во комбинаций и вычислительные мощности позволяют дать оценку о стойкости шифра. Далеко не всегда нужно шифровать данные так, чтобы их никто никогда дешифровал, где-то достаточно дня, где-то года, где-то нескольких лет.

От	dap
К	Добрыня (02.08.2010 22:15:40)
Дата	03.08.2010 13:12:16

Re: Вопрос по...

>1. Применение шифроблокнота (или хотя бы книги) позволяет составить шифровку без единого повторяющегося цифросочетания. Вскрыть такой шифр, по идее, не располагая ключом, невозможно. Метод тривиален, доступен.
Да это так называемый совершенный шифр. Гарантирует что никакими методами криптоанализа невозможно узнать какой из возможных текстов той же длинны был зашифрован. Невозможно даже немного уточнить вероятность того что был зашифрован текст А, а не текст Б.
Естественно только в случае если ключевая последовательность действительно случайна, ключ не использовался несколько раз, не был украден и т.д.
Чтобы этого избежать используют специальные устройства или программы, а ключ после использования немедленно уничтожается.
Такие шифры используются в линиях связи высочайшей важности где не предполагается передачи большого объема информации и можно позволить себе доставку ключа курьером.
Для прочих применений этот способ не практичен. Есть достаточно много стойких алгоритмов шифрования. Дешифрование текстов зашифрованных такими алгоритмами теоретически возможно, но практически этого сделать нельзя в обозримый промежуток времени с достаточной вероятностью. Про такие шифры говорят что их взлом вычислительно невозможен.

>2. Однако криптографы всё равно взламывают шифры. Что находится в противоречии с п.1.
Взламываются шифры:
1. Заведомо ослабленные симетричные шифры: DES (не TripleDES), системы с урезанным 40-битным ключем. Показана возможность взлома 64-битного симетричного шифра.
2. Асиметричные шифры с недостаточной длиной ключа. Т.к. в этой области развитие методов криптоанализа идет очень быстро необходимая длина ключа постоянно растет.
3. Взлом любых типов шифров не связанный с криптоанализом. Это использование уязвимостей оборудования, человеческого фактора и.т.д.

>Вопрос: в чём дело? Спецслужбы почему-то используют менее стойкие шифры? Или шифр, зашифрованный шифроблокнотом, всё равно нестоек?
Если не считать заведомо ослабленных шифров проблем с взломом при помощи крптоанализа сейчас нет. Есть другие проблемы не зависящие от алгоритмов шифрования. Прочем одноразовые блокноты, требующие передачи больших объемов секретных данных (ключи), количество проблем увеличивают, а не уменьшают.
Проще раз в несколько лет сгенерировать один мастер-ключ и использовать его для генерации сеансовых ключей. Каналов утечки будет значительно меньше. При соблюдении регламента использования шифровальных устройств и ключевых носителей, защищаться нужно будет в основном от перехвата внутри закрытого периметра, а не вне его.

От	HorNet
К	Добрыня (02.08.2010 22:15:40)
Дата	03.08.2010 12:10:58

Основными методами вскрытия шифров уже давно являются

1. Выявление ошибок шифровальщика, допущенных при зашифровании\линейном засекречивании, среди которых наиболее распространнеыми являются:
- повторное использование шифргаммы (ручное и линейное шифрование);
- закономерность изначального заполнения реккурентных регистов аппаратуры (линейное шифрование).

2. Агентурная добыча образцов шифров и аппаратуры.

В связи с тем, что ручное шифрование применяется на значимых информационных потоках исключительно редко, имеет смысл рассматривать второй дефис пункта 1 - если, разумеется, речь идет о синхронных полуавтоматических шифраторах, без всех и всяких алгоритмов открытого ключа.
На моей памяти еще работала аппаратура Т-600 (это открытое наименование), дальний клон "Энигмы", построенная на роторном шифраторе с основным методом гаммирования. Так вот, если бойцы двух аппаратов, которым хотелось потрындеть между собой, а единой серии ключевых документов не было, использовали при установлении связи код АЛФ, что означало установку комплекта шифрдисков по оси в алфавитном порядке (т.н. ключ хранения для Т-600), а начальное заполнение в виде начальных угловых положений дисков зависело от региона. Пограничные корабли тихоокеанского округа, например, устанавливали ТОПОМЧПВКГБСССР, просто запомнить, просто набрать - для работы с камчатским кораблем, например. За год таких вхождений могло быть около сотни. Вот тут уже методы статистического разрушения стойкости сводятся лишь к анализу алгоритма работы механизма самого аппарата и действующих серий дисков с расстановкой цевок и штырей, которая менялась раз в несколько лет. Таким образом, ИТР могли выяснить структуру самих дисков, что сильно упрощало вскрытие инфы уже установленных по КД комплектов теми же статистическими методами.

От	nonr
К	HorNet (03.08.2010 12:10:58)
Дата	03.08.2010 21:02:15

Re: Основными методами...

>1. Выявление ошибок шифровальщика, допущенных при зашифровании\линейном засекречивании, среди которых наиболее распространнеыми являются:
>- повторное использование шифргаммы (ручное и линейное шифрование);
>- закономерность изначального заполнения реккурентных регистов аппаратуры (линейное шифрование).
да, ничто не ново под луной. Относительно недавно убрали уязвимость из ssh,
связанную с вывсокой предсказуемостью приватного ключа хоста при установках
систем по-умолчанию. Та же "закономерность изначального заполнения реккурентных регистов аппаратуры" только в профиль.

От	Суровый
К	HorNet (03.08.2010 12:10:58)
Дата	03.08.2010 16:43:48

вот метод

http://termorect.narod.ru/tech.html

От	bedal
К	Добрыня (02.08.2010 22:15:40)
Дата	03.08.2010 10:04:52

если ключ длиннее текста, то теоретически дешифровка невозможна

наиболее яркий пример - разговор на совершенно незнакомом языке со всеми его ассоциациями и идиомами.

Но. Если известна предметная область, известно, о чём говорят - это фактически резко сужает ключ.

От	Дмитрий Козырев
К	bedal (03.08.2010 10:04:52)
Дата	03.08.2010 10:07:00

Дело не только в длине ключа, но и статистике его знаков (-)

От	bedal
К	Дмитрий Козырев (03.08.2010 10:07:00)
Дата	03.08.2010 11:45:32

Я и это имел в виду, говоря о "укорочении ключа" (-)

От	Роман Алымов
К	Дмитрий Козырев (03.08.2010 10:07:00)
Дата	03.08.2010 10:46:15

Нам преподаватели рассказывали о генерации в войну (+)

Доброе время суток!
Когда нам теорию шифрования читали, преподаватель рассказывал что в войну генерация случайных последовательностей для шифровальных целей осцществлялась просто - пара больших бараков с солдатами, подбрасывающими игральные кости и записывающими результат.
С уважением, Роман

От	Hokum
К	Роман Алымов (03.08.2010 10:46:15)
Дата	03.08.2010 19:46:50

Сильно напоминает историю/байку...

... как составлялись самые первые dive tables. Взяли несколько сотен молодых обормотов из US Navy, рассадили на разных глубинах и периодически контролировали самочувствие. Что, служивый, хреново? Ну вылезай. Сержант, отметь время :))

От	объект 925
К	Hokum (03.08.2010 19:46:50)
Дата	03.08.2010 19:54:48

Ре: известных оф-топик называл даже номер батальонов здесь

на форуме. Смотрите в архиве.
Алеxей

От	Одессит
К	Роман Алымов (03.08.2010 10:46:15)
Дата	03.08.2010 10:55:57

Re: Нам преподаватели...

