> Пока Komlin раскачается, можно я отвечу? ;) Свободу слова пока еще не отменили ;)
> > Дело не в уклончивости, а в изначальном стиле статьи и > > сделанных выводах. Если бы там встречались слова > > "предпололжительно" и т.п. - это одно. > Давайте ещё раз повторим заявленные Комлиным недостатки > ГОСТа(в хронологическом порядке): Давайте. Но я имел ввиду следующий логический ход: Александр показывает потенциальный механизм мошенничества (который был впоследствии опровергнут) и патетически вопрошает "Что мы должны думать о ФАПСИ, сознательно оставившем такую дыру?!".
> 1) "Слабая подпись": Вычисление секретного ключа при > известном k. Ничего нового в этом нет, это общая проблема > всех алгоритмов Эль-Гамейна. Вероятность совпадения очень > мала. Слабость скорее теоретическая, если нет багов в > реализации > (см. ниже). IMHO, сама по себе она неопасна, если бы не > другое свойство стандарта. Это аналогично пренебрежению тяготением земли в решении физических задач ;) Сказано ведь : k секретный и случайный. Как этого добиться - не дело ГОСТа. Если уж так все расписывать, то это будет не ГОСТ а готовая реализация ;)
> 2) Универсальная подпись: существует подпись, подходящяя к > любым документам. При этом она не может быть > сформирована программой, но всё же проверку пройдёт. > Уникальная особенность ГОСТовского матаппарата :). Аналогов > в других методах подписи нет. Т.е. Вы утверждаете, что ни DSA, ни изначальный алгоритм Эль-Гамаля (за что ж Вы его выше Гамейном обозвали? ;)) не имеют универсальной подписи, проходящей проверку? Я не говорю о последующем доказательстве ее умышленности...
> 3) Обратные ключи. Блестяще опровергнута Сергеем. > Обратите внимание, что уязвимости № 2 опровержения нет и > думаю не будет. > Вопрос только в том, как её использовать злоумышленнику. А никак. Эта уязвимость возможна только при желании законного владельца секретного ключа Х. Не думаю, что кто-то захочет наскрести себе неприятностей, особенно после этой дискуссии.
> Наиболее очевидный путь, указанный Александром- применение > её после компроментации секретного ключа. > Первый вариант- в результате ошибки реализации(например > генератора случайных). Кстати вещь совсем нередкая, даже > PGP на этом недавно горел. > Совсем недавно (в сентябре 2001) все условия для этого > предоставил iBank (предсказуемый генератор k). Не думаю, > что он последний. Вот! В связи с этим классно звучит наезд на ФАПСИ. При сертификации качество ДСЧ проверяют в первую очередь. Единственная конструктивная мысль, звучащая от противников сертификации криптософта в ФАПСИ, эт онезависимый аудит. Но реально, кто это может сейчас делать в России? Вот потому я и считаю, что для потребителя едиснтвенный способ не купить Snake Oil - покупать только сертифицированные СКЗИ. Или использовать open source, в которых общественность не нашла багов, скажем, за последние 5 лет. Хотя, последнее - все равно рисковано. Не факт, что тот же Шнайер будет серьезнго исследовать в свободное время все open source подряд. А надеятся на квалификацию "толпы любопытствующих" - рисковано. Я использую BestCrypt, т.к. могу оценить правильность реализации в нем ГОСТ 28147 (на своем уровне, конечно) и не слышал, чтобы в нем нашли дыру с ключами (хотя реализация мультипарольного доступа вызывает опасения). А большинство потенциальных пользователей не могут сделать даже такую примитивную оценку, и вынуждены доверять рекламе "АБСОЛЮТНАЯ ЗАЩИТА" ;)
> Откровенно говоря, если бы кто-нибудь послал подобное > сообщение, нельзя предсказать чем закончилось бы судебное > дело, поскольку нетрудно доказать, что сообщение отосланно не > программой. Тогда почему нельзя? Можно. Подпись подходит? Да. Правовые последствия аналогичны собственоручной подписи. Да и по договору риски связанные с компрометацией (в определеии компрометации не говорится, умышленная она или нет), несет владелец ключа.
> Второй способ, основан на разрешении ГОСТа иметь общие > граничные условия, и том факте, что во многих программах > они общие > для всех их пользователей. Анонимно открываем проект по > перебору пар случайных ключей на примере компании "XXX", > размещая результаты на открытой страничке. Выжидаем пока > накопится некоторое их кол-во. Через пару месяцев, наша > программа "случайно" выдаёт подпись из числа уже > подобранных (или наоборот, вычисляется подпись из числа уже > отправленных нами). > Выжидаем пару дней и отсылаем подпись (x,1). > На "разборе полётов" тычем пальцем в вышеупомянтую > страничку, ранее сделанную подпись и ссылаемся, что наша > программа такого выдать не могла. > Скорее всего крайними будут создатели странички. Только > как их найти? Замечательно. Наталья, ну откуда у Вас такая тяга все усложнять? ;) Если по известным Y подбирались X, то зачем с подобранным ("случайно" ;)) Х посылать доказательство умышленности (Х,1), когда можно послать нормальную подпись с k!=0 (S,r')? Отказ владельца Х от своих подписей юридически значим только для сообщений, подписанных/полученных только после заявления о факте компрометации. При варианте атаки с подбором k - тоже самое, Х вычисляется однозначно, и зачем слать подпись, мошенническую суть которой однозначно можно доказать?
> Не думаю, что деньги вернут, но и посадить мошенника скорее > всего не удастся. Как указывалось в статье, бухгалтера > госструктуры сбросившего деньги на знакомую "однодневку" и > такая ситуация прекрасно устроит. Золотые слова. Вот потому, конторе надо страховать риски, возникающие в результате компрометации ключа. Смотрите:
1. Утром приходит директор на работу (08:00), а сейф с ключевой дискетой открыт. Это явная компрометация, ключ возможно скопирован.
2. Он заявляет об этом в банк. По договору банк обязан заблокировать доступ (включить сертификат открытого ключа Y в CRL) в течение 1 часа (или 3 часов, или 15 минут - не суть важно).
3. Предположим, злоумышленник добрался до сейфа в 3 часа ночи и до 8 утра послал от имени клиента 5 платежек. Если банк их уже провел, то это потеря клиента. Теперь его задача доказать страховой компании, что платежки ну никак не могли быть посланы им. Не сочтите за нескромность, но я опять сошлюсь на статью http://cybervlad.port5.com/ecp/index.html, там это подробнее расписано.
> Поэтому, мне кажется, что ГОСТ выглядит хуже своих > американских и европейских одноклассников. Не согласен. Если владелец хочет скомпрометировать свой ключ, он это сделает независимо от алгоритма.
Наталья, безопасность - штука комплексная. Не все проблемы можно решить математически/криптографически, поэтому по использованию ЭЦП и составляют договора. Зачем делать при проверке подписи контроль S==X и r'==1? Ну, проверится такая подпись корректно, ну будет она универсальной. Зачем проверяющему лишние телодвижения, если он все равно не пострадает?
> Учитывая на редкость спокойное и конструктивное отношение > Komlina к любой критике > благодарности высказывались именно за последнюю. Обратите > внимание Влад, там и Вас упоминают (явно не за > поддакивание). Да? Не заметил ;)
> Полагаю, что до разъяснений Александра утвержать, что > кто-то поддакивал преждевременно. В статье, естественно, цитат не было. Но вокруг самой идеи Александра была куча споров/высказываний. Этот форум - не единственное место. Почитайте cnews.ru -думаю, многим уже стыдно за сказанное.
> > Теперь даже нам (необразованным в дискретной > математике > > пользователям СКЗИ ;))) видна истинная ценность их > > доморощенных изобретений. > Камешек в огород Лан крипто? За чтоже вы их так не любите? > :))) По соображениям политкорректности я не произносил названий фирм, так что насчет камня в ЛанКрипто - это Ваша личная интерпретация моей фразы ;)
> Вот это уже явный перебор. Если бы в их алгоритмах были > серьёзные ошибки полагаю их бы давно "осветили". > И что плохого, что в РФ есть независиымые разработчики и > оппоненты ФАПСИ? IMHO, от конкуренции потребитель > только выиграет. Отвечаю: разработчиков должно быть много, но они должны быть независимы друг от друга, а не от системы контроля качества. Я уже говорил, что рядовой потребитель не может оценить качество СКЗИ самостоятельно, поэтому продукция должна быть сертифицирована. Вопрос об обязательности лицензирования деятельности по разработке - subject to discuss.
Насчет нелюбви к ЛК. Большинство разработчиков - выходцы из той самой структуры, которая сейчас ФАПСИ. Но почему-то только ЛК активно поливает бывших коллег и всячески хочет отменить систему лицензирования и сертификации. При этом, ничего не предлагает взамен. Слышны только намеки на какую-то "независимую экспертизу". Видимо, они имеют ввиду себя. Однако стоит вспомнить непорядочное поведение ЛК/Волчкова по отношению к Бифиту после обнаружения ошибки в ДСЧ.
А еще стоит помнить, что никто не безгрешен: ФАПСИ находило ошибки и в продуктах ЛК.
Вообще, государство для того и существует, чтобы регулировать общественные отношения. Лицензирование сертификация в области криптографии отданы ФАПСИ. Аналогия (хоть это и не лучший способ аргументации): никто не запрещает покупать паленую водку, ее запрещают производить/продавать, оберегая, таким образом, граждан от вредных последствий.
> Как уже говорилось выше радоваться рано. Дырочка, есть и > рано или поздно кто-нибудь найдёт способ её использовать... ;))
Ну так не факт, что кто-то не найдет полиномиальный алгоритм разложения на простые множители или дискретного логарифмирования в полях Галуа ;)
Кроме того, все время употребляются слова "дырочка" и "ошибка", подразумевающие, что автор знает, как надо было сделать правильно.
|