בתשובה ליובל נוב, 09/08/05 22:41
מחשבים וקארמה 322787
אתה מבין מהסקירה הזו מה הסטיה הנמדדת בניסויים? מופיעים שם המספרים 51%, 50.1% ו- 50.01%, ולא רק הם.
יש היום מחוללי סיביות אקראיות שיכולות לייצר מליוני סיביות בשניה (בהסתברות 50% לאורך זמן). אם מישהו יכול לחשוב הצידה את המרכז של ההתפלגות מ- 0.5 ל- 0.5001, התוצאות צריכות להיות מובהקות סטטיסטית בתוך דקות, ומוכחות מעבר לכל ספק סביר בתוך עשרות דקות. אולי התוצאות שלהם תלויות בסוג המחוללים (למשל, רגישים לחום?)
מחשבים וקארמה 322791
לא, לא ברורים לי הפרטים של הניסויים.

בנוגע לביטים האקראיים - לך אני בטח לא צריך לספר שהדרך הסטנדרטית לחולל אותם כיום היא באמצעות Linear Congruential Generators, שיוצרים סידרה *פסאודו* אקראית של ביטים. המחוללים האלה באמת יכולים לפלוט מליוני ביטים בשניה, אבל הם יהיו חסרי ערך לניסוי שלנו משום שהם בעצם דטרמניסטיים. הניחוש שלי הוא שבניסוי השתמשו במחולל ביטים אקראיים *פיסיקלי* (מישהו הסביר לי פעם שיש כאלה שמבוססים על דעיכה רדיואקטיבית), שקצב הפעולה שלהם הוא נמוך בהרבה (כך אמר לי אותו המישהו). אני גם מנחש שהנבדקים בניסוי היו צריכים כל פעם להשפיע על ביט *יחיד*, ואולי לכן היה צריך שבע שנים ו-‏33 נבדקים כדי לערוך "מליונים של נסיונות".
מחשבים וקארמה 322797
יש מעבדים עם מחולל-ביטים-אקראיים-בחומרה, ולא נראה לי שיש להם איזו בעיית מהירות. יותר סביר שהפאראפסיכולוגים חוששים מניסוי שיכול להיכשל (או להצליח) בשעה, ומעדיפים לטעון שהיכולות המופלאות של המוח מוגבלות למחוללים איטיים יותר.

מחשבים וקארמה 322813
לא. גם המחוללים הללו הם פסאודו. איך אני יודע? כי כתוב שהם משמשים לקריפטוגרפיה.
מחשבים וקארמה 322833
...אז?
מחשבים וקארמה 322841
ממשלת ארה"ב אוסרת שימוש במחוללים אקראיים לחלוטין כי היא לא מסוגלת לפצח אותם, ומאז 11/9 זה פשוט לא יעלה על הדעת.

(סתם, נזכרתי בטענות ש-DES תוכנן עם Backdoor עבור ה-NSA).
מחשבים וקארמה 322847
למשל עכשיו, אתה סרקסטי או שאתה רציני?
מחשבים וקארמה 322894
סרקסטי. ממשלת ארה''ב לא באמת עשתה את הדברים הללו ככל הידוע לי, למרות שזו נשמעת תיאוריית קונספירציה לא רעה (והלחם שלי מאוד טעים).

אם עכשיו לא היה ברור שאני סרקסטי, אני מבטיח לנסות להיגמל לחלוטין (ולא להצליח).
מחשבים וקארמה 322844
יש פה שתי עובדות:

1) המכונה מייצרת מספרים אקראיים בקצב *מהיר*
2) המטרה היא הצפנה.

מכיוון שהקצב מהיר, מדובר ככל הנראה על הצפנה בזמן אמיתי, ולא הכנה מראש של טבלאות. כדי שהצד השני יוכל לפענח זאת, הוא חייב גם לייצר או לקבל את המספרים האקראיים ששימשו לעירבול. כדי לקבל אותם בזמן אמיתי (כמו השידור), סביר שהוא מחזיק רכיב מקביל שמייצר עבורו את אותו הזרם. כדי שהזרמים של המספרים האקראיים יהיו זהים, המחוללים צריכים להיות פסאדו.
מחשבים וקארמה 322849
1. אני לא רואה סיבה להניח שהקצב הוא מהיר דווקא בשביל ההצפנה. למחולל כזה יש הרבה שימושים; לחלקם המהירות חשובה, לחלקם אולי לא.