Добрый день
>Когда нам теорию шифрования читали, преподаватель рассказывал что в войну генерация случайных последовательностей для шифровальных целей осцществлялась просто - пара больших бараков с солдатами, подбрасывающими игральные кости и записывающими результат.

Это, кстати, сильно ограничивало число вариаций: на костях ведь не 10, а только 6 цифр.

С уважением www.lander.odessa.ua

От	sergе ts
К	Одессит (03.08.2010 10:55:57)
Дата	03.08.2010 11:18:00

К стойкости шифра это отношения не имеет

Можно хоть монету бросать и шифровать двоичным кодом напрямую.
Вот полная "честность" костей и бросков - действительно важно.

От	Koshak
К	sergе ts (03.08.2010 11:18:00)
Дата	03.08.2010 11:21:49

Re: К стойкости...

>Вот полная "честность" костей и бросков - действительно важно.
честность бросков можно нивелировать перемещиванием результатов, не могут же в нескольких бараках быть одни жулики

От	bedal
К	Koshak (03.08.2010 11:21:49)
Дата	03.08.2010 12:01:31

хуже того

Каждый комплект костей, в силу неидеальности изготовления, имеют сильные неравномерности распределения, которые по мере износа только усиливаются (потому что кубик бьётся сильнее той гранью, что ближе к ЦТ, эта грань больше изнашивается и становится ещё ближе к ЦТ).

Так что с костями, возможно, байка. Хотя, если кости стальные, выверенные... но уж больно на байку похоже.

От	dap
К	bedal (03.08.2010 12:01:31)
Дата	03.08.2010 12:08:58

Вообще-то уже ОЧЕНЬ давно научились использовать для генерации физические...

>Так что с костями, возможно, байка. Хотя, если кости стальные, выверенные... но уж больно на байку похоже.
... процессы. Например атмосферные помехи. Сейчас используют датчики на шумящих диодах. Хорошее бюджетное решение.

Единственное но. Любые данные полученный таким образом должны проходить проверку с помощью специальных статистических тестов. Иначе могут будть неприятные сюрпризы.

От	bedal
К	dap (03.08.2010 12:08:58)
Дата	03.08.2010 13:09:53

Это, конечно, верно, но бывают и НО

законы статической устойчивости самолётов известны были до того, как самолёты появились. И просты они так, что детсадовцу понятно. НО. Вплоть до 40х годов вполне профессиональные конструкторы строили самолёты с грубейшими нарушениями этих правил.

Так и здесь - наличие физически правильных алгоритмов увы, не гарантирует их практическое использование.

От	dap
К	bedal (03.08.2010 13:09:53)
Дата	03.08.2010 13:35:03

Это понятно. Классический пример когда переклинивает ГСЧ и он выдает кучу 0.(+)

>законы статической устойчивости самолётов известны были до того, как самолёты появились. И просты они так, что детсадовцу понятно. НО. Вплоть до 40х годов вполне профессиональные конструкторы строили самолёты с грубейшими нарушениями этих правил.
>Так и здесь - наличие физически правильных алгоритмов увы, не гарантирует их практическое использование.
Subj. Для этого в РФ средства шифрования для защищаемой законом информации проходят сертификацию. 100% гарантии это не дает, но мозг там трахают капитально. Были примеры когда фсбешники находили в реализации криптошлюза ошибки связанные с утечкой или неочисткой памяти.

От	СанитарЖеня
К	Одессит (03.08.2010 10:55:57)
Дата	03.08.2010 11:13:40

Существуют 20-гранные кости. С цифрами 0..9 (-)

От	Jabberwock
К	СанитарЖеня (03.08.2010 11:13:40)
Дата	03.08.2010 11:37:15

Re: Существуют 20-гранные...

0..9 - это 10-гранные, который не платоновский :)
Платоновские - 4, 6, 8, 12, 20 граней

От	СанитарЖеня
К	Jabberwock (03.08.2010 11:37:15)
Дата	03.08.2010 13:58:01

На противоположных гранях одинаковые цифры.

>0..9 - это 10-гранные, который не платоновский :)
>Платоновские - 4, 6, 8, 12, 20 граней

Так компенсируют неточность изготовления - смещение центра тяжести.
Граней, как я уже сказал, 20.

От	Jabberwock
К	СанитарЖеня (03.08.2010 13:58:01)
Дата	03.08.2010 19:19:49

Re: На противоположных...

>>0..9 - это 10-гранные, который не платоновский :)
>>Платоновские - 4, 6, 8, 12, 20 граней
>
>Так компенсируют неточность изготовления - смещение центра тяжести.
>Граней, как я уже сказал, 20.

Да, вспомнил. Это классические, когда 10-гранники ещё не делали, а d20 получали броском вот такого с 10 значениями + шестигранника, по которому определяли, считать выпавшее значение 1-10 или 11-20.

От	инженегр
К	СанитарЖеня (03.08.2010 11:13:40)
Дата	03.08.2010 11:28:17

Видел у РПГ-шников и 100-гранные дайсы. (-)

От	Jabberwock
К	инженегр (03.08.2010 11:28:17)
Дата	03.08.2010 11:38:21

Это пижонство :)

Он неудобный и статистически неравномерный.
Для процентов кидают два десятигранника.

От	Koshak
К	Одессит (03.08.2010 10:55:57)
Дата	03.08.2010 11:03:36

Re: Нам преподаватели...

>Это, кстати, сильно ограничивало число вариаций: на костях ведь не 10, а только 6 цифр.

А на двух костях - 12
а одним кубиком не играют

>С уважением www.lander.odessa.ua
Взаимно,

От	Одессит
К	Koshak (03.08.2010 11:03:36)
Дата	03.08.2010 11:05:30

Re: Нам преподаватели...

Добрый день
>>Это, кстати, сильно ограничивало число вариаций: на костях ведь не 10, а только 6 цифр.
>
>А на двух костях - 12
>а одним кубиком не играют

А! Понял.

С уважением www.lander.odessa.ua

От	Rwester
К	Добрыня (02.08.2010 22:15:40)
Дата	03.08.2010 10:03:49

иногда вскрытие шифра вопрос витиеватый

Здравствуйте!

>2. Однако криптографы всё равно взламывают шифры. Что находится в противоречии с п.1.
можно еще вскрыть шифрблонкот до того как им воспользуются, запаковать обратно и терпеливо ждать, когда его применят.

Рвестер, с уважением

От	Одессит
К	Rwester (03.08.2010 10:03:49)
Дата	03.08.2010 10:22:07

Практически очень сложно.

Добрый день

>можно еще вскрыть шифрблонкот до того как им воспользуются, запаковать обратно и терпеливо ждать, когда его применят.

Не невозможно, конечно, но изгтовители применяют специальные меры по предотвращению таких вещей. Хотя и их обходили, конечно.
Что, в частности, существенно удорожает такую систему.

С уважением www.lander.odessa.ua

От	Rwester
К	Одессит (03.08.2010 10:22:07)
Дата	03.08.2010 10:43:31

не то слово

Здравствуйте!

>Не невозможно, конечно, но изгтовители применяют специальные меры по предотвращению таких вещей. Хотя и их обходили, конечно.
>Что, в частности, существенно удорожает такую систему.
это я просто к тому, просто куда ни ткни у всех "бьютифул майнды" щелкают шифры как орехи :-)

Рвестер, с уважением

От	Одессит
К	Rwester (03.08.2010 10:43:31)
Дата	03.08.2010 10:54:56

Re: не то...

Добрый день

>это я просто к тому, просто куда ни ткни у всех "бьютифул майнды" щелкают шифры как орехи :-)

Это точно. Может, их лучше математике в начальной школе обучают? :-)))
Кстати, мы тоже хороши. Как-то во время оно читал книгу очерков по истории советской дипломатии. Так там "на голубом глазу" повествовалось о том, что Маркин на заре наркоминдела за одну ночь расшифровал все тайные договоры царского правительства, и это при том, что Нелидов со товарищи отказались выдать ему ключи не только от сейфов, но и к шифрам. Правда, как писалось, устал Маркин за эту ночь очень...

С уважением www.lander.odessa.ua

От	Dervish
К	Одессит (03.08.2010 10:54:56)
Дата	03.08.2010 19:46:04

То же самое писали в "30 серебренников майора Ярдли". Может легенда?

>Добрый день

>...повествовалось о том, что Маркин на заре наркоминдела за одну ночь расшифровал все тайные договоры царского правительства, и это при том, что Нелидов со товарищи отказались выдать ему ключи не только от сейфов, но и к шифрам.

То же самое писали в "30 серебренников майора Ярдли" (от скуки ночных дежурств расшифровывал и читал переписку Госдепа США по каким-то теркам в Латинской Америке).
Может интернациональная "городская легенда" шифровальщиков?

Dervish

От	Одессит
К	Dervish (03.08.2010 19:46:04)
Дата	03.08.2010 21:20:33

Re: То же...

Добрый день

>То же самое писали в "30 серебренников майора Ярдли" (от скуки ночных дежурств расшифровывал и читал переписку Госдепа США по каким-то теркам в Латинской Америке).
>Может интернациональная "городская легенда" шифровальщиков?

1. Об этом он писсал сам. Может и врал, конечно.
2. Но у американцев было несколько шифровально-дешифровальных ведомств, которые страсть как любили компрометировать криптосистемы соседей.
Вообще говоря, до некоего момента в США наблюдалась странная ситуация: при мощном и результативном криптоаналитическом сообществе их собственные коды и шифры были весьма примитивными.

С уважением www.lander.odessa.ua

От	Rwester
К	Одессит (03.08.2010 21:20:33)
Дата	04.08.2010 09:49:19

Re: То же...

Здравствуйте!

>1. Об этом он писсал сам. Может и врал, конечно.
Безусловно врал. Он конечно был парнишка талантливый и умный, но в основе его гениальных прозрений - бардак ("я был в бардаке там идеальный порядок") с режимом в отделе, а не любовь к разгадыванию кроссвордов. (кстати, в своей последующей работе на МО некоторые его административные решения по разделению функций на это очень толсто намекают, он первым делом перекрыл бреши по контактам между отделами)

Ну а Маркин это да, человек-глыба. Для таких невозможного вообще нет. И есть тонкость, если такому как он в точке А есть приказ построить "нейронный коллайдер", то в точке Б он будет стоять:-))). Но говорить потом, что он видный специалист по вакуууму или физик-теоретик, будет небольшим преувеличением:-))))

Рвестер, с уважением

От	bedal
К	Одессит (03.08.2010 21:20:33)
Дата	03.08.2010 21:50:54

У Фейнмана тоже неплохо - в воспоминаниях по атомному проекту (-)

От	Дмитрий Ховратович
К	Добрыня (02.08.2010 22:15:40)
Дата	03.08.2010 09:43:30

Скажу авторитетно

>2. Однако криптографы всё равно взламывают шифры. Что находится в противоречии с п.1.

Прежде всего, шифрблокнот (one-time pad) должен быть равен по длине шифруемому тексту. Соответственно, два пользователя, желающие передавать информацию таким способом, должны предварительно обменяться шифрблокнотами такого же размера. Для повседневного использования это не подходит.

Что же касается взлома шифров, то с появлением более-менее приличной теории шифрования 60 лет назад, и открытой криптографии 30 лет назад промышленно используемые шифры взламываются очень редко. До сих пор американский стандарт шифрования DES 1977 года выпуска гораздо проще вскрыть тупым перебором ключей, нежели сложными криптоаналитическими методами.

Иногда шифры используются с неправильными параметрами или допускают неправильный выбор этих параметров. В этом случае взлом возможен, хотя сам по себе шифр останется стойким. Примерно так был сломан один из первых протоколов защищенного WiFi - WEP, который базируется на шифре RC4.

От	IKar
К	Дмитрий Ховратович (03.08.2010 09:43:30)
Дата	03.08.2010 12:59:09

Re: Скажу авторитетно

Это не так. DES давно уже вскрыли с помощью дифференциального криптоанализа и по этой причине сначала был сделан 3DES (как временная мера) а далее и совершенно новый AES. Так что криптографы не дремлют. Но справедливости ради, нужно сказать, что ломают чаще всего не криптографическими методами, а используя недостатки среды где эта криптография реализована и работает.

От	Дмитрий Ховратович
К	IKar (03.08.2010 12:59:09)
Дата	03.08.2010 18:08:16

Это так

>Это не так. DES давно уже вскрыли с помощью дифференциального криптоанализа и по этой причине сначала был сделан 3DES (как временная мера) а далее и совершенно новый AES.

3DES был сделан еще в 80-х:). Я прекрасно в курсе про возможности дифференциального и линейного анализа DESа. Однако на практике 2^42 шифртекстов никто не собирает, все покупают COPACOBANA за 7 тысяч евро и вскрывают ключ за неделю (или сколько там последняя версия требует).

Кстати, 3DES можно использовать и сейчас, только медленно будет.

От	IKar
К	Дмитрий Ховратович (03.08.2010 18:08:16)
Дата	04.08.2010 12:17:49

Re: Это так

>>Это не так. DES давно уже вскрыли с помощью дифференциального криптоанализа и по этой причине сначала был сделан 3DES (как временная мера) а далее и совершенно новый AES.
>
>3DES был сделан еще в 80-х:). Я прекрасно в курсе про возможности дифференциального и линейного анализа DESа. Однако на практике 2^42 шифртекстов никто не собирает, все покупают COPACOBANA за 7 тысяч евро и вскрывают ключ за неделю (или сколько там последняя версия требует).

Откудо информация про то, что он был сделан еще в 80-х, поделитесь ссылкой? Насколько мне известно, когда в 1990-м Biham и Shamir опубликовали свою статью про дифференциальный криптоанализ DES-подобных систем, никаких публичных данных про 3DES небыло. Насколько я помню публично в разных источниках 3DES, в его ныняшнем виде, появился где-то в середине 90-х, а стандартом стал 1998-ом. У меня был некоторый доступ к первым версиям официальных документов по 3DES и они датировались 90-ми. А упоминаний 80-х мне не попадались.

Относительно реального нахождения ключа я согласен, что теоретико-математические атаки на практике нереализуемы. Но они дают представление о системе. И если кто-то , к примеру, опубликует атаку на AES-128, которая снижает сложность с 2^128 до скажем 2^100 (для 128 битного ключа), то с очень большой долей вероятности версия с 128-битным ключом будет считаться "разбитой" и более не будет рекомендована к использованию не смотря на то, что в реальности даже такая атака нереализуема. Возможно это результат некоторого "невроза" наблюдаемого у людей, которые занимаются защитой информации. Но достаточно математически показать какие-то циферки, которые посеят зерно неуверенности, как человек быстро побежит искать что-то "лучше", "защищенее" и внушающее большее «доверие».

От	Дмитрий Ховратович
К	IKar (04.08.2010 12:17:49)
Дата	04.08.2010 18:27:18

Re: Это так

>Откудо информация про то, что он был сделан еще в 80-х, поделитесь ссылкой? Насколько мне известно, когда в 1990-м Biham и Shamir опубликовали свою статью про дифференциальный криптоанализ DES-подобных систем, никаких публичных данных про 3DES небыло.

Первая атака на Triple-DES - это Hellman\Merkle в 1981 году. Вот статья http://www.cs.purdue.edu/homes/ninghui/courses/Spring04/homeworks/p465-merkle.pdf

Там рассказано, откуда он взялся. Правда, название Triple-DES появилось позднее.

>Относительно реального нахождения ключа я согласен, что теоретико-математические атаки на практике нереализуемы. Но они дают представление о системе. И если кто-то , к примеру, опубликует атаку на AES-128, которая снижает сложность с 2^128 до скажем 2^100 (для 128 битного ключа), то с очень большой долей вероятности версия с 128-битным ключом будет считаться "разбитой" и более не будет рекомендована к использованию не смотря на то, что в реальности даже такая атака нереализуема. Возможно это результат некоторого "невроза" наблюдаемого у людей, которые занимаются защитой информации. Но достаточно математически показать какие-то циферки, которые посеят зерно неуверенности, как человек быстро побежит искать что-то "лучше", "защищенее" и внушающее большее «доверие».

Да, как-то так. Кроме того, атака за 2^100 показывает, что есть ошибки в дизайне, и могут обнаружиться новые.

От	IKar
К	Дмитрий Ховратович (04.08.2010 18:27:18)
Дата	05.08.2010 08:27:41

Ре: Это так

>>Откудо информация про то, что он был сделан еще в 80-х, поделитесь ссылкой? Насколько мне известно, когда в 1990-м Бихам и Шамир опубликовали свою статью про дифференциальный криптоанализ ДЕС-подобных систем, никаких публичных данных про 3ДЕС небыло.
>
>Первая атака на Трипле-ДЕС - это Хеллман\Меркле в 1981 году. Вот статья http://www.cs.purdue.edu/homes/ninghui/courses/Spring04/homeworks/p465-merkle.pdf

>Там рассказано, откуда он взялся. Правда, название Трипле-ДЕС появилось позднее.

Спасибо, оказывается история создания 3DES была несколько иной, чем я представлял.

От	dap
К	IKar (03.08.2010 12:59:09)
Дата	03.08.2010 13:28:24

Re: Скажу авторитетно

>Это не так. DES давно уже вскрыли с помощью дифференциального криптоанализа и по этой причине сначала был сделан 3DES (как временная мера) а далее и совершенно новый AES.
DES стоек к дифференциальному криптоанализу. Т.е. данный тип криптоанализа потребует больше операций чем полный перебор. Кстати в связи с этим возникали вопросы не был ли этот метод известен АНБ во время разработки стандарта DES. Насколько я помню АНБ неоффициально подтвердил, что ему был известен этот метод.
DES не стоек для линейного криптоанализа, но для его применения необходимо огромное число пар открытый текст-шифрованный текст. Поэтому это не практичный метод. Реально DES ломали простым перебором в распределенной вычислительной сети. Последний рекорд 56 часов.

>Так что криптографы не дремлют.
Ну да. Время от времени появляются работы на тему "если у нас будет сто тысяч мильонов пар открытый текст-шифрованный текст то мы сможем уменьшить количество операций для нахождения ключа шифра Дохлая рыба с 2^128 до 2^119" Офигенный результат. Теперь всем суперкомпьютерам земли потребуется не 10000 миллиардов, а всего 10 миллиардов лет. А с учетом роста производительности компьютеров может даже за 10 миллионов лет управятся.
На вопрос нафига через 10 млн. лет нужен будет ключ, где взять сто тысяч мильонов пар открытый текст-шифрованный текст криптографы не отвечают.

>Но справедливости ради, нужно сказать, что ломают чаще всего не криптографическими методами, а используя недостатки среды где эта криптография реализована и работает.
Вот именно. Как говорят люди из компетентных органов - стойкость шифра не превышает стойкости шифровальщицы.

От	IKar
К	dap (03.08.2010 13:28:24)
Дата	03.08.2010 15:34:23

Ре: Скажу авторитетно

От	U235
К	IKar (03.08.2010 15:34:23)
Дата	04.08.2010 07:29:01

Мне другое непонятно

А почему за бортом конкурса осталась такая интересная разработка как SHACAL? Быстрый, унифицированный по преобразованиям с SHA и при этом взломать его никому не удалось. Единственное нарекание было к неудачной процедуре расширения ключа в первой версии алгоритма, но это быстро исправили и SHACAL-2 этим уже не страдает.

От	Дмитрий Ховратович
К	U235 (04.08.2010 07:29:01)
Дата	04.08.2010 07:35:18

Потому что он медленный

В 2.5 раза медленнее, чем SHA-2, а тот еще в полтора раза медленнее AES-128.

Там же открытый текст запихивается в IV, а message cтановится ключом. Соответственно, то же самое число операций, что в SHA-2 уходило на 512 бит, здесь пойдет на 160.

От	U235
К	Дмитрий Ховратович (04.08.2010 07:35:18)
Дата	04.08.2010 10:37:04

Откуда информация?

В описаниях перепетий конкурса NESSIE вроде как наоборот указывается, что эксперты отмечали очень высокую скорость шифрования по стандарту SHACAL. И опять же что и как сравниваем? Все таки SHACAL-2 использует 512битный ключ и шифрует 256битными блоками, причем использует те же 64 итерации базового преобразования SHA-2, что и хеш-функция SHA-256. AES-128 же использует 128 битный ключ и шифрует блок размером 128 бит.

От	Дмитрий Ховратович
К	U235 (04.08.2010 10:37:04)
Дата	04.08.2010 11:02:41

Re: Откуда информация?

>В описаниях перепетий конкурса NESSIE вроде как наоборот указывается, что эксперты отмечали очень высокую скорость шифрования по стандарту SHACAL. И опять же что и как сравниваем? Все таки SHACAL-2 использует 512битный ключ и шифрует 256битными блоками, причем использует те же 64 итерации базового преобразования SHA-2, что и хеш-функция SHA-256. AES-128 же использует 128 битный ключ и шифрует блок размером 128 бит.

Все просто. Сравниваем универсально - в процессорных циклах на байт обработанной информации (сообщения или открытого текста) - это позволяет избавиться от проблем с разной длиной блоков. SHA-2 - это 14 процессорных циклов на байт минимум (в обычных реализациях - больше). Соответственно, SHACAL-2-256 обрабатывает за проход в два (512/256) раза меньше данных, поэтому у него будет около 30 циклов на байт. AES-128 сейчас можно реализовать за 10 циклов на байт, AES-256 - за 14.

Поэтому и не выбрали.

Скажу больше. Если бы SHACAL-2 был сравним по скорости с AES, SHA-2 бы оставили стандартом и конкурс на SHA-3 бы не проводили.

От	Дмитрий Ховратович
К	IKar (03.08.2010 15:34:23)
Дата	03.08.2010 18:17:16

Признали практически официально

>На счет же NSA много слухов ходит. Может и знали, идея-то вполне себе не поверхности. NSA никогда официально этого не признавала.

Копперсмит делал доклад в конце 90-х (не помню где), где рассказывал, как NSA им в IBM прислала стойкие к дифференциальному криптоанализу S-boxы. Собственно, поэтому первая дифференциальная атака 16 раундов сломать не смогла:).

>Как впрочем, мы никогда не узнаем почему они выбрали Rijndael, который криптографы нещадно критиковали, вместо его сильных соперников.

Они - это NIST? Так голосование же было. Соперники слили по скорости (Serpent) и по дизайну (Twofish). А NSA уже позже подключилось, в 2003 году они официально одобрили AES для TOP SECRET, и то с большим ключом.

Ну и "нещадно критиковали" - это художественное преувеличение. Собственно, там одна претензия была и есть - небольшой security margin (7 раундов из 10 можно сломать в 128-битной версии с одним ключом). Ну и теперь видно, что за 10 лет прогресс в анализе AES с одним ключом - мизерный. И больших надежд на то, что дальше будет лучше - нет.

От	Vitaly V. Pinjagin
К	Дмитрий Ховратович (03.08.2010 18:17:16)
Дата	04.08.2010 00:19:54

на счёт ДвухРыб есть тонкость

>Они - это NIST? Так голосование же было. Соперники слили по скорости (Serpent) и по дизайну (Twofish)

Рыб забраковали с формулировкой типа "не поддаётся анализу", то есть про нынешний AES есть аналитический анализ его стойкости, а рыбы (и кипящие и две и три) анализу не поддаются. Если сюда прибавить отставание открытых шифров от АНБ-шны примерно в 10 лет, то вот эта аналитичность AES-а как-то ээээ... тревожит что ли :-)

ЗЫ
отставание в 10 лет лично у меня получилось по "реперезентативной" выборке из 4-5 известных случаев когда АНБ признавалась что нынешний "рывок" в шифровании был им известен в таком-то году, в основном конечно происходило это в результате личных амбиций разработчиков и их желания крикнуть "Это я, я придумала!"(c)

От	Дмитрий Ховратович
К	Vitaly V. Pinjagin (04.08.2010 00:19:54)
Дата	04.08.2010 06:07:47

Re: на счёт...

>
>Рыб забраковали с формулировкой типа "не поддаётся анализу", то есть про нынешний AES есть аналитический анализ его стойкости, а рыбы (и кипящие и две и три) анализу не поддаются.

Да, в общем, поддаются анализу, особенно Threefish. Что же до AES, то там показана только стойкость к дифференциальному и линейному криптоанализу, что несколько ограниченно. Другое дело, что большинство криптоаналитиков пообломало зубы об AES, что и служит хорошим доказательством стойкости.

> Если сюда прибавить отставание открытых шифров от АНБ-шны примерно в 10 лет, то вот эта аналитичность AES-а как-то ээээ... тревожит что ли :-)
>отставание в 10 лет лично у меня получилось по "реперезентативной" выборке из 4-5 известных случаев когда АНБ признавалась что нынешний "рывок" в шифровании был им известен в таком-то году, в основном конечно происходило это в результате личных амбиций разработчиков и их желания крикнуть "Это я, я придумала!"(c)

Не знаю, какой у них уровень дизайна шифров, но вот дизайн хэш-функций (а там принципы весьма схожи) у АНБ чуть более чем полностью состоит из накручивания всяких рюшечек на ривестовский MD4. Особенно хорошо это видно на примере SHA-2, которая представляет собой просто кашу из XORов и сложения по модулю.

От	IKar
К	dap (03.08.2010 13:28:24)
Дата	03.08.2010 15:15:39

Ре: Скажу авторитетно

>>Это не так. ДЕС давно уже вскрыли с помощью дифференциального криптоанализа и по этой причине сначала был сделан 3ДЕС (как временная мера) а далее и совершенно новый АЕС.
>ДЕС стоек к дифференциальному криптоанализу. Т.е. данный тип криптоанализа потребует больше операций чем полный перебор. Кстати в связи с этим возникали вопросы не был ли этот метод известен АНБ во время разработки стандарта ДЕС. Насколько я помню АНБ неоффициально подтвердил, что ему был известен этот метод.
Ну если уж чисто математически, то он нестоек к нему, поскольку дифференциальный криптоанализ дает результат 2^47 супротив полного перебора 2^56.
>ДЕС не стоек для линейного криптоанализа, но для его применения необходимо огромное число пар открытый текст-шифрованный текст. Поэтому это не практичный метод. Реально ДЕС ломали простым перебором в распределенной вычислительной сети. Последний рекорд 56 часов.
Последний раз 1999 году это сделали за чуть более чем 22 часа...

>>Так что криптографы не дремлют.
>Ну да. Время от времени появляются работы на тему "если у нас будет сто тысяч мильонов пар открытый текст-шифрованный текст то мы сможем уменьшить количество операций для нахождения ключа шифра Дохлая рыба с 2^128 до 2^119" Офигенный результат. Теперь всем суперкомпьютерам земли потребуется не 10000 миллиардов, а всего 10 миллиардов лет. А с учетом роста производительности компьютеров может даже за 10 миллионов лет управятся.
>На вопрос нафига через 10 млн. лет нужен будет ключ, где взять сто тысяч мильонов пар открытый текст-шифрованный текст криптографы не отвечают.
Мир не стоит на месте. Никто не может угадать как оно будет завтра.

>>Но справедливости ради, нужно сказать, что ломают чаще всего не криптографическими методами, а используя недостатки среды где эта криптография реализована и работает.
>Вот именно. Как говорят люди из компетентных органов - стойкость шифра не превышает стойкости шифровальщицы.
Это если шифровальщица имеет доступ к реальному ключу. В нормально организованной системе люди реальных ключей не знают. Они могут быть носителями чемоданчика с ключами или теми, кто нажимает нужные кнопки, но не иметь ни малейшей возможности узнать реальное значение ключа.

От	dap
К	IKar (03.08.2010 15:15:39)
Дата	03.08.2010 16:00:01

Ре: Скажу авторитетно

>>ДЕС стоек к дифференциальному криптоанализу.
>Ну если уж чисто математически, то он нестоек к нему, поскольку дифференциальный криптоанализ дает результат 2^47 супротив полного перебора 2^56.
Сдается мне вы путаете сложность с необходимым количеством пар открытый текст-шифртекст. 2^47 это количество пар, а сложность получается больше чем 2^55 - сложность полного перебора.

>Последний раз 1999 году это сделали за чуть более чем 22 часа...
Может быть. Главное что можно это делать оперативно.

>Мир не стоит на месте. Никто не может угадать как оно будет завтра.
Именно поэтому берут ключ 192 или 256 бит и не парятся с угадыванием.

>Это если шифровальщица имеет доступ к реальному ключу. В нормально организованной системе люди реальных ключей не знают. Они могут быть носителями чемоданчика с ключами или теми, кто нажимает нужные кнопки, но не иметь ни малейшей возможности узнать реальное значение ключа.
Это шутка вообще-то. Имеется ввиду человеческий фактор от которого никуда не денешься.

От	Дмитрий Ховратович
К	dap (03.08.2010 16:00:01)
Дата	04.08.2010 07:39:15

Сложность тоже 2^47

>Сдается мне вы путаете сложность с необходимым количеством пар открытый текст-шифртекст. 2^47 это количество пар, а сложность получается больше чем 2^55 - сложность полного перебора.

Потому что после получения всех шифртекстов нужные биты ключа будут предложены автоматически.

От	Дмитрий Козырев
К	Добрыня (02.08.2010 22:15:40)
Дата	03.08.2010 09:43:25

Re: Вопрос по...

>Приветствую!
>1. Применение шифроблокнота (или хотя бы книги) позволяет составить шифровку без единого повторяющегося цифросочетания. Вскрыть такой шифр, по идее, не располагая ключом, невозможно. Метод тривиален, доступен.
>2. Однако криптографы всё равно взламывают шифры. Что находится в противоречии с п.1.

>Вопрос: в чём дело? Спецслужбы почему-то используют менее стойкие шифры? Или шифр, зашифрованный шифроблокнотом, всё равно нестоек?

Применение шифроблокнота с совершено случайной последовательностью знаков ключа делает шифр теоретически стойким. Т.е. недоступным взлому.

Проблема в получени такой совершено случайной последовательности (т.е. где все знаки алфавита появляются равновероятно) произвольной длины и регулярное снабжение блокнотами передающей и принимающей стороны (большие объемы материала при большом объеме информации).

При использовании книг последовательность ключевых символов не случайна (статистика языка) и поддается взлому.

ДСЧ дающие хорошую статистику и позволяющие автоматизировать процесс появились сравнительно недавно (с появлением полупроводниковых придоров).

Датчики же псевдо случайных чисел имели статистику отличающуюся от идеальной и на большом объеме материала поддаются взлому.

Плюс случаются ошибки шифровальщиков такие как повторное использование ключа (случайное или вынужденое).
Ну и плюс как верно замечено работу дешифровальщиков надо расматривать в разных оперативных ситуациях - когда по другим каналам могут быть получены предположения о содержании открытого текста.

В качестве примера - для шифровальных служб есть требование запрета передачи шифром материалов которые в дальнейшем предназначены для открытой публикации.

От	Одессит
К	Дмитрий Козырев (03.08.2010 09:43:25)
Дата	03.08.2010 09:55:58

Re: Вопрос по...

Добрый день

>В качестве примера - для шифровальных служб есть требование запрета передачи шифром материалов которые в дальнейшем предназначены для открытой публикации.

Угу. См. вручаемые посольствами дипломатические ноты: они составляются в МИДе, передаются шифром, а потом перефразируются. Но все равно это весьма уязвимый компонент, потому к шифру еще полагаются кодовые таблицы для самых распространенных понятий и имен собственных.

С уважением www.lander.odessa.ua

От	СанитарЖеня
К	Одессит (03.08.2010 09:55:58)
Дата	03.08.2010 10:50:35

А это где-то официально установлено?

>Добрый день

>>В качестве примера - для шифровальных служб есть требование запрета передачи шифром материалов которые в дальнейшем предназначены для открытой публикации.
>
>Угу. См. вручаемые посольствами дипломатические ноты: они составляются в МИДе, передаются шифром, а потом перефразируются. Но все равно это весьма уязвимый компонент, потому к шифру еще полагаются кодовые таблицы для самых распространенных понятий и имен собственных.

Документ, в котором это описано, или учебник?
Или это "фольклорная информация", устно рассказывают...

От	Одессит
К	СанитарЖеня (03.08.2010 10:50:35)
Дата	03.08.2010 10:59:27

Re: А это...

Добрый день

>>Угу. См. вручаемые посольствами дипломатические ноты: они составляются в МИДе, передаются шифром, а потом перефразируются. Но все равно это весьма уязвимый компонент, потому к шифру еще полагаются кодовые таблицы для самых распространенных понятий и имен собственных.
>
>Документ, в котором это описано, или учебник?
>Или это "фольклорная информация", устно рассказывают...

Конечно, установлено, но, как Вы понимаете, материалы по шифрам хранятся на одном уровне секретности с агентурными.
Это происходит во всех государствах. Ведь если шпиёны противника украдут из вализы или перехватят из эфира или с кабеля закрытый текст, то потом сличить его с результатом не составит сложности, отсюда очень скоро проистечет компрометация всей диппереписки.

С уважением www.lander.odessa.ua

От	IKar
К	Одессит (03.08.2010 10:59:27)
Дата	03.08.2010 13:12:44

Ре: А это...

Если применяются современные шифровальные алгоритмы, то для успешной атаки (выявления ключа) нужно накопить такое количество пар (закрытый текст, открытый текст), что на это 10-ок лет уйдет. А ключи при грамотном использовании довольно часто меняются, скажем раз в пол года.
Другой вопрос шифроблокнот. Там сам метод шифрации должен быть прост и доступен человеку. Так что действительно даже несколько пар могут помочь вскрыть ситему. Но сейчас же никто ими не пользуется.

От	lagr
К	Добрыня (02.08.2010 22:15:40)
Дата	03.08.2010 09:25:24

Re: Вопрос по...

>Приветствую!
1. Невозможно. Но неудобно в использовании обычному пользователю.
2. Взламывают другие шифры и то далеко не все и то не все просто: существует масса практически невскрываемых шифров более удобных в использовании которые с успехом и используются на практике.

От	Hokum
К	Добрыня (02.08.2010 22:15:40)
Дата	03.08.2010 03:10:43

Не криптографией единой

Шифровка существует не в вакууме, а как часть какой-то цепочки событий. И по действиям реципиента можно попробовать угадать ее содержание. Скажем, если соединение, получив шифровку, вдруг изменило курс и пошло к островам Капитана Врунгеля - не нужно быть семи пядей во лбу, чтобы угадать слова, которые просто обязаны содержаться в исходном тексте.
А еще бывает, что по получении шифровки отдаются приказы вниз по цепочке. Которые, как правило, гораздо легче перехватываются и вскрываются. И сопоставив которые можно опять-таки восстановить содержимое шифровки с высокой вероятностью.
А имея зашифрованный и исходный тексты, можно и ключ определить. Даже если он одноразовый - все равно крайне полезно. Особенно если это не случайная последовательность, а книга или иной псевдослучайный ряд.

От	Одессит
К	Hokum (03.08.2010 03:10:43)
Дата	03.08.2010 10:08:35

Так для этого проводят церые операции

Добрый день
>Шифровка существует не в вакууме, а как часть какой-то цепочки событий. И по действиям реципиента можно попробовать угадать ее содержание. Скажем, если соединение, получив шифровку, вдруг изменило курс и пошло к островам Капитана Врунгеля - не нужно быть семи пядей во лбу, чтобы угадать слова, которые просто обязаны содержаться в исходном тексте.

Вот одна из них. Опять же цитата:
"На раннем этапе работы Ярдли спланировал и совместно с Бюро военно-морской разведки осуществил операцию по получению опорных слов в закрытом тексте японской шифровки, способных служить отправными точками для ее прочтения. По его предложению заместитель директора ОНИ подполковник Р. Мак-Кенни 29 января 1920 года направил меморандум японскому военному атташе в Вашингтоне генерал-майору К. Иноуэ, в котором попросил того проверить данные на недавно прибывшего в США из Токио русского по происхождению Владислава Филопеи, или Венцеслава Филофи. Этот человек и в самом деле появился в Соединенных Штатах и прошел на границе стандартную процедуру опроса иммиграционными властями, в ходе которой предоставил им некоторую информацию, однако прибывший и понятия не имел о том, что он якобы предложил свои услуги американскому правительству и отрекомендовался при этом личным секретарем атамана Семенова. В послании содержалась также ссылка на некоего Гортинского, также проживающего в японской столице. Иноуэ попался в ловушку и запросил Токио по сути меморандума. Получив ответ, 26 февраля он проинформировал американцев, что Филопеи-Филофи и в самом деле находился в контролируемых японцами частях Семенова, хотя был там всего лишь военным священником. Комбинация Ярдли вполне удалась, поскольку в радиоперехвате появился не один, а сразу шесть ключей для дешифровки, представлявших собой все перечисленные имена и фамилии. Однако она несколько запоздала и оказалась не столь полезной, как планировалось, поскольку криптоаналитики уже подошли к вскрытию японской шифрсистемы математическим путем".

