标记为“密码学”的条目

第45页第27页

“施耐尔崇拜”188滚球网站

如果真的有邪教存在,我想听听。在一篇同名的文章中,约翰维加关于依赖的危险应用密码学设计密码系统:

但是,经过多年的软件系统安全性评估,我非常喜欢用布鲁斯在设计系统的密码方面出名的那本书。事实上,我可以肯定地说,我从未见过一个安全系统从另一端出来,当这是加密设计的主要来源时。我不是说人们会忘记缓冲区溢出。我是说,密码很糟糕。

我对软件开发团队的规则很简单:不要使用应用密码学在系统设计中。读起来很有趣,只是不要从中构建。

[…]

这本书讨论了密码学的基本组成部分,但在以下方面没有指导:把所有的零件放在一起,形成一个安全的,双方之间的已验证连接。

另外,在这本书最后一次修订后的近13年里,我们对密码学的理解发生了很大变化。其中有些东西在当时被认为是真的,但结果却是非常虚假的……

我同意。而且,值得称赞的是,维耶加指出,我同意:

但是在布鲁斯·施耐尔的书的序言中,188滚球网站实用密码学,他自己说,世界上充斥着从他早期的书中建立起来的破碎的系统。事实上,他写道实用密码学希望能解决这个问题。

这都是真的。

设计密码系统很困难。就像你不会给一个人——甚至是一个医生——一本脑部手术指导手册,然后期望他对活体病人进行手术一样,你不应该给工程师一本密码学书籍,然后期望他设计和实现一个密码系统。病人不太可能存活,密码系统不太可能是安全的。

更糟的是,安全性不提供即时反馈。手术台上的一个死去的病人告诉医生,也许仅仅因为他读了一本书,他就不懂脑部手术。但是一个不安全的密码系统工作得很好。直到有人花时间打破它,工程师才可能意识到他做的工作不如他想象的好。记住:任何人都可以设计一个他自己无法破坏的安全系统。即使是专家也经常出错。业余爱好者能把它弄好的几率极低。

对于那些感兴趣的人,第二版实用密码学将于2010年初出版,更名密码学工程还有第三位作者:Tadayoshi Kohno。

编辑添加(9/16):188滚球网站评论.

9月3日发布,2009年下午1:56查看评论188滚球网站

一次垫的历史与锡嘎巴的起源

博客帖子史蒂夫·贝洛文:

重要的是,关键流值(a)是真正随机的,(b)切勿重复使用。苏联在20世纪40年代犯了这个错误;因此,美国陆军信号情报局能看到间谍的流量在维诺纳计划中。随机性要求是指数值不能由任何算法生成;它们必须是随机的,通过物理过程创造的,不是数学上的。

这些要求的结果是,密钥流必须与要加密的数据一样长。如果要加密1兆字节的文件,您需要1兆字节的密钥流,以某种方式必须与接收者安全共享。接受者,反过来,必须安全地存储这些数据。此外,发送者和接收者都必须确保他们永远不会,重用密钥流。最终结果是,正如我常说的,188滚球网站“一次性护垫理论上是牢不可破的,但实际上非常虚弱。相比之下,传统密码理论上是可以破解的,但实际上很强大。”它们对与高价值间谍交流很有用。莫斯科华盛顿热线使用了它们,也是。对于普通的计算机使用,它们不是特别实用。

写关于一次性垫,以及他们实际的不安全感,2002:

一次性PAD系统所做的是处理一个困难的消息安全问题——这就是为什么您首先需要加密——并将其变成一个同样困难的密钥分发问题。这是一个“解决方案”,不能很好地扩展,不适合大众市场的分销,特别不适合计算机网络,简单的不起作用。

[…]

一次性垫理论上是安全的,但在实际意义上,它们并不安全。它们用一个我们很少希望解决的实现问题来取代我们对解决这个问题非常了解的加密问题——如何设计安全算法。

9月3日发布,2009年上午5:36查看评论188滚球网站

位置隐私效果

杰出的:“关于位置隐私,如何避免永远失去它。”

一些对位置隐私的威胁是显而易见的:很明显,由人脸识别软件支持的摄像头可能被误用来跟踪人们并记录他们的行动。在本文件中,我们主要关注的是由于明显有用基于位置的服务。

我们无法阻止基于位置的数字服务层出不穷。我们也不想——他们提供的好处令人印象深刻。迫切需要改变的是,这些系统需要以隐私作为其原始设计的一部分进行构建。我们负担不起意外地在我们的电子市政基础设施中安装普及的监视技术。我们现在有机会确保避免这些危险。

我们的论点是,解决位置隐私问题最简单和最好的方法是建立首先不要收集数据.这听起来是一个不可能的要求(当你的朋友不知道你和你的朋友在哪里时,我们如何告诉你?)但事实上,正如我们在下面讨论的,这是一个可以用现代密码技术实现的合理目标。

现代密码学实际上允许公民数据处理系统被设计成一整套隐私政策:从完全匿名到有限匿名到支持执法。但我们需要确保系统不是在零隐私的情况下构建的,每件事都被记录在光谱的尽头,因为这是最容易实现的路径。

我已经已经写好了关于大规模监视。

8月14日发布,2009年上午6:30查看评论188滚球网站

又一次新的AES攻击

一次新的、令人印象深刻的攻击俄歇电子能谱刚刚宣布。

在过去的几个月里,有一直 (第二篇关于在这里)新的密码分析论文。报纸上的攻击是不实际的——它们太复杂了,它们是相关的关键攻击,它们反对更大的密钥版本,而不是大多数实现使用的128位版本——但它们仍然是令人印象深刻的工作。

这次新的攻击,亚历克斯·比柳科夫,Orr DunkelmanNathan Keller德米特里·霍夫拉托维奇,Adi Shamir更具破坏性。这是对10轮AES-256的一次完全实用的攻击:

摘要。
AES是最著名和使用最广泛的分组密码。它的三个版本(AES-128,AES-192,和aes-256)的密钥大小不同(128位,192位和256位)以及它们的轮数(10,12,14,分别)。对于AES-128,没有比2更快的已知攻击一百二十八详尽搜索的复杂性。然而,AES-192和AES-256最近被证明可以被需要2个一百七十六和2一百一十九时间,分别。虽然这些复杂性比详尽的搜索要快得多,它们完全不实用,而且似乎不会对基于AES的系统的安全造成任何真正的威胁。

本文描述了几种可以突破实际复杂度变化的AES-256攻击,其轮数与AES-128相当。我们的一个攻击只使用两个相关密钥和2三十九恢复9轮版AES-256的完整256位密钥的时间(以前对此变体的最佳攻击需要4个相关密钥和2个一百二十时间)。另一次攻击可以使10轮版本的aes-256在2四十五时间,但它使用了更强大的相关子键攻击类型(以前对该变体的最佳攻击需要64个相关键和2个一百七十二时间)。

它们还描述了对11轮AES-256的攻击,需要2个七十时间——几乎实用。

这些新的成果大大改善了比柳科夫,Khovratovich以及上面提到的Nikolic论文,和A2000年我和其他六个人一起写作,在2中,我们描述了针对9轮AES-256(当时称为Rijndael)的相关密钥攻击二百二十四时间。(这再次证明了密码学家的格言:攻击总是会变得更好,他们不会变得更糟。)

根据术语的任何定义,这是一个巨大的结果。

不要惊慌有三个原因:

  • 这种攻击利用了这样一个事实:256位版本的密钥调度非常糟糕——我们在2000年的论文中指出了这一点——但没有扩展到使用128位密钥的AES。
  • 这是一个相关的关键攻击,这就要求密码分析员能够访问以特定方式与多个密钥相关的明文。
  • 这次攻击只击破11发AES-256。完整的AES-256有14发子弹。

那里不太舒服,我同意。但这就是我们所拥有的。

密码学是关于安全裕度的。如果你能打破n一轮密码,你用2设计它n或3n子弹。我们正在学习的是,不良事件的安全裕度比以前所认为的要低得多。虽然没有理由为了另一种算法而放弃AES,NST应增加所有三种AES变体的轮次。在这一点上,我建议使用16发的AES-128,20发的AES-192,以及28发的AES-256。或者更多;我们不想一次又一次地修改标准。

对于新的应用程序,我建议人们不要使用AES-256。AES-128为可预见的未来提供了足够的安全保障。但是如果你已经使用了AES-256,没有理由改变。

我的报纸还是草稿。它正在密码学者之间传播,几天后就可以上线了。我一有链接就发布。

更新添加(8/3):论文公众的.

