Die Zusammenfassung der neuesten Errungenschaften auf dem Gebiet der Kryptographie. Kein Problem



    Hallo!
    In einem Artikel möchte ich kurz auf die Leistungen der Mathematiker eingehen, die wir bereits nutzen oder in Kürze erbringen werden.
    Fangen wir an

    Post-Quanten-Krypto


    Es ist kein Geheimnis, dass Quantencomputer kommen. Und sobald sie ihre volle Wirkung entfalten, endet die Kryptografie mit öffentlichen Schlüsseln im modernen Sinne. RSA, DSA, ECC, DH. Alle modernen populären Krypto-Primitive für den Austausch von Schlüsseln und Signaturen werden zu Müll. Glücklicherweise gibt es Licht am Ende des Tunnels und in den letzten Jahren wurde eine aktive Untersuchung von Algorithmen durchgeführt, die resistent gegen das Hacken auf Quantencomputern sind. Zu diesem Thema finden jährlich Konferenzen statt, und es gibt bereits erste Empfehlungen zu Algorithmen, mit denen Quantencomputern begegnet werden kann.

    Bild

    Viele dieser Algorithmen gibt es schon lange und sie sind gut untersucht. McEliece zum Beispiel wurde 1978 gegründet. Hash-basierte Signaturen ( XMSS-Signaturen werden angezeigt, pdf) stammt ebenfalls aus den 80er Jahren. Das Einzige ist die Größe der Schlüssel, die übertragenen Daten, die Arbeitsgeschwindigkeit usw. Asymmetrische Algorithmen sind möglicherweise nicht so praktisch wie jetzt.

    Nonce-Missuse-Resistance und AEAD-Blockverschlüsselungsmodus


    Ziemlich altes Ding, aber nur wenige Leute wissen davon. Im Jahr 2000 wurde ein Schema vorgeschlagen, das es ermöglichte, eine Nachricht zu erhalten, die aus verschlüsselten Daten, einem unverschlüsselten Dienstteil, beispielsweise einer Paketgröße, und einem bestimmten Wert in Abhängigkeit vom Schlüssel besteht, mit dem die gesamte Nachricht authentifiziert werden konnte. Dieser Verschlüsselungsmodus war so praktisch, dass NIST 2007 eine seiner Implementierungen übernahm - AES GCM als Standard. In modernen Intel-Prozessoren ist neben AES-NI auch PCLMULQDQ die spezielle Anweisung , mit der Sie diesen Modus auf sehr intelligente Weise implementieren können.

    Das Problem ist, dass alle AEAD-Algorithmen notwendigerweise einen zusätzlichen Nonce- Wert erfordern , der unterschiedlich sein mussfür verschiedene Nachrichten mit einem Schlüssel verschlüsselt. Nicht unbedingt zufällig, nur anders. Andernfalls verwandelt sich Ihre Kryptographie in einen Kürbis . Das heißt Verwenden Sie entweder eine Art Zähler und Speicherstatus oder verwenden Sie eine zufällige Nonce und hoffen Sie, dass sie nicht übereinstimmen. Erst kürzlich veröffentlichte eine Gruppe von Forschern einen Angriff auf TLS , bei dem nur die Sicherheitsanfälligkeit ausgenutzt wird, die durch die Nicht-Wiederverwendung entsteht. Dort ist Visa verwundbar und eine weitere Hälfte aller Server im Internet sind ein ernstes Loch.

    Um solche Entwickler guter Algorithmen mit krummen Händen zu schützen, organisierten sie einen Kryptowettbewerb CAESAR , dessen Ziel es ist, den besten AEAD-Algorithmus zu finden, einschließlich eines Algorithmus, der vor Angriffen wie Nicht-Wiederverwendung / Missbrauch geschützt ist.
    Die vielversprechendsten sind HS1-SIV(PDF) und AES-GSM-SIV (pdf) Der
    zweite Befehl benötigt überhaupt nichts Neues. Er verwendet die vorhandenen Anweisungen für AES-NI und PCLMULQDQ und ist daher sehr intelligent. Sogar die Umsetzung wurde auf einem Github aufgezeichnet.

    Rauschprotokoll


    Wenn Sie den Nachrichten folgen, wissen Sie, dass WhatsApp standardmäßig die Verschlüsselung für alle aktiviert hat. Sie verwenden meiner Meinung nach das beste Signalprotokoll, aber dies ist in den Nachrichten nicht das interessanteste.
    Signal Trevor Perrin, der Schöpfer des Protokolls, entwickelte auch einen leichten Ersatz für TLS, das Rauschprotokoll . Dies ist nicht nur ein Protokoll, sondern ein Framework zum Erstellen sicherer Datenübertragungsprotokolle. Und WhatsApp verwendet es für die Interaktionsebene des Netzwerks. Es ist viel einfacher als TLS und viel narrensicherer. Hier wurde sogar ein Video gedreht, das erklärt, wie es funktioniert.


    Die Implementierungen sind bereits in C, Go, Haskell und Rust (vom Autor selbst). Es wird schön sein, die Implementierung von Google zu sehen, eine Sache, die sich lohnt.

    Argon2


    Ich zuvor schrieb über diesen Speicher - Fest Algorithmus für die Passwort - Hashes. Ich wiederhole - hör auf, nur einen Hash (Salt + Passwort) zu verwenden, verwende normale KDFs wie scrypt, bcrypt oder ARGON2 in Bezug auf ihre Eigenschaften überlegen. Aus dem Neuen - es gab gute Folien (pdf) von der letzten Konferenz, und vergessen Sie nicht, welche Münzen darauf basieren. Es könnte sich als vielversprechende Währung ohne Asics herausstellen.

    Reverse Engineering S-Box-Chiffre Grasshopper



    Eine interessante Analyse der neuen russischen Verschlüsselungs- und Hash-Algorithmen Grasshopper, Stribog und Stribob von Alex Biryukov, Leo Perrin und Aleksei Udovenko zeigt, dass das Schlüsselelement - die 16x16-Ersetzungstabelle - laut den Entwicklern nicht zufällig generiert wurde, sondern mit Verwenden eines versteckten Algorithmus ( pdf )



    Ein interessantes Ergebnis, das zu Verdacht auf eine versteckte Hintertür führt. Warum sonst lügen?

    Das ist alles für mich, wir sehen uns in den neuen Digests!

    PS

    Eine weitere gute Nachricht von BalinTomsk

    Jetzt auch beliebt: