От	Ktulu
К	Ktulu
Дата	20.03.2005 10:27:48
Рубрики	Спецслужбы;

Re: 56bit DES...

---

Это моё личное заключение.
DES и 3DES сейчас используют только люди и организации, мягко говоря,
не совсем разбирающиеся в криптографии, или которых не волнуют
последствия расшифровки их данных.

DES был успешно достоверно вскрыт ещё в 1995 году; NSA, судя по всему, имело
возможность вскрывать DES за считанные секунды чуть ли не с начала 90-х.
http://crypto.stanford.edu/~dabo/abstracts/bioDES.html
http://www.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/

Triple DES, хотя и более криптоустойчив, сейчас также считается небезопасным.

На данный момент бельгийский 256-битный Райндол (Rijndael, он же AES) -
наиболее приемлемый вариант шифрования (по моему скромному мнению,
конечно).

--
Алексей

---

От	AMX
К	Ktulu (20.03.2005 10:27:48)
Дата	20.03.2005 12:25:11

Re: 56bit DES...

---

>DES и 3DES сейчас используют только люди и организации, мягко говоря,
>не совсем разбирающиеся в криптографии, или которых не волнуют
>последствия расшифровки их данных.

Постановка вопроса в корне не верная. Защищенность способа шифрования зависит не от поражающих неокрепшие умы сроков подбора, а от времени жизни ключа и необходимых ресурсов. Если я, например, использую DES в pay-tv, где ключ будет меняться каждые 2 секунды, то этот алгоритм более чем надежен. И наоборот, если вы опрометчиво поведетесь на то, что для нахождения ключа для алгоритма Х нужно 100 лет для среднего PC, и даже если это будет правда, то поставив 100 машин я найду ключик через год. И если информация к которой я получу доступ будет важна и через год, то горе вам.

А если учесть, что атаку можно производить не только методом перебора, в чем очень помогает открытость алгоритма, то ни в чем нельзя быть уверенным.
Последние новости про MD5 как раз в тему. :)
http://www.schneier.com/blog/archives/2005/03/more_hash_funct.html

---

От	Ktulu
К	AMX (20.03.2005 12:25:11)
Дата	21.03.2005 10:44:55

Re: 56bit DES...

---

>>DES и 3DES сейчас используют только люди и организации, мягко говоря,
>>не совсем разбирающиеся в криптографии, или которых не волнуют
>>последствия расшифровки их данных.
>
>Постановка вопроса в корне не верная. Защищенность способа шифрования зависит не от поражающих неокрепшие умы сроков подбора, а от времени жизни ключа и необходимых ресурсов.

Не так, чтобы считать процедуру шифрования надёжной, стоимость расшифровки
должна многократно превышать (желательно, на несколько порядков) стоимость
самих данных.

> Если я, например, использую DES в pay-tv, где ключ будет меняться каждые 2 секунды, то этот алгоритм более чем надежен.
Надёжен для чего? Цель шифрования телевизионного сигнала заключается
в том, чтобы не дать смотреть этот сигнал тому, кто не знает ключ.
Но всегда можно этот сигнал записать, а потом расшифровать. Если
процедура расшифровки будет простой, т.е. занимать 1-2 секунды, то
можно будет построить устройство, которое с небольшой задержкой относительно реального времени будет выдавать этот сигнал пользователю.
А со сменой ключей - как вы собираетесь передавать новые ключи зрителям?
Или новые ключи будут содержаться в самом телевизионном сигнале?

> И наоборот, если вы опрометчиво поведетесь на то, что для нахождения ключа для алгоритма Х нужно 100 лет для среднего PC, и даже если это будет правда, то поставив 100 машин я найду ключик через год. И если информация к которой я получу доступ будет важна и через год, то горе вам.

_Я_ на это не поведусь :) В 1998 году для вскрытия DES были использованы
100 тыс. компьютеров.

>А если учесть, что атаку можно производить не только методом перебора, в чем очень помогает открытость алгоритма, то ни в чем нельзя быть уверенным.
>Последние новости про MD5 как раз в тему. :)
> http://www.schneier.com/blog/archives/2005/03/more_hash_funct.html

Про MD5 я в курсе, но это не алгоритм шифрования. В том же самом DES,
насколько мне известно, не было обнаружено явных слабостей, которые
позволяют сократить число ключей при переборе всех вариантов с 2^56
до меньшего, более приемлемого значения.