发表于7月30日,2009年上午9:26查看评论188滚球网站

iPhone加密没用

有趣,尽管我想要更多的技术细节。

…新的iPhone3GS的加密功能在保护诸如信用卡号码和社会保险号码等敏感信息方面被“破坏”。Zdziarski说。

Zdziarski说,在iPhone3GS上访问用户的私人信息和在上一代iPhone3g或第一代iPhone上一样容易,两者都没有加密功能。如果一个小偷拿了一部iPhone,一点点的免费软件是所有需要的,以利用到用户的所有内容。实时数据可以在两分钟内提取出来,一个完整的原始磁盘图像可以在45分钟内完成,Zdziarski说。

想知道加密在哪里起作用?没有。奇怪的是,一旦开始从iPhone3GS中提取数据,iPhone开始自己解密数据,他说。

发表于7月29日,2009年上午6:16查看评论188滚球网站

沙三第二轮候选人宣布

NIST有宣布已经晋级第二轮的14名沙阿-3候选人是布莱克,蓝色的午夜愿望,立方体,回声,赋格曲,GRI STL,HamsiJHKeccakLuffaShabalSaveTe-3SIMD和绞线。

二月,我选择了我的最爱:阿里郎,布莱克,蓝色的午夜愿望,回声,GRI STL,Keccak巷Shabal和绞线。在NIST最终选择的项目中,看到库贝哈什我很惊讶,看到莱恩我也很惊讶。

这里是我2008年关于SHA-3的论文。这里是NIST的SHA-3页。和这里是我自己提交的页面,绞纱。

发表于7月24日,2009年下午12:15查看评论188滚球网站

同态加密突破

上个月,对于同态加密和安全的未来,IBM做出了一些相当轻率的声明。我不想对整个事情泼冷水——就像新发现一样酷——但重要的是要将理论与实践分开。

同态密码系统是密文上的数学运算对明文有规律影响的密码系统。一个正规对称密码--des,俄歇电子能谱,或者别的——不是同态的。假设你有一个纯文本P,然后用aes加密得到相应的密文c。如果你把密文乘以2,然后解密2c,你得到的是随机的胡言乱语而不是P。如果你还有别的东西,像2P一样,这意味着AES具有相当强的非随机性,没有人会相信它的安全性。

RSA算法不同。加密p得到c,C乘以2,然后解密2c——得到2p。这是同态:对密文进行一些数学运算,这一操作反映在明文中。RSA算法在乘法方面是同态的,在评估使用RSA的安全系统的安全性时必须考虑的一些因素。

这不是什么新鲜事。RSA的同态是在20世纪70年代被发现的,其他关于加法的同态算法自20世纪80年代以来就已被人们所知。但是,密码学家们所回避的是一个完全同态的密码系统:一个在加法和乘法下都是同态的,但仍然是安全的密码系统。这就是IBM研究员克雷格·金特里所拥有的发现.

这是一个比乍一看可能出现的更大的交易。任何计算都可以表示为布尔电路:一系列加法和乘法。你的电脑由无数个布尔电路组成,你可以运行程序在你的电脑上做任何事情。此算法意味着您可以对同态加密的数据执行任意计算。更具体地说:如果您在完全同态密码系统中加密数据,您可以将加密数据发送给不受信任的人,该人可以对该数据执行任意计算,而不必解密数据本身。想象一下这对云计算意味着什么,或任何外包基础设施:您不再需要信任数据外包商。

不幸的是——你知道那就要来了,正确的?——绅士的计划完全不切实际。它使用一种称为理想点阵的东西作为加密方案的基础,密文的大小和加密和解密操作的复杂性都随着需要在密文上执行的操作的数量而大大增加,而且这个数字需要预先确定。转换计算机程序,即使是一个简单的,进入布尔电路需要大量的操作。这些都不是不切实际的,可以用一些巧妙的优化技术和摩尔定律来解决;这是算法中固有的限制。在一篇文章,Gentry估计,使用加密关键字进行谷歌搜索——这是一个完全合理的简单算法应用——将使计算时间增加大约1万亿。摩尔定律计算出,要使同态搜索像今天的搜索一样高效,需要40年的时间,我认为即使是最简单的例子,他也很乐观。

尽管如此,IBM的公关机器对这一发现一直处于超速状态。它的新闻稿听起来像是这个新的同态方案将改写计算业务:不仅仅是云计算,但是“启用过滤器识别垃圾邮件,即使是在加密邮件中,或者电子病历中包含的保护信息。但在我的有生之年。

这并不是为了从贵族或他的发现中拿走任何东西。三十年来,完全同态密码系统的幻象一直在密码学家的头脑中舞动。我没想到会看到。需要几年时间,才能有足够数量的密码学家检查算法,我们才能对该方案的安全性有任何信心,但是——实用性可恶——这是一项令人惊叹的工作。

发表于7月9日,2009年上午6:36查看评论188滚球网站

MD6退出SHA-3竞赛

在其他sha-3新闻中,罗恩·里维斯特似乎已经退出了Md6沙-3竞争。从一个电子邮件发送至NIST邮件列表:

我们建议MD6尚未为下一轮的SHA-3做好准备,同时,我们也为NIST在竞赛进行过程中提供了一些建议。

基本上,问题是,为了让MD6足够快,具有竞争力,设计师们必须把子弹的数量减少到30到40发。在那些回合里,该算法失去了抵抗差分攻击的证据。

因此,虽然MD6似乎是一种健壮的安全加密哈希算法,对于多核处理器有很多优点,我们无法为针对差异攻击的MD6简化版(可能经过调整)提供安全性证明,这表明MD6尚未准备好考虑下一轮的SHA-3。

编辑添加(7/1):这是一个非常优雅的退出,正如我们对罗恩·里维斯特的期望——特别是考虑到它没有受到攻击,而其他的算法已经被严重破坏,提交者一直试图假装没人注意到。

编辑添加(7/6):从M6网站

我们不会撤回我们的提交;如果愿意,NIST可在下一轮中自由选择MD6进行进一步考虑。但在这一点上,MD6不符合我们自己的标准,因为我们认为需要一名沙-3候选人,我们建议NIST在其他地方做得更好。特别地,我们认为,考虑到SHA-3,最低的“入场券”应该是抵抗基本微分攻击的证据,我们不知道如何证明一个减少的MD6轮。

发表于7月1日,2009年下午2:27查看评论188滚球网站

对AES的新攻击

有一个新的密码分析攻击在比暴力强的AES上:

摘要.在本文中,我们对完整的AES提出了两个相关的密钥攻击。对于AES-256,我们展示了第一个适用于所有密钥且具有复杂性的密钥恢复攻击2一百一十九,而最近的攻击是由比尤科夫·霍夫拉托维奇·尼科利奇(Biryukov Khovratovich Nikolic)发起的,攻击的关键级别很弱,而且复杂度较高。第二次攻击是对完整的AES-192的第一次密码分析。我们的攻击都是飞镖攻击,这是基于最近的发现分组密码中的局部碰撞并通过回旋镖开关技术在中间获得自由轮。

在电子邮件中,作者写道:

我们还希望仔细分析可以减少复杂性。初步结果是,我们认为对AES-256的攻击复杂性可以从2降低到2。一百一十九大约2110.5条数据和时间。

我们相信这些结果可以为分组密码的关键调度设计提供新的思路。但是它们对使用AES的真实应用程序没有立即的威胁。

同意。虽然这种攻击比蛮力强——一些密码学家会因为它而将该算法描述为“坏的”——但它仍然很遥远,远远超出了我们的计算能力。攻击是,可能永远都是,理论上。但是记住:攻击总是会变得更好,他们从不恶化。其他人将继续提高这些数字。虽然没有理由惊慌,没有理由停止使用AES,没有理由坚持要求NIST选择另一种加密标准,对于一些基于AES的用户来说,这肯定是个问题。sha-3候选哈希函数.

编辑添加(7/14):一个常见问题解答.

发表于7月1日,2009年上午11:49查看评论188滚球网站

密码学垃圾邮件

我想这是第一次。

信息安全,保护你的电子货币。电子支付和计算,通过网络、互联网或银行信用卡,继续赢得世界市场。电子支付,很快,方便地,但并不安全。现在有一场真正的战争,在用户和黑客之间。你的信用卡可能是伪造的。病毒会进入你的电脑。最不愉快的是,什么都没有,不能给你保证,安全。

但是,这种耻辱可以结束。

我已经制定了计划,不可能绑架密码的事实,会签,以及用户的个人数据。在程序中使用了人工智能技术。如你所不能,猜猜那个人是怎么想的。不可能猜到,程序的算法。这个系统是不可能破解的。

我保证这个系统,将在不久的将来最受欢迎。我想创建公司,在世界各国设有分支机构,我邀请所有感兴趣的人。

我们将共同打造利润丰厚的业务。

6月30日发布,2009年下午1:36查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.