14 января 2009 г. 15:31 пользователь Victor Wagner <vi...@wagner.pp.ru>написал:
> On 2009.01.14 at 09:57:12 +0300, Alexander GQ Gerasiov wrote: > > > > > > > Может кто подскажет, надежные и не рискованные криптоалгоритмы? > > > Наши ФСБшники от слов Camellia и Blowfish ржут как кони, а от AES, > > > ващще, по полу катаются!!! > > Ты больше с ФСБшниками общайся они тебе еще и не такого расскажут. Как > > раз "рискованным" скорее можно ГОСТ назвать, в котором нет известных > > уязвимостей, но есть пара странных, не совсем понятно чем > > продиктованных мест. > > Вообще-то криптоалгоримты это не только и не столько симметричные шифры. > Симметричные алгоритмы шифрования как раз все (кроме древнего-древнего > DES, который не tripple) более-менее со своей задачей справляются. > > А вот с алгоритмами хэширования, которые применяются, например при > выработке электронной подписи, уже сложнее. В MD5, например, коллизия > сейчас находится часов за 8. Коллизия, это конечно, всего лишь коллизия > (т.е. возможность сгенерировать одновременно два документа с одинаковой > MD5-суммой), но реальзые эксплойты (позволяющие пересадить чью-то > электронную подпись с одного документа на другой, в частности с одного > сертификата на другой) уже есть. > > Шнайер, в свое время очень хихикал в Applied Cryptography по поводу > параноиков-русских, которые в ГОСТ Р 34.11-94 сделали такую длинную > хэш-сумму. А на практике это оказалось не так уж глупо. Хотя недавно был > получен результат, снижающий стойкость этого алогоритм вдвое, оставшихся > битов все равно больше, чем в sha1. > > Ситуация с асимметричными алгоритмами тоже не слишком радужна. > Существует, грубо говоря, три распространенных алгоритма этого класса - > RSA, схема Эль-Гамаля над полем вычетов (DSA, ГОСТ Р 34.10-94) и > схема Эль-Гамаля над полем точек эллиптической кривой (ECDSA, ГОСТ Р > 34.10-2001). > > Для того, чтобы взломать RSA, необходимо уметь раскладывать на множители > большие числа. На решение этой задачи тратится очень много усилий, и > результаты постепенно достигаются. То есть уже публиковалась информация > о взломе 640-битного RSA. Поэтому 1024-битный считается несколько, мнэ, > ненадежным, и используются 2048 битные ключи. Но с ростом длины ключа > растет не только сложность взлома, но и сложность легитимного > использования. Ммм.. не понил, в чём проблема с легитимностью? > И при 2048 битных ключах RSA уже заметно проигрывает в > скорости алгоритмам на базе схемы Эль-Гамаля. > > Для взлома алгоритмов на базе схемы Эль-Гамаля над полем вычетов > необходимо уметь решать задачу дискретного логарифмирования, т.е. > > находить y по известному x^y mod p, где x и p - порядка 1024 бит, а > y - от 160 до 256. Здесь результатов гораздо меньше, чем по части > факторизации больших чисел. Тем не менее "параноики-русские" уже больше > года, как признали устаревшим и запрещенным к использованию стандарт > ГОСТ Р 34.10-94, основанный на этой схеме. > > В России теперь официально можно использовать только алгоритмы на > эллиптических кривых. Есть что-нибудь почитать на тему именно отечественной криптографии, если можно так выразиться? Мне абсолютно ни о чём не говорят довольно часто мелькающие ГОСТы точнее их соотношение с заграничными аналогами, твой же пример DSA и ГОСТ Р 34.10-94, а хотелось бы. > > Что забавно, на западе большая часть софта эти алгоритмы вообще ещё не > начала поддерживать. Мозилловская libnss уже умеет, а вот версия > OpenSSL, которая умеет их в TLS использовать, > еще находится в процессе разработки. > >