-
Kernel3: Все сообщения за 18 Апреля 2014 года
| Пн | Вт | Ср | Чт | Пт | Сб | Вс |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |
U235> Эта самая OpenSSL, если б ее исходники попали в лапы ФСБ, сертификацию никогда бы не прошла с таким явным для криптографов багом.
Чтоб ты знал: OpenSSL используется в куче софта, в т.ч. коммерческого, в т.ч. отечественного, в т.ч. сертифицированного ФСТЭК/ФСБ. Так что учи матчасть, в следующий раз появится шанс сойти за умного.
А вообще, твоя веря в великость и могучесть ФСБ, которое в сфере не только информационной безопасности, но и вообще технологий, без взаимодействия с гражданскими аутсорсерами может чуть больше, чем совсем ничего, является довольно интересным феноменом психологического или дальше психиатрического характера
Но с этим уже пусть профильные спецы разбираются.
Чтоб ты знал: OpenSSL используется в куче софта, в т.ч. коммерческого, в т.ч. отечественного, в т.ч. сертифицированного ФСТЭК/ФСБ. Так что учи матчасть, в следующий раз появится шанс сойти за умного.А вообще, твоя веря в великость и могучесть ФСБ, которое в сфере не только информационной безопасности, но и вообще технологий, без взаимодействия с гражданскими аутсорсерами может чуть больше, чем совсем ничего, является довольно интересным феноменом психологического или дальше психиатрического характера
Но с этим уже пусть профильные спецы разбираются.
Broken Windows® cures my ills and makes me feel alright... ©
инфо
инструменты
GOGI> А то сейчас в гугле про какую-то другую уязвимость хрен что найдешь, все последней забито.
Вот же: OpenSSL: OpenSSL vulnerabilities
Так много весёлого, но Heartbleed всё же, ИМХО, самый смешной. Переполнение буфера - это всегда смешно
Вот же: OpenSSL: OpenSSL vulnerabilities
Так много весёлого, но Heartbleed всё же, ИМХО, самый смешной. Переполнение буфера - это всегда смешно
Broken Windows® cures my ills and makes me feel alright... ©
Kernel3> А вообще, твоя веря в великость и могучесть ФСБ, которое в сфере не только информационной безопасности, но и вообще технологий, без взаимодействия с гражданскими аутсорсерами может чуть больше, чем совсем ничего...
Кстати, как следствие, число этих самых аутсорсеров со временем увеличивается. Только я только в Москве знаю около десятка контор, занимающихся разработкой в интересах трёхбуквенных ведомств разных интересных штук как оборонительного, так и наступательного действия. Причём для двух из этих контор это основное направление деятельности.
Но до того же Stuxnet и всей веселухи, раскрытой Сноуденом, этим штукам довольно далеко.
Непрекращающаяся утечка мозгов не может не сказываться.
Кстати, как следствие, число этих самых аутсорсеров со временем увеличивается. Только я только в Москве знаю около десятка контор, занимающихся разработкой в интересах трёхбуквенных ведомств разных интересных штук как оборонительного, так и наступательного действия. Причём для двух из этих контор это основное направление деятельности.
Но до того же Stuxnet и всей веселухи, раскрытой Сноуденом, этим штукам довольно далеко.
Непрекращающаяся утечка мозгов не может не сказываться.
Broken Windows® cures my ills and makes me feel alright... ©
U235> Криптоаналитики у них сильнейшие, поэтому ляпов за собой по этой части не оставляют.
Это тебя обманули. Все отечественные криптоалгоритмы построены на методах, разработанных в США.
При этом тот же ГОСТ Р 34.11-2012 разработан парой из "Инфотекса" (гражданский аутсорсер, ага) взамен старого стандарта, оказавшегося - сюрприз! - дырявым. Где были твои сильные аналитики до, во время, и после? С чего ты вообще взял, что они когда-либо у нас были? Именно уровня американских? Где на отечественного Рона Ривеста посмотреть можно?
Это тебя обманули. Все отечественные криптоалгоритмы построены на методах, разработанных в США.
При этом тот же ГОСТ Р 34.11-2012 разработан парой из "Инфотекса" (гражданский аутсорсер, ага) взамен старого стандарта, оказавшегося - сюрприз! - дырявым. Где были твои сильные аналитики до, во время, и после? С чего ты вообще взял, что они когда-либо у нас были? Именно уровня американских? Где на отечественного Рона Ривеста посмотреть можно?
Broken Windows® cures my ills and makes me feel alright... ©
U235> Хоть один продукт, в составе которого ФСБ сертифицировал криптостойкость OpenSSL и где использовался бы его дырявый ДСЧ, назови
А зачем тебе именно криптостойкость? Сертификат "Классификация по уровню контроля отсутствия недекларированных возможностей" 4-го уровня тебя не устроит? Для проекта, включающего исходники OpenSSL? Если нет, то почему?
А зачем тебе именно криптостойкость? Сертификат "Классификация по уровню контроля отсутствия недекларированных возможностей" 4-го уровня тебя не устроит? Для проекта, включающего исходники OpenSSL? Если нет, то почему?
