Форум » Вопрос профессионалу » Вопрос инженерам и программистам MS

Отправлено: 21.01.08 23:11

Цитата:

Класс. А теперь представь, что файл всегда почти одинаков

Это почему это одинаков? Я же описывал процедуру диалога (шифованного).

Брелок - Сигналка, снимись с охраны
Сигналка (генеря случайное число) - Откроюсь, как только повторишь цифру 963762385453
Брелок - 963762385453
Сигналка - открываю...

Добавлено через 2 мин.:

Цитата:

файл всегда почти одинаков и в нем меняется только 4 бита. Сколько возможных вариантов подписей при этом будет для одной пары ключей

Кстати, даже если в файле поменяется только ОДИН бит, вариантов подписей будет много. Например, если ключ шифрования выбран 1024 бита, то вариантов будет 2 в 1024-той степени. Это даже если поменяется всего один бит. два в тысяча двадцать четвертой степени. Вы себе представляете количество нулей?

Отправлено: 22.01.08 0:05

Цитата:

Кстати, даже если в файле поменяется только ОДИН бит, вариантов подписей будет много.

это возможных вариантов для РАЗНЫХ ключей. А пара ключей у нас одна. И вариантов подписей с 4-мя информационными битами - 16.
Отсюда - первый этап
"Брелок - Сигналка, снимись с охраны "
можно не подписывать и не шифровать т.к. оно почти полностью детерминировано.
Второй и третий этап - тут конечно криптография может хорошо развернуться. Но опять-же таки сложность вскрытия будет зависеть от качества генератора случайного числа. А т.к. число СЛУЧАЙНОЕ, а брелок ожидает ответа сигналки в ограниченный после нажатия промежуток времени, то и шифрование и подпись эффективно работает по сути только в одну сторону - на третьем этапе.

Добавлено через 6 мин.:

Цитата:

Например, если ключ шифрования выбран 1024 бита, то вариантов будет 2 в 1024-той степени.

Вот только в чем загвоздка - 1024 байта на сегодняшний день из брелока можно передать в приемлимое время только на десяток метров... А надо - на 2 км...

Отправлено: 22.01.08 15:40

Стало быть криптоалгоритм в MS600 всетаки не безопасен, и рано или поздно его научатся сканировать(если уже не научились).

Отправлено: 22.01.08 17:20

Цитата:

это возможных вариантов для РАЗНЫХ ключей

Нет. Это для одной и той же пары.

Отправлено: 22.01.08 19:32

Цитата:

Стало быть криптоалгоритм в MS600 всетаки не безопасен, и рано или поздно его научатся сканировать(если уже не научились).

Стало быть неизвестно... Компания MS предпочла не давать институтам взламывать свой алгоритм :) .

Добавлено через 3 мин.:

Цитата:

Нет. Это для одной и той же пары.

т.е. одно сообщение подписанное ОДНОЙ парой ключей будет иметь 2^1024 вариантов валидных подписей?!

Отправлено: 22.01.08 20:30

Цитата:

т.е. одно сообщение подписанное ОДНОЙ парой ключей будет иметь 2^1024 вариантов валидных подписей?!

ДА!!!
Даже если тектовый файл состоит всего лишь из одной буквы, сколько раз его подпишешь ОДНИМ И ТЕМ ЖЕ ключом, столько РАЗНЫХ цифровых подписей и будет.

Доказательство.
Создаем простой тектосвый файл:
http://kernelpanic.ru/gpg/text.txt

Далее, я подписываю его пять раз подряд своим закрытым ключом. В итоге получаем пять разных файлов:
http://kernelpanic.ru/gpg/text1.txt
http://kernelpanic.ru/gpg/text2.txt
http://kernelpanic.ru/gpg/text3.txt
http://kernelpanic.ru/gpg/text4.txt
http://kernelpanic.ru/gpg/text5.txt

Пока Вы их сличаете и ищете разницу, я показываю Вам вывод PGP программы, которая проверяет валидность цифровой подписи (Вы можете проделать то же самое - проверьте подписи моим открытым ключом - http://kernelpanic.ru/bb_public_key.pgp, удостоверьтесь, что их подписал именно я и что содержание соответствует подписи):

Цитата:

zhmurov@bb-home 1 $ gpg --verify text1.txt
gpg: Подпись создана Втр 22 Янв 2008 20:20:15 MSK ключом DSA с ID 2E70DFB6
gpg: Действительная подпись от "Boris B. Zhmurov <bb@kernelpanic.ru>"

Цитата:

zhmurov@bb-home 1 $ gpg --verify text2.txt
gpg: Подпись создана Втр 22 Янв 2008 20:20:26 MSK ключом DSA с ID 2E70DFB6
gpg: Действительная подпись от "Boris B. Zhmurov <bb@kernelpanic.ru>"

Цитата:

zhmurov@bb-home 1 $ gpg --verify text3.txt
gpg: Подпись создана Втр 22 Янв 2008 20:20:34 MSK ключом DSA с ID 2E70DFB6
gpg: Действительная подпись от "Boris B. Zhmurov <bb@kernelpanic.ru>"

Цитата:

zhmurov@bb-home 1 $ gpg --verify text4.txt
gpg: Подпись создана Втр 22 Янв 2008 20:20:41 MSK ключом DSA с ID 2E70DFB6
gpg: Действительная подпись от "Boris B. Zhmurov <bb@kernelpanic.ru>"

Цитата:

zhmurov@bb-home 1 $ gpg --verify text5.txt
gpg: Подпись создана Втр 22 Янв 2008 20:20:48 MSK ключом DSA с ID 2E70DFB6
gpg: Действительная подпись от "Boris B. Zhmurov <bb@kernelpanic.ru>"

Итого мы выяснили, что подписав электронной подписью ПЯТЬ РАЗ одни и те же данные мы получаем ПЯТЬ различных валидных подписей. И так до бесконечности.

А теперь попробуем сэмулировать угонщика, который пытается подделать данные. Берем подписанный валидный файл, и изменяем там данные:
http://kernelpanic.ru/gpg/text6.txt - вот он.

В этом файле я всего лишь добавил точку после слова "bb"

Проверяем:

Цитата:

zhmurov@bb-home 1 $ gpg --verify text6.txt
gpg: Подпись создана Втр 22 Янв 2008 20:20:15 MSK ключом DSA с ID 2E70DFB6
gpg: ПЛОХАЯ подпись от "Boris B. Zhmurov <bb@kernelpanic.ru>"

Теперь-то Вы прочувствовали всю мощь PGP? Его нельзя сломать, его нельзя подделать, его нельзя обойти.

Отправлено: 22.01.08 23:52

Цитата:

ДА!!!

Нет. В приведенных файлах добавлен "костыль" (сеансовый ключ). По сути это случайное число которое делает каждый из одинаковых файлов уникальным.
В подписи мы его (точнее почти его - он еще и зашифрован) видим в конце после знака =
По сути длина этого СЧ и определяет число вариантов. В данном случае - 2^32.
ЗЫ. 2^1024 вариантов для одного файла при одной паре не может быть хотя-бы потому, что тогда при 1024 битной подписи становится валидной любая подпись Wink

.

Цитата:

Теперь-то Вы прочувствовали всю мощь PGP?

Нет, не почувствовал. Иметь 1024 битный ключ и 30кб/с обсчета на 2ГГц пне только для гарантии, что в ближайшие 5-10 лет с некоторой вероятностью никто не вскроет (и это при том, что над вскрытием "работают институты" Wink

).... Я бы не назвал это "мощью". Не забываешь, что еще 10 лет назад считалось достаточным 128-битный ключ?
Тогда уж давай использовать гарантированно не вскрываемые шифры. Зачем мелочиться - гигабайтный ключ и все дела Wink

...

Отправлено: 23.01.08 3:35

Так никто не заставляет использовать 1024 битный ключ. Можно и 128 бит, коли 1024 - слишком круто Wink

Отправлено: 23.01.08 11:45

Цитата:

коли 1024 - слишком круто

1024 СЕЙЧАС это типовой ключ. Круто это 4096 бит. 128 бит для алгоритмов используемых в PGP сейчас мало по банальнейшей причине - слишком много специалистов досконально знают алгоритмы шифрования и слишком шустрыми стали FPGA-шки.

Т.е. если сделать сигналку и в ее параметрах написать, что используется скажем RSA и применить 128 бит (это можно даже не писать), это скорее будет недостаток чем преимущество.

Отправлено: 23.01.08 16:13

Цитата:

Т.е. если сделать сигналку и в ее параметрах написать, что используется скажем RSA и применить 128 бит

Можно выбрать что-нибудь покруче RSA. Например DSA или SHA1. SHA1 с ключом 160 бит считается довольно стойким, а 256 бит - это уже считается круто. С 1995-го года найдена только возможность нахождения коллизий, если собрать много-много одинаковых подписанных сообщений. Взломан так и не был.