评论

基站控制系统·9月15日,2014年上午10:11

更新证书格式以允许使用多个不同哈希(和多个CA)的多个不同签名需要什么?

拉里·塞尔茨·9月15日,2014年上午10:29

sha-2与sha-1算法相同,但哈希值越大,IIRC SHA-256是目前真正使用的。所以我认为对沙一号的任何攻击都会奏效,理论上,对沙二号,但是需要更多的计算能力。我们离成功攻击SHA-256还有多远?

尼克P·9月15日,2014年上午11:02

@ BCS

我过去的方法是在同一个数据上使用多个哈希函数,然后把它们放在一起,切掉足够多的部分,使之适合空间。所以,如果MD5的空间是128位,我的可能使用sha-256和ripemd-160生成128位值。这里有理论上的安全风险,但我还没有看到对这种方案的实际攻击。我还混淆了特定于学期的秘密盐,迭代计算,和算法组合。这些和密钥可以从共享密钥生成密码。

基站控制系统·9月15日,2014年上午11:12

@Nick P。

建议是,通过允许多个签名,客户机可以搜索那些使用它所知道和信任的东西的人。有效的证书可以继续包括断开和断开的哈希和CA(以避免断开只能使用它们的客户机,这些客户机在更新之前都是sol,不管做什么),同时也包括那些老客户机不知道的安全哈希和CA。

检查所有签名的能力只是一个整洁的副作用。

彼得·皮尔森·9月15日,2014年上午11:25

如果,正如Eric Mill文章中的例子,您正在验证的证书可以追溯到一个comodo根证书,如果您依赖一个证书颁发机构,而该机构被发现将其密钥出租给一个草率的中介机构,而该中介机构将签署任何协议,那么您就不需要花费数百万美元来规避SHA-1的风险。关键词:2008年,艾迪尼格,舒适地,Certstar。

我们需要更好的浏览器工具,以适应证书颁发机构不称职的世界。

无尾目·9月15日,2014年上午11:37

值得注意的是,这个网站证书使用的是sha-1,虽然我没有发送任何敏感信息,所以这可能没什么大不了的。

无尾目·9月15日,2014上午11:52

@Larry苏打水

sha-1与sha-256有显著差异;sha-256具有较大的哈希和较大的状态,但更重要的是,SHA-256使用的操作要复杂得多(尽管SHA-256弹药较少,63而不是80,SHA-256在每一轮中的作用要大得多)。

就我个人而言,我宁愿用SHA-512,即使是像sha-512/256这样的截短版本;较大的内部状态可以提高安全性,即使您截断了散列(这也可以防止长度扩展攻击),还有更多的子弹(80发)。更重要的是,在64位处理器上,它比SHA-256快(尽管对于小于448位的消息可能不是这样)。

迈克aml·9月15日,2014年11:58我

@Peter Pearsonm,我同意。

虽然可以找到相关的SHA-1碰撞,这样会便宜很多

在浏览器列表中获取一个易受影响的CA。
欺骗CA颁发证书。
获取正版证书的私钥。相关的密钥必须在操作上使用。它们不在保险箱里。一些站点在纯文本文件中保留私钥。许多人把它们放在RAM中。
获取中间CA的私钥。

切换到sha-2不像锁定谷仓门,而是锁定谷仓的窗户,或者是天窗。

鲍勃S·9月15日,2014年下午12:08

本文指的是魔岛证书。这使我想知道科摩多是否可以信任以及其他发行当局。在我看来,一个自签名证书会更好……这些天。

无尾目·9月15日,2014年12:30 PM

@鲍勃S。

我以前在一家转售SSL证书的公司工作,我可以向你保证,对于我来说,为任何一个次要的网站获得证书都是微不足道的。这个模型本身是有缺陷的,因为在你的支票中有尽可能宽大的财务激励;你拒绝的人越多,收入越少。

在财政激励的基础上,他们正在为一个域颁发证书,但是对这个领域绝对没有权威意味着整个模型从一开始就是有缺陷的。假设证书颁发机构非常擅长验证真实性,以至于他们从来没有给不拥有该域名的人颁发过证书……好,这只验证在颁发证书时他们拥有域。