Broken Windows® cures my ills and makes me feel alright... ©
U235> Чтоб, блин, его современники были хоть столько же "дырявыми"! 
U235> Опрубликованная в 92ом хэш-функция MD5 уже сломана практически.
Сравнивать хэши разных разрядностей и чисел раундов - это по-нашему вашему, да. Хотя мысль, что странно, в этот раз у тебя пошла в правильном направлении: высокая производительность MD5 на данный момент является его проблемой, ибо precomputing атаки.
U235> То есть качество работы отечественных криптографов оказалось выше качества работы их западных коллег.
Ни в коем разе. Про SHA-2 не забывай - их не просто так придумали.
U235> Ну и разработать криптоалгоритм - это даже не пол-дела. Оценить его стойкость - дело намного более сложное.
Не, придумать это нельзя. Ты это где-то прочитал. Дай ссылочку, пожалуйста
U235> В большом здании в Олимпийской деревне на некоторых посмотреть можно, только их фамилии тебе ничего не скажут: они редко печатаются или не печатаются вовсе.
"У нас есть такие приборы спецы, но мы вам о них не расскажем..." ©
U235> Опрубликованная в 92ом хэш-функция MD5 уже сломана практически.
Сравнивать хэши разных разрядностей и чисел раундов - это по-U235> То есть качество работы отечественных криптографов оказалось выше качества работы их западных коллег.
Ни в коем разе. Про SHA-2 не забывай - их не просто так придумали.
U235> Ну и разработать криптоалгоритм - это даже не пол-дела. Оценить его стойкость - дело намного более сложное.
Не, придумать это нельзя. Ты это где-то прочитал. Дай ссылочку, пожалуйста U235> В большом здании в Олимпийской деревне на некоторых посмотреть можно, только их фамилии тебе ничего не скажут: они редко печатаются или не печатаются вовсе.
"У нас есть такие
Broken Windows® cures my ills and makes me feel alright... ©
Это сообщение редактировалось 18.04.2014 в 15:32
U235> Потому что отсутствие недекларированных возможностей - это только отсутствие недекларированных возможностей. ФСБ не сертифицирует больше, чем написано в сертификате.
Т.е. банальное переполнение буфера они проворонили, но уж криптографию, если придётся, они - ууух! - насертифицируют, так, что ли? Самому не смешно?
Т.е. банальное переполнение буфера они проворонили, но уж криптографию, если придётся, они - ууух! - насертифицируют, так, что ли? Самому не смешно?
Broken Windows® cures my ills and makes me feel alright... ©
U235> Это на каких таких методах разработанных в США построен ГОСТ 28147-89?
Сеть Файстеля. Кто придумал метод Диффи-Хеллмана ( ), RSA и эллиптическую криптографию рассказывать надо или сам догадаешься?
U235> И ты прям настолько крут, что знаешь все отечественные криптоалгоритмы, которые в большинстве своем СС и ОВ?
Я прям настолько крут, чтобы понимать - стойкий алгоритм секретить смысла не имеет вообще. Чего и тебе желаю.
Сеть Файстеля. Кто придумал метод Диффи-Хеллмана (
), RSA и эллиптическую криптографию рассказывать надо или сам догадаешься?U235> И ты прям настолько крут, что знаешь все отечественные криптоалгоритмы, которые в большинстве своем СС и ОВ?
Я прям настолько крут, чтобы понимать - стойкий алгоритм секретить смысла не имеет вообще. Чего и тебе желаю.
Broken Windows® cures my ills and makes me feel alright... ©
U235> Поэтому и сертификат только на отсутствие недокументируемых функций...
Так если проверяется строго не более заявленного, а на самом деле меньше, ибо лень, недостаток квалификации и пр., в чём вообще смысл сертификации? Я именно об этом.
Так если проверяется строго не более заявленного, а на самом деле меньше, ибо лень, недостаток квалификации и пр., в чём вообще смысл сертификации?
Я именно об этом.
Broken Windows® cures my ills and makes me feel alright... ©
kot1967>> Первая в списке - "Московская пивоваренная компания"
ahs> Это "Хамовники" - полки очень активно заняли.
Хронологически сначала "Моспиво" (которое уже куда-то делось), а потом остальное
Марку "Хамовники", НЯП, они просто купили, ибо завод в собственно Хамовниках того-с
ahs> Это "Хамовники" - полки очень активно заняли.
Хронологически сначала "Моспиво" (которое уже куда-то делось), а потом остальное
Марку "Хамовники", НЯП, они просто купили, ибо завод в собственно Хамовниках того-с
Broken Windows® cures my ills and makes me feel alright... ©
U235> А кто заставлял американцев выбирать такие параметры хеш-функций?
Видимо, осознание того, что лучше быстрый алгоритм, чем медленный, но более "перспективный", который из-за тормозов использовать не будут. У того же ГОСТ 28147-89 распространённые программные реализации до ARJ (и то, ЕМНИС, с сокращённым числом раундов) были ли вообще? То-то и оно.
