Kernel3: Все сообщения за 18 Апреля 2014 года

 
ПнВтСрЧтПтСбВс
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30

Kernel3

аксакал

U235> Эта самая OpenSSL, если б ее исходники попали в лапы ФСБ, сертификацию никогда бы не прошла с таким явным для криптографов багом.

:facepalm: Чтоб ты знал: OpenSSL используется в куче софта, в т.ч. коммерческого, в т.ч. отечественного, в т.ч. сертифицированного ФСТЭК/ФСБ. Так что учи матчасть, в следующий раз появится шанс сойти за умного.

А вообще, твоя веря в великость и могучесть ФСБ, которое в сфере не только информационной безопасности, но и вообще технологий, без взаимодействия с гражданскими аутсорсерами может чуть больше, чем совсем ничего, является довольно интересным феноменом психологического или дальше психиатрического характера :-F Но с этим уже пусть профильные спецы разбираются.
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116

Kernel3

аксакал

GOGI> А то сейчас в гугле про какую-то другую уязвимость хрен что найдешь, все последней забито.

Вот же: OpenSSL: OpenSSL vulnerabilities

Так много весёлого, но Heartbleed всё же, ИМХО, самый смешной. Переполнение буфера - это всегда смешно :)
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116

Kernel3

аксакал

Kernel3> А вообще, твоя веря в великость и могучесть ФСБ, которое в сфере не только информационной безопасности, но и вообще технологий, без взаимодействия с гражданскими аутсорсерами может чуть больше, чем совсем ничего...

Кстати, как следствие, число этих самых аутсорсеров со временем увеличивается. Только я только в Москве знаю около десятка контор, занимающихся разработкой в интересах трёхбуквенных ведомств разных интересных штук как оборонительного, так и наступательного действия. Причём для двух из этих контор это основное направление деятельности.

Но до того же Stuxnet и всей веселухи, раскрытой Сноуденом, этим штукам довольно далеко.
Непрекращающаяся утечка мозгов не может не сказываться.
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116

Kernel3

аксакал

U235> Криптоаналитики у них сильнейшие, поэтому ляпов за собой по этой части не оставляют.

Это тебя обманули. Все отечественные криптоалгоритмы построены на методах, разработанных в США.
При этом тот же ГОСТ Р 34.11-2012 разработан парой из "Инфотекса" (гражданский аутсорсер, ага) взамен старого стандарта, оказавшегося - сюрприз! - дырявым. Где были твои сильные аналитики до, во время, и после? С чего ты вообще взял, что они когда-либо у нас были? Именно уровня американских? Где на отечественного Рона Ривеста посмотреть можно?
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116

Kernel3

аксакал

U235> Хоть один продукт, в составе которого ФСБ сертифицировал криптостойкость OpenSSL и где использовался бы его дырявый ДСЧ, назови :)

А зачем тебе именно криптостойкость? Сертификат "Классификация по уровню контроля отсутствия недекларированных возможностей" 4-го уровня тебя не устроит? Для проекта, включающего исходники OpenSSL? Если нет, то почему? :)
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116

Kernel3

аксакал

U235> Чтоб, блин, его современники были хоть столько же "дырявыми"! :lol:
U235> Опрубликованная в 92ом хэш-функция MD5 уже сломана практически.

:facepalm: Сравнивать хэши разных разрядностей и чисел раундов - это по-нашему вашему, да. Хотя мысль, что странно, в этот раз у тебя пошла в правильном направлении: высокая производительность MD5 на данный момент является его проблемой, ибо precomputing атаки.

U235> То есть качество работы отечественных криптографов оказалось выше качества работы их западных коллег.

Ни в коем разе. Про SHA-2 не забывай - их не просто так придумали.

U235> Ну и разработать криптоалгоритм - это даже не пол-дела. Оценить его стойкость - дело намного более сложное.

:facepalm: Не, придумать это нельзя. Ты это где-то прочитал. Дай ссылочку, пожалуйста :) :)

U235> В большом здании в Олимпийской деревне на некоторых посмотреть можно, только их фамилии тебе ничего не скажут: они редко печатаются или не печатаются вовсе.

:facepalm: "У нас есть такие приборы спецы, но мы вам о них не расскажем..." ©
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116
Это сообщение редактировалось 18.04.2014 в 15:32

Kernel3

аксакал

U235> Потому что отсутствие недекларированных возможностей - это только отсутствие недекларированных возможностей. ФСБ не сертифицирует больше, чем написано в сертификате.