2. גם בהצפנה רגילה ובזמן אמיתי אפשר לעשות שימוש במספרים אקראיים, ופשוט לשדר אותם (גלויות) לצד השני. זה לא חסר טעם כמו שזה (אולי) נראה.

3. "כדי שהצד השני יוכל לפענח זאת, הוא חייב גם לייצר או לקבל את המספרים האקראיים ששימשו לעירבול" - זה היה נכון עד שהמציאו הצפנה ציבורית.
מחשבים וקארמה 322853
אתה כנראה צודק. פה http://blogs.msdn.com/fvicaria/archive/2004/10/06/23...

כתוב שמדובר ברעש תרמי.
Starting from PIII processors Intel has added support for a Security Driver that provides software applications the ability to access the Firmware Hub's hardware Random Number Generator. This RNG is based on sampling the thermal noise in resistors. It uses SHA-1 as mixing function for the outputs. It also runs some FIPS 140-1 autotests.

מחשבים וקארמה 322854
וספציפית להערות שלך. אני לא מבין איזה טעם יש במספרים אקראיים "אמיתיים" בהצפנה, פרט לאיתחול טוב של הגנרטורים.

איך שידור בערוץ מקביל של המספרים האקראיים יכול לא לעזור למפצח?

גם בהצפנה ציבורית, ההנחה היא שלשני הצדדים יש את אותו גנרטור אקראי, לא? ההצפנה הציבורית היא על האיתחול (הseed) של הגנרטור.
מחשבים וקארמה 322861
אם המפצח לא מכיר את שיטת ההצפנה, הוא עדיין יכול לנצל בקלות מצבים שבהם משתמשים באותו המפתח בדיוק. כדי למנוע זאת, משתמשים במספרים אקראיים בשביל חלקים מהמפתח, ומשדרים אותם (מה שקראת בערוץ מקביל). כיוון שהמפצח (כזכור) לא מכיר את שיטת ההצפנה, אין לו מושג מה לעשות עם המידע הזה. לפעמים קוראים לזה בספרות auxiliary key.

למה בהצפנה ציבורית צריך להניח משהו על שני הצדדים? תאורטית, בשביל הצפנה ציבורית לא צריך לשנות מפתחות אף-פעם; למשל, אתה יכול להגריל שני ראשוניים ענקיים, ולספר לכל העולם את המכפלה שלהם. כולם יוכלו לשלוח לך הודעות מוצפנות, אף אחד לא יוכל לפענח. מעשית, גם את הראשוניים כדאי להחליף מדי פעם, וכשמדובר בקצבים של תקשורת מחשבים "מדי פעם" יכול להיות "מלאן פעמים בשנייה". אז אתה צריך להגריל מספרים גדולים באופן תכוף, ולא בא לך לעכב את שאר הפעילות שלך יותר מדי, ומכאן הצורך במחולל אקראי מהיר. אין שום סיבה לדרוש שהגנרטור האקראי שלך יהיה מצוי בידיהם של ידידיך.
מחשבים וקארמה 322878
אני הבנתי שבהצפנה מניחים שהמאזין יודע הכל על אלגוריתם ההצפנה, רק אין לו אינפורמציה על הפארמטרים.

צריך להניח משהו על שני הצדדים כי זה לא פרקטי להצפין את כל ההודעה שלך באמצעות המפתח הציבורי. עד כמה שאני מבין, אפשר להצפין רק הודעות יש בהם פחות ביטים מהמפתח, אחרת צריך לשבור את ההודעה לחתיכות יותר קטנות (למעשה, גם הודעות קצרות מידי עשויות להיות בעיתיות). בעיקרון זה פותח פתח לפיצוח על ידי ספירת תדירויות ( אם כי התדירות של משהו באורך כמה מאות ביטים היא זניחה, לפחות לכאורה).
מחשבים וקארמה 322884
אפשר להניח את זה, ואפשר גם לא.

