Comments | command0: (без темы)

command0

(Untitled)

Jan 04, 2014 00:45

Прочитал пару прикольных примеров криптографических атак.

Пример номер один - авторы меняют биты зашифрованного сообщения и смотрят на ошибки, выдаваемые сервером - не удается расшифровать, некорректный XML, все ок. Обрезают текст до одного блока, подгоняют последний байт, чтобы он означал выравнивание длины 1 (после этого сообщение из одного ( Read more... )

Leave a comment

Back to all threads

salas January 3 2014, 21:07:27 UTC

Я за соответствующим сериалом плохо слежу - несамопальная криптография пока кажется лучше, несмотря на, если я правильно понял, сливаемые на рынок широковещательно и постепенно подсказки по поиску слабых мест?

command0 January 3 2014, 22:13:27 UTC

Я тоже не особо слежу, спонтанно решил почитать немного по теме.
Мой поинт такой - несамопальная криптография уже проверена на наличие соответствующих ошибок, и они исправлены. Не факт, конечно, что не найдутся новые. В самопальной же далеко не факт, что будут отсутствовать какие-то известные ошибки, просто потому, что автор скорее всего про них ничего не знает. Т.е. лучше та, в которой ошибки уже исправлены, чем та, в которой хрен знает есть они или нет.

salas January 4 2014, 07:09:45 UTC

Я про сериал имени Сноудена, который не то чтоб о новых ошибках, но о старых и умышленно внесённых. Вопрос в том, какие из утверждений верны про последние серии, о конкретных закладках:
1) постепенно появляется интересная информация не только у авторов закладок;
2) помогающей во взломе информации не появилось и не ожидается;
3) те, кто достаточно в теме, и так всё это знали.

command0 January 4 2014, 10:52:11 UTC

А что там с закладками? Насколько я понял, NSA читало трафик с явного разрешения одной из сторон (не пользователя).

salas January 8 2014, 18:34:09 UTC

Собрался наконец немного изучить, о чём весь шум. Пост Шнайера с кучей ссылок. Собственно, ясно, что трафик читают далеко не только с согласия условных фейсбуков, но и из каналов (как с согласия провайдеров, так и без), и с компьютеров без согласия владельцев, но конкретно с криптографией, похоже, всё не так плохо. Если я правильно понимаю, пока конкретный свежий слив есть только по Dual_EC_DRBG ((немного слишком) популярное техническое разъяснение), причём он только подтверждает то, что давно подозревали, и, кажется, ничего не даёт противникам, не имеющим доступа к секретному ключу NSA.

Back to all threads