Názory k článku Postřehy z bezpečnosti: NTRU algoritmus odolný vůči NSA?
-
student (neregistrovaný)
"komunita, bezpečnost i soukromí celkově dostalo ještě před Vánoci ten nejkrásnější dárek."
Rychle, nenarocne na pamat, s kratkymi klucami... Presne take by malo byt nieco, co by som chcel lamat pomocou FPGA alebo ASICov.
Ked sa k tomu prida ta pochvala od NISTu, tak je na 90% jasne, ze na to uz maju vymyslene riesenie. Akurat trochu cenzurovali svoje riesenie, ze pouzili "most practical..." namiesto priameho vyjadrenia.
Asi ma uz chyta paranoia, ale toto je take priezracne, ze neverim, ze NTRU bude odolne voci NSA.
-
Jenda (neregistrovaný)
Disclaimer: post-quantum cryptography nerozumím vůbec.
„Rychle, nenarocne na pamat, s kratkymi klucami... Presne take by malo byt nieco, co by som chcel lamat pomocou FPGA alebo ASICov.“
Rozumné moderní šifry konvenčními prostředky nezlomíš, ať jsou (ty prostředky) jakkoli optimalizované. Třeba 2^256 operací prostě nedáš ani ASICem.
-
Martin ČmelíkZlatý podporovatelTak on NIST umi i pochvalit :]
Nasel jsem v cestine diplomovou praci zminujici NTRU. Je tam sice nekolik chyb, ale je to pekny prehled algoritmu a matematickych problemu: https://dspace.vutbr.cz/bitstream/handle/11012/6225/Diplomov%C3%A1%20Pr%C3%A1ce.pdf?sequence=1 -
Jenže požehnání NIST nemusí nic dokazovat, ba možná naopak, jak tomu bylo v případě Dual_EC_DRBG.
-
Filip JirsákStříbrný podporovatelJak moc je NTRU prověřený – jak teoretický základ, tak implementace?
Jinak teda moc nevím, co si mám o seriálu myslet. Je fajn, že je to stručný český přehled – nesrovnatelně lepší oproti dřívějšímu seznamu odkazů s pár nadpisy. Ale vůbec mi není jasné, co si autor myslí o NSA, tím pádem těžko nějak zacházet s informacemi o NSA z jeho článků. Jednou napíše, že si myslí, že NSA má backdoor v AES, pak že RSA dostala zaplaceno od NSA za backdoor, a teď bez jakéhokoli vysvětlení napíše, že NTRU je odolný vůči NSA. Každého správného paranoika přitom musí napadnout, jestli ty samé výhody NTRU (rychlost, paměťová nenáročnost, krátké klíče, odolnost proti Shorovu algoritmu) nejsou vyváženy jednou skrytou nevýhodou – že by ten algoritmus mohl být vytvořen na míru pro NSA (samozřejmě aby se jim dobře dešifroval). Nebo mám použít klasické pravidlo, že končí-li novinový titulek otazníkem, zní odpověď „ne“?
-
Martin ČmelíkZlatý podporovatel
Muj nazor na NSA je snad vice nez jasny. Nenasel jsem nikde navaznost NTRU, ci Security Innovation na NSA. Pokud jste neco takoveho nalezl, tak mi, prosim, dejte vedet a v dalsim dile ho hned odvolam :]
Proste podle vsech studii a testu vypada zatim nejlepe z me znamych sifrovacich algoritmu. Navic je nyni pod licenci GPL coz me tesi o to vic, protoze uz jsem chtel zazadat o licenci zdarma pro nekomercni projekt.
-
Filip JirsákStříbrný podporovatel
Před rokem byste nenašel žádnou návaznost NSA na firmu RSA, žádnou návaznost na AES, žádnou návaznost na Google. Asi se rád necháváte překvapovat…
Co zhruba znamená to „podle všech studií a testů“? Chápu, že jich nebude tolik, jako pro AES, Blowfish, MD5 nebo SHA-2, ale je jich už dost na to, aby to, že se zatím na nic průkazného nepřišlo, bylo přesvědčivé? Já bych řekl, že je to zatím spíš ve fázi, kdy se začínají objevovat nápady na možné způsoby útoku, a teď se zkoumá, jak to s tím je. Např. 1, 2, 3.
-
Martin ČmelíkZlatý podporovatel
Kde jste, prosim, nabyl vedomi ze nebyla navaznost RSA, ci Googlu/Microsoftu/Yahoo/XYZ na NSA? O tom se mluvi jiz mnoho let. O tom, ze zvoleny algoritmus BSafe pripomina spise backdoor taky, uz behem prvniho seznameni se standardem. Dukazy samozrejme chybeli.
Ty studie jste cetl? Nasel jste tam neco znepokojiveho? Nejaka zadni vratka?
Z vasich predchozich komentaru vas stejne zrejme nikdo nepresvedci, takze nebojujeme zde s vetrnymi mlyny? Pokud existuje nejaka autorita, ktere budete verit, tak napiste prosim o vyjadreni ji/jemu.Dekuji
-
Filip JirsákStříbrný podporovatel
Byly to jen ničím nepodložené spekulace, úplně stejně lze spekulovat i o NTRU. Dnes jsou to spekulace podložené vyjádřením plus mínus jednoho člověka, důkazy stále chybí.
Pokud lze privátní klíč získat ze 400 podpisů, certifikační autorita by byla kompromitována během jednoho dne, autorita časových razítek během pár minut. Pro mne je to dostatečný důvod k ostražitosti a počkám si, než bude matematický aparát i implementace prověřena více.
Věřil bych třeba vám. Ale to bych musel chápat aspoň náznak toho, v čem vidíte ten podstatný rozdíl mezi AES a NTRU, když je hodnotíte tak rozdílně. Možná ten rozdíl vidíte a jenom se to nedá vyčíst z článků, možná se to z článků vyčíst dá a já to neumím. Každopádně jsem se to nedozvěděl ani z komentářů (což může být chyba na mé straně stejně jako na vaší), takže asi nemá smysl to dál řešit
-
Martin ČmelíkZlatý podporovatel
Dobry den,
jak bych vam rad lepsi dukaz podal, ale nemam ho. Sam nejsem kryptolog, takze ani nemohu hledat v algoritmu (ktery je verejne znamy) zranitelnost. Jak jsem jiz psal jinde bylo by dobre se zeptat prednich ceskych kryptologu.
Ja v teto fazi (mozna pro vas slepe) verim NTRU.
-
Filip JirsákStříbrný podporovatel
Problém mřížky jsem ovšem já vůbec nezpochybňoval. Víte, on je rozdíl mezi matematickým problémem a jeho užitím v kryptografickém algoritmu, a je rozdíl mezi teoretickým popisem kryptografického algoritmu a jeho praktickou implementací v nějakém programu. Prolomení MD5 nebylo dosaženo průlomovým objevem v matematice, ale objevením děr v kryptografickém algoritmu, který ten matematický aparát používá. A nad tím samým matematickým aparátem jsou vybudované i jiné algoritmy, které jsou stále bezpečné. Podobně problém s OpenSSL v Debianu nevznikl ani v rovině matematického aparátu, ani nebyly odhaleny chyby v žádném používaném kryptografickém algoritmu, ale chyba byla „jen“ v konkrétní implementaci.
-
Martin (neregistrovaný)
Najskôre si prečítajte toto:
http://komentare.sme.sk/c/7060609/laus-sapientiae.htmlA potom si môžete stiahnuť zdrojáky a začať študovať namiesto toho prázdneho "programovania hubou" - ako Vám už tu niekto povedal.
-
Martin ČmelíkZlatý podporovatel
Dobry den,
bohuzel nejsem kryptolog. Z CR byste o to mohl spise pozadat Vlastimila Klimu, Tomase Rosu, Jaroslava Pinkavu, ...
I tak dekuji za komentar
-
judovana (neregistrovaný)
V puvodnim clanku byl link na diplomku - https://dspace.vutbr.cz/bitstream/handle/11012/6225/Diplomov%C3%A1%20Pr%C3%A1ce.pdf?sequence=1
Zda se mi to nebo nekam zmizel>
-
Komo (neregistrovaný)
Este k vsetkemu co bolo povedane, nasiel som celkom zaujimavu myslienku.
Nieje to ziadna diera do sveta, skor len taky sumar vsetkeho co bolo povedane:"While cryptanalysis is often linked to mischievous purposes, it is actually a necessity. It is an ironic fact of cryptography that it is impossible to prove an algorithm secure. It can only be proven that it is not vulnerable to known cryptanalytic attacks. Therefore, there is a need for mathematicians, scholars, and security forensic experts to keep trying to break the encryption methods."
-
ex (neregistrovaný)
Rad bych se zeptal, protoze jsem to z linkovaneho clanku dostatecne nepochopil: Nektere sdilene reklamni prvky od Yahoo sluzby byly skodlive a jejich skodlivost se projevila jiz jen pri beznem shlednuti v prohlizeci (kdyz nejsou tyto prvky nejak prohlizecem zablokovany), nebo to zminene presmerovani na skodici server probehlo az po nutnem kliknuti na takovy reklamni prvek?
-
Entropista (neregistrovaný)
Zatímco NTRU vypadá slibně, tak NTRUSign je na tom už hůře. Co já vím, tak neexistuje bezpečná verze NTRUSign. (Asi před dvěma měsíci jsem to zkoumal články o NTRUSign celkem pečlivě). Na wiki http://en.wikipedia.org/wiki/NTRUSign je zastaralý údaj, že perturbace opraví dříve nalezenou chybu. Roku 2006 byl prolomen NTRUSign bez perturbací a roku 2012 i s perturbacemi: http://www.di.ens.fr/~ducas/NTRUSign_Cryptanalysis/DucasNguyen_Learning.pdf.
NTRUSign je tedy nepoužitelný. -
braqela (neregistrovaný)
To, že jsem paranoidní, ještě neznamená, že po mě nejdou.
A co když je pravda ta, že i v tomto případě NSA tahá za drátky a oblbuje ovce. Není jednodušší než louskat x různých šifer, je prohlásit za prolomitelné kvantovým počítačem a ovcím nasugerovat, že tato jediná je správná? Pak nějaký Snowden za čas vynese, že tato šifra chutná kvantovému počítači víc, než ty ostatní a lousknuto mají lusknutím prstů a ovce bečí nadšením jak jsou v bezpečí. Známe takový zatáčky z minulýho i tohoto režimu.
Paranoia není nemoc, jak se nám snaží nasugerovat. Paranoia=hezky česky obyčejná opatrnost a životní zkušenost. -
Vrfy (neregistrovaný)
:D Nebo je třeba opravdu odolný, ale NSA neohrožuje neboť si většina lidí pomyslí, že je to tah od NSA. :) We need to go deeper. :) Ale pak už nikdo nebudeme vědět, kde je realita. :D
V tomto případě je nejlepší použít nějakou kaskádu šifer a šifry navrstvit na sebe. :) Ale pak se zase platí výpočetním výkonem, který je užit k šifrování. Plus je problém, že dvě šifry na sobě nejsou nezávislé (např. šifra "vespod" může produkovat nějaké charakteristické posloupnosti a tak kompromitovat šifru na vrchu).
Jinak co se týče kvantového počítání, tak v případě kvantových počítačů je třeba klíč k RSA rozlousknut stejně rychle jako je na běžném počítači použit k šifrování. (Nevím přesně, jaká je náročnost tohoto algoritmu (Používá se Shorův algoritmus na dekompozici, jenž má náročnost O(e^(1.9(log n)^(1/3) (log log n)^(2/3))) (wiki). Možná NTRU není odolné kvůli některé z jeho (potencionálních) chyb, ale matematicky podobně založené algoritmu jsou odolné vůči známým kvantovým algoritmům.
Tedy ať je to výmysl NSA nebo ne, rozhodně stojí tento algoritmus za bližší prozkoumání :)