假设我是一个居住在一个不会以网络犯罪起诉我的国家的域名非法占有者。我有一家空壳公司我买域名是为了卖域名。我为我的蹲坐页面购买了SSL证书,然后当我出售该域时,我还把我已经拥有的证书和私钥捆绑在一起,然后卖给黑客。当他们发现并撤销我购买的证书时,我用新身份开办了一家新公司。

我为我的外壳公司拥有的域获得完全有效的证书,但是当我出售域时,攻击者可以使用旧的但显然完全有效的证书。

名称(需要)·9月15日,2014年下午12:58

[主题外,但人类的责任召唤

真相的时刻对于爱德华·斯诺登(50%的美国人不认为他只是美国的叛徒),朱利安阿桑奇,Kim网络公司,鲍勃阿姆斯特丹(Cdn。INT律师,捍卫金网络),主持人莱拉·哈雷。

回过头来,看着他们试图影响新西兰人的结果,充满乐趣,抱歉,新西兰的,当前的选举(他们甚至可能成功)。

特别地,听阿桑奇的陈述(开场白59:10)-这是整个“秀”的精髓所在。他解释了终极(可能是倒数第二个,真的)美国情报局的目标。

斯诺登的简介从59:10开始
阿桑奇的介绍开始于1:17:44
阿姆斯特丹的开场时间是1:37 . 20
dotcom的简短评论(对加密类型感兴趣)是在1:35:54。

链接到YT上的其他版本,以防上面那个坏了(是的,如果发生了什么事,那真是太可耻了:)…
https://www.youtube.com/watch?v=pbps1ewaw-0 t=1300
https://www.youtube.com/watch?V=A6ZBGI-J6RK
https://www.youtube.com/watch?V=Szgkfazyp5i

另一个彼得·9月15日,2014年19点

@彼得·皮尔逊

好的评论。

我与安全领域之外的数十名计算机专业人员一起工作,他们不知道证书流程是如何工作的。我们也不能期望普通消费者理解这一点。

克莱夫·罗宾逊·9月15日,2014年下午3:17

@彼得·皮尔森,

你忘了提,执行任何类型的有效性测试都需要花钱。

我最后一次看的时候,银行声称,为个人验证一个简单的银行账户所需的费用达到拟议反洗钱立法所要求的水平,将花费大约100美元。

因此,当您添加其他位和BOB用于管理广告和利润,而不是批量业务时,您将看到每张证书大约150美元……

因此,可以相当肯定地说,完成的检查级别不会比“收到付款OK”高多少……

所以我会说“自签”certs目前可能比花钱购买certs更值得信任,因为诈骗者不希望弹出对话框,警告他们的诈骗受害者。

我们需要另一个解决CA问题的方法,那可不容易“被安排好了”不管是骗子还是政府。

无尾目·9月15日,2014年下午3:33

@克莱夫·罗宾逊

正如我之前提到的,任何对该域没有权限的人都不应该为该域颁发证书。因此,唯一有意义的地方是在DNS中存储自签名证书,并用DNSSEC对其进行安全保护;这远非理想,但它远比我们今天拥有的要好。

另外,如果我们有DNSSEC,发布了一个新的互联网协议,并拥有与每个IP地址相关联的证书,这样也解决了问题(dnssec证明IP地址与域相关联,IP证书验证您是否连接到了正确的地址)。

现在,这就解决了一个问题:“我是否连接到该域的正确服务器?”它不能证明"这个网站值得信赖吗"为此,你能做的最好的就是在上面加上EV-SSL,证书仍存储在DNS中,并由DNSSEC保护。

贾斯汀的情况·9月15日,2014年下午5:34

所以现在窃窃私语的campiaign开始了…

我们需要一个新的散列,因为我们现有的散列几乎被破坏了!!

