Извините за офтоп, но подход к шифрованию интересный(сам подобным занимался несколько лет назад).
Правда, за основу была взята инфа из атача(может кому пригодится), но получающийся шифр, действительно, очень слабый, т.к. поток ключей предсказуем и вперед и назад, если по известному кусочку плейтекста вычислить или "угадать" один элемент гаммы :(

---

Прикреплённые файлы:
Random.txt, Размер: 5,847 b, Скачано: 1,564

Ruptor
А вы не могли бы описать процесс его взлома?
Просто не знаю, как остальные, а я лично в сабже ламка, вот и верю всякой фигне, что на оффсайтах пишут

How secure is TEA?

Very. There have been no known successful cryptanalyses of TEA. It's believed to be as secure as the IDEA algorithm, designed by Massey and Xuejia Lai. It uses the same mixed algebraic groups technique as IDEA, but it's very much simpler, hence faster. Also it's public domain, whereas IDEA is patented by Ascom-Tech AG in Switzerland. IBM's Don Coppersmith and Massey independently showed that mixing operations from orthogonal algebraic groups performs the diffusion and confusion functions that a traditional block cipher would implement with P- and S-boxes. As a simple plug-in encryption routine, it's great. The code is lightweight and portable enough to be used just about anywhere. It even makes a great random number generator for Monte Carlo simulations and the like. The minor weaknesses identified by David Wagner at Berkeley are unlikely to have any impact in the real world, and you can always implement the new variant TEA which addresses them. If you want a low-overhead end-to-end cipher (for real-time data, for example), then TEA fits the bill.

Кстате, что-то я раньше никогда не слышал про EnRUPT...

Ruptor
ГОСТ начали тестировать?

Ruptor
Можно ссылку на криптоанализ IDEA? Вроде бы его до сих пор считают надежным (исключая наличие класса слабых ключей).

ntldr - http://defectoscopy.com/results.html

Это все хорошо, но вы бы порадовали сообщество чем-нибудь повесомее красивых табличек и графиков. Хотелось бы почитать про конкретные методики такого тестирования и пощупать исходники.

Ruptor
Я конечно далеко не спец в криптографии, но подобные заявления уж слишком смелые. Чую, в одном из след. постов будет написано, что Rijndael не надежнее обычного xor, а RSA - вообще утопия.

Может, все-таки сделать проверку подобных заявлений? В зале есть гуру криптографии?

Ruptor
Поскольку методики анализа не могут быть проверены независимо, то и "результатам" цена - ноль.

Отредактировано CreatorCray (16-01-2008 16:24:07)

offtop.

В зале есть гуру криптографии?

Есть. И именно его слова ты подвергаешь сомнению, признавая, причем, собственную некомпетентность.

Ребят, проявляйте побольше уважения, а? Удивляюсь, как после невразумительных наездов действительно толковые люди остаются на форуме и продолжают нести свои бесценные знания в массы.

Цифровая криптология - это не физика и не химия и даже не математика. Тут тысячелетних наработок нет. Она существует с 1975 года с появления DES. До этого всё было засекречено и NIST вынуждены были два раза подавать запрос на DES стандарт. На их первый запрос не было подано ни одного алгоритма!! К чему я это? А к тому, что криптографии никто не знает вообще.

Так что, MSoft, sorry, но гуру в криптографии нет в принципе, есть только толпа новичков, которые делятса на три группы:

1. Те, кто искренне ничего не знает и опыта взлома шифров не имеет никакого вообще, но иногда из любопытства пытаются что-то создавать или просто пишут свои продукты с использованием той криптографии, которую смогли понять. От них больше всего пользы обществу - они продуктивны.

2. Те, кто осознают что криптология - это совершенно новая наука и что они ничего о ней не знают и поэтому пытаются проталкивать в ней что-то совершенно новое, чтобы расширить горизонты познания и свои и окружающим, либо публично, либо секретно. Они находят новые методы и проталкивают их, не взирая на сопротивление крипто-мафии.

3. Крипто-мафия. Те, кто в криптологии тоже ничего не знают, но при этом считают себя крупными специалистами - это в основном академики, подавляющее их большинство. Ездят по конференциям, смотрят кто чем занимается, ломают друг другу шифры либо прямым обманом (не важно что атака требует 2^253 памяти и 2^247 процессоров или 2^247 времени - им наплевать на правду, главное что очередной 256-битовый шифр можно оклеймить как *сломанный*, хотя 2^128 параллельных крохотных бруте-форсеров сломали бы его за 2^128 времени - этим занимается в основном группа евреев в лице Ора Данкельмана, Эли Бихама и их друзей, под всеобщие аплодисменты с открытыми ртами), либо старыми, хорошо изученными открытыми группой №2 методами типа линейного и дифференциального криптанализа, стараясь либо украсть новые результаты группы №2, либо задавить их авторитетом... Но каждые несколько лет кто-то из группы №2 всё-таки умудряется протиснуться с новой атакой, которая всем доказывает что все эти мафиози на самом деле и себя и других всё это время обманывали. Хотя их это ни капельки не смущает. Они адаптируются к новой атаке и продолжают пускать народу пыль в глаза.

К группе №2 относится например один из моих друзей, всем известный Никола Куртуа - "прародитель" алгебраических атак. Ему даже как известному академику очень трудно публиковать свои работы из-за гигантского сопротивления мафии, хотя его результаты очень конкретные. А большинство тех кто к ней относится - это "quiet achievers", которые просто тихонько делают своё дело, в основном в спец-службах. Им новые результаты гораздо важнее, чем всеобщее признание.

Моё же любимое направление в криптологии - это найти методы создания реальных шифров, про которые можно бы было и на практике и по теории доказать что они не ломаются, никакими атаками в принципе. Это очень не просто, но это реально. Надо только сперва вылезти за пределы линейного и дифференциального криптанализа. Луби & Ракофф ещё в 1988 году опубликовали первую фундаментальную теоретическую работу на эту тему (им два года потребовалось - они ещё в 1986 году подавали, но их бумагу мафия не пустила), а теперь Жак Патаран это проталкивает дальше, хотя и с не меньшим трудом. Я попросил его опубликовать доказательство для более практического варианта, где p кругов, которые меняют какую-то часть из w битов от всего блока на каждом круге, ещё отличается от случайного в полиномиальное время, а p+1 кругов - уже нет. Если будет такое доказательство, то сложив его с такими тестами как мои, можно доказывать безопасность или небезопасность почти любого шифра и ломать его этими же инструментами, только слегка расширенными. Но эту идею как и любую новую идею в криптологии очень трудно протолкнуть.

Я давно отошёл от темы взлома шифров ради их взлома. Кому нужны тысячи сломанных шифров? Людям нужны неломаемые, хотя бы один. В этом мнении я к сожалению почти одинок. В криптологии сейчас почти весь фокус на взлом - на создании чего-то имени себе не сделаешь, только опозориться рискуешь если сломают. Вот я и решил взяться за это трудное и рискованное дело и если кто-то хочет доказать мне что я не прав, сломайте EnRUPT и я буду продолжать учиться.

Если тут кто-то понимает что такое ANF, то вы спокойно можете воспроизвести все мои результаты если вам не лень. И не надо бросатьса помидорами. Это очень просто. Прочитайте эту и эту бумаги и всё должно стать совершенно ясно. Время - деньги, а мне публикация денег не сделает, и так только море времени отнимает без толку. Так что если вы не понимаете что там тестируется и как, тогда просто плюньте на мой web site и не ходите даже туда. Я никого не заставляю ценить мою работу. Сомневайтесь на здоровье.

А если кто-то хочет меня проверить на вшивость, то ради бога! Именно этот метод я и предлагаю на defectoscopy.com как самый честный - пошлите мне ваш заведомо слабый или слишком твёрдый шифр без указания сколько ему нужно кругов для криптостойкости, какой-то шифр который вы сами можете как-то по-хитрому сломать. Я вам отвечу какое минимальное количество кругов ему необходимо и к каким атакам он будет уязвим, хотя в принципе мне и так это приходится делать периодически, но не публично. Блочный, поточный, хаш - всё равно. И мне не понадобятся для этого многие месяцы. Я могу найти все дырки за пару часов или максимум за пару дней если исходник будет слишком сложный. Есть желающие проверить мои методы всем на убеждение? Или я только flamers и троллей разбудил случайно? Я не хотел.

PS: По просьбам общественности переведено на кириллицу.

Отредактировано Ruptor (18-01-2008 13:15:15)

Ruptor
Просьба: Я все понимаю, но читать в транслите несколько напряжно, поэтому просьба попробовать использовать транслитераторы. К примеру этот: http://www.translit.ru  Текст получается несколько корявый, но все равно читать проще.

Ruptor
вообщем, согласен с тобой криптография - это давно не математика в чистом виде: результаты тестовых групп замалчивались и будут замалчиваться дальше, к тому же, в более прогрессивном виде, ибо очень выгодно поставить всем дверь, от коей у тебя ключи.......

Используйте Rinjdael и будьте спокойны. Если интересно могу дать две свои реализации, одна оптимизирована на скорость, вторая на размер.
Если EnRupt будет принят и проанализирован сообществом, то лет через 5 можно будет начать его использовать. Раньше я бы опасался, ввиду того что сильно много сломано шифров авторы которых (причем имеющие авторитет) заявляли об их крутости и неломаемости.

P.S. это мое личное консервативное мнение, и попрошу не начинать на меня наезжать.

Отредактировано ntldr (19-01-2008 14:46:24)

ntldr чего на тебя наезжать? Ты совершенно прав. Хотя в индустрии и в академическом мире принят срок в 4 года - если за 4 года хорошо известный шифр не смогли сломать, то ему начинают доверять. Я и сам буду трястись первый год - мало ли... Все-таки паранойя, привык уже. Я же столько разных вариантов перебрал за последний год чуть ли не круглосуточно... и каждый раз в них новую дыру находил, либо для определенного размера, либо для какого-то из режимов работы. Вплоть до полного разочарования. А этот вот уже три месяца как ни смотрю, все в порядке. Если не сломают, то все, ухожу на пенсию программы писать полезные с тобой за одно.