את הפסקה השנייה לא הבנתי. תצפין עם זה מה שאתה רוצה, עדיין תצטרך בתכיפות כלשהי להגריל את החצי הפרטי של המפתח. נכון שהרבה פעמים משתמשים בהצפנה ציבורית כדי להחליף מפתחות של הצפנה רגילה. רק רציתי להצביע על כך שבהצפנה ציבורית יש טעם בשימוש במחולל רעש אמיתי, ואין צורך להתעקש על פסוודו-אקראי.
מחשבים וקארמה 322886
אז שוב, למה צריך רעש אמיתי, מה רע ברעש פסאודו?
מחשבים וקארמה 322889
הממ? איך "שוב"? אני לא לא אמרתי ש*צריך* רעש אמיתי. *אתה* אמרת שצריך רעש פסאודו (בתגובה 322813), ועל כך מחיתי.

ברור, עם זאת, שבכל מצב שבו אפשר להשתמש ברעש אמיתי, ואין לזה איזשהו מחיר אחר, אז זה עדיף על פסאודו. הזכרת קודם את ההנחה המקובלת שהמפצח יודע כמעט הכל. אתה יכול להוסיף לו גם את הידיעה של אלגוריתם הייצור הפסאודו-אקראי, ועכשיו אם נופלת לידיו איכשהו חתיכה קטנה-אבל-גדולה-מספיק של המפתח המקורי, הלך עליך.
מחשבים וקארמה 322913
''בכל מצב שבו אפשר להשתמש ברעש אמיתי ... זה עדיף על פסאודו'' - אני לא בטוח. לפעמים כשמתכנתים סימולציה ויש באג, רוצים לשחזר בדיוק את הדרך אליו. מספרים פסאודו אקראיים מאד עוזרים כאן.
מחשבים וקארמה 322916
אם יש לך את ההקלטה של הרעש, זה הינו הך.
מחשבים וקארמה 322919
יותר פשוט לשמור בזיכרון seed ושלושה פרמטרים של ה-LCG מאשר סידרה של (לפעמים מאות מיליוני) מספרים, לא? (או שאולי לא הבנתי למה אתה מתכוון ב"הקלטה של רעש".)
מחשבים וקארמה 322923
אני מסכים איתך לגמרי. יותר מזה, רעש שאפשר לחזור עליו טוב לא רק לדיבוג, אלא גם להקטנת השגיאה כאשר בודקים מודל בתנאים שונים. אני מניח שאתה מכיר יותר ממני את השיטות הללו.
מחשבים וקארמה 322940
אני מוכן להכיר לך את השכנים שלי.
הרעש שהם מיצרים חוזר על עצמו בכל ערב.
מחשבים וקארמה 322941
ואתה חשבת שהם מרעישים סתם. למעשה הם מייצרים רעש לתעשית הסימולציות.
מחשבים וקארמה 322965
צריך עורך-דין בשביל לכתוב באתר הזה... דיברתי בהקשר של קריפטוגרפיה בלבד (אפשר לנחש את זה מהמשך הפיסקה).
מחשבים וקארמה 322970
נניח שאתה רוצה להעביר לי סודות, ולא סומך על מצפינים מסובכים שנתמכים בתאוריות מפוקפקות.
קח מחולל סיביות אקראיות שעובד בקצב מהיר, ומלא שני דיסקים של 400GB (כ- 300$ לדיסק) בשני עותקים זהים של אותו רצף. שלח אלי בלדר מאובטח עם אחד הדיסקים. כעת אנחנו יכולים להחליף חוויות ב- 400GB באופן הבטוח ביותר האפשרי.
מחשבים וקארמה 323016
מה שמעלה את השאלה - האם עוד יש שימוש להצפנה שאינה הצפנת מפתח ציבורי או One time pad?
מחשבים וקארמה 323017
ודאי שיש (שני הללו סובלים מבעיות מעשיות קשות).
מחשבים וקארמה 323029
מה הבעיה בשיטה שעוזי הציע?

(ומה הבעיה במפתח ציבורי?)
מחשבים וקארמה 323036
גדי, בדיוק רציתי לשלוח לך הודעה סודית ביותר וגם דחופה, תעשה לי טובה ותהיה מחר בבית בין 16:00 ל-‏18:00 לקבל את הדיסק הקשיח מהשליח, ואם אפשר גם שלם לו בבקשה 400ש"ח, טוב?
מחשבים וקארמה 323039
הא. אם זאת הצפנה אני טיל ירקות. פיענחתי בשניות ממש. אני יכולה לומר לך מיד שזה לא יעבוד, וה"שליח" עשוי עוד להגיע לגדי ב-‏5.00 ולדרוש 400 ש"ח.
מחשבים וקארמה 323059
לא הבנתי. אם אני ואתה רוצים להחליף מידע אנחנו קונים *פעם אחת* את הדיסק הזה וממלאים אותו, ועכשיו למשך כל השנים הקרובות אנחנו יכולים להחליף מסרים (ניחוש פרוע: כל הטקסט באייל הקורא זה הרבה פחות מ-‏400 ג'יג'ה) בכל ערוץ ציבורי מבלי שיוכלו לפענח אותם. זה לא כאילו אתה צריך לתת לי דיסק בכל פעם שאתה שולח לי הודעה.

ברור שסידור כזה עם כל אחד מאנשי האייל יכול להיות מעצבן, אבל אם אני למשל בצבא ורוצה תקשורת בטוחה לכל אחת מהיחידות שלי? למה לי לחשוב על סוג אחר של הצפנה בכלל?
מחשבים וקארמה 323048
לוגיסטיקה‏1.

(כוח חישוב‏2).

1א. כמה אי-מיילים, פקסים, טלקסים ושיחות-טלפון יוצאים מהפנטגון בשעה אחת, ולכמה יעדים שונים?

1ב. איך היית מגיב אם WinZip היתה נותנת לך הודעה "הזמן בלדר עכשיו (מחירים מצויינים אצל נסים שליחויות!)" בכל פעם שהיית לוחץ על Encryption?

-- שורה זו קיימת בגלל באג בשועלאש --

2 כמו שציין ראובן, בהצפנה ציבורית משתמשים בעיקר כדי להחליף מפתחות של הצפנות קלאסיות.
מחשבים וקארמה 323060
1 א. אוקיי, אז מה הפנטגון עושה? הוא לא חייב להשתמש במפתח ציבורי? הרי כל מפתח שאינו ציבורי סובל מ"בעיית הבלדר" - אתה חייב להביא למישהו בצורה מאובטחת את המפתח. אולי הכוונה שלך שיש סוגי הצפנות שאפשר להעביר בהן את המפתח הבא בתוך הודעה מוצפנת (בניגוד ל-One time pad שחייב בדיוק את אותה כמות מידע)?

1 ב. הייתי אומר "למה Winzip לא עובד עם מפתח ציבורי?"

-- שורה זו קיימת למרות שאין בשועלאש שלי באג --

2 לא הבנתי.
מחשבים וקארמה 323191
1 א. מה הפנטגון עשה לפני שהמציאו הצפנה ציבורית? זה כל הרעיון במושג "שיטת הצפנה": המפתח שצריך להעביר בצורה מאובטחת הוא *קצר*, ושיטת ההצפנה מייצרת ממנו מפתח *ארוך* שמספיק להרבה זמן. הבעייה הלוגיסטית עם OTP היא הגודל של המפתחות שצריך לשתף בהם את כל העולם.

1 ב. אז זהו, שכאמור לממש מפתח ציבורי זה יותר קל כשמדברים על זה באייל מאשר כשעושים את זה באמת. נסה ותיהנה.