>А еще бывает, что по получении шифровки отдаются приказы вниз по цепочке. Которые, как правило, гораздо легче перехватываются и вскрываются. И сопоставив которые можно опять-таки восстановить содержимое шифровки с высокой вероятностью.

Приказы должны быстро и легко расшифровываться получателем, иначе это создаст трудности в управлении войсками. И потому их обычно закрывают шифром с меньшей временно-аналитической стойкостью, но это неважно. Главное, чтобы расчетное время вскрытия противником такого текста было меньше времени, требуемого для предписанных им действий данной части или подразделения. После совершения этих действий дешифровать можно сколько угодно, все равно уже поздно. И потому стойкость шифров плано уменьшается в зависимости от степени "стратегическости" закрываемого ими текста.

>А имея зашифрованный и исходный тексты, можно и ключ определить. Даже если он одноразовый - все равно крайне полезно. Особенно если это не случайная последовательность, а книга или иной псевдослучайный ряд.

Математики здорово поизгалялись на сопоставлением случайности и псевдослучайности. И для них это имеет какое-то практическое значение? Например, некогда практиковавшееся составление шифровального лозунга путем произвольного тыкания пальцами обеих рук по клавиатуре пишущей машинки было сочтено уязвимым, поскольку левая рука обычно висит нал левой частью клавиатуры, правая - над правой, то есть уже наблюдается некая закономерность, способная дать дешифровальщикам зацепку.

С уважением www.lander.odessa.ua

От	AFirsov
К	Добрыня (02.08.2010 22:15:40)
Дата	02.08.2010 23:30:30

Тупо - если длина ключа больше сообщения - фиг вскроешь (аналог шифрблокнота)

Если меньше - ловят повторения...

От	Одессит
К	AFirsov (02.08.2010 23:30:30)
Дата	03.08.2010 01:11:45

Re: Тупо -...

Добрый день
>Если меньше - ловят повторения...

А вот именно на этот случай и вводят строгое ограничение длины закрываемого текста. Если надо, его разбивают на фрагменты.

С уважением www.lander.odessa.ua

От	СанитарЖеня
К	Добрыня (02.08.2010 22:15:40)
Дата	02.08.2010 23:08:30

Re: Вопрос по...

От	Ktulu
К	Добрыня (02.08.2010 22:15:40)
Дата	02.08.2010 22:58:40

One-time pad is completely unbreakable

>Вопрос: в чём дело? Спецслужбы почему-то используют менее стойкие шифры? Или шифр, зашифрованный шифроблокнотом, всё равно нестоек?
Если код шифроблокнота случаен и каждый фрагмент используется ровно один раз, содержимое шифроблокнота секретно
(в т.ч. не передаётся так, что его можно перехватить), то разгадать шифрованное сообщение
кроме как полным перебором всех возможных вариантов невозможно (строго математически).

Грубо говоря, шифроблокнот -- белый шум, а операция "исключающая или" белого шума с сообщением
также представляет собой белый шум.

--
Алексей

От	sergе ts
К	Добрыня (02.08.2010 22:15:40)
Дата	02.08.2010 22:56:31

Шифр зашифрованный одноразовым шифроблокнотом невскрываем.

Однако если запас кончился - повторное использование
Плохо сгенерирован - плохой генератор случайных чисел (были прецеденты)
(1 и 2 относится и к книгам)
Попали в чужие руки
Вскрытие методом битья резиновым шлангом

От	Фигурант
К	Добрыня (02.08.2010 22:15:40)
Дата	02.08.2010 22:47:48

Язык, Ватсон, язык :) Он все же систематичен :) (-)

От	DM
К	Фигурант (02.08.2010 22:47:48)
Дата	02.08.2010 23:12:29

Re: Язык, Ватсон,...

а при чем тут системность языка? Если в шифровке нет вообще повторяющихся символов.

В детстве, помню, баловались. каждая бука - 4 числа. абзац - строка - слово - буква. По одному тексту.

Например слово "Фигурант" по Жюль Верну "Таинственный остров":

"Ураган 1865 года. - Крики в воздухе. - Смерч уносит
воздушный шар. - Оболочка лопается. - Кругом вода. - Пять
пассажиров. - Что происходит в корзине. - Земля на горизонте. -
Развязка.

- Мы поднимаемся?
- Нет! Напротив! Мы опускаемся!
- Хуже того, мистер Сайрес: мы падаем!
- Выбросить балласт!
- Последний мешок только что опорожнен!
- Поднимается ли шар?
- Нет!
- Я как будто слышу плеск волн!
- Корзина - над водой!
- До моря не больше пятисот футов (1)!
В воздухе раздался властный голос:
- Все тяжелое за борт! Все!.. Эти слова слышались над безбрежной пустыней Тихого океана
23 марта 1865 года, около четырех часов дня.

Все, разумеется, помнят жестокую бурю, разразившуюся в
этом году во время равноденствия. Барометр упал до 710
миллиметров. Страшный норд-ост дул, не утихая, с 18 по 26
марта. Он произвел невиданные опустошения в Америке, Европе и
Азии, на территории в тысячу восемьсот миль - между тридцать
пятой параллелью северной широты до сороковой южной параллели.

Разрушенные города, вырванные с корнем леса, берега,
опустошенные нахлынувшими горами воды, сотни кораблей,
выброшенных на берег, целые области, разоренные смерчем, все
сметавшим на своем пути, тысячи людей, раздавленных на суше или
поглощенных водой, - вот последствия этого неистовствовавшего
урагана. Он произвел больше опустошений, чем бури, уничтожившие
Гавану и Гваделупу 25 октября 1810 года и 26 июля 1825 года.

В то самое время, когда на суше и на воде происходило
столько ужасных бедствий, в воздухе разыгрывалась не менее
страшная драма.

Аэростат, уносимый смерчем, вертелся в бешеном вихре,
словно маленький шарик. Непрестанно крутясь в воздушном
водовороте, он несся вперед со скоростью девяноста миль (2) в
час.

Под нижней частью шара качалась корзина с пятью
пассажирами, едва видимыми в густых, пропитанных водяной пылью
облаках, нависших над самым океаном."

11 1 6 1
1 3 3 4
17 2 6 5
18 1 2 1
16 3 6 1
1 1 1 3
3 1 2 1
13 1 4 4

Муторно, конечно... Но объясните в чистой теории - как можно вообще расшифроваь такой шрифт не зная кодовой книги?

От	Фигурант
К	DM (02.08.2010 23:12:29)
Дата	02.08.2010 23:15:53

Если только 1 раз, то все путем. Если нет, то всплывают закономерности. (-)

От	Фигурант
К	Фигурант (02.08.2010 23:15:53)
Дата	02.08.2010 23:18:22

ПС: например в Вашем коде первое число часто больше по знач. чем остальные :) (-)

От	DM
К	Фигурант (02.08.2010 23:18:22)
Дата	02.08.2010 23:22:03

И что это дает? :)

Даже если я ЗНАЮ что за система шифра использована - как можно расшифровать текст не зная базовой книги?

ЗЫ. А можно и усложнить... например кажное следующее слово - через одну (две, три восемь) страниц или еще как... А стартовая страница - как-то привязана к событию (дате или еще чему). Море вариантов.

От	Фигурант
К	DM (02.08.2010 23:22:03)
Дата	02.08.2010 23:26:56

Само по себе - действительно ничего.

>Даже если я ЗНАЮ что за система шифра использована - как можно расшифровать текст не зная базовой книги?
Но если тескт длинный (а не просто одно слово), если книжкой пользовались не 1 раз, если книжка - не Симплициссимус или (еще лучше) свод законов, а что-то помельче, и особенно - если известно на какой язык и с какой целью шифрокод генерирован, то современный комп способен отсечь много чего и может быть даже выдать вероятный вариант - дело то в том, что он учитывает что случайные читабельные результаты/фрагменты могут быть не случайными :))

Т.е. я отвечал просто на вопрос - как это возможно.
Это очень и очень маловероятно, но возможно. Чаще всего по причине лени и разгильдайства, как всегда.

От	DM
К	Фигурант (02.08.2010 23:26:56)
Дата	02.08.2010 23:30:39

Re: Само по...

>Это очень и очень маловероятно, но возможно. Чаще всего по причине лени и разгильдайства, как всегда.

Вот именно - только по причине лени и разгильдяйства. Кодировать-то я буду по бумажной книге, а не по тексту в компе. Следовательно даже мало знать что за книга - надо учитывать именно определенное издание и тираж. Предположить что ВСЕ книги имеются в распоряжении дешифровальщиков и вогнаны в компьютер - как по мне нонсенс :)

только вот длинный текст так кодировать - проще сразу повесится :)

От	Одессит
К	DM (02.08.2010 23:30:39)
Дата	03.08.2010 01:17:59

Вот конкретный трагический пример

Добрый день

из печальной истории провала брюссельской резидентуры ГРУ. Описывается проблема, стоявшая перед германскими криптоаналитиками после захвата резидентуры на улице Атребатов:

"У немцев оставалась еще хозяйка конспиративной квартиры Рита Арну (“Джульетта”), от страха готовая на все, однако действительно не располагавшая никакой информацией относительно шифров. Тем не менее, она вспомнила названия нескольких книг, постоянно хранившихся в комнате Познанской, однако сотрудникам доктора Фаука это почти ничего не дало. Вилла сменила хозяев, а Треппер сумел направить туда своих людей, негласно изъявших библиотеку и сумевших опередить немцев. Централизованной библиотечной системы в тот период не существовало, и криптоаналитикам пришлось покупать книги у букинистов. При этом не было никакой уверенности, что Арну вспомнила обо всех книгах, и уж, безусловно, она не знала их конкретных изданий, различавшихся между собой расположением текста на страницах. Без этого поиски в огромном массиве печатного текста ключевого слова или фразы, изменявшихся с каждой новой радиограм-мой, были абсолютно бесполезным занятием. Криптоаналитикам помог случай. На полусгоревшем клочке бумаги они с трудом разобрали сохранившееся слово “Проктор”, которое явно не относилось к смысловой части текста, следовательно, было ключевым. Необходимо отметить, что выбор Познанской для шифрования текста имени собственного, тем более редкого и характерного, являлся крайне неудачным решением, поскольку давал весьма серьезную зацепку для определения нужной книги. Так и произошло. 17 мая 1942 года криптоаналитики наконец обнаружили искомое слово в книге Ги де Терамона “Чудо профессора Вольмара”, по которой были зашифрованы 120 радиограмм. Теперь оставалось лишь определить в тексте каждой из них индикатор, указывавший номера страницы, строки и слова в ней, после чего дальнейшая работа из поиска вслепую превращалась в рутинную операцию. Однако остальные радиограммы перешифровывались по книге Бальзака “Тридцатилетняя женщина”, а небольшая часть ─ по пьесе Адама Кукхофа “Тиль Уленшпигель”, что немцы так и не выяснили. В принципе, на этой стадии расследование могло зайти в тупик, если бы не вопиющая ошибка Центра. В одной из его радиограмм были указаны подлинные адреса трех участников берлинских групп военной и внешней разведок СССР. 14 июля 1942 года немцы прочли ее текст, причем содержащиеся в нем данные были настолько невероятны, что в гестапо первоначально даже не поверили криптоаналитикам и посчитали, что они ошиблись. Контрразведчики твердо знали, что подобная информация никогда, ни при каких обстоятельствах не должна уходить в эфир даже в зашифрованном виде, однако ошибкой это не являлось". (Дальше уже немного в стороне от темы).

>>Это очень и очень маловероятно, но возможно. Чаще всего по причине лени и разгильдайства, как всегда.

Что и продемонстрировал данный эпизод, а также множество других в истории.

С уважением www.lander.odessa.ua

От	Dervish
К	Одессит (03.08.2010 01:17:59)
Дата	03.08.2010 07:19:26

Не понял, какпрочли шифровку от 16.06.1942? Она была по книге де Терамона? (-)

От	Одессит
К	Dervish (03.08.2010 07:19:26)
Дата	03.08.2010 10:11:11

Имеете в виду

Добрый день

радиограмму с берлинскими адресами, позывными и расписанием связи? Не знаю достоверно, но, кажется, по ней.

С уважением www.lander.odessa.ua

От	объект 925
К	Одессит (03.08.2010 10:11:11)
Дата	03.08.2010 19:53:25

емнип все-таки не по книге. (-)

От	Кужон
К	DM (02.08.2010 23:30:39)
Дата	03.08.2010 00:22:42

Re: Само по...

>>Это очень и очень маловероятно, но возможно. Чаще всего по причине лени и разгильдайства, как всегда.
>
>Вот именно - только по причине лени и разгильдяйства. Кодировать-то я буду по бумажной книге, а не по тексту в компе. Следовательно даже мало знать что за книга - надо учитывать именно определенное издание и тираж. Предположить что ВСЕ книги имеются в распоряжении дешифровальщиков и вогнаны в компьютер - как по мне нонсенс :)

>только вот длинный текст так кодировать - проще сразу повесится :)

Вообще-то текст, по которому производится кодирование, значения вообще может не иметь (в том смысле, что он создаётся заново, а не ищется). Речь, разумеется, о ситуации, когда многократно используется один и тот же ключ.

От	Гриша
К	Фигурант (02.08.2010 22:47:48)
Дата	02.08.2010 22:52:18

Ре: Язык, Ватсон,...

В принципе и это можно избежать, заменяя новой кодовой группой каждое использование буквы. Т.Е, например :
1-е использование буквы "а" -заменяется буквой "д"
2-е использование буквы "а" -заменяется буквой "и"
итд..

От	Добрыня
К	Фигурант (02.08.2010 22:47:48)
Дата	02.08.2010 22:51:03

А какую систему можно извлечь из группы не повторяющихся чисел?

Приветствую!
Не представляю...
С уважением, Д..
Это для вас - Балтия. А для нас - плацдарм для удара по Ленинграду.

От	Фигурант
К	Добрыня (02.08.2010 22:51:03)
Дата	02.08.2010 22:58:46