RUH8

2021-01-19 15:58:49 "Новый регуляторный орган должен защищать права пользователей в интернете, иметь полномочия и возможности внедрять свои решения относительно блокирования и удаления контента" Рагуляйтеров им, пидорам, мало. Как и везде гнусные хуепидрильные опездолы из минцифры, решили под пандемичный шумок прикрутить эти наши интернетики. Ссыте на них, бейте их ногами по наглому выскубленному ебалу, унижайте в собственном доме. А что сделать с тупой пиздой Гульсаной Мамедиевой подсказывает контекстная реклама, только вариантов маловато. Из неё получилась бы пиздатая пиньята. Открыть/Комментировать

2021-01-18 12:22:40 Раз уж я в понедельник утром вспомнил про RC4, то есть еще одна занятная штука. Двадцать лет назад равноапостольный гуру криптографии Брюс Шнайер придумал современный шифр Solitaire, который не требует ничего кроме ручки, бумаги и колоды карт. Собственно, похожими средствами людям приходилось обходиться тысячи лет, и многие, из-за недостатка воображения, поплатились за свои криптологические опыты головой. Как известно, каждый может придумать шифр, который сам не сможет взломать. Взрослые дяди и тёти редко уделяют внимание таким штукам, но так как автор Шнайер и шифр описан в Криптономиконе, то его испытывали на прочность, и да, в нем нашлись уязвимости. Пару дней назад у меня спросили, что я думаю о LC4, еще одна попытка в области "низко-технологичных" шифров, и что будет, если увеличить размер внутреннего состояния?

Алан Каминский, автор шифра, попытался упростить RC4 до "бумажного" вида и исправить несколько известных уязвимостей. Сильный перекос в начальных байтах ключевого потока и отсутствие аутентификации. "Бумажным" шифр можно назвать довольно условно, потому что фаза генерации ключа отсутствует, и вам придётся изрядно потрудиться, чтобы выбрать начальную перестановку случайно и равномерно, и при этом не накосячить. RC4 до сих пор иногда используется, как тяжкое наследие, и чтобы избавиться от уязвимых начальных последовательностей его "проматывают" вперёд на пару сотен байт, а Алан использует шестибуквенные nonces (передаются вместе с шифротекстом в открытом виде). Так же nonces защищают от повторного использования ключа. И, чтобы жизнь медом не казалась, в состояние непрерывно "домешивается" открытый текст. Называется автоключ, и если мне не изменяет память, впервые такой фокус использовал Виженер (то что сейчас называется "Виженером" - упрощенная версия). Не смотря на то, что это значительно усложняет расшифровку, люди очень долго не хотели пользоваться шифрами с обратной связью из-за того, что ошибка в одном символе превращает весь последующий текст в мусор.

На первый взгляд шифр выглядит неплохо. В случае идеальной PRP-функции можно расчитывать на 36! вариантов (~ 2^138, даже все вычисления, проведенные всеми майнерами биткоина и близко не могут подойти к подобному числу). Однако, именно потому что сообщение смешивается с внутренним состоянием, возможна plaintext-атака. Если у нас есть открытое и зашифрованное сообщение, то можно попытаться восстановить внутреннее состояние. Автор шифра оценил сложность атаки в 2^58, что всего в четыре раза больше, чем урезанный DES. "Взрослый" шифр уже отправился бы на помойку. Но, где взять открытый текст, если шифрование проводится вручную? (если вы не Никсон и у вас нет бригады "водопроводчиков") Тут как раз и пригодятся nonces. Закрыли две известные атаки, но открыли возможность для третьей. Но для "бумажного" шифра с короткими сообщениями всё, ну, какбы, приемлемо, хотя уже хуже, чем в "Пасьянсе". Как оценить стойкость, не сильно выжигая себе мозг? На статистических тестах шифр ведёт себя прилично. А давайте, просто превратим его в псевдослучайный генератор и посмотрим, что он нам выдаст? 138 бит состояния - не хухры-мухры. И вот тут сразу становятся видны короткие циклы (вплоть до нескольких десятков символов), в которые шифр сваливается с пугающей скоростью. Именно благодаря петле обратной связи. Хорошая попытка, автору респект и уважуха, но нет.

