Что: eb1bc407061e259588fe672c7f4983da02c393ad
Когда: 2022-07-15 14:33:32+03:00
Темы: crypto
Замена режима шифрования в PGP бесполезна и вредна https://articles.59.ca/doku.php?id=pgpfan:no_new_ae Видел эту статью в RSS, но решил не комментировать. Но он её продолжает сувать ещё и в официальные рассылки OpenPGP. Задолбал. В своей статье он рассматривает нападки на OCFB-MDC и парирует их. Одной из нападок является факт расчёта MDC до шифрования, что даёт возможность, за счёт специально подобранных сообщений, атаковать систему. Но так как там что-то ещё шифруется, именно в OpenPGP, то это не создаёт проблем. То есть: есть, действительно, не самый безопасный режим шифрования и аутентификации, но к которому сбоку добавили костыль-подпорку. Этот режим и так не самый простой, но ещё и с костылём. Нет, я согласен, что это не означает что нужно бежать сломя голову и менять это всё, ибо оно на практике is good enough. Но это не значит что оно good. Где-то, вроде бы Moxie Marlinspike, говорил что даже 3DES+HMAC-MD5, казалось бы -- архаичные алгоритмы, но всё равно на практике more than secure enough. Вот и автор демонстрирует аналогичное и призывает оставаться на архаичных решениях. У меня на самом деле тоже есть похожая позиция касательно OpenPGP и например age (4674ad351dcb1f018d2392bc03fb0692e101e229). Но там призывают полностью выбросить и отказаться от OpenPGP, в чём я сильного смысла не вижу. А тут автор призывает вообще-превообще ничего не трогать в OpenPGP. Я вот нарадоваться не могу OCB AEAD-режиму его: он прост, надёжен и жутко быстр. Да, OpenPGP придётся поддерживать и legacy с OCFB-MDC какое-то время, но новые реализации будут state of start. А дальше он критикует новую хотелку в OpenPGP: о том что OpenPGP не должен выдавать наружу не аутентифицированные (подозрительные) данные. По моему это очевидно что не может быть чем-то плохим. Но автор считает что это проблемы конечных приложений. Собственно, в этом то и наезд на EFAIL: OpenPGP имеет такую особенность что он выдаёт подозрительные данные. Тот кто его использует -- должен знать о ней и корректно использовать, а кто не смог, тот заEFAILился. Но желание сделать формат/решение таким, чтобы убрать подобные неприятные особенности: разумно. Криптография это про простоту. И OpenPGP с AEAD-ами именно упрощают, а не подпирают костылями, как это делали прежде. Резюмирует он это всё тем, что OCFB-MDC безопасен, поэтому ничего не надо менять. Не спорю -- при правильном использовании он безопасен. Но предлагают его заменить на нечто более простое, более быстрое и в чём куда сложнее напортачить так, чтобы возник ещё один EFAIL.
From: Sergey Matveev Date: 2022-07-19 07:11:16Z Судя по письмам в рассылке, автор даже не понимает почему люди говорят что для OCFB-MDC нужно два прохода, а для OCB нет. После этого его экспертная оценка сходит совсем уж на нет.
Сгенерирован: SGBlog 0.34.0