27 август 2020
Либертариум Либертариум

Комментарии (5)

  • Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"

    аноним, 25.05.2001
    в ответ на: комментарий (Волчков Алексей Анатольевич, 25.05.2001)

    ...

  • Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"

    Потом самое интересное (было все это в банке, котрый Вербу легально
    прикупил). В очередных переговорах с МО ПНИЭИ всплылы вопрос о том что
    у ключей серийный номер другой (вопрос с стой стороны). Как черт
    возьми догадались.

    Догадались элементарно. Предзаданная сумма ключа означает, что
    ключевое пространство сужено, а банк начал генерировать ключи, которые
    в это суженное ключевое пространство не попадают.

    Для пользователя сокращение ключевого пространства, разумеется,
    означает снижение стойкости по сравнению с заявленной. Оценку (по
    полу) снижения стойкости можно получить, глянув на аглоритм CRC.
    Кстати, если стойкость по полному ключевому пространству заявлена в
    сопровождающей документации или сертификатах, налицо намеренная
    дезинформация/недобросовестная реклама со стороны поставщика или Лиц.
    комиссии ФАПСИ.

    Ковыряли ее и дальше и тут возникло такое, что только с Криптоном из
    Анкада сравнить и можно (далее прадон не доля печати).

    Это почему же? Наоборот, материалы по взлому "Криптона" давно пора
    опубликовать. Если, кстати, вместо того, чтобы играть с ФАПСИ в
    подковерные игры, их опубликовали бы своевременно, сегодня проблем
    было бы гораздо меньше.

  • Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"

    Уважаемый Maksim, все к сожалению ен так просто. Если читать сертификат, то там заявлено исключительно о качестве алгоритомв шифрования и подписи и не слова о качестве алгоритма управления ключами и и качестве их генерации. До сегоднящнего дня ключевая структура Вербы в полном изложении загрифована и получить ее у ТИК или остатков МО ПНИЭИ официально практически невозможно. Наличие грифа не позволяет к сожаленнию публиковать все. Однако направление в котором надо копать следующее.
    ВЗЯТЬ ВЕРБУ ИЛИ КРИПТОН И ПРОВЕРИТЬ СТАТИСТИЧЕСКОЕ КАЧЕСТВО КЛЮЧЕЙ (СЛУЧАЙНОСТЬ, РАВНОВЕРОЯТНОСТЬ И САМОЕ ГЛАВНОЕ ОЦЕНИТЬ КОЛИЧЕСТВО КЛЮЧЕЙ, КОТОРОЕ МОЖЕТ БЫТЬ СГНЕНЕРИРОВАНО ОДНИМ ДЕВАЙСОМ ТИПА КРИПТОН ИЛИ ОДНИМ АРМ ГЕНЕРАЦИИ ТИПА ВЕРБА).

  • Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"

    Уважаемый Maksim, все к сожалению ен так просто. Если читать
    сертификат, то там заявлено исключительно о качестве алгоритомв
    шифрования и подписи и не слова о качестве алгоритма управления
    ключами и и качестве их генерации.

    Это... забавно.

    До сегоднящнего дня ключевая структура Вербы в полном изложении
    загрифована и получить ее у ТИК или остатков МО ПНИЭИ официально
    практически невозможно.

    NIL. По крайней мере для "Вербы-О" все опубликовано в прошлогодней
    книжке Домашева и др.

    Наличие грифа не позволяет к сожаленнию публиковать все.

    NIL. Ст.15.3 ФЗ "О правовой охране программ..." специально оговаривает
    этот случай: "Лицо, правомерно владеющее экземпляром программы ...
    вправе без согласия правообладателя ... декомпилировать или поручать
    декомпилирование программы [если] информация, необходимая для
    взаимодействия независимо разработанной данным лицом программы ... с
    другими программами, недоступна из других источников". Ровно твой
    случай: вопрос совместимости (возможности взаимодействия).

    Однако направление в котором надо копать следующее. ВЗЯТЬ ВЕРБУ
    ИЛИ КРИПТОН И ПРОВЕРИТЬ СТАТИСТИЧЕСКОЕ КАЧЕСТВО КЛЮЧЕЙ
    (СЛУЧАЙНОСТЬ, РАВНОВЕРОЯТНОСТЬ И САМОЕ ГЛАВНОЕ ОЦЕНИТЬ КОЛИЧЕСТВО
    КЛЮЧЕЙ, КОТОРОЕ МОЖЕТ БЫТЬ СГНЕНЕРИРОВАНО ОДНИМ ДЕВАЙСОМ ТИПА
    КРИПТОН ИЛИ ОДНИМ АРМ ГЕНЕРАЦИИ ТИПА ВЕРБА).

    Смотри, допустим я хочу зарезать ключевое пространство ГОСТ в восемь
    раз, чтобы оставить себе возможность атаки перебором 2^32 вариантов.

    Если я не полный идиот, я напишу что-то вроде (извини псевдокод):

    keygen(key) {

    int key[3];

    const FAPSI_key[3] = blablabla;

    key[0] = rand();

    for (i=1, i<=3, i++)

    {key[i] = upperhalf(gostblock(key[i-1]*2^32+key[i-1]), FAPSI_key);}

    return(key);

    };

    И это простейший случай, а можно ведь и биты перемешать :)

    Какой длины прогон надо сделать, чтобы оценить статистическое качество
    ключей? Я так понимаю, порядка 2^mid(32,64). Это на поллимона
    машинного времени.

  • Закон

    Коллеги, а что в реальности вышло из Думы после первого чтения в виде Закона об ЭЦП? То, что лежит здесь? Какой вариант?

[email protected] Московский Либертариум, 1994-2020