Аппаратное AES шифрование, на деле оказалось простым XOR

видать, к дедлайну пива не подвезли

бугога. даешь самопальные шифры и ключи прошитые по кускам на старые схемки биосов!

А что, находятся люди, которые считают, что XOR - это глобально и надёжно.

Идиоты. Ну кто ж голый ксор делает-то, а? Это даже не детский сад... Ксорка парой счётчиков и прочие обратимые манипуляции и "эксперты" такой "ксор" разгадывать задолбались бы. Когда такой примитив делается в софте это опасно, т.к. софт можно разобрать отладчиком. Чем вы будете разбирать алгоритм зашитый в микросхему, мне непонятно.

Один из здешних завсегдатаев тоже кричал что вскроет такой алгоритм, в итоге позорно обломался...

>Ксорка парой счётчиков и прочие обратимые манипуляции и "эксперты" такой "ксор" разгадывать задолбались бы.

Идиот здесь ты. Иди читай про криптоанализ.

> Иди читай про криптоанализ.

Мне достаточно публичного признания не скажу кого в толксах ;)

Проблема не в том что сделали голый ксор, а в том что вообще так сделали.

Нехилая "оптимизация" =) Интересно, это они для спецслужб лазейку оставили или просто на электронике сэкономили?

>Ксорка парой счётчиков и прочие обратимые манипуляции и "эксперты" такой "ксор" разгадывать задолбались бы.

Это мягко говоря не так. Определить алгоритм шифровки относительно легко.

> Проблема не в том что сделали голый ксор, а в том что вообще так сделали.

Не соглашусь ни разу. Как раз зашитый в железо алгоритм это единственное место, где такие вещи хоть как-то уместны. Я говорю, допиши разработчики железки к ксорке 5-6 строчек кода и эксперты бы "писю лямзили" очень долго. В виду ширпотребности железки я думаю помыкались бы с попытками записать гигабайт нулей на такой хард, увидели что ксорка нихрена не повторяется и забили на это дело.

> Определить алгоритм шифровки относительно легко.

Ну что ж ваш коллега-то не вскрыл? Я ему под конец и так намекал, и эдак - не осилил. Хотя вроде какой-то там программер.

>Это мягко говоря не так. Определить алгоритм шифровки относительно легко.

А если ключ шифровки уже включён в алгоритм?

> А если ключ шифровки уже включён в алгоритм?

Если просто ксорка ключом, то прогоняем через алгоритм мегабайт нулей и поулчаем на выходе повторяемый тысячи раз голый ключ. Что и имеет место быть в первом сообщении.

А вот как из любых данных и ключа без лишних сущностей однозначно нагенерить неповторяемый поток байтов, это домашнее задание для наших маленьких краноглазых читателей.

> Это мягко говоря не так. Определить алгоритм шифровки относительно легко.

если он известен :-) пишешь на коленке какое-нибудь простенькое гаммирование с приемлемым распределением "на глазок" -- и хрен кто его взломает. взять тот же rc4 -- что может быть проще? а ты поди взломай..

> А вот как из любых данных и ключа без лишних сущностей однозначно нагенерить неповторяемый поток байтов, это домашнее задание для наших маленьких краноглазых читателей.

гыгы :-) игрались, делали :-)

> Не соглашусь ни разу...

И все же проблема не в том что они сделали голый ксор, а что они (производители) всех считают быдлом, которые съедят все, что им дадут.

>производители всех считают быдлом, которые съедят все, что им дадут.

А разве это не так?

> Не соглашусь ни разу. Как раз зашитый в железо алгоритм это единственное место, где такие вещи хоть как-то уместны. Я говорю, допиши разработчики железки к ксорке 5-6 строчек кода и эксперты бы "писю лямзили" очень долго.

Очень недолго уверяю тебя. Хорошего статистического распределения всё равно бы не получилось.

Можно попытаться сжать результат шифрования каким-нибудь упаковщиком. Необходимо, чтобы результат сжатия был не меньше чем размер исходного текста. Это очень грубый и простой тест на статистическую равномерность распределения результата шифрования, тем не менее, сразу отсеивающий большинство некачественных доморощенных выдумок. Твои пять строчек кода здесь не помогли бы.

С ксором и так всё ясно, я не про него. Я про то, что в общем случае, если у человека имеется исходное сообщение и зашифрованное, он не сможет определить алгоритм шифрования, потому что ключ в таком случае можно считать частью алгоритма.

>Как раз зашитый в железо алгоритм это единственное место, где такие вещи хоть как-то уместны.

Железку тоже можно разобрать при большом желании. :)

> Я про то, что в общем случае, если у человека имеется исходное сообщение и зашифрованное, он не сможет определить алгоритм шифрования, потому что ключ в таком случае можно считать частью алгоритма.

Для этого алгоритм, как минимум, не должен позволять узнать ключ, иначе чем методом полного перебора. В мире совсем немного таких алгоритмов.

>Для этого алгоритм, как минимум, не должен позволять узнать ключ, иначе чем методом полного перебора. В мире совсем немного таких алгоритмов.

Cуществующие немногие алгоритмы можно чуть-чуть поменять так, чтобы все свойства сохранились, но шифр был другой.

> Cуществующие немногие алгоритмы можно чуть-чуть поменять так, чтобы все свойства сохранились,

Извини, но такое заявление вызывает улыбку. Да можно осторожно поменять, если ты математик, неплохо разбирающийся в проблеме. Если же действовать без чёткого понимания математики изменений, то можно очень легко испортить криптостойкость.

Но даже после изменения это будет _модификация_ алгоритма, целый ряд родовых, так сказать признаков останутся теми же. Криптоаналитики, не зря свой хлеб едят.

Короче это я к тому, что выдумать действительно хороший криптоалгоритм непросто и неслучайно их не слишком много, меньше чем систем шифрования.

>Извини, но такое заявление вызывает улыбку. Да можно осторожно поменять, если ты математик, неплохо разбирающийся в проблеме. Если же действовать без чёткого понимания математики изменений, то можно очень легко испортить криптостойкость.

>Но даже после изменения это будет _модификация_ алгоритма, целый ряд родовых, так сказать признаков останутся теми же. Криптоаналитики, не зря свой хлеб едят.

Дык модификации разные бывают. :)

Можно ещё в цепочку объединить два стойких алгоритма много раз: берём первый бит ключа, если 0 - шифруем первым алгоритмом с данным ключом, если 1 - вторым алгоритмом. Берём следующий бит ключа, если 0 - шифруем результат предыдущего шага первым алгоритмом, если 1 - вторым алгоритмом. И так далее столько раз, сколько бит в ключе. Удачи угадать, в какой последовательности они были применены.

Чулавек, xor в сабже делали не от нефиг делать, а для экономии на железках. Кто тебе твои хитромудрые алогоритмы в железе кодировать будет? Разве что наноиндусов со счётами на плате разместят.

> Удачи угадать, в какой последовательности они были применены.

Я не криптоаналитик, но знаю, что для конкретных алгоритмов результат работы может оказаться неожиданным, вплоть до тривиального. Это я усвоил чётко, все подобные вещи требуют математического обоснования, кажущейся сложности недостаточно.

> Чулавек, xor в сабже делали не от нефиг делать, а для экономии на железках.

А о том, что это не XOR, a AES заявляли чисто для приколу.

Я о том, что нельзя _ничего_ менять ни в криптоалгоритме, ни в способе его применения без точного математического анализа.

> А вот как из любых данных и ключа без лишних сущностей однозначно нагенерить неповторяемый поток байтов, это домашнее задание для наших маленьких краноглазых читателей.

>гыгы :-) игрались, делали :-)

Ага, в толксах обсуждали. Мы там даже слово "жопа" нашли.

> Чулавек, xor в сабже делали не от нефиг делать, а для экономии на железках.

Там всё равно не мелкая логика стоит а контроллер какой-нибудь. Уж прокрутить 2 счётчика и поксорить всё это по очереди десятком параметров харда... Один конкретный девайс так можно взломать (хотя и не узнав при этом всех деталей алгоритма). На другом будет отличаться как минимум серийник харда, всякие сектора-цилиндры... В каком порядке они берутся для ксорки, и берутся ли вообще, ты не знаешь. В итоге кажущаяся лёгкая ломаемость идёт лесом.

> пишешь на коленке какое-нибудь простенькое гаммирование с приемлемым распределением "на глазок" -- и хрен кто его взломает.

ну, вот мне доводилось в такой ситуации выступать криптоаналититком. взломали.

капча: chaefs

Не позорь анонимусов, говнокриптограф.

Заявлено AES. Шифруем наши данные подозрительной железкой и эталонной открытой программой, результаты сравниваем. Расходятся. Фтопку.

Типичный случай надувательства клиентов проприетарщиками. Вспоминается история с быдло-Adobe и Скляровым. Тут ещё ни на кого в суд не подали по DMCA "за незаконное исследование чужих методов защиты информации".

> ну, вот мне доводилось в такой ситуации выступать криптоаналититком. взломали.

могу вечером выложить файл пропущенный через усовершенственную ксорку. не вскроешь - будешь треплом. после признания тебя треплом выложу в всеобщий доступ саму криптовалку, её исходник и пароль.

> могу вечером выложить файл пропущенный через усовершенственную ксорку.

я думаю, что это не будет корректным экспериментом. Как минимум ты ему должен будешь предоставить саму криптовалку или интерфейс к ней, а так же критерий проверки правильности расшифровки.

> Как минимум ты ему должен будешь предоставить саму криптовалку или интерфейс к ней

Тогда её можно будет разобрать дизасмом, а это уже читерство. Зашитый в микросхему алгоритм ты чем разбирать будешь?

> а так же критерий проверки правильности расшифровки

А никакого критерия. Только попробовать открыть. Формат будет человеческий, без малоизвестных экзотических архиваторов с паролем и прочего читерства.

Чексуммы и прочие средства быстрой проверки правильно/неправлиьно не делаются сознательно, это создаёт соблазм вскрыть брутфорсом.

Давайте лучше по-честному: выкладывем исходники шифровалки, контрольную сумму зашифрованного текста, первые слова зашифрованного текста будут "TOP SECRET".

Я думаю мой aes победит ;)

> Давайте лучше по-честному: выкладывем исходники шифровалки, контрольную сумму зашифрованного текста, первые слова зашифрованного текста будут "TOP SECRET".

Ишь ты какой хитрый. :) Теряется весь прикол показать, что "детский" ксор тоже можно сделать невскрываемым, причём при вполне человеческой длине пароля. Если открыть исходник заранее то затея пойдёт лесом, это понятно.

А так - зашифрованный извращённой ксоркой файл распространённого формата могу предоставить хоть сегодня.

Если ещё и бинарник шифровалки выкладывать, то придётся почесать тыковку чтобы по недосмотру его не вскрыли файлом и паролем из одних нулей.

> Если ещё и бинарник шифровалки выкладывать...

Может как вариант давать не бинарник, а сделать через web-cgi?

Насчет запрещения использовать свой пароль, спорный момент. Ведь на железке можно задавать свой пароль. Хотя возможно просто сделать два варианта один с фиксированным паролем тайным, другой с возможностью задания пароля.

Хотя конечно тоже вариант, что попытаются взломать веб сервер, что бы унести прогу.

Да и сделать "соревнование" открытым, что бы любой желающий мог попробовать.

>А что, находятся люди, которые считают, что XOR - это глобально и надёжно.

Зависит от того, что с чем xorить. Сам XOR надёжен как танк.