Форум
Зима пришла!
Последняя новость:
Нет войне. Любовь победит.
Make Love, Not War.

RSS-поток всего форума (?) | Cвод Законов Дельты | На полуофициальный сайт Оксаны Панкеевой | Все новости

Вся тема для печатиЦифровая Криптография и Стеганография
На страницу Пред.  1, 2
 
Начать новую тему   Ответить на тему    Список форумов Мир Дельта — Форум полуофициального сайта Оксаны Панкеевой -> В Мегасети с Жаком
Предыдущая тема :: Следующая тема :: Вся тема для печати  
Автор Сообщение
Wolf the Gray Горячий кабальеро

Нашедший Прямой Путь


Откуда: из лесу, однозначно


СообщениеДобавлено: 8 Май 2008 08:16    Заголовок сообщения:
Ответить с цитатой

Ezh писал(а):
ЕМНИП количество простых чисел меньших N асимптотически стремится к N/ln(N).
т.е. практически растет как N - на указанном интервале ln(N) отнимает менее бита. читд.

Ezh писал(а):
Так что счетная сложность при переходе от 512 до 633 выросла не в 10^45 а навскидку в 2^5 или в 2^6.
увеличение пространства ключей в 10^45 дало увеличение стойкости максимум в ~100 раз? какой-то крайне нелинейный рост.

Цитата:
А потом подумали и перешли на 3DES. Что дает фактическую длинну ключа в 3(!) раза больше. И почему бы это?
вообще-то в 2. что стоимость взлома выросла сильнее чем в 2 - это спасибо математикам.
из 56 бит 8 ослабление алгоритмами, до перебора 40 бит выросли домашние компы. зазор остался маловат.
3DES - это дешевый способ получить быстрое безопасное шифрование на уже имевшихся аппаратных DES-шифровалках, ценой всего 3х замедления без пересертификации железа. т.е. временная мера.
64 честных бита - сломать перебором пока слабореально.

Цитата:
ОМГ. В том и фокус, что при параноидальном шифровании сеансовых ключей нет. Сообщение разбивается на блоки по 256(или сколько там надо, может и по 1024) бит и такими блоками и шифруется.
"и шифруется" - каким ключом? или предлагаешь заново генерить и обмениваться ключами на каждый блок, если говоришь что никакой ключ повторно не используется?
_________________
Tckb ds ghjxbnfkb xnj pltcm yfgbcfyj pyfxbn dfv ytxtv pfyznmcz
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Ezh Горячий кабальеро

Модератор Пути


Откуда: Киев

Тайно повенчан с Ringonoki

Родители: Shellar и Luxoria

СообщениеДобавлено: 8 Май 2008 13:51    Заголовок сообщения:
Ответить с цитатой

Wolf the Gray писал(а):
Ezh писал(а):
ЕМНИП количество простых чисел меньших N асимптотически стремится к N/ln(N).
т.е. практически растет как N - на указанном интервале ln(N) отнимает менее бита. читд.

Возьмем диапазон 32 бит и 64 бит.
На диапазоне 32 бит этих чисел - 2^32/2^5 =2^(32-5)=134217728
На диапазоне 64 бит этих чисел - 288230376151711744.
Не один бит, а loglog(N) бит.

И наконец надеюсь ты помнишь о вычетании (или запрете на маленькие числа, что одно и то же для инженеров), итого, при переходе на диапазон 64 бита вместо 32 получим эквивалент потери бита, если сравниват со схемой от нуля. Если же учесть еще то, что половинок ключа две, то два бита.

Т.е. при переходе от 512 к 663 получим действительную разницу в 4 бита или 147 бит эффективного усиления.

Но это собственно крохоборство. Главная проблема находится дальше.

Wolf the Gray писал(а):

Ezh писал(а):
Так что счетная сложность при переходе от 512 до 633 выросла не в 10^45 а навскидку в 2^5 или в 2^6.
увеличение пространства ключей в 10^45 дало увеличение стойкости максимум в ~100 раз? какой-то крайне нелинейный рост.

Пространство ключей выросло не так сильно. См. выше.
А со стойкостью я ошибся. Помнил, что медленнее, а в оценки алгоритма поленился посмотреть. Помню, же, что по показателю идет корень кубический, грубая оценка.

http://en.wikipedia.org/wiki/General_number_field_sieve

Там реально стоит:
e^((C+ o(1)) * log(N)^1/3 * loglog(N)^2/3)
Так что оценка в 2^6 оказалась оптимистической для взломщика. Да и константа С сильно зависит от железа и програмной релизации. Так что все указные времена взлома укладываются в оценку.
Прим. Алогитм этот применялся для обоих взломов, и 512 и 663 бит.

Впрочем, ты и сам мог бы погуглить, чтобы не задавать страные вопросы.

Wolf the Gray писал(а):

Цитата:
А потом подумали и перешли на 3DES. Что дает фактическую длинну ключа в 3(!) раза больше. И почему бы это?
вообще-то в 2. что стоимость взлома выросла сильнее чем в 2 - это спасибо математикам.
из 56 бит 8 ослабление алгоритмами, до перебора 40 бит выросли домашние компы. зазор остался маловат.
3DES - это дешевый способ получить быстрое безопасное шифрование на уже имевшихся аппаратных DES-шифровалках, ценой всего 3х замедления без пересертификации железа. т.е. временная мера.
64 честных бита - сломать перебором пока слабореально.


