Немного из истории сквозного шифрования

В четверг на сайте SlashDot.org было опубликовано сообщение о том, что в популярной криптографической программе PGP (Pretty Good Privacy) нашли «дыру». Используя ее, можно создать модифицированную версию чьего-либо публичного ключа, после распространения которой криптованные письма сможет расшифровать как получатель, так и третьи лица.

В 1997 году Network Associates, компания, создавшая PGP, под определенным нажимом правительственных кругов вступила в Key Recovery Alliance, международную организацию, занимающуюся вопросами доступа третьих лиц к шифрованной информации. После этого в программу PGP была встроена возможность добавлять к публичному ключу дополнительный дешифрующий ключ (Additional Decryption Key – ADK). Программа автоматически использует для шифрования как обычный публичный ключ, так и ADK.

Теперь эксперты обнаружили, что некоторые версии PGP позволяют заинтересованным третьим лицам проделывать следующее. Можно взять чей-то публичный ключ PGP и вставить в него ADK таким образом, что этого никто не заметит, если не сверит полученный из сомнительных источников ключ с оригиналом или если не пересчитает в нем все байты. После чего лицо, подделавшее ключ, сможет читать зашифрованную модифицированным PGP-ключом переписку.

Вы очень сильно не догоняет.

Размещено через приложение ЯПлакалъ

я вообще не врубаюсь где у тебя не срослась и чего ты от меня хочешь.

при длине ключа в 256 б. никто не мешает напечатать его и отправить почтой собеседнику
и да, бред конечно, но вполне выполнимо.

забивать ключ с бумажного носителя в комп, это та ещё жесть,
но сути это не меняет - с тех пор ничего не изменилось: ключи всё так же отправляются и используются для шифрования.

t.me›fotchnl/213

Даже PGP давно уже дырявый, если кто не знал. Там концептуальная дыра внедрена на уровне математики, после того как Филипп Циммерман договорился с ФБР и АНБ..

Additional decryption key (ADK) — это ключ, который обычно используется сотрудниками службы безопасности организации для расшифровки сообщений, отправленных или полученных сотрудниками внутри организации.

Это сообщение отредактировал kolbanadduv - 28.08.2024 - 22:06

вот именно поэтому теперь постоянно проводятся независимые аудиты кода,
чтобы не допустить бэкдоров

выводы сделали,
из того что было создали форки и теперь тщательно следят за вносимыми комитами в код.

Это сообщение отредактировал Aberrant - 28.08.2024 - 22:08

проблема в том, что кроме открытых и безопасных инструментов вроде OpenGPG,
повсеместно используют и другие инструменты с закрытым кодом - что там внутри никто не знает,
приходится верить на слово.

это касается и средств шифрования в windows,
и приложений вроде вацапа и пр. телеграмов

А, вы про эти ключи... Да нахуя там сложность? Достаточно статического кода в несколько бит, чтобы первый попавшийся ключ не подошел - и хватит. Дверь в подъезд открывается и без домофона достаточно легко. Незачем там усложнять.

или у них аппетиты были несколько скромнее, чем расшифровывать шифрованное на лету..

У меня не срослось? Я хочу у тебя уточнить, как можно передать ключ, повторюсь при помощи дискет и тем более бумаги?

Очкую
DennyJey

"люди никому не нужны" и "их никто не читает" - абсолютно независимые вещи!
Почему-то 99% людей уверены что это одно и то же.
Вот ПРИЗМА (или 5 глаз) - интересная система.

kolbanadduv

Что-то в этой фразе вызывает у меня улыбку...

А что за дыра-то?

Ну так это не вопрос алгоритма, а вопрос подмены ключа. Ничего страшного в этом нет. Если следить, что ключ подлинный, то и шифрование остается надежным.

Я с любовницей в Одногласниках общаюсь... И пох....

Aberrant

Что говорить о PGP-GPG, когда в ядро вкорячивают бэкдоры и это проходит ВСЕ аудиты, включая "смотрящих" за кодом ядра!
Лично я был поражён, когда об этом узнал.

ничего не понять что именно является ключом как и чо/кто кому этот ключ передает. начать надо со спарты ну или с Гая Юлия Цезаря. в крации ключ
к шифру гая это "3", тоесь сдвиг алфовита на три позиции вправо/лево ми дешифруем исзходное.

RA2FDR
Абстрактно, любой ключ можно скоммуниздить даже когда "всё честно, стойко и чисто".
Вот тут уже вопрос, кому и насколько интересен конкретная личность.

что и как кто сдвигает в шипрах мессенгеров автор почему то не написал, но зато мы знаем про pgp/ ну и ладушки...

распечатать и отправить.

в чём проблема?
ты никогда не видел распечатанные ключи?

с дискетой ещё проще.


"ключ", это просто текстовая последовательность из символов.
сложность определяет только длина ключа,
а криптостойкость определяется методом генерации ключа - если используется алгоритм, который допускает зависимости в последовательности, т.е. всевдо-случайность, то такой ключ можно скомпрометировать

между 2 собеседниками есть передаст
ты отправил пиццу, передаст ее сожрал
и насрал в коробку, а ты подумал что так и надо
и жрешь что прислали...

Ты мне сука мозг свернул а слова то понимаю

Размещено через приложение ЯПлакалъ

Где берёза? - Чешет макаку на дереве.©

И хоть усритесь своими доступами к ключам или ключами к доступу или бэкдорами.

занятно... а ведь у цезаря его треху так никто и не спер... все срожения он выиграл, всех победил, шифруя свои военные указы сдвиганием алфовита всего на три буквы... гений однозначно своего времени... а енигму злополучную, то спиздили то взломали, то потеряли...

Охуенный шифровальщик, кто в теме тот пользуется. Как пример, с ним в любой почте друг другу можно что угодно писать, тов. майор не даст соврать.

Очень интересно, Паша, нахуя ты к жабоедам подался? Подтирай жопу их паспортом и вали оттуда галопом.

Размещено через приложение ЯПлакалъ

на сеге (кажется) была игра - гонки на мотоциклах.
и там было некое подобие сейвгеймов.

тебе демонстрировался некий "код", а точнее последовательность цифр и букв,
которая отвечала, в том числе и за количество бабла на счёте (на бабло можно было улучшать свой мотоцикл)

я наигрался очень быстро, ибо очень меня заинтересовали эти последовательности.

оставалось только найти закономерность - быстро выяснил какие позиции этого кода меняются при изменении бабла на счёте (делаешь сейв, покупаешь что-то, делаешь ещё сейв и сравниваешь)

ну и дальше дело техники - выяснить какой символ на сколько и в какую сторону сдвигать.

блять. лучше бы я этого не делал - сразу 100500 мильёнов себе накрутил и играть стало не интересно

Паша, там пиарщик.
засветиться где-то, это означает на какое-то время поднять уровень цитируемости в СМИ, а значит привлечь новых пользователей, рекламодателей и инвесторов в телегу.

новая реальность: хочешь жить - умей еблом торговать!