On 2009.01.14 at 09:57:12 +0300, Alexander GQ Gerasiov wrote: > > > > Может кто подскажет, надежные и не рискованные криптоалгоритмы? > > Наши ФСБшники от слов Camellia и Blowfish ржут как кони, а от AES, > > ващще, по полу катаются!!! > Ты больше с ФСБшниками общайся они тебе еще и не такого расскажут. Как > раз "рискованным" скорее можно ГОСТ назвать, в котором нет известных > уязвимостей, но есть пара странных, не совсем понятно чем > продиктованных мест.
Вообще-то криптоалгоримты это не только и не столько симметричные шифры. Симметричные алгоритмы шифрования как раз все (кроме древнего-древнего DES, который не tripple) более-менее со своей задачей справляются. А вот с алгоритмами хэширования, которые применяются, например при выработке электронной подписи, уже сложнее. В MD5, например, коллизия сейчас находится часов за 8. Коллизия, это конечно, всего лишь коллизия (т.е. возможность сгенерировать одновременно два документа с одинаковой MD5-суммой), но реальзые эксплойты (позволяющие пересадить чью-то электронную подпись с одного документа на другой, в частности с одного сертификата на другой) уже есть. Шнайер, в свое время очень хихикал в Applied Cryptography по поводу параноиков-русских, которые в ГОСТ Р 34.11-94 сделали такую длинную хэш-сумму. А на практике это оказалось не так уж глупо. Хотя недавно был получен результат, снижающий стойкость этого алогоритм вдвое, оставшихся битов все равно больше, чем в sha1. Ситуация с асимметричными алгоритмами тоже не слишком радужна. Существует, грубо говоря, три распространенных алгоритма этого класса - RSA, схема Эль-Гамаля над полем вычетов (DSA, ГОСТ Р 34.10-94) и схема Эль-Гамаля над полем точек эллиптической кривой (ECDSA, ГОСТ Р 34.10-2001). Для того, чтобы взломать RSA, необходимо уметь раскладывать на множители большие числа. На решение этой задачи тратится очень много усилий, и результаты постепенно достигаются. То есть уже публиковалась информация о взломе 640-битного RSA. Поэтому 1024-битный считается несколько, мнэ, ненадежным, и используются 2048 битные ключи. Но с ростом длины ключа растет не только сложность взлома, но и сложность легитимного использования. И при 2048 битных ключах RSA уже заметно проигрывает в скорости алгоритмам на базе схемы Эль-Гамаля. Для взлома алгоритмов на базе схемы Эль-Гамаля над полем вычетов необходимо уметь решать задачу дискретного логарифмирования, т.е. находить y по известному x^y mod p, где x и p - порядка 1024 бит, а y - от 160 до 256. Здесь результатов гораздо меньше, чем по части факторизации больших чисел. Тем не менее "параноики-русские" уже больше года, как признали устаревшим и запрещенным к использованию стандарт ГОСТ Р 34.10-94, основанный на этой схеме. В России теперь официально можно использовать только алгоритмы на эллиптических кривых. Что забавно, на западе большая часть софта эти алгоритмы вообще ещё не начала поддерживать. Мозилловская libnss уже умеет, а вот версия OpenSSL, которая умеет их в TLS использовать, еще находится в процессе разработки. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
