Názory k článku
Odměna za odhalení seedů za eliptickými křivkami NIST od NSA

"...by tyto obavy jednou provždy potvrdilo či vyvrátilo." - ne, z principu jde tyto obavy pouze potvrdit, nikoliv vyvrátit. Bohužel.

Mnojo, kazda teorie se povazuje za platnou do te doby nez ji nekdo vyvrati. Ale to je proste normalni a jediny mozny pristup.

No pokud ty magické konstanty vznikly zahashováním nějakého normálního textu, tak není moc reálné, že by byly cinklé. Předpokládat, že by NSA hledala nějaký normální text, jehož zahashováním by vznikl problematický seed, je dost úsměvné.

Ale je pravda, že obavy se vyvracejí dost blbě. A nekdy je jakýkoliv pokus o vyvrácení spíš posiluje.

Zajímavost k tomuto (ten předpokládaný způsob prolomení eliptických křivek tímto dělat nejde, ale i tak je to pěkná ilustrace pro představu, jak lidi podceňují, kolik entropie se dá udělat v čitelném textu).

Protože Twitter má krámy a náhodně blokuje neregistrované, tak to sem zkopíruji:

První tweet: The SHA256 for this sentence begins with: one, eight, two, a, seven, c and nine. (tohle mi přišlo jako dost jednoduchá aplikace statistiky a principů jako narozeninový paradox a princip holubníku)

Reakce na něj: Was just verifying your tweet's hash, and then...omg!!! I couldn't believe what I realised. The SHA256 of THIS tweet starts with exactly the same 7 characters as your tweet's hash. What are the chances of that? (tohle už mi vyrazilo dech a chvíli mi trvalo než jsem pochopil jak se to generuje)

A tady je popis jak takové věci generovat trochu víc automaticky.

Proč myslíte? Předpokládejme, že některé eliptické křivky jsou nějakým způsobem neznámým způsobem slabé, a jen NSA má znalosti, pak se to celé odvíjí od toho, jaká je pravděpodobnost, že je náhodná křivka slabá.

I s tehdejší (NSA dostupnou) technikou, bylo možné docela citelně bruteforcovat (otázkou by bylo, co se bruteforcovalo - jestli jen 2x sha1, tak je to rychlé, jestli se v rámci ověření musela počítat i samotná křivka, tak už to taková legrace nemusela být - ale tohle bez znalosti oné slabiny těžko rozhodneme), a hypoteticky, pokud to už NSA cinkla, tak se jakákoli forma plusible deniality celkem hodí.

> Předpokládejme, že některé eliptické křivky jsou nějakým způsobem neznámým způsobem slabé, a jen NSA má znalosti, pak se to celé odvíjí od toho, jaká je pravděpodobnost, že je náhodná křivka slabá.

Já jsem si myslel, že ta hypotéza je, že se křivky backdoorují tak, že ty hodnoty musíš vygenerovat se znalostí nějaké tajné hodnoty, ne že hledáš náhodné a nějaké to pak splňují. Jednak takhle AFAIK backdoorovali Dual_EC_DRBG, jednak nevím jestli by si ten druhý způsob dovolili, protože by hrozilo, že na ten princip přijde někdo jiný a pak to bude moct taky prolamovat (nebyl by to NOBUS backdoor).

Já slyšel i hypotézu, že by třeba jedna z milionu byla nějakým způsobem slabá. To by nešlo vyvrátit zveřejněním preimage, protože najít milion rozumně vypadajících anglických vět není až takový problém.

Tady pleteš dohromady dvě rozdílné věci.

DUAL_EC byl (velmi zjednodušeně a chybně řečeno, kdyžtak si najdi tu studii pro správný popis) použití "public key algoritmu" nad _bezpečnou_ křivkou na generování náhodných čísel způsobem, že když jsi měl příslušné tajné klíče (ona studie je nazývala skeleton keys), tak z toho streamu, co z toho leze, jsi byl schopen snadno obnovit vnitřní stav, i když z toho bylo jen vyřezáváno 16 nebo kolik bitů.

Problémy s NIST_* jsou pochybnosti o tom, že samotná křivka není bezpečná. Čti: že není známý proti té konkrétní křivce algoritmus, který je výrazně efektivnější než obecný, na řešení "těžké úlohy", která dělá celou bezpečnost (diskrétní logarigmus apod.).

Za $12k se neoplati se nad tim ani zamyslet ne to jeste palit vykon.

Cílem očividně není vydělat na tom peníze, ale pomoci vyřešit bezpečnostní problém. Ta odměna může být pro někoho zajímavá, ale už podle toho stylu se předpokládá, že to půjde spíš na tu charitu. Pro většinu řešitelů by měl být zajímavý problém samotný.

Ten problem je ale neresitelny bez HW za xxk-xM $$$.
Zajimave by bylo vedet proc treba do toho nezatahnou komunitu, treba pres BOINC.

Plot twist: po dvou dnech počítání na RTX 4090 našel nadšený cracker hesel s jazykovým modelem a vyladěnými pravidly, že řešení je "Boss, give Jerry $10000 raise!!".

(není ale mohlo by)

A teď ty prosím vysvětli na čem jsi založil ten svůj odhad.

Poslat přes 800kkč na nějakou rozumnou charitu nejsou nějaké drobky. Moje ego by si teda nestěžovalo.

Kde si vzal 800k Kc? V clanku se pise o $12 288. To neni ani 300k Kc

Na konci článku:
"Jestliže se rozhodne částku věnovat na dobročinné účely, bude odměna ztrojnásobena."

A keď ich dajú na môj osobný účet to su ako zločinné účely?