Я это к чему. Если у вас где-то завалялся RC4 - выкиньте его нахуй, и не пытайтесь изобретать велосипеды с квадратными колесами. Таких попыток было много и ошибаются чуть менее, чем все. Открыть/Комментировать

2021-01-18 11:14:10 Иногда по нескольку раз возвращаюсь к какой-нибудь теме, даже самой пустяковой, потому что меня что-то беспокоит. В этот раз вспомнил об испорченном RC4 в Black Energy (та самая мальварь, которой валили электро-подстанции). Я напомню, что RC4 - потоковый шифр. Его внутреннее состояние - перестановка (задаваемая ключом) чисел от 0 до 255. for i in 0 .. 255: S[i] = i; for i in 0 .. 255: j = j + s[i] + k[i % keylen], swap(s[i], s[j]) Внутреннее состояние S, потом используется как генератор псевдослучайной последовательности: i++, j += s[i], swap(s[i], s[j]), return s[s[i] + s[j]]

У RC4 есть неприятная особенность - bias (перекос) во втором байте (и не только). Но во втором байте ноль встречается в два раза чаще, чем остальные значения. Кстати, если использовать алгоритм Фишера-Йейтса на полноразмерном двухкилобитном ключе или полностью случайную перестановку bias сохраняется. Что делает возможным целый ряд атак. Включая атаки на TLS и WPA. И хотя, соблюдая определенные меры предосторожности, из RC4 можно выжать капельку безопасности, делать этого не стоит.

RC4 уже сломан, он был сломан на следующий день после публикации реверса в cypherpunks, но по-прежнему завораживает кодеров своей простотой. Попытки изменить PRG приводят к тому, что новые фичи маскируют проблему, а не устраняют её полностью. Как сказал Мэт Грин, если вы будете бегать с ножницами вокруг бассейна, то может вы и не выколете себе глаз, но все-равно стоит напомнить о том, что беготня с ножницами не благословляется.

В Black Energy 2 генерация ключа испорчена весьма своеобразным способом. S[i] = i ⊕ key[i % keylen]. И я был немного невнимателен. Если бы эти "гении" использовали однобайтовый ключ, то i ⊕ const, выдал бы новую перестановку, похожий фокус вместе с циклической группой, afair, как-то использовал Mental Driller для псевдо-случайного (но при этом однократного) доступа к памяти в полиморфном расшифровщике. Смесь LCG и перестановки (для увеличения количества вариантов, не для "безопасности"). Но в BE ключ длинный. Я обратил внимание на то, что энтропия PRG упала, а все еще смешнее.

Сохранился и оригинальный bias во втором байте, и, что еще занятнее, состояние перестало быть перестановкой и мало того, что появились дополнительные перекосы, ослабляя шифр, так еще и нулевые байты в S, приводят к тому, что изрядная часть открытого текста остается незашифрованной, что вместе с key reuse (на это не обратил внимание только ленивый) приведёт к тому, что можно фигачить сигнатуры сразу на траффик.

В очередной раз, с грустью вынужден отметить, что высокое искусство вирусописательства в упадке. Люди, которые атакуют SCADA и занимаются международным терроризмом не в состоянии разобраться в том, как работает один из самых простых потоковых шифров и как правильно им пользоваться. Однако, если вместо Джеймса Бонда к вам вломился медведь размахивающий балалайкой, аки Пересвет копьем, это не делает его менее опасным. В критической инфраструктуре у нас уже мамаево поёбище, даже без медведей. Открыть/Комментировать

2021-01-13 01:41:07 Wow. ShadowBrokers. Или скам Открыть/Комментировать