> From: Tommaso Gagliardoni <[email protected]> > Subject: Re: R: [ml] is there a backdoor in Truecrypt? > To: [email protected] > Message-ID: <[email protected]> > Content-Type: text/plain; charset=UTF-8 > > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA256
Per quanto riguarda il TrueCrypt confermo in pieno quanto gia' detto. Tommaso, c'e' pero' un punto della tua mail che mi costringe a intervenire. >> Se invece io fossi X farei una cosa molto piu' elegante, ovvero >> prenderei un crittosistema famoso e lo modificherei leggermente con >> la scusa di irrubostirlo > > Qui non sono affatto d'accordo. E' praticamente la prima regola in > crittografia il fatto che l'algoritmo debba essere noto e testato > approfonditamente, PER ANNI, dalla community accademica. Sarei pronto a > scommettere qualsiasi cosa che se domani l'NSA o chicchesia se ne > uscisse con una proposta di versione "irrobustita" di AES passerebbero > anni prima di vederlo usato su larga scala, e nel frattempo sarebbe > sventrato da matematici e crittanalisti vari (che sono pagati per fare > queste ricerche e pubblicare kg e kg di paper coi risultati, al > contrario degli sviluppatori che nel 99% dei casi non sarebbero pagati > per fare una review del codice di un prodotto open source). > > Conclusione: piu' elegante si', ma decisamente piu' rischioso e meno > efficiente nascondere una backdoor nell'algoritmo piuttosto che nel codice. > Questa e' una visione un po' naif della Crittografia. Ad esempio, a tutt'oggi non si sa per certo se AES nasconda una trapdoor in stile Paterson. Incluso AES-256. E pur sapendo esattamente come funzionerebbe questa trapdoor, il costo di cercarla e' proibitiva,e richiede competenze matematiche elevatissime. Solo chi ce l'ha messa dentro la conoscerebbe. Si sa d'altro canto che SE uno usasse AES con chiavi indipendenti e numero di round negoziabile, ALLORA sicuramente questa trapdoor non potrebbe esistere. Molta gente pensa alla crittografia come a due mondi: da una parte qualcuno che propone nuovi algoritmi e da una parte altri che tentano di romperli, come se fosse un gioco. Non funziona cosi'. Ci sono dei risultati matematici che ci danno delle regole su come costruire i cifrari (provable security), o meglio, su come scegliere le componenti con cui costruirlo. Se riesci a trovare le componenti ottimali o sub-ottimali, la possibilita' che il sistema sia rompibile sono molto basse, a meno che tu non faccia ingenuita'. Ad esempio, c'e' la teoria della funzioni Booleane invertibili che ci dice come scegliere le S-Box. AES e altri sistemi usano S-Box a 8 bit. Per certi requisiti di sicurezza, ci piacerebbe avere S-Box che soddisfano una proprieta' chiamata APN (Almost perfectly Non-linear). Problema: nessuno ha mai trovato S-Box a 8-bit APN! Quindi per fare AES si sono arrangiati con S-Box che sono debolmente APN. Ma se uno saltasse fuori con una S-Box a 8 bit APN, tutti proverebbero subito a modificare AES mettendoci quella. E visto che la NSA ti piace tanto, ti dico che l'unica S-BOX a 6-bit nota (pubblicamente) e' data recentemente presentata a un convegno da Dillon, che lavora per la NSA! In conclusione, se uno desse dei validi motivi matematici per usare una leggera variazione di un cifrario, la gente lo userebbe. Lascialo pure crittanalizzare: la trapdoor non la troveranno se c'e' stata messa apposta. Ciao Max ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