Ну нет там 64 бита, там никак не получится ни 56 ни 112.

In general TDES with three different keys (3-key TDES) has a key length of 168 bits: three 56-bit DES keys (with parity bits 3-key TDES has the total storage length of 192 bits), but due to the meet-in-the-middle attack the effective security it provides is only 112 bits. A variant, called two-key TDES (2-key TDES), uses k1 = k3, thus reducing the key size to 112 bits and the storage length to 128 bits. However, this mode is susceptible to certain chosen-plaintext or known-plaintext attacks and thus it is designated by NIST to have only 80 bits of security [3].

Wolf the Gray писал(а):

Цитата:
ОМГ. В том и фокус, что при параноидальном шифровании сеансовых ключей нет. Сообщение разбивается на блоки по 256(или сколько там надо, может и по 1024) бит и такими блоками и шифруется.
"и шифруется" - каким ключом? или предлагаешь заново генерить и обмениваться ключами на каждый блок, если говоришь что никакой ключ повторно не используется?

Если заела параноя - почему бы и нет? Та же википедия приводит оценки (http://ru.wikipedia.org/wiki/RSA) около 30 кбит/с при 512 битном ключе на процессоре 2 ГГц. Это очень медленно. Даже если реально будет в 2-3 раза в ту или другую сторону. А если взять 1024 то дело швах, но опять таки для параноиков - самое оно.

В чем ты прав, что блочные шифры как вид просуществуют дольше чем RSA, но пока отказываться от RSA и ЕльГамаля никто не будет. Как я уже писал - критерий гибели RSA квантовый факторизатор, или квантовый канал, способный передать ключ в любую точку пространства. В обоих облястях ведутся разработки, но результатов способных работать пока нет.

Что ли вернуть тебе твой же совет но в варианте "погугли перед тем как спорить"? Хотя бы на предмет различий AES и DES.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Wolf the Gray Горячий кабальеро

Нашедший Прямой Путь


Откуда: из лесу, однозначно


СообщениеДобавлено: 8 Май 2008 14:30    Заголовок сообщения:
Ответить с цитатой

Ezh писал(а):

Возьмем диапазон 32 бит и 64 бит.
На диапазоне 32 бит этих чисел - 2^32/2^5 =2^(32-5)=134217728
На диапазоне 64 бит этих чисел - 288230376151711744.
т.е. в ~2^31 раз больше.
соотношение количества простых чисел в 663 и 512 бит - (512/663)* 2^(663-512) тоже несущественно отличается от 2^150 ~=1Е45
каков критерий на "маленькие" числа - я не помню, но их явно не должно быть более четверти от общего количества и процент их не зависит от длины ключа.

Ezh писал(а):
Ну нет там 64 бита, там никак не получится ни 56 ни 112.
у классического 3DES там ключ как раз 112 бит, что безопастность ниже - я как-то не сомневался. у 1DES сейчас безопастность (стойкость к перебору ключей) снижена алгоритмами до 48 бит из его 56.
другой вопрос что стойкости в 64 бита перебора - пока всем бы хватило, 80 - хватает заведомо.
Ezh писал(а):
пока отказываться от RSA и ЕльГамаля никто не будет.
конечно никто не будет - ибо нет реальной альтернативы для множества приложений, приносящих реальные живые деньги. Но потенциальную уязвимость там вполне трезво учитывают... и понимают, что по мелочным поводам (типа $1E6) засвечивать существование средств взлома никто из серьезных игроков не будет. Англичане вон в WW2 город не пожалели, чтоб немцы не узнали про расшифровку Энигмы.
если какое решение и выплывет в свет - то из академической среды...

Цитата:
Если заела параноя - почему бы и нет
если заела параноя - проще изобрести очередной клон blowfish с длиной ключа/блока в 1024 бит. относительная (длины ключа) стойкость у него будет конечно сильно поменьше сертифицированных схем, но выше чем у прямой шифрации по RSA с той же длиной ключа. скорость уж и сравнивать незачем.
_________________
Tckb ds ghjxbnfkb xnj pltcm yfgbcfyj pyfxbn dfv ytxtv pfyznmcz
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
H@rpeR Горячий кабальеро

Гонщик на Пути


Откуда: Новосибирск Сити


СообщениеДобавлено: 3 Июн 2008 20:23    Заголовок сообщения:
Ответить с цитатой

Всем огромное спасибо Smile Отчет по дипломы был успешно написан, а так же разработано приложение для сокрытия данных в аудиопотоках Smile
_________________
[ Carpe Diem! ] [ http://vkontakte.ru/oleg.harper ]
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов Мир Дельта — Форум полуофициального сайта Оксаны Панкеевой -> В Мегасети с Жаком Часовой пояс: GMT + 4
На страницу Пред.  1, 2
Страница 2 из 2

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Оксана Панкеева рекомендует прочитать:

Цикл завершается последним томом:

Оксана Панкеева, 12-я книга «Распутья. Добрые соседи».