Názory k článku Nebezpečné certifikáty: konec SHA-1 a 1024bitové­ho RSA

Ale musí se použít funkce, která moc nedegraduje entropii. Byl by mi na prd 10^10 klíč, když by s 99% klíčů byla zpráva zašifrovaná na jednu z 10 možností. To by totiž odpovídalo zhruba 4bitovému klíči.

To jste mne nepochopil. Byla by to sifrovaci funkce, ktera by pro jednu zpravu vygenerovala 10 ruznych zasifrovanych zprav v zavislosti na hodnote klice (byt dlouheho). Samozrejme by ty zasifrovane zpravy byly jine pro jine vstupni zpravy.

Pro jednoduchost si predstavte si treba funkci, ktera vezme pozici prvni jednicky v klici, toto cislo zapise dekadicky a v nem zase vezme pozici prvni jednicky, a vsechny ostatni informace z klice zahodi. Pak klic delky 10^10 nabyva v teto funkci efektivne 10 hodnot. Pokud byl klic zvolen nahodne tak je vysoka pravdepodobnost, ze utocnikovi bude stacit take volit klice nahodne a rekneme do 100 pokusu se trefi do klice, ktery zpravu rozsifruje (i kdyz ten klic nebude stejny jako original).

Prave tim se takovato spatna funke lisi od toho co chceme od hashovacich funkci: totiz aby se kolize (ruzne klice davajici stejny vystup), hledali tezko.

Taky moje prvni reakce byla na "_pepak"-a, který tvrdil, že není potřeba XOR, ale dále to nerozvedl.

ale tohle vsechno prece vyresi komunikacni protokol

KAZDY kluc, v kazdom sifrovacom algoritme, je len tak bezpecny ako je bezpecne jeho ulozenie (aj pri asymetrickych algoritmoch musi byt privatny kluc bezpecne ulozeny), teda "one time pad" nie je v tomto ziadna vynimka. Rozdiel je len v tom, ze kluc je ovela dlhsi ako pri "beznych" sifrovacich algoritmoch a v minulosti bol problem fyzicky (co je z hladiska bezpecnosti idealne riesenie) prenasat take velke mnozstva dat.
Nie je nutne aby adresat dostal vsetky spravy, staci ak je na zaciatku kazdej spravy (nezasifrovany) index do klucoveho suboru odkial je sprava sifrovana. Utocnikovi tento index bez vlastnictva kluca nepomoze, maximalne moze odhadnut dlzku posielanych sprav porovnanim indexu medzi jednotlivymi spravami, comu sa da zabranit tak, ze sa bude generovat pre kazdu spravu nahodny index. Samozrejme, ze po zasifrovani (a odsifrovani u prijemcu) sa prislusna cast klucoveho suboru znici (aby sa nedala pouzit na opakovane sifrovanie).

Oprava: Dlzku spravy utocnik samozrejme pozna, v zasifrovanej forme je rovnaka ako v nezasifrovanej. Teda netreba robit tie upravy s nahodnym indexom a moze sa posielat index linearne ako sa bude postupne subor s klucom pouzivat. Chybajuci index (nepride ocakavany vo forme predchadzajuci index + dlzka predchadzajucej spravy) adresatovi umozni potom zistit, ze sa predchadzajuca sprava/spravy stratila/bola utocnikom odchytena. Desifrovat spravu ale samozrejme bude moct.

ale no tak, mel jste strach o ulozeni klice a o desynchronizaci komunikace, jake dalsi "vetsi" problemy vernamova sifra ma?

"Samozrejme, ze po zasifrovani (a odsifrovani u prijemcu) sa prislusna cast klucoveho suboru znici (aby sa nedala pouzit na opakovane sifrovanie)."

Kluc je spristupneny len lokalne, po sieti sa neprenasa.
Bezpecnost lokalneho systemu je nutnou podmienkou pre akekolvek sifrovanie, pokial ma utocnik pristup k lokalnym suborom moze odchytavat rovno spravy a kluc nepotrebuje.
Samozrejme, ze je mozne, pri nemoznosti zabezpecit bezpecnost lokalneho systemu, riesit ulozenie kluca v specializovanom "tamper resistant" HW, ktory len vyda jednorazovo prislusnu cast kluca od daneho indexu (a potom ju interne znici).

ach jo :), proste si predstavte ze tech 1GB(TB) dat neni jeden klic ale tisic nebo milion mensich klicu, a pokazde pouzijete (jak vy rikate zpristupnite) jen ten jeden malej kousek co prave potrebujete a vse ostatni zustava v bezpeci (nebo nebudete nosit klic ke zprave ale zpravu ke klici) - jak jsem psal vcera vse je otazka "protokolu"

zapojte trochu predstavivosti a jiste prijdete na 10 dalsich zpusobu ;)

ano bude, i starej, k nicemu nepripojenej, pocitac, ke kteremu si dojdete pro ten spravny kousek klice, nebo si k nemu donesete ciphertext, bude specializovany HW (protoze nebude delat nic jineho)...

kazdy kdo to mysli s bezpecnosti trochu vazne a kteremu to jeho modus operandi dovoli, pouziva ostrovni systemy

pro nekoho je ostrovnim systemem specializovany HW ve faradayho kleci s galvanicky oddelenym napajenim, zakopany 100m pod zemi v betonovem bunkru

pro jineho starej nepouzivanej pocitac. (a o tom tu mluvime protoze k dyz se podivate na zacatek vlaktna, resime tu prakticnost pouziti OTP pro bezne smrtelniky)

VZDY je nutnym predpokladem fyzicka bezpecnost, protoze jinak nastupuje termorektalni kryptoanalyza

BTW: doufam ze vite co FIPS level 2 a 3 o certifikovanem zarizeni vypovida ;) a uz vubec se nechci poustet do uvah, jak by mohl nejaky HSM u OTP fungovat

tak v tomto se asi neshodneme:

- zadna jina sifra neni vuci vernamove stejne bezpecna

- hw udelatka (tokeny,cipove kart) poskytuji ochranou POUZE proti zkopirovani ci kradezi klice, nijak vas neochrani proti utocnikovi, ktery ma pristup k zarizeni na kterem s nimi pracujete (fyzicky ale i vzdaleny!)

- One Time nema nic spolecneho s casem, znamena to JEDNORAZOVY = klic lze pouzit jen jednou

zkuste se zamyslet nad tim jake vektory utoku realne hrozi a jak jsou proti nim oba systemy (OTP vs asymetricka sifra v cipu) odolne. Mozna si pak uvedomite ze ten token ci cipovou kartu stejne do niceho jineho nez "ostrovniho" PC strcit nemuzete a ze i tam vam dokonce v nekterych pripadech poskytuje horsi zabezpecni nez OTP. ;)

A co tak si precitat este raz zaciatok vlakna:
" (kluc by bol samozrejme zasifrovany este "beznou" sifrou na ochranu proti kradezi karty)."
A pri kazdom pouziti by samozrejme bolo nutne zadat heslo, ktorym by bol kluc zasifrovany (ktore by sa samozrejme nikde neukladalo).
A ak by aj utocnik zasifrovany kluc ziskal a bol by schopny ho cez "zadne dvierka" k sifrovaciemu algoritmu desifrovat (co je nepravdepodobne), tak overit ci dostal spravny vysledok desifrovania, v situacii kde spravnym vysledkom je niekolko 100 GB nahodny subor bez dalsej struktury, je extremne narocne.

protoze beznou sifrou chranim jen to nad cim mam fyzickou kontrolu, coz se o datech behajich po internetu rict neda ;)

a na tom se zase shodneme :)

muj vyhrazeny pocitac bude muset nekdo navstivit fyzicky ( o fyzicke bezpecnosti jako nutne podmince tu mluvime od zacatku)

vasi cipovou kartu zneuzije utocnik vzdalene: keyloggerem zjisti PIN a v okamziku kdy budete mit kartu ve ctecce si vesele odbavi vsechny transakce, ktere potrebuje

-u obou z nas bude potrebovat data z klavesnice (vas pin, moje heslo k OTP klici)

-u vas desifruje veskerou komunikaci z minulosti a kazdou budouci dokud nebude odhalen (bude mit pristup ke karte)

-u me pouze tu ke ktere ziska klic = zadnou minulou (klice jsou znicene) u aktualni a budouci zalezi na tom jak je OTP klic sifrovan (zda cely nebo po castech)

- gumova hadice nebo letlampa bude stale fungovat na nas na oba ;)

mate cipovou kartu s klavesnici?

Otvaram nove vlakno, lebo toto sa uz neda citat:
"Prakticke pouzitie OTP sifry"

vy takovy firmware ted mate k dispozici? (ja tu ten svuj stary pocitac mam) ;)

a ted otazka za 100 bodu: neni nahodou ten bitcointrezor to same co muj stary pocitac??? :D (jen s horsi klavesnici, displayem, nekontrolovanym prenosem pres USB a urcite by se naslo neco dalsiho )

z webu bitcointrezoru:

What happens if the SatoshiLabs servers are hacked and the firmware signing key is stolen?
First off, this won’t happen ;). The SatoshiLabs master key is kept very safe.

Nemáme.

Ano, je stejný; jako pro tajného špiona je pro je ale jednodušší pašovat přes hranice klíčenku než desktop.

Procesor v Trezoru je jednodušší a tedy můžeš doufat, že je v něm méně chyb a backdoorů než ve složitém Pentiu.

Filipe, uz jsem to tu jednou psal a nekolikrat naznacoval, pokud vim, v soucasne dobe neexistuje zadna "klicenka", ktera umozni bezpecnou praci s asymetrickou sifrou na kompromitovanem pocitaci..

takove zarizeni totiz musi umet prijmout pozadavek na transakci, nechat uzivatele pozadavek overit a potvrdit a pak transakci provest tzn musi mit klavesnici a display

a ted si predstavte ze na takovem zarizeni mate desifrovat gpg (s/mime) zasifrovany email, musite ho tam cely nahrat vcetne zasifrovaneho klice, protoze musite:

a) spocitat otisk prijateho ciphertextu/cle­artextu (dle protokolu)
b) desifrovat/overit otisk zpravy podepsany odesilatelem
c) porovnat spocitany otisk a prijaty otisk = overit ze budu desifrovat klic k tomu co jsem dostal a ne k necemu jinemu
d) desifrovat ciphertext zpravy
e) zobrazit prijatou zpravu (zpet do pc uz nesmi, to muze byt napadene)

vsechno to o cem pisete Vy (cipove karty, security tokeny etc) ma ten zasadni problem, ze utocnik Vam v okamziku kdy Vy si myslite ze potvrzujete svou operaci posle do toho zarizeni svoji transakci (pokud ma token svou klavesnici), nebo si tam posle svych 1000 pozdavku v okamziku kdy tam kartu zastrcite a on odchytne pin (pokud je zabezpecena jen PINem)

pokud tohle pochopite/uznate, tak zjistite, ze musite tak jako tak pracovat na bezpecne/nekom­promitovane stanici (vcetne fyzicke bezpecnost), a tam je proste vernamova sifra bezpecnejsi (na to existuje matematicky dukaz), a vse co poskytuji soucasne security tokeny zbytecne

ad1) utocnik muze chtit desifrovat stare zpravy ...

ad2) utocnik se prozradi jen pokud mate token/cip s HW klavesou (kolik jich ted mate u sebe??) , a pokud si toho vsimnete (poslu svou transakci a vyvolam BSOD nebo shodim aplikaci , takhle to udelam jednou za cas, napadne vas ze se neco deje??), system ktery prozradi byt jedinou zpravu pro me neni bezpecny....

ad3) klavesnice a displej musi byt na tokenu viz muj predchozi prispevek

ad4) klic musite chranit vy u asymetricke kryptografie, my s OTP jej ihned nicime

a porad tu je ten zlaty hreb: u OTP mame dukaz ze pri prenosu je zprava bezpecna, to vy tvrdit nemuzete....

co jineho nez sifrovat/desifrovat s tim klicem utocnik muze delat? vy mu ten klic nedate, ale vase cipova karta mu ty vypocty (stejne jako vam) provede...cilem utocnika neni vas klic ale plaintext a ten ziska

nevim jestli se tak spatne vyjadruju, ale zkusim to prikladem: vygeneruju 1MB klic a tim klicem budu sifrovat 1kb zpravy, zasifruji prvni zpravu a prvni 1kb klice znicim, zbude mit 1023kb klice, zasifruji druhou zpravu znicim dalsi 1kb klice atd, to same dela protistrana

pokud zpravu 1 a 2 po pouziti znicim taky, tak ji ze me uz ani nikdo kdo zachytil ciphertext (narozdil od vas) nevymlati, protoze mu bude jasne ze si ten zniceny 1kb klice nemuzu pamatovat

ale prece se tady nebudeme ucit zaklady kryptografie....

pisete: V mém případě musí útočník počkat, až budu něco dešifrovat já. V takovém okamžiku může jednu zprávu dešifrovat a riskuje, že se prozradí...

zde sam uvadite duvod proc musi byt klavesnice (aspon jedna klavesa) a display na tokenu..

vazne akceptujete kryptograficky system, ktery hrozi prozrazenim byt jedne zpravy??

a ted ke me:

k cemu bude utocnikovi muj klic zasifrovany symetrickou sifrou? pokud chcete namitnout ze odposlechne i heslo k symetricke sifre a klic desifruje, tak stejne tak muze odposlechnout vas pin k tokenu a token vam ukrast nebo si ho v horsim pripade jen pujcit (k obojimu potrebuje fyzicky pristup a ten jsme na zacatku vzdy povazovali za nutnou podminku bezpecnosti)

pokud se tak stane je:

-veskera vase minula komunikace je prozrazena.
-moje minula komunikace je v bezpeci

v pripade budouci komunikace

-jste vy v relativne v bezpeci (bud si vsimnete ze vam karta chybi, nebo vas bude muset utocnik navstivit znova, moznost ze je v karte backdoor a klic se podari zkopirovat ted radsi vyloucime, protoze vyrobce prece tvrdi ze neni)
-ja si toho bud vsimnu a jsem zcela v bezpeci (vymenim klic), nebo si toho nevsimnu a jsem v pr.. pokud me nezachrani nejaky protokol (napr. predem domluvena casove zavisle transformace klice)

a znova opakuji: ja jsem ohrozen pouze v pripade fyzickeho napadeni, vam, hrozi jednak prolomeni pouzite asymetricke sifry jako takove (vsimnete si pod jakym clankem diskutujeme), a pokud pracujete na PC pripojenem do internetu hrozi prozrazeni NEJMENE jedne zpravy (pokud mate token s klavesnici a jste pozorny) i pomoci vzdaleneho utoku

- jak jinak nez bez klavesnice na tokenu zabranite tomu, aby utocnik neposlal do tokenu 1000 pozadavku okamzite po zasunuti do pc?

-tvrdim (a ne jen ja) ze vernamova sifra je bezpecnejsi pro prenos zpravy (symetrickou sifrou chranim jen klic ulozeny na koncovem zarizeni)

-chcete pro kazdou zpravu pouzivat jiny privatni klic?? to jako vas budu muset kontaktovat pred odeslanim zpravy abyste si vygeneroval novy privatni klic a poslal mi jeho verejnou cast abych vam mohl zpravu zasifrovat a odeslat? a to vse ma byt trivialni a praktictejsi nez OTP ??

- zkuste si porovnat kolik je ukradenych pocitacu a kolik je online utoku, podivejte se na nazev tohoto clanku, mame dve sifry u jedne existuje matematicky dukaz neprolomitelnosti, u druhe ne, pouze se predpoklada ze je ZATIM bezpecna, ale jakmile dojde k prolomeni, bude mozno desifrovat veskerou probehlou komunikaci, tuto zatim bezpecnou sifru (klic) chranite zarizenim treti strany, ktera neco deklaruje, vazne si spravny paranoik vybrat tu druhou?

mozna jsem Vas spatne pochopil, ale zdalo se mi ze jste ze zacatku tvrdil, ze kdyz mate cipovou kartu, token ci HSD jste na tom lip i na pocitaci pripojenem do internetu nez ja s OTP na ostrovnim PC. (protoze tak to prece delaji velci hosi, myslim ze padlo neco i o NSA :) )

dobre rano :)

-a jaky je rozdil mezi ostrovnim pocitacem a mobilnim telefonem ?? neni to nahodou to same?

-pokud utocnik umi rozlustit symetrickou sifru, musi v mem pripade fyzicky pro klic ke me domu, ve vasem mu staci kdekoliv po ceste odposlechnout zpravu

-budete mit pro kazdeho s kym komunikujete vlastni token?, u kazde zpravy budete nezavislym kanalem overovat identitu?

-prolomeni symetricke sifry muj klic ohrozi jedine v pripade jeho fyzickeho odcizeni

-vernamova sifra neni uznavana??

-nikdo nikdy nerekl ze OTP klic bude lezet jen tak, od zacatku stale opakuju ze je zasifrovany, paranoici jej nosi stale u sebe, maji ho v trezoru, schovany pod rohozkou....

jedine riziko systemu OTP je NEPOZOROVANE ziskani klice (nemusim tomu zabranit, staci to jen zjistit), mira toho rizika je pro mne prijatelna

tohle uz zacina byt komedie takze jen zkracene:

-vernamova sifra neni zadny muj samodomo vymysl

-hlavni problem cipovych karet a security tokenu soucasne generace (bez klavesnice a displeje) neni v sifre, ale nemoznosti kontroly jakou operaci provadim

- pokud chcete do operaci mezi cipovou kartou a pc vlozit jeste mobil, abyste byl schopen transakce kontrolovat nevidim zadneho rozdilu mezi vasim a mym resenim, oba pouzivame "ostrovni system" ja volim jednorazovou sifru protoze je pro mne vyhodnejsi nez asymetricka, u vas je to obracene princip zustava stejny: v soucasne dobe neni mozne za pouziti zadnych hyper-super udelatek bezpecne sifrovat na jedinem PC pripojenem k internetu.

-nosit s sebou stary pocitac nemusim, staci mi nosit ten klic; na microsd pod jazykem ;)

-kdyz jste se zkousel vykroutit z toho, ze v pripade prozrazeni privatniho klice u asymetricke kryptografie je kompromitovana veskera minula komunikace, (coz je zakladni vlastnost systemu asymetrickych sifer a nechapu proc se to vubec snazite vyvratit) napsal jste: "Utajení minulých zpráv lze při použití asymetrické kryptografie triviálně vyřešit tak, že se pro každou zprávu použije nový klíč. " kdyz vas na to upozornuji ze je to nesmysl ktery zcela popira vsechny vyhody asymetricke sifry, pisete "Výhoda asymetrické kryptografie je v tom, že můj veřejný klíč může znát libovolný počet odesílatelů. " takze mate jeden nebo vice privatnich klicu?!?!?

ale my se tady o zadnem pasovani pocitacu nebavime, na zacatku tu kolega psal , ze je dnes jednodussi prenest "bezpecne" 10GB OTP klice (zasifrovany na SDkarte) nez driv, a proto ze je pouzivani OTP je dnes jednoussi nez v minulosti

pokud budu muset nekam prevezt cele zarizeni, bude to za me mobil nebo tablet = moderni ekvivalent stareho pocitace......

to ze jsem napsal "stary pocitac" vzniklo tak, ze se tady na jeden celou dobu divam, a kdybych mel ted v sobotu vecer vstat a "zrealizovat bezpecnou komunikaci chudeho muze" tak ho vezmu a pouziju...