ВИФ2 NE: Ветка : Ре: Скажу авторитетно

От	IKar
К	dap
Дата	03.08.2010 15:34:23
Рубрики	WWII; Спецслужбы;

Ре: Скажу авторитетно

>>Это не так. ДЕС давно уже вскрыли с помощью дифференциального криптоанализа и по этой причине сначала был сделан 3ДЕС (как временная мера) а далее и совершенно новый АЕС.
>ДЕС стоек к дифференциальному криптоанализу. Т.е. данный тип криптоанализа потребует больше операций чем полный перебор. Кстати в связи с этим возникали вопросы не был ли этот метод известен АНБ во время разработки стандарта ДЕС. Насколько я помню АНБ неоффициально подтвердил, что ему был известен этот метод.
На счет же NSA много слухов ходит. Может и знали, идея-то вполне себе не поверхности. NSA никогда официально этого не признавала. Как впрочем, мы никогда не узнаем почему они выбрали Rijndael, который криптографы нещадно критиковали, вместо его сильных соперников.

От	U235
К	IKar (03.08.2010 15:34:23)
Дата	04.08.2010 07:29:01

Мне другое непонятно

А почему за бортом конкурса осталась такая интересная разработка как SHACAL? Быстрый, унифицированный по преобразованиям с SHA и при этом взломать его никому не удалось. Единственное нарекание было к неудачной процедуре расширения ключа в первой версии алгоритма, но это быстро исправили и SHACAL-2 этим уже не страдает.

От	Дмитрий Ховратович
К	U235 (04.08.2010 07:29:01)
Дата	04.08.2010 07:35:18

Потому что он медленный

В 2.5 раза медленнее, чем SHA-2, а тот еще в полтора раза медленнее AES-128.

Там же открытый текст запихивается в IV, а message cтановится ключом. Соответственно, то же самое число операций, что в SHA-2 уходило на 512 бит, здесь пойдет на 160.

От	U235
К	Дмитрий Ховратович (04.08.2010 07:35:18)
Дата	04.08.2010 10:37:04

Откуда информация?

В описаниях перепетий конкурса NESSIE вроде как наоборот указывается, что эксперты отмечали очень высокую скорость шифрования по стандарту SHACAL. И опять же что и как сравниваем? Все таки SHACAL-2 использует 512битный ключ и шифрует 256битными блоками, причем использует те же 64 итерации базового преобразования SHA-2, что и хеш-функция SHA-256. AES-128 же использует 128 битный ключ и шифрует блок размером 128 бит.

От	Дмитрий Ховратович
К	U235 (04.08.2010 10:37:04)
Дата	04.08.2010 11:02:41

Re: Откуда информация?

>В описаниях перепетий конкурса NESSIE вроде как наоборот указывается, что эксперты отмечали очень высокую скорость шифрования по стандарту SHACAL. И опять же что и как сравниваем? Все таки SHACAL-2 использует 512битный ключ и шифрует 256битными блоками, причем использует те же 64 итерации базового преобразования SHA-2, что и хеш-функция SHA-256. AES-128 же использует 128 битный ключ и шифрует блок размером 128 бит.

Все просто. Сравниваем универсально - в процессорных циклах на байт обработанной информации (сообщения или открытого текста) - это позволяет избавиться от проблем с разной длиной блоков. SHA-2 - это 14 процессорных циклов на байт минимум (в обычных реализациях - больше). Соответственно, SHACAL-2-256 обрабатывает за проход в два (512/256) раза меньше данных, поэтому у него будет около 30 циклов на байт. AES-128 сейчас можно реализовать за 10 циклов на байт, AES-256 - за 14.

Поэтому и не выбрали.

Скажу больше. Если бы SHACAL-2 был сравним по скорости с AES, SHA-2 бы оставили стандартом и конкурс на SHA-3 бы не проводили.

От	Дмитрий Ховратович
К	IKar (03.08.2010 15:34:23)
Дата	03.08.2010 18:17:16

Признали практически официально

>На счет же NSA много слухов ходит. Может и знали, идея-то вполне себе не поверхности. NSA никогда официально этого не признавала.

Копперсмит делал доклад в конце 90-х (не помню где), где рассказывал, как NSA им в IBM прислала стойкие к дифференциальному криптоанализу S-boxы. Собственно, поэтому первая дифференциальная атака 16 раундов сломать не смогла:).

>Как впрочем, мы никогда не узнаем почему они выбрали Rijndael, который криптографы нещадно критиковали, вместо его сильных соперников.

Они - это NIST? Так голосование же было. Соперники слили по скорости (Serpent) и по дизайну (Twofish). А NSA уже позже подключилось, в 2003 году они официально одобрили AES для TOP SECRET, и то с большим ключом.

Ну и "нещадно критиковали" - это художественное преувеличение. Собственно, там одна претензия была и есть - небольшой security margin (7 раундов из 10 можно сломать в 128-битной версии с одним ключом). Ну и теперь видно, что за 10 лет прогресс в анализе AES с одним ключом - мизерный. И больших надежд на то, что дальше будет лучше - нет.

От	Vitaly V. Pinjagin
К	Дмитрий Ховратович (03.08.2010 18:17:16)
Дата	04.08.2010 00:19:54

на счёт ДвухРыб есть тонкость

>Они - это NIST? Так голосование же было. Соперники слили по скорости (Serpent) и по дизайну (Twofish)

Рыб забраковали с формулировкой типа "не поддаётся анализу", то есть про нынешний AES есть аналитический анализ его стойкости, а рыбы (и кипящие и две и три) анализу не поддаются. Если сюда прибавить отставание открытых шифров от АНБ-шны примерно в 10 лет, то вот эта аналитичность AES-а как-то ээээ... тревожит что ли :-)

ЗЫ
отставание в 10 лет лично у меня получилось по "реперезентативной" выборке из 4-5 известных случаев когда АНБ признавалась что нынешний "рывок" в шифровании был им известен в таком-то году, в основном конечно происходило это в результате личных амбиций разработчиков и их желания крикнуть "Это я, я придумала!"(c)

От	Дмитрий Ховратович
К	Vitaly V. Pinjagin (04.08.2010 00:19:54)
Дата	04.08.2010 06:07:47

Re: на счёт...

>
>Рыб забраковали с формулировкой типа "не поддаётся анализу", то есть про нынешний AES есть аналитический анализ его стойкости, а рыбы (и кипящие и две и три) анализу не поддаются.

Да, в общем, поддаются анализу, особенно Threefish. Что же до AES, то там показана только стойкость к дифференциальному и линейному криптоанализу, что несколько ограниченно. Другое дело, что большинство криптоаналитиков пообломало зубы об AES, что и служит хорошим доказательством стойкости.

> Если сюда прибавить отставание открытых шифров от АНБ-шны примерно в 10 лет, то вот эта аналитичность AES-а как-то ээээ... тревожит что ли :-)
>отставание в 10 лет лично у меня получилось по "реперезентативной" выборке из 4-5 известных случаев когда АНБ признавалась что нынешний "рывок" в шифровании был им известен в таком-то году, в основном конечно происходило это в результате личных амбиций разработчиков и их желания крикнуть "Это я, я придумала!"(c)

Не знаю, какой у них уровень дизайна шифров, но вот дизайн хэш-функций (а там принципы весьма схожи) у АНБ чуть более чем полностью состоит из накручивания всяких рюшечек на ривестовский MD4. Особенно хорошо это видно на примере SHA-2, которая представляет собой просто кашу из XORов и сложения по модулю.