- יפתיע אותי מאוד. נסה לכתוב שורה שנגמרת במילה באנגלית ומתחתיה מספר בסוגריים -

2 ציינתי שעובדתית, הקשיים הטכניים עם הצפנה ציבורית גורמים לכך שלא משתמשים בה כדי להצפין הודעות ארוכות, אלא רק מפתחות קצרים.
מחשבים וקארמה 323194
1 א. זהו, שלא ברור לי כמה זה "הרבה זמן" וכמה מידע בדיוק רוצים להעביר בפרק הזמן הזה. אם בימינו לא מסובך להעביר דיסק של 400 ג'יגה, לכמה זמן הוא יספיק כשהוא משמש כמפתח לשיטת OTP?

--שורה זו קיימת בגלל באג שמסתבר שאכן קיים בשועלאש--

1 ב. שמעתי שבחור בשם פיל צימרמן כבר עשה את העבודה בשבילי ושהוא די מרוצה (אם כי אם אני לא טועה הוא עושה את מה שאתה אומר ב-‏2: משתמש בהצפנה הציבורית כדי להצפין מפתח של הצפנה "רגילה"), אז מה הבעיה?
מחשבים וקארמה 323207
1 א. בימינו לא מסובך להעביר דיסק של 400 ג'יגה? למי? מתי? כמה פעמים ביום? כמה כאלה צריך מרכז כמו הפנטגון לשמור אצלו?

(לכמה זמן הוא יספיק: אני לא בטוח שאני מבין את השאלה. הוא יספיק בדיוק למשך הזמן שלוקח עד שמצטברת תעבורה של 400 ג'יגה, בהנחה (בעייתית מאוד) שאתה מסוגל להשתמש באחד כזה, בלי בזבוז, בשביל כל סוגי התקשורת עם אתר מסויים.)

1 ב. מה הבעייה עם מה? בהצפנה ציבורית אכן משתמשים בכל מיני הקשרים, למשל (כידוע) באינטרנט. חשבתי שהתחלנו מהשאלה, למה לא משתמשים *רק* ב-OTP או ב-PK. כפי שציינת בעצמך, PK משמשת בהרבה מקרים רק כמרכיב במערכת "רגילה".
מחשבים וקארמה 323221
1. שאלה מצויינת, בתור תשובה ל"מתי?" ו"כמה פעמים ביום?" אתה צריך לענות לי ל"לכמה זמן הוא יספיק". אני מוכן להניח שעוזי מגזים ושקשה להשיג דיסק של 400 ג'יגה, אבל דיסק של 80 ג'יגה בימינו יש בכל מחשב בסיסי. כמה מידע מוצפן מועבר בדרך כלל (ועל ידי מי באמת)?

כמובן שזה כאב ראש להתחיל להעביר דיסקים לאנשים, לא כי הדיסק כבד אלא כי צריך שליח ושיהיה ממוגן וכדומה - אבל את זה צריך בשביל כל הצפנה שהיא לא מפתח ציבורי, לא?

לכן השאלה היחידה היא הכמות. ברור שפעם OTP היה בעייתי כי ליצור פנקס קטן היה דורש הרבה עבודה ופנקס היה מכיל כמות מאוד מועטה של מפתח. בימינו אפשר להגיע לגדלים אדירים של מפתח, אבל המשקל של הודעות טקסט נותר זהה, וכך בעצם גם של כל סוגי המידע - אם כבר, הנטייה של המקום שתופס מידע היא לקטון, לא לגדול (פעם סרטי וידאו היו לוקחים לך הרבה יותר מאשר CD אחד).

2. מסכים, באמת אין לנו ממש ויכוח כאן. תשנה את השאלה ל"למה לא משתמשים *רק* ב-OTP או במערכות שמשתמשות ב-PK".
מחשבים וקארמה 323256
אני מוכר לך דיסק של 400GB ב- 1800 ש"ח (30 לי, השאר לאתר אינטרנט שבאמת מוכר אותם).

אם תנסה לחשוב על מימוש של פרוטוקולים לתקשורת (שצריכים ליצור קשר אמין בין A ל- B, בלי ש- E יוכל לשגע אותם ובלי שהודעת "עבר פה אוטובוס, תחזור בבקשה על מה שאמרת" תחסל את הבטיחות לחלוטין), תגלה ש- OTP רחוק מלהספיק.
מחשבים וקארמה 323258
כמה מידע מהמפתח "מתבזבז" כשאני שולח הודעת אימייל טקסטואלית ממוצעת (30 קילובייט) למישהו?
מחשבים וקארמה 323317
פעם לא היו מעבירים את כל המידע הזה שיש לו נטיה לקטון. (לפחות לא בתקשורת נתונים).
מחשבים וקארמה 323336
על אחת כמה וכמה, אם כך (זו כל התשובה?).
מחשבים וקארמה 323414
זה כל התשובה למה?
רק ניסיתי להגיד שלמרות הנטיה של דברים לקטון, נפח התקשורת רק עולה.
מחשבים וקארמה 323464
השאלה היא עד כמה נפח התקשורת הזה הכרחי, בעיקר ביישומים שבהם אנחנו חייבים הצפנה מושלמת (למשל, מרגל שרוצה להעביר מסרים מילוליים).
מחשבים וקארמה 323466
נראה לי שאתה שבוי בתפיסה מיושנת/קולנועית של ריגול. לדעתי המרגל הממוצע היום צריך להעביר כמויות גדולות של תעבורה שנלקחת, נגיד, מתוך רשת פנימית של הארגון בו הוא שתול. הוא לא יושב בישיבות מטכ"ל ושולח מסרים לקוניים.

מצד שני אל"מ ועל כן אליעמא"מ.
מחשבים וקארמה 323485
מכיוון שאני מכיר מישהו שעבר קורס מפעיל מורס בצבא, אני חושב שעוד לא הקיץ הקץ על המסרים המילוליים.

מה זה אל"מ ואליעמא"מ?
מחשבים וקארמה 323505
אל''מ זה אני לא מרגל.
מחשבים וקארמה 323507
איך זה מתישב עם "אל"מ אלחנן טננבאום"?
מחשבים וקארמה 323529
מזה אפשר להבין ש''אורי גוראל גורביץ''' איננו פסוודונים של ''אלחנן טננבאום''.
מחשבים וקארמה 323530
ובכל זאת מה זה אליעמא"ט?
מחשבים וקארמה 323566
אני לא יודע על מה אני מדבר. חשבתי שזה מובן מאליו.
מחשבים וקארמה 323567
לאשבכאאל''כ.
מחשבים וקארמה 323570
ודאי. לה''כ. אבל עה''א, יש לקוות.
sneakernet 323066
יש לי הצעה אחרת- תשלח עם בלדר מאובטח את המידע שאתה רוצה להעביר לי, ללא הצפנה.
sneakernet 323069
מה שבאמת חסר לי זה חיבור מוצפן לאינטרנט. אתה רוצה שכל הסינים יעבדו אצלי בתור שליחים?
sneakernet 323073
בקצב שאתה כותב תגובות, אפשר להסתפק בדיסקט פעם בשבוע.
sneakernet 323254
במרכז הגמילה אמרו שתגובות כמו שלך יכולות לגרום נזק חסר תקנה, ושאסור לי בשום אופן לענות לך.
מחשבים וקארמה 388624
לא ריאלי. עבור "מלאן" קטן מ-‏2, אולי. הבעיה העיקרית ביצור זוג מפתחות פרטי/ציבורי היא האיטיות מחרפנת השכל (והCPU) של מציאת מספרים ראשוניים. בזמן שאתה מברר אם מספר בן 1024 ספרות בינריות הוא ראשוני או לא, כל מחולל אקראי בשתי שקל מהמכולת יכול לעשות לך הקפות בנות מגה-בייטים רבים מסביב להארד-דיסק בלי להתנשף אפילו.

חזרה לעמוד הראשי המאמר המלא

מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים