Дайджест останніх досягнень в області криптографії. Випуск нульовою



Привіт!
Хотілося б в одній статті коротко розповісти про досягнення математиків, якими ми вже користуємося чи скоро будемо.
Почнемо

Post-Quantum crypto

Ні для кого не секрет, що настають квантові комп'ютери. І як тільки вони стануть працювати в повну силу, публичноключевой криптографії в сучасному її розумінні прийде кінець. RSA, DSA, ECC, DH. Всі сучасні популярні криптопримитивы для обміну ключами і підписів стануть сміттям. На щастя, є світло в кінці тунелю і в останні роки йдуть активні дослідження алгоритмів, стійких до злому на квантових комп'ютерах. Проводяться щорічні конференції на цю тему і вже є перші рекомендації за алгоритмами, які можна використовувати для протидії квантових комп'ютерів.

image

Багато з цих алгоритмів давно існують і добре вивчені. McEliece, наприклад, створений в 1978 році. Hash based signatures слайди про XMSS signatures, pdf) теж родом з 80х. Єдине — розміри ключів, переданих даних, швидкість роботи і т. п. у асиметричних алгоритмів можуть бути не такими зручними як зараз.

Nonce-misuse-resistance і AEAD-режим блочного шифрування

Досить стара штука, але про неї мало хто знає. У 2000 році була запропонована схема, яка дозволяла отримати повідомлення, яке складається з зашифрованих даних, незашифроване службової частини, наприклад, розміру пакета, і якогось значення, що залежить від ключа, яке дозволяло аутентифікувати всі повідомлення цілком. Цей режим шифрування виявився настільки зручним, що в 2007 році NIST прийняла одну з його реалізацій — AES GCM як стандарт. У сучасних процесорах intel навіть спеціальна інструкція є PCLMULQDQ крім AES-NI, яка дозволяє реалізовувати цей режим дуже спритним чином.

Проблема в тому, що всі AEAD алгоритми обов'язково вимагають якесь додатково значення nonce, що зобов'язане бути різним для різних повідомлень, шифруемых одним ключем. Не обов'язково випадковим, просто різним. Інакше ваша криптографія перетвориться на гарбуз. Тобто або використовувати лічильник якийсь і зберігати стан, або використовувати випадкові nonce і сподіватися, що вони не співпадуть. Буквально днями група дослідників опублікувала атаку на TLS, яка експлуатує уразливість nonce reuse. Там і Visa вразлива і ще половина всіх серверів в інтернеті, досить серйозна дірка.

Щоб убезпечити таких ось криворуких реализаторщиков хороших алгоритмів, влаштували крипто контест CAESAR, метою якого є знайти кращий алгоритм AEAD, в тому числі захищений від атак типу nonce reuse/misuse.
Найперспективнішими вважаються HS1-SIV (PDF) і AES-GSM-SIV (pdf)
Другого так взагалі не потрібно нічого нового, він використовує вже існуючі інструкції AES-NI і PCLMULQDQ, тому дуже спритний. Навіть реалізацію запилили на гітхабі.

Noise protocol

Якщо ви стежите за новинами, то в курсі, що WhatsApp включив шифрування для всіх за замовчуванням. Використовують вони кращий, на мій погляд, протокол Signal, але це не найцікавіше в новини.
Творець протоколу Signal Trevor Perrin так само розробив легку заміну TLS, noise protocol. Це не просто протокол, це фреймворк для побудови безпечних протоколів передачі даних. І WhatsApp використовують його для мережевого рівня взаємодії. Він набагато простіше TLS і набагато більш дуракоустойчив. Ось, навіть відео зняли з поясненням того, як він працює


Реалізації вже є на C, Go, Haskell і Rust(від самого автора). Буде приємно побачити реалізацію якого-небудь гугла, річ стоїть.

ARGON2

Я вже раніше писав про це memory hard алгоритмі для отримання хешей паролів. Повторюся — вистачить просто використовувати хеш(сіль+пароль, використовуйте нормальні KDF начебто scrypt, bcrypt або перевершує їх за характеристиками ARGON2. З нового — з'явилися хороші слайди (pdf) з останньої конференції, і не варто забувати про коін на його основі. Може вийти досить перспективна валюта без аѕісов.

Реверс інжиніринг S-box шифру «Коник»


Цікавий аналіз нових російських алгоритмів шифрування і хешування «Коник-стрибунець», «Стрибог» і «Стрибоб» від Alex Biryukov, Leo Perrin, Aleksei Udovenko показує, що ключовий елемент — таблиця заміни розміром 16x16 була сгенерирована не випадковим чином, як стверджують розробники, а з допомогою прихованого алгоритму (pdf



Досить цікавий результат, який наводить на підозри про прихованому бекдоре. Інакше, навіщо брехати?

На цьому у мене все, побачимося в нових дайджестах!
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.