--
Алексей

---

От	AMX
К	Ktulu (21.03.2005 10:44:55)
Дата	21.03.2005 12:48:14

Re: 56bit DES...

---

>Не так, чтобы считать процедуру шифрования надёжной, стоимость расшифровки
>должна многократно превышать (желательно, на несколько порядков) стоимость
>самих данных.

И это не верно. Много чего ломают очень даже за просто так - за интерес и за свой счет, не планируя получить какую либо выгоду вообще.

---

От	dap
К	AMX (21.03.2005 12:48:14)
Дата	21.03.2005 13:02:55

Не всегда.(C) (+)

---

>И это не верно. Много чего ломают очень даже за просто так - за интерес и за свой счет, не планируя получить какую либо выгоду вообще.

Когда кул-хацкер Вася Пупкин взламывает защиту на компьютере ламера Ивана Сидорова – да. Но когда ломается шифр с использованием суперкомпьютера, деньги начинают играть решающую роль.

---

От	AMX
К	dap (21.03.2005 13:02:55)
Дата	21.03.2005 13:27:47

Re: Не всегда.(C)

---

>Но когда ломается шифр с использованием суперкомпьютера, деньги начинают играть решающую роль.

Я разве с этим спорю? Это ветка началась с такого же моего утверждения. Государство разумеется имеет в этом вопросе преимущество и обольщаться на этот счет не стоит.

---

От	Дмитрий Козырев
К	AMX (21.03.2005 12:48:14)
Дата	21.03.2005 12:55:15

Re: 56bit DES...

---

>>Не так, чтобы считать процедуру шифрования надёжной, стоимость расшифровки
>>должна многократно превышать (желательно, на несколько порядков) стоимость
>>самих данных.
>
>И это не верно.

Вот Вы не любите когда Вас "учат" устройству немецких танков...

>Много чего ломают очень даже за просто так - за интерес и за свой счет, не планируя получить какую либо выгоду вообще.

Под "стоимостью" здесь понимается соотношение времени и ресурсов.
Иначе говоря - будете использовать бытовой ПК - не хватит жизни (человеческой, стандарта или технологии).
Будете использовать "суперкомпьютер" - "за интерес" к нему никто не подпустит.

---

От	AMX
К	Дмитрий Козырев (21.03.2005 12:55:15)
Дата	21.03.2005 13:20:45

Re: 56bit DES...

---

>Вот Вы не любите когда Вас "учат" устройству немецких танков...

Намекаете на мою безграмотность в этом вопросе? :)
>Под "стоимостью" здесь понимается соотношение времени и ресурсов.
>Иначе говоря - будете использовать бытовой ПК - не хватит жизни (человеческой, стандарта или технологии).
>Будете использовать "суперкомпьютер" - "за интерес" к нему никто не подпустит.

Это и есть ошибка. РС не очень подходит для таких дел в принципе. Если вы этим делом занимались, то знаете, что скорость перебора на PC в большинстве случаев, если не удается очень хорошо оптимизировать код, ограничена доступом к памяти, т.е. не частотой процессора, а частотой шины. А если вспомнить, сколько ресурсов тратится на ОС и т.д.
В то же время создание узкоспециализированного электронного устройства стоит копейки. Для этого не надо быть гением или миллионером или иметь какой-то особый доступ к чему либо.
Суперкомпьютера не получится разумеется, но PC будет нервно курить в стороне. Поэтому оценки "скоко будет времени на PC Х Ггц" весьма лажовые на мой взгляд.
История про "неуловимого Джо".

---

От	Дмитрий Козырев
К	AMX (21.03.2005 13:20:45)
Дата	21.03.2005 13:28:09

Re: 56bit DES...

---

>>Вот Вы не любите когда Вас "учат" устройству немецких танков...
>
>Намекаете на мою безграмотность в этом вопросе? :)

Ну... скажем так... неосведомленность :)

>>Будете использовать "суперкомпьютер" - "за интерес" к нему никто не подпустит.
>
>Это и есть ошибка. РС не очень подходит для таких дел в принципе. Если вы этим делом занимались, то знаете, что скорость перебора на PC в большинстве случаев, если не удается очень хорошо оптимизировать код, ограничена доступом к памяти, т.е. не частотой процессора, а частотой шины. А если вспомнить, сколько ресурсов тратится на ОС и т.д.
>В то же время создание узкоспециализированного электронного устройства стоит копейки. Для этого не надо быть гением или миллионером или иметь какой-то особый доступ к чему либо.
>Суперкомпьютера не получится разумеется, но PC будет нервно курить в стороне. Поэтому оценки "скоко будет времени на PC Х Ггц" весьма лажовые на мой взгляд.

Класс "РС" приведены условно, безотносительно конкретных можделей и архитектуры. Расчет производительности идет разумеется от вычислительных мощностей процессоров. (У них есть такая характеристика - количество операций в секунду (причем как для чисел с фиксированной так и для чисел с плавающей точкой).

---

От	AMX
К	Дмитрий Козырев (21.03.2005 13:28:09)
Дата	21.03.2005 13:47:44

Re: 56bit DES...

---

>>Намекаете на мою безграмотность в этом вопросе? :)
>
>Ну... скажем так... неосведомленность :)

А мне кажеться, что наоборот. ;))

>Класс "РС" приведены условно, безотносительно конкретных можделей и архитектуры. Расчет производительности идет разумеется от вычислительных мощностей процессоров. (У них есть такая характеристика - количество операций в секунду (причем как для чисел с фиксированной так и для чисел с плавающей точкой).

Условно, не условно. Был такой проект по DES с использованием FPGA ака ПЛИС. Стоимость проекта 3500$(это у них я так понимаю с зарплатой, сама микросхема несколько долларов), результат 12-15 часов на полный перебор.

Xilinx у них был слабенький по нынешним временам.

---

От	dap
К	AMX (21.03.2005 13:47:44)
Дата	21.03.2005 14:42:59

АФАИК Последний рекорд 56 бит за 56 часов. :) (+)

---

Использовался простой перебор при помощи компьютеров добровольцев в Internet.

Однако это обычный 56-битный DES.
Для взлома 2-х ключевого TripleDES потребуется в 2^56 = 72057594037927936 больше времени.
Врядли кто-то согласится столько ждать. Даже с учетом возможного распараллеливания.

---

От	AMX
К	dap (21.03.2005 14:42:59)
Дата	21.03.2005 15:04:43

Re: АФАИК Последний...

---

Почитайте по линку, который я дал ниже.

"In addition, it is worth noting that with the new Xilinx FPGA10, we would be able to carry out the same attack in about 1 hour, without changing the HDL code."

"Кроме того, заметим, что используя новый Xilinx FPGA10, мы могли бы провести такую же атаку за 1 час, без изменения HDL кода."

Так что создание "супер компьютера" для криптоанализа образца середины 90-х сейчас доступно любому специалисту, умеющему программировать ПЛИС за карманные деньги.

Я отнюдь не хочу сказать, что дома можно сломать всё, я лишь хочу заметить, что подростки в интернете и время в количестве PC не показатель. Кстати "юноши со взором горящим" это тоже уже поняли и идеи, а не забацать ли нам по FPGA вместо переборки ключей на компах, сейчас не редкость.

---

От	dap
К	AMX (21.03.2005 15:04:43)
Дата	21.03.2005 16:03:59

Еще раз. Это касается 56-битного DES. TripleDES таким методом не взломать. (-)

---

---

От	AMX
К	dap (21.03.2005 16:03:59)
Дата	21.03.2005 16:31:13

Вы думаете я не знаю о каком DES идет речь?(+)

---

Был тезис: Скорость де перебора вот такая в "PC часах".
Я выдвинул контртезис: "PC часы" ничего не отражают.
Мне ответили, что де супер-компьютеры штука дорогая. Я привел пример "супер-компьютера" за весьма скромные деньги, который можно купить в магазине "ЧИП и ДИП".
И позволяет иметь любому средство для криптоанализа, которое достаточно недавно было доступно только государствам.

Что не так? :))

---

От	dap
К	AMX (21.03.2005 16:31:13)
Дата	21.03.2005 17:24:18

Кто бы с эти спорил. (+)

---

>Был тезис: Скорость де перебора вот такая в "PC часах".

Это просто грубая оценка. Что-то вроде "Если представить что атом размером с горошину – горошина будет размером с Землю".

>Я выдвинул контртезис: "PC часы" ничего не отражают.

Отражают сложность взлома шифра в попугаях. :)

>Мне ответили, что де супер-компьютеры штука дорогая. Я привел пример "супер-компьютера" за весьма скромные деньги, который можно купить в магазине "ЧИП и ДИП".
>И позволяет иметь любому средство для криптоанализа, которое достаточно недавно было доступно только государствам.
>Что не так? :))

Да все так. Просто в ответ на успешный взлом DES длину ключа увеличили в 2 раза и теперь взлом не доступен не только простым людям но и спецслужбам. :)

---

От	Дмитрий Козырев
К	AMX (21.03.2005 13:47:44)
Дата	21.03.2005 14:03:01

Re: 56bit DES...

---

>Условно, не условно. Был такой проект по DES с использованием FPGA ака ПЛИС. Стоимость проекта 3500$(это у них я так понимаю с зарплатой, сама микросхема несколько долларов), результат 12-15 часов на полный перебор.

И где можно приобрести результат их работы?

---

От	AMX
К	Дмитрий Козырев (21.03.2005 14:03:01)
Дата	21.03.2005 14:17:49

Re: 56bit DES...

---

>И где можно приобрести результат их работы?

Вот уж не знаю. :))
Спросите их самих http://www.dice.ucl.ac.be/crypto/publications/2002/FPL2002_crypta.pdf

Как человек работающий в сфере создания электроники и софта для торговых автоматов и платежных систем, могу сказать, что реализовать криптоалгоритмы в том же ПЛИСе это очень тривиальная задача. Их и так приходится реализовывать там для работы автоматов и пр.
А теперь представте, что я сделал такой проект, только умножил его на 1000, т.е. задействовал тысячу таких схем и разбил отрезки. ;)) И решение достаточно бюджетное для маньяка :))

А есть еще и более быстрые доступные решения. :))

---

От	Colder
К	Ktulu (21.03.2005 10:44:55)
Дата	21.03.2005 11:41:29

Передача ключей в ТВ сигнале

---

>А со сменой ключей - как вы собираетесь передавать новые ключи зрителям?
>Или новые ключи будут содержаться в самом телевизионном сигнале?

Собственно говоря, в САТ-ТВ именно так и происходит :), т.е. новые ключи идут в потоке сигнала. Интересная фишка в том, что при работе с оригинальными картами SAT-тюнер (точнее его CAM-модуль) как-то отслеживает изменение ключа, а вот пиратские карточки на это неспособны - по крайней мере несколько лет назад было так (с тех пор этим вопросом я не интересовался). Одно время на всевозможных сайтах САТ-ТВ ловля новых ключей была очень актуальной :).

---

От	Ktulu
К	Colder (21.03.2005 11:41:29)
Дата	21.03.2005 11:48:31

Re: Передача ключей...

---

>>А со сменой ключей - как вы собираетесь передавать новые ключи зрителям?
>>Или новые ключи будут содержаться в самом телевизионном сигнале?
>
>Собственно говоря, в САТ-ТВ именно так и происходит :), т.е. новые ключи идут в потоке сигнала.
В таком случае достаточно записывать весь сигнал, найти ключ для первого
блока, а дальше уже можно будет извлекать новые ключи из сигнала.
Потребуется только _одна_ операция по расшифровке методом грубой силы.

--
Алексей

---

От	AMX
К	Ktulu (21.03.2005 11:48:31)
Дата	21.03.2005 12:42:24

Re: Передача ключей...

---

>>Собственно говоря, в САТ-ТВ именно так и происходит :), т.е. новые ключи идут в потоке сигнала.
>В таком случае достаточно записывать весь сигнал, найти ключ для первого
>блока, а дальше уже можно будет извлекать новые ключи из сигнала.

Не считайте других идиотами. :)
Ключи вы можете получать всегда, только они тоже криптованы. Расшифровкой их занимается смарт карта и выдает ключ декодеру, который с его помощью расшифровывает поток.

>Потребуется только _одна_ операция по расшифровке методом грубой силы.

Не одна, а столько сколько раз менялся ключ и на нахождение каждого ключа у вас уйдут не секунды. Да и смотреть таким образом, т.е. офлайн, ТВ никто не будет.

---