很快每个人,切换到新哈希,当你在那里的时候,为什么不考虑我们漂亮的新官方NIST [NSA]批准的哈希函数SHA3。

你,不用担心,因为它是在完全相同的“公开”和“公开”过程中选择的,国安局调查了所有候选人然后选择他们预选的“铃声”sha3,哪个奇迹,使用一些巧妙的矩阵变换(和大量的放弃手臂)就像AES(毫无疑问有后门-就像AES)。

国家安全局过去不太关心散列,但自那以后,它们就成为了一个高优先级的目标,因为伪造证书对他们在SSL上大规模的自动中间人攻击活动至关重要。

解决这个问题的方法很简单(如果有人关心的话),而且这个解决方案是通过采用安全带和吊带的方法,将互联网安全协议中“没有单一故障点”的简单概念编成代码。

对于加密,这意味着协议中有超级加密选项,散列,这意味着多哈希,对于RNG,这意味着XOR或哈希多个RNG。

这不是火箭科学,许多提供软件下载的网站已经采用了多哈希模式并提供MD5,沙哈还有Sha256散列的包装。

虽然在密码上有所妥协,MD5仍然增加了多哈希包的强度,因为内部结构的差异使得敌我双方几乎不可能开发回溯攻击,从而允许它们同时击败多个哈希算法。所以,MD5本身=坏主意…但是MD5 + SHA1,加上sha256=好主意。

不幸的是,当涉及到向我们的互联网协议添加超级加密和多哈希等功能时,“安全专家”社区的帮助比以前少了,坚持从一个崇高的“信息论”的角度来看密码是安全的还是不安全的,如果安全的话,那好吧,好吧,如果没有,嗯,一开始就不应该用它!

这听起来很合理,但忽略了在其他工程学科中建立良好的“无单点失效”原则。

在机电工程中,在风险很高,可以设计冗余的地方,它将在所以飞机有备用液压系统,备份APU的,备用导航仪器,备份收音机、等。

但在密码学领域,专家们对信息含糊其辞,理论原理证明,在安全密码的基础上超级加密一个安全密码毫无价值(因为密码已经是安全的),而在安全密码的基础上超级加密一个不安全密码显然是一件蠢事。

所以很明显,任何支持超级加密协议的人都是一个不了解基本密码原理的蛇油销售员。

这些反对超级加密协议的论点简直是愚蠢至极。

首先,很明显,在另一个不同的强密码之上的强密码的超级加密确实增加了价值,因为它防止了在某个组成密码中隐藏密码缺陷的情况下,加密系统出现单点安全故障。

第二个,如果正确选择和组合密码,这种组合将比任何一个组成部分都更强大。例如,当前在SSL中实现的RC4有一个小但可利用的偏见,而AES的内部状态相对较小,每个转换只有16个字节,以及可能的数学弱点[或有意的后门]——但是如果你用隐藏的IV加密AES,在RC4的超加密层下,这两个密码增强了彼此的性能。RC4的巨大内部状态(相当于超过1700位)使得基于数学的对AES的攻击不可行,而AES则随机“变白”RC4的输入,使其无法检测到攻击RC4所需的微小偏差。

第三,普遍关切普遍存在的普遍数据收集违反了国家安全局正在实施的法律,最近通过了Dual_EC_DRBG等加密功能,俄歇电子能谱,沙伊3通过加一个后门被密码破解;具有无关RNG的超级加密,搞砸,或者,一个正确构建的协议中的密码几乎肯定会把一把活动扳手扔进国家安全局精心构建的后门。这是因为,首先,很难创建一个隐藏在可见范围内的可利用弱点,并且用另一个强大的加密功能创建一个能够在超级加密中幸存下来的弱点可能是不可能的。

鉴于目前SSL协议中可用的密码组合,超级加密AES128-CBC(Hidden IV)->RC4(128位散列密钥)应该相当安全。因此,端到端的加密管道如下所示:

明文->AES-> AES->明文

从安全的角度来看,上述加密顺序和模式应该是最佳的,但即使是相对较弱的AES CCM计数器模式,应使用RC4分层固定。

这将使软件的速度和效率与AES256(硬件加速折扣)大致相同,但总体安全性要高得多。

汤姆·齐奇·9月15日,2014年下午6:11

@bcs

如果证书允许多个签名,这不仅仅是一个简单的副作用。它允许浏览器维护人员通过检查所有签名来实现快速修复。MD5断开,沙一号太破碎了但同时发现了碰撞二者都几乎可以肯定仍然不可行,而且在一段时间内仍将如此。

唉,我怀疑他们不允许多重签名;或者如果他们这样做,我怀疑大多数核证机关都不签发。所以我们仍然需要等待CA清理它们的行为(它们使用的哈希算法,以及他们通常草率的验证过程)。

汤姆·齐奇·9月15日,2014年下午6:13

成本估算基于Marc Stevens 2012年的攻击,这需要2六十散列。有人想赌国家安全局吗?世界上最先进、资金最充足的密码学组织,哪一个设计SHA-1有很强的动力去打破它,还没有想出更强大的未公开攻击?