Т.е. банальное переполнение буфера они проворонили, но уж криптографию, если придётся, они - ууух! - насертифицируют, так, что ли? Самому не смешно? :)
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116

Kernel3

аксакал

U235> Это на каких таких методах разработанных в США построен ГОСТ 28147-89? :)

Сеть Файстеля. Кто придумал метод Диффи-Хеллмана ( :-F ), RSA и эллиптическую криптографию рассказывать надо или сам догадаешься?

U235> И ты прям настолько крут, что знаешь все отечественные криптоалгоритмы, которые в большинстве своем СС и ОВ? :D

:facepalm: Я прям настолько крут, чтобы понимать - стойкий алгоритм секретить смысла не имеет вообще. Чего и тебе желаю.
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116

Kernel3

аксакал

U235> Поэтому и сертификат только на отсутствие недокументируемых функций...

Так если проверяется строго не более заявленного, а на самом деле меньше, ибо лень, недостаток квалификации и пр., в чём вообще смысл сертификации? :) Я именно об этом.
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116

Kernel3

аксакал

kot1967>> Первая в списке - "Московская пивоваренная компания"
ahs> Это "Хамовники" - полки очень активно заняли.

Хронологически сначала "Моспиво" (которое уже куда-то делось), а потом остальное :)
Марку "Хамовники", НЯП, они просто купили, ибо завод в собственно Хамовниках того-с :(
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116

Kernel3

аксакал

U235> А кто заставлял американцев выбирать такие параметры хеш-функций?

Видимо, осознание того, что лучше быстрый алгоритм, чем медленный, но более "перспективный", который из-за тормозов использовать не будут. У того же ГОСТ 28147-89 распространённые программные реализации до ARJ (и то, ЕМНИС, с сокращённым числом раундов) были ли вообще? То-то и оно.

U235> SHA-2 - это уже 2002-2004 год, спустя почти 10 лет после SHA-1 и нашей первой хэш-функции, когда стало ясно к чему идет дело.

И те же 10 лет до нашей второй хэш-функции.

U235> Не понимаешь о чем я? Ну вот придумал я вот такой алгоритм шифрования: давай в шифруемом файле возьмем и инвертируем биты, и никто не догадается.

Не, это ты, видимо, не понимаешь. Применительно к разработке ПО вообще твоё высказывание звучит как: "Разработка фигня, главное - тестирование". На самом деле разработчик по определению обладает всеми навыками тестировщика плюс тем, что позволяет ему быть собственно разработчиком.
Иначе это не разработчик, а любитель-дилетант.
С криптографией аналогично.

U235> Таковы вот особенности отечественной криптографии, вышедшей из 8 ГУ КГБ.

Да не выдумывай. На практике им банальный перебор хэшей, написанный более-менее грамотно с какой-никакой оптимизацией, аутсорсить приходится.
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116

Kernel3

аксакал

Fakir> Как-то опять не пишет...

На Авиафоруме регулярно появляется, так что физически никуда не пропадал :)
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116

Kernel3

аксакал

U235> С приоритетами тут очень сложно...

С приоритетами тут очень просто: всё придумали американцы (пара из них, правда, были натурализованными) и примкнувший к ним Шамир. Верить в секретных советских криптографов, зелёных человечков и летающего макаронного монстра - твоё неотъемлимое право :) А мне бритва Оккама мешает.

U235> Или ты действительно думаешь, что АНБ и МО США пользуются только DES и AES? :)

Конечно, нет. Ещё RC4/5/6 :-F Ничего закрытого у них явно нет, иначе Сноуден бы об этом сказал.

ЗЫ кстати, книжку Масленникова, на которую я давал ссылку, ты явно так и не прочитал. Но мнение имеешь. Характерненько.
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116

Kernel3

аксакал

Fakir> ...или чего-то на основе...

Или "чего-то на основе", да :)

Fakir> Оттуда же сложилось впечатление, что в отечественной традиции всё это дело секретится еще сильней, чем на западе.

Да запросто. Я, собственно, могу поверить, что у наших орлов хватило ума засекретить именно алгоритм, вот только его стойкость это не повысит. Скорее, наоборот.
А как можно засекретить метод - я даже не представляю.
Broken Windows® cures my ills and makes me feel alright... ©  34.0.1847.11634.0.1847.116

в начало страницы | новое
 
Поиск
Поддержка
Поддержи форум!
ЯндексЯндекс. ДеньгиХочу такую же кнопку
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru