Цифровая Криптография и Стеганография

Мир Дельта — Форум полуофициального сайта Оксаны Панкеевой/В Мегасети с Жаком

H@rpeR Горячий кабальеро (4 Май 2008 06:38)

Цифровая Криптография и Стеганография

Вопрос к местным программистам - кто с талкивался с этой областью? А то я тут диплом пишу по ней Rolling Eyes

Ezh Горячий кабальеро (4 Май 2008 17:16)

Я сталкивался.
Вопрос в том, что именно надо. Это слегка разные вещи. Грубо говоря:

криптография - при помощи шифрования происходит изменение содержимого послания так, что оно становится нечитаемым для всякого, кто не имеет ключа.
стеганография - с ее помощью те, кто обменивается информацией, пытаются скрыть сам факт пересылки от стороннего наблюдателя.

Можно ноборот Smile
С посмощью криптографии поставить цифровую подпись, а с помощью стеганографии - цифровые водяные знаки.

H@rpeR Горячий кабальеро (4 Май 2008 18:42)

они связаны между собой... При использовании стеганографического шифрования, также информация предварительно шифруется стандартными криптографическими алгоритмами... Я конкретно разрабатываю методическое пособие по стеганографии для ВУЗов... Вот и интересует - имеются ли какие либо вменяемые исходники для изучения? например, сокрытие в графике или аудио..

Ringonoki Прекрасная леди (4 Май 2008 22:46)

В фотошопе есть платный плагин "Add watermark"... для цифровых водяных знаков.
Попробуйте поставить..и расковырять, например.Хотя, смотря как оно сделано Embarassed

andrewus Горячий кабальеро (4 Май 2008 22:55)

H@rpeR
Я бы покопал в сторону сокрытия в аудио. Например, кодирования сигнала сигналом высоких частот. И декодирование его вычитанием эталонной записи из закодированной.
На слух отличаться не будет совсем (особенно если wav 48 kHz), потому что можно совсем высокие, больше 20000 кГц кодировать, которые человек не слышит.

Ezh Горячий кабальеро (4 Май 2008 23:10)

H@rpeR писал(а):
они связаны между собой... При использовании стеганографического шифрования, также информация предварительно шифруется стандартными криптографическими алгоритмами...

Shocked в принципе да, но Shocked

Может надо мною довлеет то как меня учили... меня подмывает повторить старые аргументы.

1. А чем плох банальный SRA в варианте на 2048 бит? К моменту когда Ева вскроет ключ сообщение успеет устареть. Для совсем тяжелых случаев существуют Эль-Гамаль и переход к4096 битам.

2. Стеганогафия подразумевает, что у Алисы и Боба уже есть по полному исходному изображению/аудиозаписи/etc. Фактически стеганография является примером шифрования когда ключ много больше секретоного послания.

Из чего следует вывод о крайне малой практической полезности стеганографии именно для секретности. Если же нужно что-то в качестве цифрового водяного знака, тогда да.

H@rpeR писал(а):
Я конкретно разрабатываю методическое пособие по стеганографии для ВУЗов... Вот и интересует - имеются ли какие либо вменяемые исходники для изучения? например, сокрытие в графике или аудио..


Мне посоветовали:

Грибунин В. Г., Оков И. Н., Туринцев И. В. Цифровая стеганография.
Конахович Г. Ф., Пузыренко А. Ю. Компьютерная стеганография. Теория и практика

Сам я их не читал.

Тихий Горячий кабальеро (6 Май 2008 18:00)

Не скажи, сокрыть сам факт передачи сообщения - ещё надежнее, чем зашифровать. Но как правильно было отмечено выше, обычно методы комбинируют.

Wolf the Gray Горячий кабальеро (6 Май 2008 19:19)

andrewus писал(а):
потому что можно совсем высокие, больше 20000 кГц кодировать, которые человек не слышит.
урежь осетра Smile

Ezh Горячий кабальеро (7 Май 2008 00:23)

Ой, я там опечатался. RSA а не SRA.

andrewus писал(а):
H@rpeR
Я бы покопал в сторону сокрытия в аудио. Например, кодирования сигнала сигналом высоких частот. И декодирование его вычитанием эталонной записи из закодированной.
На слух отличаться не будет совсем (особенно если wav 48 kHz), потому что можно совсем высокие, больше 20000 кГц кодировать, которые человек не слышит.


К сожалению, не получится.
http://en.wikipedia.org/wiki/WAV
Судя по представленным данным у них диапазн узковат. За слышимость не выпадает.

О форматах ссылка с той же выкипедии.
http://www.bcr.org/cdp/best/digital-audio-bp.pdf
Из интересных вещей - аудио CD поддерживают частоты до 22.05 кГц. Большинство людей дальше не слышит, но все же бывают уникумы.

ЕМНИП намного более перспективный способ - поковырятся в форматах использующих быстрое преобразование Фурье.
Изменение последнего весового коефициента на слух/глаз должно быть незаметно.

За слишимость должно выпадать аудио в HD DVD с растакотвкой на 96 кГц.

2Тихий
Давно известен принцип "Кто ищет - тот найдет". Стеганография для обеспечения секретности хороша только в случае пересылки от источника, за которым просто не наблюдают. В остальных случаях секретного общения - избыточна и бесполезна.

Wolf the Gray Горячий кабальеро (7 Май 2008 08:16)

Ezh писал(а):
Судя по представленным данным у них диапазн узковат. За слышимость не выпадает.
не, вав на 48кГц без компрессии - заметно (на 48/2-20=4кГц) выпадает за слышимость, слышащих 20кгц всё-ж мало.
Другой вопрос, что загрузка такого вава в SoundForge - сразу вызовет вопросы у редактора, скрытности не получится... да и сами вавы на 48 (а не 44) кГц - уже экзотика...
в HD DVD - неужели не какой-нибудь mpeg?
Ezh писал(а):
Стеганография для обеспечения секретности хороша только в случае пересылки от источника, за которым просто не наблюдают.
и к получателю, за которым тоже не наблюдают. Т.е. хороша только для поддержания незаметности внедренного агента при гарантированно нераскрытой цепи посредников передачи информации. оверхеды получаются совершенно дикими.

основной недостаток RSA/DSA - отсутствие доказанной стойкости. т.е. то что не опубликовано методов быстрого вычисления секретного ключа по публичному - не гарантирует их отсутствия у АНБ/etc. с 3DES/ГОСТ/АES такой проблемы нет.
А тривиальный одноразовый шифроблокнот - обеспечивает принципиально более высокую стойкость, чем любой цикличный криптоалгоритм с любой длиной ключа... много только не передашь так.

Ezh Горячий кабальеро (7 Май 2008 14:18)

Выпадаем в жуткий оффтоп, но если дело пойдет - нарежу в новую тему "Шифры".

Wolf the Gray писал(а):

основной недостаток RSA/DSA - отсутствие доказанной стойкости. т.е. то что не опубликовано методов быстрого вычисления секретного ключа по публичному - не гарантирует их отсутствия у АНБ/etc. с 3DES/ГОСТ/АES такой проблемы нет.

Ой! Wolf the Gray, у меня закрадывается впечатление, что ты не знаешь, в чем разница между блочным шифром и шифрованием с открытым ключом, в чем разница в их применениях.

Wolf the Gray писал(а):

А тривиальный одноразовый шифроблокнот - обеспечивает принципиально более высокую стойкость, чем любой цикличный криптоалгоритм с любой длиной ключа... много только не передашь так.

Ну да, все тот же тезис о длинне ключа. Как только колюч становится равен по длинне сообщению - сообщение становится невскрывемым даже теоретически.

Но вот незадача - его нужно передать, желателно лично. По факту это незначительно отличается от вариации стеганографии, т.к. "ключ" - звук или картинка есть у Алисы и Боба, а Ева не знает даже алгоритма наложения ключа на сообщение.

И о сложности вскрытия. Не нравится RSA? Нехорошие люди создали квантовые компьютеры? (http://ru.wikipedia.org/wiki/Квантовый_компьютер) Бери ЕльГамаля.

Кстати, о наличии суперсекретных алгоритмов вскрытия. В том и смысл криптования с открытым ключом, что алгоритм известен ВСЕМ. Алгоритмы взлома свободно публикуются Laughing и перепроверяются друими людьми в других странах. Cool Orc

Что, все секретные службы мира вошли в жуткий заговор, применяя все тот же RSA для обмена сообщениями (и позволяя конкурентам спокойно читать их сообщения) только с целью ввести в заблужение глупых гражданских? А все ученые в другой заговор - молчания, только чтобы поддержать службы. Нет, может быть, но шансов как у снежинки на солнце.

Wolf the Gray Горячий кабальеро (7 Май 2008 16:09)

Ezh писал(а):
Кстати, о наличии суперсекретных алгоритмов вскрытия. В том и смысл криптования с открытым ключом, что алгоритм известен ВСЕМ.
Во-во, алгоритм известен всем и всеми используется, а его уязвимости - известны очень немногим...

Ezh писал(а):
Алгоритмы взлома свободно публикуются
нет проблем - если тебе приснится алгоритм ускорения взлома RSA, то можешь поутру задаром его опубликовать.
Криптоаналитик АНБ, которому зарплату платят за поиски тех же уязвимостей - опубликовать такой алгоритм не имеет ни возможности ни желания.
Можно поспекулировать кто раньше найдет математическую дыру в алгоритме - 10 высококлассных аналитиков или 10000 просмотревших его студентов...
btw - когда RSA пошел в массы, то его ключи в 512 бит не казались слабыми, теперь ты почему-то рекомендуешь 2048 бит, а производительность компов с тех пор выросла далеко не в 10^460 раз...
Цитата:
И о сложности вскрытия. Не нравится RSA? Нехорошие люди создали квантовые компьютеры? (http://ru.wikipedia.org/wiki/Квантовый_компьютер) Бери ЕльГамаля.
это называется менять шило на мыло - ЕльГамаль тоже не имеет доказанной стойкости.
Карма у систем с открытым ключом такая.
Ezh писал(а):
Что, все секретные службы мира вошли в жуткий заговор, применяя все тот же RSA для обмена сообщениями
это откуда информация, что спецслужбы используют RSA хоть как-то?
У них как раз проблемы с передачей шифроблокнотов (=> гарантированно стойкого шифрования суточного ключа) - нет.

Ezh Горячий кабальеро (7 Май 2008 19:02)

Wolf the Gray писал(а):
Во-во, алгоритм известен всем и всеми используется, а его уязвимости - известны очень немногим...

Немногим? Т.е. типа все ученые достаточного уровня работающие во всех странах над задачами теории шифрования это мало, то что тогда много?

Wolf the Gray писал(а):

Можно поспекулировать кто раньше найдет математическую дыру в алгоритме - 10 высококлассных аналитиков или 10000 просмотревших его студентов...

... 10 высококлассных аналитиков или все ученые работающеи в этой области из разных стран... или АНБ их ВСЕХ купило?
И да, аналитики здесь вообще нафиг не нужны. Нужны матрые спецы по теориии чисел, математики со стажем научной школой и возможностью общаться с коллегами.

Wolf the Gray писал(а):

btw - когда RSA пошел в массы, то его ключи в 512 бит не казались слабыми, теперь ты почему-то рекомендуешь 2048 бит, а производительность компов с тех пор выросла далеко не в 10^460 раз...

Немного истории.
Ключи длинной 512 бит считались надежными до 1999 года.
Ключи длинной 663 бит - до 2005 года.
Рекомендованй ключ до 2010 года - по разным публикациям от 770 до 800 бит. Для удобства и стандартизации 1024 бит.

Фокус в том, что планку поднимали по результатам того, что кто-то взял известную задачу по факторизации и решил за время меньше чем то, которое предполагалось изначально.

330 битная факторизация требует 11 часов на одном 2.2 ГГц Атлоне 64.
663 битная факторизация требует 75 лет машинного времени на 2.2. ГГц Оптероне.
Распределенные расчеты рулят.

Рекомендованый ключик в 770 бит гарантирует, что несчастным придется загрузить чертову тучу компов для того, чтобы вскрыть одно(!) сообщение в приемлемые сроки.

Далее, есть в RSA проблема. Пара выбраных простых чисел может оказаться слабой и код будет разбит быстро. Рекомендование мной значение длинны ключа (2048 бит) оставляет шифровальщиков с числами столь большими, что даже если они окажутся слабыми, то все равно потребуют кучу времени.

Wolf the Gray писал(а):

это называется менять шило на мыло - ЕльГамаль тоже не имеет доказанной стойкости.
Карма у систем с открытым ключом такая.

И RSA и ЭльГамаль спокойно вскрываются перебором. Это ни для кого не секрет. Все что есть - промежуток времени, который гарантирует, что можно успеть что-то сделать. Теоретически это лишает такие криптосистемы смысла, не так ли?

Вот тут и всплывает то, что в подавляющем большинстве случаев одно сообщение значения не имеет. Ключики то каждый раз разные. И на закуску можно резать сообщения на блоки по 1024 бита и каждый блок шифровать отдельно, вместо распространенной у гражданских практики - блочным шифром, а потом шифровать блочный ключ с помощью RSA.

Wolf the Gray писал(а):

это откуда информация, что спецслужбы используют RSA хоть как-то?
У них как раз проблемы с передачей шифроблокнотов (=> гарантированно стойкого шифрования суточного ключа) - нет.

Да, лично, каждому агенту в каждой стране мира, ежесуточно (желательно к утреннему кофе) прибывает курьер с шифроблокнотом в чемоданчике пристегнутом к руке Laughing

И на закуску, не все сообщения нужно шифровать наглухо.

Wolf the Gray Горячий кабальеро (7 Май 2008 21:51)

Ezh писал(а):
или АНБ их ВСЕХ купило?
не, просто эти "ВСЕ" высосоклассные спецы уже нашли себе интересную работу (или их нашли для этой работы)
Из рук спецслужб какой страны/корпорации они получают деньги - совершенно неинтересно: результаты этим спецам уже заранее НЕ принадлежат. И стимула первыми докладывать миру о революционном прорыве своих сотрудников - недостаточно у всех.
Ezh писал(а):
Ключи длинной 512 бит считались надежными до 1999 года.
Ключи длинной 663 бит - до 2005 года.
663-512=151
Надеюсь ты не считаешь, что такой рост ключа не обоснован реальными угрозами?
Вот чего-то я не наблюдал роста производительности вычислительных систем в 10^45 раз за указанный срок.
Вывод: увеличение длины ключа связано не с ростом доступных вычислительных мощностей, а с появлением новых алгоритмов подбора, которые принципиально повлияли на порядок порядка времени перебора (а не на единицы порядка, как рост вычислительных мощностей).
Так как сложность шифра не доказана математически - то нет гарантии, что завтра скорость подбора RSA не увеличится ещё в 10^40 раз (или что её так кто-то увеличил вчера и забыл рассказать остальным).

Ezh писал(а):
Ключики то каждый раз разные.
это смотря какие ключики. можно же поломать тот ключик, которым шифруются/подписываются сеансовые.

Ezh писал(а):
Да, лично, каждому агенту в каждой стране мира, ежесуточно (желательно к утреннему кофе) прибывает курьер с шифроблокнотом в чемоданчике пристегнутом к руке
вообще-то одной полученной упаковки агенту заведомо хватит на 10 лет ежедневного отрывания очередного суточного 128-битного ключа для 3DES/AES - который вскрывать надо те же 70+ лет, что и тысячебитный RSA... Ужасная трагедия - перебор вскроет не одно сообщение, а все за те сутки...

не то чтоб симметричные алгоритмы были совсем не подверженны ослаблению математическими методами, но вон DES ослабили всего-то бит на ~8 за 50+ лет его существования (по открытым источникам). А не на 140+ как RSA за 10 лет

Ezh Горячий кабальеро (8 Май 2008 01:29)

Wolf the Gray писал(а):
не, просто эти "ВСЕ" высосоклассные спецы уже нашли себе интересную работу (или их нашли для этой работы)
Из рук спецслужб какой страны/корпорации они получают деньги - совершенно неинтересно: результаты этим спецам уже заранее НЕ принадлежат. И стимула первыми докладывать миру о революционном прорыве своих сотрудников - недостаточно у всех.

Ну да, конечно, а то что основные результаты получены в академических структурах - досадная случайность. Twisted Evil И то, что попытка независимого исследователя продать скорее всего приводит к пуле в голову, для надежного молчания, а публикация - к признанию и возожно премиям. И то что спецам структуры пидется работать в маленьких групках, а академические работники спокойно обмениваются опытом.

Wolf the Gray писал(а):

Ezh писал(а):
Ключи длинной 512 бит считались надежными до 1999 года.
Ключи длинной 663 бит - до 2005 года.
663-512=151
Надеюсь ты не считаешь, что такой рост ключа не обоснован реальными угрозами?
Вот чего-то я не наблюдал роста производительности вычислительных систем в 10^45 раз за указанный срок.


проблема в том, что

(а) если ты посмотришь в работу RSA, то произведение двух простых чисел идет в открытой части ключа. Один раз посчитаное оно уже больше не представляет проблемы для того, кто занимается вскрытиями на промышленной основе.
(б) количество простых чисел на промежутке фиксированой длинны падает по мере удаления начале промежутка от 0. ЕМНИП количество простых чисел меньших N асимптотически стремится к N/ln(N).
(в)добавив открытые списки простых чисел (можешь погуглить по ключам GIMPS, числа Мерсенна)
(г)от прагматиков: если не дай боже ключик оказался коротким и псевдопростым, а они могут такими оказаться, то ОЙ! ломается сообщение быстро.
(д) нужно хоть слегка ориентироваться в задаче. Можешь интереса для поинтерсоваться как работет GNFS и какая у него сложность. Так что счетная сложность при переходе от 512 до 633 выросла не в 10^45 а навскидку в 2^5 или в 2^6. Что соответствует росту вычислительной базы.

Что получаем? То что мы видим - нужно увеличивать длинну ключа.

Wolf the Gray писал(а):

Вывод: увеличение длины ключа связано не с ростом доступных вычислительных мощностей, а с появлением новых алгоритмов подбора, которые принципиально повлияли на порядок порядка времени перебора (а не на единицы порядка, как рост вычислительных мощностей).

Вывод неверный. См. выше.

Wolf the Gray писал(а):

Ezh писал(а):
Ключики то каждый раз разные.
это смотря какие ключики. можно же поломать тот ключик, которым шифруются/подписываются сеансовые.

ОМГ. В том и фокус, что при параноидальном шифровании сеансовых ключей нет. Сообщение разбивается на блоки по 256(или сколько там надо, может и по 1024) бит и такими блоками и шифруется. Там вообще нет единого ключа для всего сообщения. А биты для блоков берутся из разных частей сообщения, чтобы случайно быстро взломаный блок не выдал какое-то важное слово(имя, название или еще что-то подобное).
Прим. Если ключ RSA на 1024 а блок на 256 - это проблемы не составит.

Wolf the Gray писал(а):

Ezh писал(а):
Да, лично, каждому агенту в каждой стране мира, ежесуточно (желательно к утреннему кофе) прибывает курьер с шифроблокнотом в чемоданчике пристегнутом к руке
вообще-то одной полученной упаковки агенту заведомо хватит на 10 лет ежедневного отрывания очередного суточного 128-битного ключа для 3DES/AES - который вскрывать надо те же 70+ лет, что и тысячебитный RSA... Ужасная трагедия - перебор вскроет не одно сообщение, а все за те сутки...

Ага. Значит везти с собой шифроблокнот... на таможне показать? А то ведь могут попросить... Или контрабандой... И опять все упрется в способ доставки закрытых материалов.

Wolf the Gray писал(а):

не то чтоб симметричные алгоритмы были совсем не подверженны ослаблению математическими методами, но вон DES ослабили всего-то бит на ~8 за 50+ лет его существования (по открытым источникам).

А потом подумали и перешли на 3DES. Что дает фактическую длинну ключа в 3(!) раза больше. И почему бы это? А потом подумали и копают дальше. Перед тем как петь диафирамбы DES загляни:
http://en.wikipedia.org/wiki/DES_Challenges
и успокойся. DES отходит в прошлое. Его уже заменили, и не лучшим способом. Выбрали ЕМНИП Rijndael вместо Serpent, при том, что Serpent безопаснее.

...А RSA жив и еще поживет. До тех пор, пока не построят средства квантовой передачи ключа или квантовые факторизаторы.

Wolf the Gray Горячий кабальеро (8 Май 2008 08:16)

Ezh писал(а):
ЕМНИП количество простых чисел меньших N асимптотически стремится к N/ln(N).
т.е. практически растет как N - на указанном интервале ln(N) отнимает менее бита. читд.

Ezh писал(а):
Так что счетная сложность при переходе от 512 до 633 выросла не в 10^45 а навскидку в 2^5 или в 2^6.
увеличение пространства ключей в 10^45 дало увеличение стойкости максимум в ~100 раз? какой-то крайне нелинейный рост.

Цитата:
А потом подумали и перешли на 3DES. Что дает фактическую длинну ключа в 3(!) раза больше. И почему бы это?
вообще-то в 2. что стоимость взлома выросла сильнее чем в 2 - это спасибо математикам.
из 56 бит 8 ослабление алгоритмами, до перебора 40 бит выросли домашние компы. зазор остался маловат.
3DES - это дешевый способ получить быстрое безопасное шифрование на уже имевшихся аппаратных DES-шифровалках, ценой всего 3х замедления без пересертификации железа. т.е. временная мера.
64 честных бита - сломать перебором пока слабореально.

Цитата:
ОМГ. В том и фокус, что при параноидальном шифровании сеансовых ключей нет. Сообщение разбивается на блоки по 256(или сколько там надо, может и по 1024) бит и такими блоками и шифруется.
"и шифруется" - каким ключом? или предлагаешь заново генерить и обмениваться ключами на каждый блок, если говоришь что никакой ключ повторно не используется?

Ezh Горячий кабальеро (8 Май 2008 13:51)

Wolf the Gray писал(а):
Ezh писал(а):
ЕМНИП количество простых чисел меньших N асимптотически стремится к N/ln(N).
т.е. практически растет как N - на указанном интервале ln(N) отнимает менее бита. читд.

Возьмем диапазон 32 бит и 64 бит.
На диапазоне 32 бит этих чисел - 2^32/2^5 =2^(32-5)=134217728
На диапазоне 64 бит этих чисел - 288230376151711744.
Не один бит, а loglog(N) бит.

И наконец надеюсь ты помнишь о вычетании (или запрете на маленькие числа, что одно и то же для инженеров), итого, при переходе на диапазон 64 бита вместо 32 получим эквивалент потери бита, если сравниват со схемой от нуля. Если же учесть еще то, что половинок ключа две, то два бита.

Т.е. при переходе от 512 к 663 получим действительную разницу в 4 бита или 147 бит эффективного усиления.

Но это собственно крохоборство. Главная проблема находится дальше.

Wolf the Gray писал(а):

Ezh писал(а):
Так что счетная сложность при переходе от 512 до 633 выросла не в 10^45 а навскидку в 2^5 или в 2^6.
увеличение пространства ключей в 10^45 дало увеличение стойкости максимум в ~100 раз? какой-то крайне нелинейный рост.

Пространство ключей выросло не так сильно. См. выше.
А со стойкостью я ошибся. Помнил, что медленнее, а в оценки алгоритма поленился посмотреть. Помню, же, что по показателю идет корень кубический, грубая оценка.

http://en.wikipedia.org/wiki/General_number_field_sieve

Там реально стоит:
e^((C+ o(1)) * log(N)^1/3 * loglog(N)^2/3)
Так что оценка в 2^6 оказалась оптимистической для взломщика. Да и константа С сильно зависит от железа и програмной релизации. Так что все указные времена взлома укладываются в оценку.
Прим. Алогитм этот применялся для обоих взломов, и 512 и 663 бит.

Впрочем, ты и сам мог бы погуглить, чтобы не задавать страные вопросы.

Wolf the Gray писал(а):

Цитата:
А потом подумали и перешли на 3DES. Что дает фактическую длинну ключа в 3(!) раза больше. И почему бы это?
вообще-то в 2. что стоимость взлома выросла сильнее чем в 2 - это спасибо математикам.
из 56 бит 8 ослабление алгоритмами, до перебора 40 бит выросли домашние компы. зазор остался маловат.
3DES - это дешевый способ получить быстрое безопасное шифрование на уже имевшихся аппаратных DES-шифровалках, ценой всего 3х замедления без пересертификации железа. т.е. временная мера.
64 честных бита - сломать перебором пока слабореально.


Ну нет там 64 бита, там никак не получится ни 56 ни 112.

In general TDES with three different keys (3-key TDES) has a key length of 168 bits: three 56-bit DES keys (with parity bits 3-key TDES has the total storage length of 192 bits), but due to the meet-in-the-middle attack the effective security it provides is only 112 bits. A variant, called two-key TDES (2-key TDES), uses k1 = k3, thus reducing the key size to 112 bits and the storage length to 128 bits. However, this mode is susceptible to certain chosen-plaintext or known-plaintext attacks and thus it is designated by NIST to have only 80 bits of security [3].

Wolf the Gray писал(а):

Цитата:
ОМГ. В том и фокус, что при параноидальном шифровании сеансовых ключей нет. Сообщение разбивается на блоки по 256(или сколько там надо, может и по 1024) бит и такими блоками и шифруется.
"и шифруется" - каким ключом? или предлагаешь заново генерить и обмениваться ключами на каждый блок, если говоришь что никакой ключ повторно не используется?

Если заела параноя - почему бы и нет? Та же википедия приводит оценки (http://ru.wikipedia.org/wiki/RSA) около 30 кбит/с при 512 битном ключе на процессоре 2 ГГц. Это очень медленно. Даже если реально будет в 2-3 раза в ту или другую сторону. А если взять 1024 то дело швах, но опять таки для параноиков - самое оно.

В чем ты прав, что блочные шифры как вид просуществуют дольше чем RSA, но пока отказываться от RSA и ЕльГамаля никто не будет. Как я уже писал - критерий гибели RSA квантовый факторизатор, или квантовый канал, способный передать ключ в любую точку пространства. В обоих облястях ведутся разработки, но результатов способных работать пока нет.

Что ли вернуть тебе твой же совет но в варианте "погугли перед тем как спорить"? Хотя бы на предмет различий AES и DES.

Wolf the Gray Горячий кабальеро (8 Май 2008 14:30)

Ezh писал(а):

Возьмем диапазон 32 бит и 64 бит.
На диапазоне 32 бит этих чисел - 2^32/2^5 =2^(32-5)=134217728
На диапазоне 64 бит этих чисел - 288230376151711744.
т.е. в ~2^31 раз больше.
соотношение количества простых чисел в 663 и 512 бит - (512/663)* 2^(663-512) тоже несущественно отличается от 2^150 ~=1Е45
каков критерий на "маленькие" числа - я не помню, но их явно не должно быть более четверти от общего количества и процент их не зависит от длины ключа.

Ezh писал(а):
Ну нет там 64 бита, там никак не получится ни 56 ни 112.
у классического 3DES там ключ как раз 112 бит, что безопастность ниже - я как-то не сомневался. у 1DES сейчас безопастность (стойкость к перебору ключей) снижена алгоритмами до 48 бит из его 56.
другой вопрос что стойкости в 64 бита перебора - пока всем бы хватило, 80 - хватает заведомо.
Ezh писал(а):
пока отказываться от RSA и ЕльГамаля никто не будет.
конечно никто не будет - ибо нет реальной альтернативы для множества приложений, приносящих реальные живые деньги. Но потенциальную уязвимость там вполне трезво учитывают... и понимают, что по мелочным поводам (типа $1E6) засвечивать существование средств взлома никто из серьезных игроков не будет. Англичане вон в WW2 город не пожалели, чтоб немцы не узнали про расшифровку Энигмы.
если какое решение и выплывет в свет - то из академической среды...

Цитата:
Если заела параноя - почему бы и нет
если заела параноя - проще изобрести очередной клон blowfish с длиной ключа/блока в 1024 бит. относительная (длины ключа) стойкость у него будет конечно сильно поменьше сертифицированных схем, но выше чем у прямой шифрации по RSA с той же длиной ключа. скорость уж и сравнивать незачем.

H@rpeR Горячий кабальеро (3 Июн 2008 20:23)

Всем огромное спасибо Smile Отчет по дипломы был успешно написан, а так же разработано приложение для сокрытия данных в аудиопотоках Smile