无尾目·9月15日,2014年23点

我对沙二号没有那么怀疑,SHA-3,或AES,不过,我认为有一个新的竞争对手是个好主意。它应该包括国际政府,尤其是那些尊重公民隐私的人,和冰岛一样,但是那些在美国被激怒的人,比如巴西,以及致力于保护公众的私人组织,像EFF和ACLU。它应该准确地选择以下每一个(可能带有键/块/输出大小的参数):

块密码(我至少要达到256位块大小)
流密码
加密哈希函数
已验证的块密码加密模式
独立消息身份验证代码
键拉伸算法
密钥派生函数
非对称密钥交换算法
短暂的非对称密钥交换算法(如有必要)
非对称签名算法
具有熵集的伪随机数发生器

沿着那一边,应该有第二组比赛来设计密码协议和标准来取代SSL/TLS,PGP斯密姆PKCS,asn . 1,等。认为有必要;它们应该被分成小的,易于验证和重复使用的模块(例如一个通用的加密容器应该可以被pgp替换,更换钥匙保护,和SSL / TLS替换)。

汤姆·齐奇·9月15日,2014年56点

PGP指纹仅使用SHA-1。在通常情况下,这似乎是不可能利用的,其中,pgp用户生成自己的密钥;它似乎需要图像前攻击,而且还没有发表任何实际攻击。

谁能想到一种方法来使用SHA-1碰撞攻击PGP?

无尾目·9月15日,2014年7:24下午

@汤姆·齐奇

我唯一能想到的方法是:

你注意到$记者和$泄密者之间的沟通。
你截获了$reporter下载GPG时的连接
将GPG与修改后的版本交换,该版本使用了发生冲突的硬编码密钥。
你截取了$journalist给$leaker的信息,然后用$journalists密钥交换你的密钥。
然后,$Leaker向$ reporter发送使用您的PGP密钥加密的文档,其重击已通过另一个通道验证,哪一个$记者不能解密,但你可以
你在他们弄清楚发生了什么之前逮捕了$leaker

埃里克·米尔·9月15日,2014年7:44 PM

@Anura

在为他们购买证书后,你对销售域名的人有一个很好的认识。关注谷歌和Mozilla关于短期(2-3天)证书的提议。这里有一个讨论:https://groups.google.com/forum/!主题/mozilla.dev.security.policy/t11up58jkfc

我很喜欢这个主意,因为它本质上就像自动撤销而不需要计划,这意味着域名的所有权在最近几天内是有效的。还有性能优势(删除吊销信息)。使其对浏览器具有双重吸引力。

汤姆·齐奇·9月15日,2014年8:23点

@Anura

但是如果你能给$ reporter提供一个修改过的GPG,当然,有很多更容易的方法来利用它。例如,您可以将生成的可能密钥限制在一个足够小的集合中,以便进行搜索。然后你就有了$记者的秘密钥匙,你可以偷听或者进行单向的MITM攻击,不会有发现碰撞的麻烦。

尼克P·9月15日,2014年8:29点

@阿努拉

在我做接线员的时候,我会做一些类似的事情,但却用隐蔽的渠道来代替。您可以让系统将私钥写入文件或设备。它可能会先打开它,看看安全性是否会阻止它。此外,您可以通过隐蔽的计时通道将其泄漏给网络代理进程。代理可能是一个受影响的应用程序,甚至是您自己的应用程序。特权级,大多数系统安全方案不会阻塞(或检测)定时通道。我配置的机器,部分是通过刷新(或禁用)缓存显示了很快的原因:他们减慢了这么多,使解释Java快速查看。

