LINUX.ORG.RU

История изменений

Исправление hakavlad, (текущая версия) :

  1. Так сложилось исторически.
  2. Во-вторых:

Ключевая схема на основе BLAKE2b, если использовать при ней 512-битный ключ и 512-битный MAC (или, точнее, тег), при классическом подсчёте обеспечивает 512 бит стойкости, а при квантовом учёте (с учетом алгоритма Гровера) примерно 256 бит эффективной безопасности. В то же время Poly1305, имеющий классическую стойкость ≈128 бит (при условии корректного использования nonce), при квантовых атаках будет примерно 64-битовой устойчивостью.

Таким образом, можно утверждать, что с квантовой точки зрения схема на базе BLAKE2b с 512-битным ключом и тегом обеспечивает значительно более высокий уровень защиты, чем Poly1305.

  1. В-третьих, MAC tag - это метаданные, которые могут быть нежелательтными. Тэг может помогать отличить настоящий пароль от некорректного. Меньше тэгов - меньше метаданных.

  2. Если чанков много и тэгов много, что при повреждении одного из чанков, противник видит какой чанк поврежден. Это создает еще одну утечку, что противоречит цели инструмента.

tird позволяет устанавливать фейковый тэг, таком образом, при шифровании случайных данных получаются новые случайные данные, и в таком случае противник не может определить какой ключ настоящий - верификация тэга всегда фейлится, и на выходе всегда рандом.

См также https://gist.github.com/hakavlad/5cbcb19e3916f7ac916427e3ed7e95bc

Исходная версия hakavlad, :

  1. Так сложилось исторически.
  2. Во-вторых:

Ключевая схема на основе BLAKE2b, если использовать при ней 512-битный ключ и 512-битный MAC (или, точнее, тег), при классическом подсчёте обеспечивает 512 бит стойкости, а при квантовом учёте (с учетом алгоритма Гровера) примерно 256 бит эффективной безопасности. В то же время Poly1305, имеющий классическую стойкость ≈128 бит (при условии корректного использования nonce), при квантовых атаках будет примерно 64-битовой устойчивостью.

Таким образом, можно утверждать, что с квантовой точки зрения схема на базе BLAKE2b с 512-битным ключом и тегом обеспечивает значительно более высокий уровень защиты, чем Poly1305.

  1. В-третьих, MAC tag - это метаданные, которые могут быть нежелательтными. Тэг может помогать отличить настоящий пароль от некорректного. Меньше тэгов - меньше метаданных.

  2. Если чанком много и тэгов много, что при повреждении одного из чанков, противник видит какой чанк поврежден. Это создает еще одну утечку, что противоречит цели инструмента.

tird позволяет устанавливать фейковый тэг, таком образом, при шифровании случайных данных получаются новые случайные данные, и в таком случае противник не может определить какой ключ настоящий - верификация тэга всегда фейлится, и на выходе всегда рандом.

См также https://gist.github.com/hakavlad/5cbcb19e3916f7ac916427e3ed7e95bc