ВИФ2 NE : Ветка : Признали практически официально

От	Дмитрий Ховратович
К	IKar
Дата	03.08.2010 18:17:16
Рубрики	WWII; Спецслужбы;

Признали практически официально

>На счет же NSA много слухов ходит. Может и знали, идея-то вполне себе не поверхности. NSA никогда официально этого не признавала.

Копперсмит делал доклад в конце 90-х (не помню где), где рассказывал, как NSA им в IBM прислала стойкие к дифференциальному криптоанализу S-boxы. Собственно, поэтому первая дифференциальная атака 16 раундов сломать не смогла:).

>Как впрочем, мы никогда не узнаем почему они выбрали Rijndael, который криптографы нещадно критиковали, вместо его сильных соперников.

Они - это NIST? Так голосование же было. Соперники слили по скорости (Serpent) и по дизайну (Twofish). А NSA уже позже подключилось, в 2003 году они официально одобрили AES для TOP SECRET, и то с большим ключом.

Ну и "нещадно критиковали" - это художественное преувеличение. Собственно, там одна претензия была и есть - небольшой security margin (7 раундов из 10 можно сломать в 128-битной версии с одним ключом). Ну и теперь видно, что за 10 лет прогресс в анализе AES с одним ключом - мизерный. И больших надежд на то, что дальше будет лучше - нет.

От	Vitaly V. Pinjagin
К	Дмитрий Ховратович (03.08.2010 18:17:16)
Дата	04.08.2010 00:19:54

на счёт ДвухРыб есть тонкость

>Они - это NIST? Так голосование же было. Соперники слили по скорости (Serpent) и по дизайну (Twofish)

Рыб забраковали с формулировкой типа "не поддаётся анализу", то есть про нынешний AES есть аналитический анализ его стойкости, а рыбы (и кипящие и две и три) анализу не поддаются. Если сюда прибавить отставание открытых шифров от АНБ-шны примерно в 10 лет, то вот эта аналитичность AES-а как-то ээээ... тревожит что ли :-)

ЗЫ
отставание в 10 лет лично у меня получилось по "реперезентативной" выборке из 4-5 известных случаев когда АНБ признавалась что нынешний "рывок" в шифровании был им известен в таком-то году, в основном конечно происходило это в результате личных амбиций разработчиков и их желания крикнуть "Это я, я придумала!"(c)

От	Дмитрий Ховратович
К	Vitaly V. Pinjagin (04.08.2010 00:19:54)
Дата	04.08.2010 06:07:47

Re: на счёт...

>
>Рыб забраковали с формулировкой типа "не поддаётся анализу", то есть про нынешний AES есть аналитический анализ его стойкости, а рыбы (и кипящие и две и три) анализу не поддаются.

Да, в общем, поддаются анализу, особенно Threefish. Что же до AES, то там показана только стойкость к дифференциальному и линейному криптоанализу, что несколько ограниченно. Другое дело, что большинство криптоаналитиков пообломало зубы об AES, что и служит хорошим доказательством стойкости.

> Если сюда прибавить отставание открытых шифров от АНБ-шны примерно в 10 лет, то вот эта аналитичность AES-а как-то ээээ... тревожит что ли :-)
>отставание в 10 лет лично у меня получилось по "реперезентативной" выборке из 4-5 известных случаев когда АНБ признавалась что нынешний "рывок" в шифровании был им известен в таком-то году, в основном конечно происходило это в результате личных амбиций разработчиков и их желания крикнуть "Это я, я придумала!"(c)

Не знаю, какой у них уровень дизайна шифров, но вот дизайн хэш-функций (а там принципы весьма схожи) у АНБ чуть более чем полностью состоит из накручивания всяких рюшечек на ривестовский MD4. Особенно хорошо это видно на примере SHA-2, которая представляет собой просто кашу из XORов и сложения по модулю.