无尾目·9月15日,2014年9:00 PM

@汤姆·齐奇

我发布的方法有利于防止记者接收泄露的数据。

然而,我应该注意到即使碰撞是可能的,这并不意味着你可以找到两个签名相同的公钥,因为增加碰撞概率的方法往往依赖于直接构造具有某些特性的输入,但是公钥必须从一个单独的秘密中派生出来。当然,它是一个公钥的事实并不意味着也没有一个修改过的方法来利用它。

多奇森·9月15日,2014年9:36 PM

Anura不需要替换IPv4/IPv6来将证书与每个IP地址关联。这可以通过将dnssec签名的记录附加到in-addr.arpa和ip6.arpa下的反向查找数据来完成。(RFC 4025为ipsec记录了这一点。)

透思·9月15日,2014年下午10:54

如果协议或浏览器制造商能够方便地部署未被破坏的替代非NIST/非TLA’ED算法,那么整个问题可以得到缓解。阻碍安全的是笨拙的部署和进行更改所需的麻烦。如果很容易改变算法或提供替代算法列表,比如一组不同类型的哈希表(RIPEMD,沙三Whirlpool…)和Crypto(twofish,蛇…)然后它使转换更容易。

无尾目·9月15日,2014年11:21 PM

@透特

责怪微软…自2006年以来,每个主流浏览器的最新版本都支持SHA-256,但在XP中,直到2008年SP3才在IE中获得SHA-256支持。所有低于xp sp1或sp2的用户只能使用sha-1。直到最近才有很多人使用SP3之前版本的WindowsXP,除了MD5和SHA-1之外,没有其他支持。标准无关紧要,是那些没有安装补丁的Windows机器的用户阻止了一切。

克莱夫·罗宾逊·9月16日,2014年3:12 AM

@托思,

关于,

如果协议或浏览器制造商能够方便地部署替代方案,整个问题可以减轻。未被破坏的算法。

我已经说过相当长的一段时间了——在这里,在其他博客上等等……NIST应该提出一个框架,不仅可以方便地替换密码引语,但对于协议也是如此。

我还提到,构建这样一个框架比进行主要竞争更重要,那就是你有时需要造一辆马车,你要把马放在前面……

我特别提到,在我们进一步研究植入式医疗设备之前,智能电表和最近的物联网。

历史上有人认为,只要植入式医疗设备和智能仪表计划投入使用(25年以上),原生质或原生质都不会持续。因此,我们可以合理地假设,我们当前的许多协议和主要活动将达到一个点,在这些嵌入式设备达到甚至接近其使用寿命结束之前,它们应该被替换。就我个人而言,如果我有“跳到我的心”我不希望在没有安全协议的情况下远程控制它的整个使用寿命…显然我并不是唯一一个这么想的人一个众所周知的“布什伙伴”在得到“专业建议”后,在他的坚持下,他的心脏辅助装置安装了遥控器。来自对美国总统生活负责的同一个人。

如果你仔细想想,大多数人都会意识到,尽管他们的嵌入式设备的前期成本可能会小幅增加,下游成本的节省将是巨大的。所以,有这样一个框架,实际上是行业的长远利益。

无尾目·9月16日,2014年5:47我

@克莱夫·罗宾逊

我讨论过类似的事情,尽管我的主要目标是简单和可验证性。其思想是定义一组接口,然后模块符合这个接口。现在您的代码可以分解为这些模块并分别进行验证。对于程序员来说,想想接口和依赖注入——这是我们所做的,通过抽象出细节,使单元测试明显更容易。TLS协议是100页,很复杂,相反,这应该是您的TLS协议替换:

1)客户端发送init请求
2)服务器选择一个已签名的文档模块,并使用它发送其密钥和支持的模块列表。
3)客户端选择首选模块,并使用一次通过加密模块发送它。
4)服务器调用握手模块与客户端交换密钥
5)客户端和服务器使用经过身份验证的加密模块传输数据

就是这样,没有别的了,这就是您的整个tls替换规范。签名文档模块,一次通过加密模块(一次通过我的意思是你可以生成一个密钥并发送而不需要来回,基本上和PGP一样,握手模块,认证的加密模块都可以用于其他目的。其理念是每个规格不应超过5-10页,小于或者不超过1000行代码,完全可以独立验证。事实上,您可以轻松地切换算法,这只是一个额外的好处。

无尾目·9月16日,2014年5:50 AM

我要澄清的是,通过独立核实,我不是说可以由第三方验证(这取决于其他因素),我的意思是每个模块都可以独立于调用它或它调用的任何模块进行验证,因为它有定义良好的接口,它只需要验证它是否正确地处理接口。

汤姆·齐奇·9月16日,2014年8:25 AM

所以,布鲁斯我想你很快就要升级你自己的网站了吧?(当然,这在实践中并没有太大的意义,直到上游的CA,了。但要考虑先例!“即使是著名的安全专家布鲁斯·施奈尔(Bruce Schneier)也没有升级,我们为什么还要升级?”)

戴夫·9月16日,2014十点

这就是谷歌散布谣言让我恼火的地方。你不需要破坏sha-1尽管谷歌博客评论说它“脆弱得危险”,仍然比他们暗示的要强大得多)。如果我想签署我的恶意软件或建立一个安全的SSL钓鱼网站,我去一家商业CA,用偷来的信用卡买了一张假证书,正如恶意软件作者和钓鱼者多年来所做的那样。我的总成本,约等于零。所以CAs是否使用SHA-256并不重要,SHA-1,MD5,甚至是完全破碎的(真的,不是谷歌使用md4这个词的方式,从商业ca很容易获得真正的伪证书,因此不值得攻击这个散列。说“SHA-1必须离开,没有人把它当回事当罪犯购买他们的恶意软件/网络钓鱼证书时,不管他们使用的是sha-1还是sha-256(或md5,或CRC32)。不是说sha-1不需要升级(是的,及时)与其他问题相比,这是一个很小的问题,比如中国科学院或多或少完全没有责任感,这只是分散人们对真正问题的注意力。

没有人@localhost·9月16日,2014年12:34下午

强制过渡到sha-2是很好的。但在边缘,是一些非常令人不安的讨论。

平均2-3天有效期的短期certs任何SSL网站都可以在2-3天内从互联网上删除由CA卡特尔。考虑一下,如果一个政治上不方便的网站在热爱自由的埃尔博尼亚有物理服务器,并且在elbonian cctld中以主机名而广为人知。但没有人“信任”所有主要的浏览器都只在埃尔博尼亚做生意。撤销列表并不总是被检查,但到期时间是。

关键词是身份,关键问题是身份控制作为一个战略问题。非常方便的混淆是由于过于注重战术问题而导致的,有明显的解决方案,如散列算法,网络关键旋转,等。(主要参与者忽略或拖累最佳解决方案)。

这里的聪明人,请填空。(我可能会放长一点…但我不喜欢长的职位。)聪明的人也提到“认证”不重要。有了CRC32,当TLA和罪犯(多余的术语)如此容易地得到“有效”时证书受主要浏览器CA包中的某个信任根信任。现在进入下一个阶段!

没有人@localhost·9月16日,2014年12:47 PM

@戴夫,哈哈。我在发我的帖子之前,真的浏览了一下你的帖子。我想我最好用CRC32来说明夸张。干杯!

此消息使用多个非常强的哈希值隐藏签名(但是我对密钥的所有权是经过“认证”的)。由美国国家安全局通过其人力资产或地下室操作的受损计算机,CA在世界某个地方的经销商)。

对不起,所有的双邮。我责怪国家安全局。

克里斯·艾布特·9月16日,2014年8:30下午

@Anura

我喜欢另一场比赛的想法,在事情上保持领先。不过,我有一个问题:

我们真的需要流密码吗?

似乎它们本质上比分组密码更不安全,在我看来,您可以对任何使用流密码的内容使用分组密码…

尼克P·9月16日,2014年8:53下午

@克里斯

他们不需要填充物,需要静脉注射,或者像分组密码一样工作都很好。用起来更简单,把数据分成小块,并赋予我们密码的多样性。它们通常很快,也。埃斯特里姆给了我们很多玩具,包括硬件优化。nacl中的salsa20可能是最好的实现。我经常在多密码设计中使用它们来包装结构化数据,让它看起来很随意。然后输入一个或多个分组密码。我也把它们当作CRNG的,加密OTP的,在极少数情况下,以一种强有力的(尽管不是信息理论上安全的)方式扩展OTP的剩余部分。

无尾目·9月16日,2014年9:08点

@尼克·P

小心点,流密码绝对需要IVS。然而,我基本同意你写的。事实上,现在我们正以ctr模式移动到分组密码;最近有人利用填料处理不当的优势进行开发,明智的做法是找到一个没有这些问题的方法。流密码比块密码有明显的优势,因为它们可以有任意的状态,并且允许重复输出;分组密码,另一方面,有一个由块大小决定的周期,在足够多的输出失败后,随机Oracle模型将因为它们不能重复而失败。

流密码本身没有什么不安全的地方,它们不是简单的密码分析,这是一把双刃剑。也就是说,我认为像Keccak这样的海绵功能在这方面很有趣;它可以作为一个具有熵聚集的PRNG函数,散列,流密码,、KDF允许潜在的一种算法用于许多不同的事情。

尼克P·9月16日,2014年9:19 PM

@阿努拉

哎呀,我的记忆力有问题。谢谢你的好意。是啊,还有额外的风险。它可以通过将快速流密码与快速块密码相结合来减轻,第二次使用分组密码,正如我上面所做的。减轻了这一点。keccak函数非常有趣,因为它是如此多用途的。扎实的工作。

无尾目·9月16日,2014年九29点

对不起的,我在家里病了,整天都在喝热的酒(就像我还病着一样,但太醉了,我不在乎),但我还是抓住了。不允许任何借口。

克里斯·艾布特·9月17日,2014年2:30 AM

@ Nick

我知道流密码更快,也听过各种关于Salsa20的妙语。这可能让我听起来像一个完全愚蠢的人,但是,我曾经玩弄过不需要填充的东西,因为一旦输出量与输入量匹配(比如流密码),它就会停止生成输出。例如,你会有未知数量的数据在实时之间来回移动,使流密码看起来合适,您可以在所有操作停止之前/之后有一个缓冲区,而不需要填充。在我看来,只要“停止一切”,你就可以用CBC代替CTR。为了不需要填充,因此避免了问题。

@Anura

我可以回忆起野兽袭击迫使人们回到中世纪的RC4从AES-CBC为网络服务器。这不是跟衬垫有关吗?我不记得了。我似乎还记得布鲁斯的斯金能够作为散列和流密码。

克莱夫·罗宾逊·9月17日,2014年是3:52

@无尾目动物,

记住“一个人的肉是另一个人的毒”…

第四个术语的问题是它曾经有一个非常具体和有限的含义,现在它已经扩大了很多。虽然其他加密术语(如美白)也存在同样的问题,一些人,如nonce,被实施者认为具有更广泛的意义,比实际情况更糟,因此实现中出现了不安全。

早在许多月前,流密码的起始点——至少在水坑的英国一侧——被简单地称为消息起始位置,并且被认为主要是不相关的,当它与键盘分离时,实际上反馈作用于SR和非线性逻辑或映射函数。这是因为军方习惯于在永久传输链路上使用自同步流密码来阻止流量分析问题。

那些日子以来流密码设计突飞猛进,“理论上”一些流密码(如rc4)基于混合函数,而不是移位寄存器或计数器没有IV。

克莱夫·罗宾逊·9月17日,2014年4:14 AM

@克里斯•阿伯特

理论上所有的杂凑,块密码和流密码,可以互相使用。但在实践中并不总是那么简单。

简单的例子是散列函数,它可以放在一个Fiestel轮,把它变成一个分组密码,或者由计数器或反馈循环驱动,将其转换为流密码。

虽然将块密码转换为流密码通常比较简单,把它们转换成适合哈希的单向函数并不是那么简单…同样,将流密码转换为块密码或散列密码通常并不简单。

迈克~阿克·9月17日,2014年7:10 AM

关键在于用户/客户的参与:让我们使用我们的PGP副本来签署那些我们已经验证并决定信任的X.509证书。这将大大减少攻击面。

客户参与:客户和提供者需要了解这里涉及的内容:我应该能够在本地信用社停一下,获得与信任证书相对应的公钥。

通过网络自动发送这些东西是行不通的:这个过程会被黑客入侵。客户需要亲自停下来取钥匙。

发表评论

允许的HTML:····

布鲁斯·施耐尔的照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM有弹性