U235> SHA-2 - это уже 2002-2004 год, спустя почти 10 лет после SHA-1 и нашей первой хэш-функции, когда стало ясно к чему идет дело.
И те же 10 лет до нашей второй хэш-функции.
U235> Не понимаешь о чем я? Ну вот придумал я вот такой алгоритм шифрования: давай в шифруемом файле возьмем и инвертируем биты, и никто не догадается.
Не, это ты, видимо, не понимаешь. Применительно к разработке ПО вообще твоё высказывание звучит как: "Разработка фигня, главное - тестирование". На самом деле разработчик по определению обладает всеми навыками тестировщика плюс тем, что позволяет ему быть собственно разработчиком.
Иначе это не разработчик, а любитель-дилетант.
С криптографией аналогично.
U235> Таковы вот особенности отечественной криптографии, вышедшей из 8 ГУ КГБ.
Да не выдумывай. На практике им банальный перебор хэшей, написанный более-менее грамотно с какой-никакой оптимизацией, аутсорсить приходится.
Видимо, осознание того, что лучше быстрый алгоритм, чем медленный, но более "перспективный", который из-за тормозов использовать не будут. У того же ГОСТ 28147-89 распространённые программные реализации до ARJ (и то, ЕМНИС, с сокращённым числом раундов) были ли вообще? То-то и оно.
U235> SHA-2 - это уже 2002-2004 год, спустя почти 10 лет после SHA-1 и нашей первой хэш-функции, когда стало ясно к чему идет дело.
И те же 10 лет до нашей второй хэш-функции.
U235> Не понимаешь о чем я? Ну вот придумал я вот такой алгоритм шифрования: давай в шифруемом файле возьмем и инвертируем биты, и никто не догадается.
Не, это ты, видимо, не понимаешь. Применительно к разработке ПО вообще твоё высказывание звучит как: "Разработка фигня, главное - тестирование". На самом деле разработчик по определению обладает всеми навыками тестировщика плюс тем, что позволяет ему быть собственно разработчиком.
Иначе это не разработчик, а любитель-дилетант.
С криптографией аналогично.
U235> Таковы вот особенности отечественной криптографии, вышедшей из 8 ГУ КГБ.
Да не выдумывай. На практике им банальный перебор хэшей, написанный более-менее грамотно с какой-никакой оптимизацией, аутсорсить приходится.
Broken Windows® cures my ills and makes me feel alright... ©
Fakir> Как-то опять не пишет...
На Авиафоруме регулярно появляется, так что физически никуда не пропадал
На Авиафоруме регулярно появляется, так что физически никуда не пропадал
Broken Windows® cures my ills and makes me feel alright... ©
U235> С приоритетами тут очень сложно...
С приоритетами тут очень просто: всё придумали американцы (пара из них, правда, были натурализованными) и примкнувший к ним Шамир. Верить в секретных советских криптографов, зелёных человечков и летающего макаронного монстра - твоё неотъемлимое право А мне бритва Оккама мешает.
U235> Или ты действительно думаешь, что АНБ и МО США пользуются только DES и AES?
Конечно, нет. Ещё RC4/5/6 Ничего закрытого у них явно нет, иначе Сноуден бы об этом сказал.
ЗЫ кстати, книжку Масленникова, на которую я давал ссылку, ты явно так и не прочитал. Но мнение имеешь. Характерненько.
С приоритетами тут очень просто: всё придумали американцы (пара из них, правда, были натурализованными) и примкнувший к ним Шамир. Верить в секретных советских криптографов, зелёных человечков и летающего макаронного монстра - твоё неотъемлимое право
А мне бритва Оккама мешает.U235> Или ты действительно думаешь, что АНБ и МО США пользуются только DES и AES?
Конечно, нет. Ещё RC4/5/6
Ничего закрытого у них явно нет, иначе Сноуден бы об этом сказал.ЗЫ кстати, книжку Масленникова, на которую я давал ссылку, ты явно так и не прочитал. Но мнение имеешь. Характерненько.
Broken Windows® cures my ills and makes me feel alright... ©
Fakir> ...или чего-то на основе...
Или "чего-то на основе", да
Fakir> Оттуда же сложилось впечатление, что в отечественной традиции всё это дело секретится еще сильней, чем на западе.
Да запросто. Я, собственно, могу поверить, что у наших орлов хватило ума засекретить именно алгоритм, вот только его стойкость это не повысит. Скорее, наоборот.
А как можно засекретить метод - я даже не представляю.
Или "чего-то на основе", да
Fakir> Оттуда же сложилось впечатление, что в отечественной традиции всё это дело секретится еще сильней, чем на западе.
Да запросто. Я, собственно, могу поверить, что у наших орлов хватило ума засекретить именно алгоритм, вот только его стойкость это не повысит. Скорее, наоборот.
А как можно засекретить метод - я даже не представляю.
Broken Windows® cures my ills and makes me feel alright... ©
Copyright © Balancer 1997..2024
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
