|
||||
|
||||
ממשלת ארה"ב אוסרת שימוש במחוללים אקראיים לחלוטין כי היא לא מסוגלת לפצח אותם, ומאז 11/9 זה פשוט לא יעלה על הדעת. (סתם, נזכרתי בטענות ש-DES תוכנן עם Backdoor עבור ה-NSA). |
|
||||
|
||||
למשל עכשיו, אתה סרקסטי או שאתה רציני? |
|
||||
|
||||
סרקסטי. ממשלת ארה''ב לא באמת עשתה את הדברים הללו ככל הידוע לי, למרות שזו נשמעת תיאוריית קונספירציה לא רעה (והלחם שלי מאוד טעים). אם עכשיו לא היה ברור שאני סרקסטי, אני מבטיח לנסות להיגמל לחלוטין (ולא להצליח). |
|
||||
|
||||
יש פה שתי עובדות: 1) המכונה מייצרת מספרים אקראיים בקצב *מהיר* 2) המטרה היא הצפנה. מכיוון שהקצב מהיר, מדובר ככל הנראה על הצפנה בזמן אמיתי, ולא הכנה מראש של טבלאות. כדי שהצד השני יוכל לפענח זאת, הוא חייב גם לייצר או לקבל את המספרים האקראיים ששימשו לעירבול. כדי לקבל אותם בזמן אמיתי (כמו השידור), סביר שהוא מחזיק רכיב מקביל שמייצר עבורו את אותו הזרם. כדי שהזרמים של המספרים האקראיים יהיו זהים, המחוללים צריכים להיות פסאדו. |
|
||||
|
||||
1. אני לא רואה סיבה להניח שהקצב הוא מהיר דווקא בשביל ההצפנה. למחולל כזה יש הרבה שימושים; לחלקם המהירות חשובה, לחלקם אולי לא. 2. גם בהצפנה רגילה ובזמן אמיתי אפשר לעשות שימוש במספרים אקראיים, ופשוט לשדר אותם (גלויות) לצד השני. זה לא חסר טעם כמו שזה (אולי) נראה. 3. "כדי שהצד השני יוכל לפענח זאת, הוא חייב גם לייצר או לקבל את המספרים האקראיים ששימשו לעירבול" - זה היה נכון עד שהמציאו הצפנה ציבורית. |
|
||||
|
||||
אתה כנראה צודק. פה http://blogs.msdn.com/fvicaria/archive/2004/10/06/23... כתוב שמדובר ברעש תרמי. Starting from PIII processors Intel has added support for a Security Driver that provides software applications the ability to access the Firmware Hub's hardware Random Number Generator. This RNG is based on sampling the thermal noise in resistors. It uses SHA-1 as mixing function for the outputs. It also runs some FIPS 140-1 autotests.
|
|
||||
|
||||
וספציפית להערות שלך. אני לא מבין איזה טעם יש במספרים אקראיים "אמיתיים" בהצפנה, פרט לאיתחול טוב של הגנרטורים. איך שידור בערוץ מקביל של המספרים האקראיים יכול לא לעזור למפצח? גם בהצפנה ציבורית, ההנחה היא שלשני הצדדים יש את אותו גנרטור אקראי, לא? ההצפנה הציבורית היא על האיתחול (הseed) של הגנרטור. |
|
||||
|
||||
אם המפצח לא מכיר את שיטת ההצפנה, הוא עדיין יכול לנצל בקלות מצבים שבהם משתמשים באותו המפתח בדיוק. כדי למנוע זאת, משתמשים במספרים אקראיים בשביל חלקים מהמפתח, ומשדרים אותם (מה שקראת בערוץ מקביל). כיוון שהמפצח (כזכור) לא מכיר את שיטת ההצפנה, אין לו מושג מה לעשות עם המידע הזה. לפעמים קוראים לזה בספרות auxiliary key. למה בהצפנה ציבורית צריך להניח משהו על שני הצדדים? תאורטית, בשביל הצפנה ציבורית לא צריך לשנות מפתחות אף-פעם; למשל, אתה יכול להגריל שני ראשוניים ענקיים, ולספר לכל העולם את המכפלה שלהם. כולם יוכלו לשלוח לך הודעות מוצפנות, אף אחד לא יוכל לפענח. מעשית, גם את הראשוניים כדאי להחליף מדי פעם, וכשמדובר בקצבים של תקשורת מחשבים "מדי פעם" יכול להיות "מלאן פעמים בשנייה". אז אתה צריך להגריל מספרים גדולים באופן תכוף, ולא בא לך לעכב את שאר הפעילות שלך יותר מדי, ומכאן הצורך במחולל אקראי מהיר. אין שום סיבה לדרוש שהגנרטור האקראי שלך יהיה מצוי בידיהם של ידידיך. |
|
||||
|
||||
אני הבנתי שבהצפנה מניחים שהמאזין יודע הכל על אלגוריתם ההצפנה, רק אין לו אינפורמציה על הפארמטרים. צריך להניח משהו על שני הצדדים כי זה לא פרקטי להצפין את כל ההודעה שלך באמצעות המפתח הציבורי. עד כמה שאני מבין, אפשר להצפין רק הודעות יש בהם פחות ביטים מהמפתח, אחרת צריך לשבור את ההודעה לחתיכות יותר קטנות (למעשה, גם הודעות קצרות מידי עשויות להיות בעיתיות). בעיקרון זה פותח פתח לפיצוח על ידי ספירת תדירויות ( אם כי התדירות של משהו באורך כמה מאות ביטים היא זניחה, לפחות לכאורה). |
|
||||
|
||||
אפשר להניח את זה, ואפשר גם לא. את הפסקה השנייה לא הבנתי. תצפין עם זה מה שאתה רוצה, עדיין תצטרך בתכיפות כלשהי להגריל את החצי הפרטי של המפתח. נכון שהרבה פעמים משתמשים בהצפנה ציבורית כדי להחליף מפתחות של הצפנה רגילה. רק רציתי להצביע על כך שבהצפנה ציבורית יש טעם בשימוש במחולל רעש אמיתי, ואין צורך להתעקש על פסוודו-אקראי. |
|
||||
|
||||
אז שוב, למה צריך רעש אמיתי, מה רע ברעש פסאודו? |
|
||||
|
||||
הממ? איך "שוב"? אני לא לא אמרתי ש*צריך* רעש אמיתי. *אתה* אמרת שצריך רעש פסאודו (בתגובה 322813), ועל כך מחיתי. ברור, עם זאת, שבכל מצב שבו אפשר להשתמש ברעש אמיתי, ואין לזה איזשהו מחיר אחר, אז זה עדיף על פסאודו. הזכרת קודם את ההנחה המקובלת שהמפצח יודע כמעט הכל. אתה יכול להוסיף לו גם את הידיעה של אלגוריתם הייצור הפסאודו-אקראי, ועכשיו אם נופלת לידיו איכשהו חתיכה קטנה-אבל-גדולה-מספיק של המפתח המקורי, הלך עליך. |
|
||||
|
||||
''בכל מצב שבו אפשר להשתמש ברעש אמיתי ... זה עדיף על פסאודו'' - אני לא בטוח. לפעמים כשמתכנתים סימולציה ויש באג, רוצים לשחזר בדיוק את הדרך אליו. מספרים פסאודו אקראיים מאד עוזרים כאן. |
|
||||
|
||||
אם יש לך את ההקלטה של הרעש, זה הינו הך. |
|
||||
|
||||
יותר פשוט לשמור בזיכרון seed ושלושה פרמטרים של ה-LCG מאשר סידרה של (לפעמים מאות מיליוני) מספרים, לא? (או שאולי לא הבנתי למה אתה מתכוון ב"הקלטה של רעש".) |
|
||||
|
||||
אני מסכים איתך לגמרי. יותר מזה, רעש שאפשר לחזור עליו טוב לא רק לדיבוג, אלא גם להקטנת השגיאה כאשר בודקים מודל בתנאים שונים. אני מניח שאתה מכיר יותר ממני את השיטות הללו. |
|
||||
|
||||
אני מוכן להכיר לך את השכנים שלי. הרעש שהם מיצרים חוזר על עצמו בכל ערב. |
|
||||
|
||||
ואתה חשבת שהם מרעישים סתם. למעשה הם מייצרים רעש לתעשית הסימולציות. |
|
||||
|
||||
צריך עורך-דין בשביל לכתוב באתר הזה... דיברתי בהקשר של קריפטוגרפיה בלבד (אפשר לנחש את זה מהמשך הפיסקה). |
|
||||
|
||||
נניח שאתה רוצה להעביר לי סודות, ולא סומך על מצפינים מסובכים שנתמכים בתאוריות מפוקפקות. קח מחולל סיביות אקראיות שעובד בקצב מהיר, ומלא שני דיסקים של 400GB (כ- 300$ לדיסק) בשני עותקים זהים של אותו רצף. שלח אלי בלדר מאובטח עם אחד הדיסקים. כעת אנחנו יכולים להחליף חוויות ב- 400GB באופן הבטוח ביותר האפשרי. |
|
||||
|
||||
מה שמעלה את השאלה - האם עוד יש שימוש להצפנה שאינה הצפנת מפתח ציבורי או One time pad? |
|
||||
|
||||
ודאי שיש (שני הללו סובלים מבעיות מעשיות קשות). |
|
||||
|
||||
מה הבעיה בשיטה שעוזי הציע? (ומה הבעיה במפתח ציבורי?) |
|
||||
|
||||
גדי, בדיוק רציתי לשלוח לך הודעה סודית ביותר וגם דחופה, תעשה לי טובה ותהיה מחר בבית בין 16:00 ל-18:00 לקבל את הדיסק הקשיח מהשליח, ואם אפשר גם שלם לו בבקשה 400ש"ח, טוב? |
|
||||
|
||||
הא. אם זאת הצפנה אני טיל ירקות. פיענחתי בשניות ממש. אני יכולה לומר לך מיד שזה לא יעבוד, וה"שליח" עשוי עוד להגיע לגדי ב-5.00 ולדרוש 400 ש"ח. |
|
||||
|
||||
לא הבנתי. אם אני ואתה רוצים להחליף מידע אנחנו קונים *פעם אחת* את הדיסק הזה וממלאים אותו, ועכשיו למשך כל השנים הקרובות אנחנו יכולים להחליף מסרים (ניחוש פרוע: כל הטקסט באייל הקורא זה הרבה פחות מ-400 ג'יג'ה) בכל ערוץ ציבורי מבלי שיוכלו לפענח אותם. זה לא כאילו אתה צריך לתת לי דיסק בכל פעם שאתה שולח לי הודעה. ברור שסידור כזה עם כל אחד מאנשי האייל יכול להיות מעצבן, אבל אם אני למשל בצבא ורוצה תקשורת בטוחה לכל אחת מהיחידות שלי? למה לי לחשוב על סוג אחר של הצפנה בכלל? |
|
||||
|
||||
לוגיסטיקה1. (כוח חישוב2). 1א. כמה אי-מיילים, פקסים, טלקסים ושיחות-טלפון יוצאים מהפנטגון בשעה אחת, ולכמה יעדים שונים? 1ב. איך היית מגיב אם WinZip היתה נותנת לך הודעה "הזמן בלדר עכשיו (מחירים מצויינים אצל נסים שליחויות!)" בכל פעם שהיית לוחץ על Encryption? -- שורה זו קיימת בגלל באג בשועלאש -- 2 כמו שציין ראובן, בהצפנה ציבורית משתמשים בעיקר כדי להחליף מפתחות של הצפנות קלאסיות. |
|
||||
|
||||
1 א. אוקיי, אז מה הפנטגון עושה? הוא לא חייב להשתמש במפתח ציבורי? הרי כל מפתח שאינו ציבורי סובל מ"בעיית הבלדר" - אתה חייב להביא למישהו בצורה מאובטחת את המפתח. אולי הכוונה שלך שיש סוגי הצפנות שאפשר להעביר בהן את המפתח הבא בתוך הודעה מוצפנת (בניגוד ל-One time pad שחייב בדיוק את אותה כמות מידע)? 1 ב. הייתי אומר "למה Winzip לא עובד עם מפתח ציבורי?" -- שורה זו קיימת למרות שאין בשועלאש שלי באג -- 2 לא הבנתי. |
|
||||
|
||||
1 א. מה הפנטגון עשה לפני שהמציאו הצפנה ציבורית? זה כל הרעיון במושג "שיטת הצפנה": המפתח שצריך להעביר בצורה מאובטחת הוא *קצר*, ושיטת ההצפנה מייצרת ממנו מפתח *ארוך* שמספיק להרבה זמן. הבעייה הלוגיסטית עם OTP היא הגודל של המפתחות שצריך לשתף בהם את כל העולם. 1 ב. אז זהו, שכאמור לממש מפתח ציבורי זה יותר קל כשמדברים על זה באייל מאשר כשעושים את זה באמת. נסה ותיהנה. - יפתיע אותי מאוד. נסה לכתוב שורה שנגמרת במילה באנגלית ומתחתיה מספר בסוגריים - 2 ציינתי שעובדתית, הקשיים הטכניים עם הצפנה ציבורית גורמים לכך שלא משתמשים בה כדי להצפין הודעות ארוכות, אלא רק מפתחות קצרים. |
|
||||
|
||||
1 א. זהו, שלא ברור לי כמה זה "הרבה זמן" וכמה מידע בדיוק רוצים להעביר בפרק הזמן הזה. אם בימינו לא מסובך להעביר דיסק של 400 ג'יגה, לכמה זמן הוא יספיק כשהוא משמש כמפתח לשיטת OTP? --שורה זו קיימת בגלל באג שמסתבר שאכן קיים בשועלאש-- 1 ב. שמעתי שבחור בשם פיל צימרמן כבר עשה את העבודה בשבילי ושהוא די מרוצה (אם כי אם אני לא טועה הוא עושה את מה שאתה אומר ב-2: משתמש בהצפנה הציבורית כדי להצפין מפתח של הצפנה "רגילה"), אז מה הבעיה? |
|
||||
|
||||
1 א. בימינו לא מסובך להעביר דיסק של 400 ג'יגה? למי? מתי? כמה פעמים ביום? כמה כאלה צריך מרכז כמו הפנטגון לשמור אצלו? (לכמה זמן הוא יספיק: אני לא בטוח שאני מבין את השאלה. הוא יספיק בדיוק למשך הזמן שלוקח עד שמצטברת תעבורה של 400 ג'יגה, בהנחה (בעייתית מאוד) שאתה מסוגל להשתמש באחד כזה, בלי בזבוז, בשביל כל סוגי התקשורת עם אתר מסויים.) 1 ב. מה הבעייה עם מה? בהצפנה ציבורית אכן משתמשים בכל מיני הקשרים, למשל (כידוע) באינטרנט. חשבתי שהתחלנו מהשאלה, למה לא משתמשים *רק* ב-OTP או ב-PK. כפי שציינת בעצמך, PK משמשת בהרבה מקרים רק כמרכיב במערכת "רגילה". |
|
||||
|
||||
1. שאלה מצויינת, בתור תשובה ל"מתי?" ו"כמה פעמים ביום?" אתה צריך לענות לי ל"לכמה זמן הוא יספיק". אני מוכן להניח שעוזי מגזים ושקשה להשיג דיסק של 400 ג'יגה, אבל דיסק של 80 ג'יגה בימינו יש בכל מחשב בסיסי. כמה מידע מוצפן מועבר בדרך כלל (ועל ידי מי באמת)? כמובן שזה כאב ראש להתחיל להעביר דיסקים לאנשים, לא כי הדיסק כבד אלא כי צריך שליח ושיהיה ממוגן וכדומה - אבל את זה צריך בשביל כל הצפנה שהיא לא מפתח ציבורי, לא? לכן השאלה היחידה היא הכמות. ברור שפעם OTP היה בעייתי כי ליצור פנקס קטן היה דורש הרבה עבודה ופנקס היה מכיל כמות מאוד מועטה של מפתח. בימינו אפשר להגיע לגדלים אדירים של מפתח, אבל המשקל של הודעות טקסט נותר זהה, וכך בעצם גם של כל סוגי המידע - אם כבר, הנטייה של המקום שתופס מידע היא לקטון, לא לגדול (פעם סרטי וידאו היו לוקחים לך הרבה יותר מאשר CD אחד). 2. מסכים, באמת אין לנו ממש ויכוח כאן. תשנה את השאלה ל"למה לא משתמשים *רק* ב-OTP או במערכות שמשתמשות ב-PK". |
|
||||
|
||||
אני מוכר לך דיסק של 400GB ב- 1800 ש"ח (30 לי, השאר לאתר אינטרנט שבאמת מוכר אותם). אם תנסה לחשוב על מימוש של פרוטוקולים לתקשורת (שצריכים ליצור קשר אמין בין A ל- B, בלי ש- E יוכל לשגע אותם ובלי שהודעת "עבר פה אוטובוס, תחזור בבקשה על מה שאמרת" תחסל את הבטיחות לחלוטין), תגלה ש- OTP רחוק מלהספיק. |
|
||||
|
||||
כמה מידע מהמפתח "מתבזבז" כשאני שולח הודעת אימייל טקסטואלית ממוצעת (30 קילובייט) למישהו? |
|
||||
|
||||
פעם לא היו מעבירים את כל המידע הזה שיש לו נטיה לקטון. (לפחות לא בתקשורת נתונים). |
|
||||
|
||||
על אחת כמה וכמה, אם כך (זו כל התשובה?). |
|
||||
|
||||
זה כל התשובה למה? רק ניסיתי להגיד שלמרות הנטיה של דברים לקטון, נפח התקשורת רק עולה. |
|
||||
|
||||
השאלה היא עד כמה נפח התקשורת הזה הכרחי, בעיקר ביישומים שבהם אנחנו חייבים הצפנה מושלמת (למשל, מרגל שרוצה להעביר מסרים מילוליים). |
|
||||
|
||||
נראה לי שאתה שבוי בתפיסה מיושנת/קולנועית של ריגול. לדעתי המרגל הממוצע היום צריך להעביר כמויות גדולות של תעבורה שנלקחת, נגיד, מתוך רשת פנימית של הארגון בו הוא שתול. הוא לא יושב בישיבות מטכ"ל ושולח מסרים לקוניים. מצד שני אל"מ ועל כן אליעמא"מ. |
|
||||
|
||||
מכיוון שאני מכיר מישהו שעבר קורס מפעיל מורס בצבא, אני חושב שעוד לא הקיץ הקץ על המסרים המילוליים. מה זה אל"מ ואליעמא"מ? |
|
||||
|
||||
אל''מ זה אני לא מרגל. |
|
||||
|
||||
איך זה מתישב עם "אל"מ אלחנן טננבאום"? |
|
||||
|
||||
מזה אפשר להבין ש''אורי גוראל גורביץ''' איננו פסוודונים של ''אלחנן טננבאום''. |
|
||||
|
||||
ובכל זאת מה זה אליעמא"ט? |
|
||||
|
||||
אני לא יודע על מה אני מדבר. חשבתי שזה מובן מאליו. |
|
||||
|
||||
לאשבכאאל''כ. |
|
||||
|
||||
ודאי. לה''כ. אבל עה''א, יש לקוות. |
|
||||
|
||||
יש לי הצעה אחרת- תשלח עם בלדר מאובטח את המידע שאתה רוצה להעביר לי, ללא הצפנה. |
|
||||
|
||||
מה שבאמת חסר לי זה חיבור מוצפן לאינטרנט. אתה רוצה שכל הסינים יעבדו אצלי בתור שליחים? |
|
||||
|
||||
בקצב שאתה כותב תגובות, אפשר להסתפק בדיסקט פעם בשבוע. |
|
||||
|
||||
במרכז הגמילה אמרו שתגובות כמו שלך יכולות לגרום נזק חסר תקנה, ושאסור לי בשום אופן לענות לך. |
|
||||
|
||||
לא ריאלי. עבור "מלאן" קטן מ-2, אולי. הבעיה העיקרית ביצור זוג מפתחות פרטי/ציבורי היא האיטיות מחרפנת השכל (והCPU) של מציאת מספרים ראשוניים. בזמן שאתה מברר אם מספר בן 1024 ספרות בינריות הוא ראשוני או לא, כל מחולל אקראי בשתי שקל מהמכולת יכול לעשות לך הקפות בנות מגה-בייטים רבים מסביב להארד-דיסק בלי להתנשף אפילו. |
חזרה לעמוד הראשי | המאמר המלא |
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים | |
RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש | © כל הזכויות שמורות |