Крикун и его последователи окончательно достали

[sporaw]

[!] Добавленно временно (т.к. по заказу Носика чернушное "мочилово" его авторства сейчас распространяется через СМИ):
комментарий по поводу выдумок Носика.
[!] Добавлено по криптостойкости DKIM (23.10.2012 - 30.10.2012): читать тут.

Оглавление
I. Небольшое замечание
II. Введение
III. Техническая часть
IV. Строгое доказательство принадлежности

Comments

[dmitryts]

Вынужден вас огорчить, но ваше строгое доказательство с большим количеством букв выдает в вас дурачка-гуманитария, что, впрочем, не ваша вина.
Но даже не говоря о уязвимостях самого DKIM напишу как с математической точки зрения _должно_ выглядеть доказательство.

Подлинное письмо A, подписанное приватным ключом C генерит хэш X:
X = A * C
Для проверки подлинности используется публичный ключ B. Хэш X должен быть таким, что:
(A * B) mod X = 0

Допустим я написал письмо от хакера хэла другому могучему воену-разоблачителю
и подписал его своим паленым ключом C' а затем выложил в инет:
X' = A' * C'
И заявляю, что если
(A' * B) mod X' = 0 <- то, что проверяют скрипты

[do_dodo]

Понятие "вычислительная сложность" вам знакомо?

[dmitryts]

Раз уж вы взялись отвечать вопросом на вопрос:
Может ли "строгое доказательство" ставить вопрос о "вычислительной сложности"?

[dmitryts]

Не, не слышал!

[do_dodo]

Значит, вы глубоко не в курсе. Дискутировать бессмысленно, просто купите учебник по криптограии и почтиайте про алгоритмы с открытыми ключами.
Восстановить закрытый ключ хотя и принципиально возможно, но на практике требует очень большого объема вычислений, настолько большого,
что это как правило обессмысливает такие попытки.

[dmitryts]

Вам и _не нужно_ восстанавливать закрытый ключ гугла ради валидного хэша _одного_ письма.
Это действительно и сложно и долго.

Ваш комментарий не опровергает мой, а дополняет его теорией
(хотя я думал, что это и так всем ясно (и что настолько сильно капитанить не потребуется))

Рекомендуйте литературу лучше своей бабушке :)

[do_dodo]

ОК, предложите схему, как вы будете генеритть хэш одного письма.
Капитан подсказывает, что это не проще, чем восстановить ключ.

[dmitryts]

1) Вам нужен алгоритм генерации ключей заданной длины или алгоритм проверки?
Первое вроде очевидно, второе есть тут: http://hewgill.com/pydkim/

2) Странно, что капитан умалчивает о том, что ключ гугла - один.
А возможных ключей для равенства - бесконечное количество
(Математически - потому, что в уравнении с X',A',B, C' если вы не придерживаетесь хэша X' = X не одно неизвестное, а два - поэтому теперь это задача с параметром)

НЕ КАЖЕТСЯ ЛИ ВАМ (устал повторять) что этому и посвящена вторая часть исходного комментария,
со слова "Предвосхищая".

3) С балаболами в блоге ок. Если мы с вами пришли к тому, что сгенерировать ключ все же можно (пускай это и очень сложно), то нужно либо убрать кукареканье про "строгое", "математическое" и любое другое "доказательство" или опровергнуть формулы которые я привел. Чего я с нетерпением и жду, и займу вашу позицию в случае устранения очевидных огрехов в приведенных выше автором доказательствах. Удачи :)

[dmitryts]

1) Вам нужен алгоритм генерации ключей заданной длины или алгоритм проверки?
Или алгоритм распараллеливания данной задачи на n потоков?

2) Странно, что капитан умалчивает о том, что ключ гугла - один.
А возможных ключей для равенства - бесконечное количество
(Математически - потому, что в уравнении с X', A', B, C' если не придерживаться хэша X' = X
не одно неизвестное - а два, и поэтому теперь это задача с параметром)

НЕ КАЖЕТСЯ ЛИ ВАМ (устал повторять) что этому и посвящена вторая часть исходного комментария.
Со слова предвосхищая.

3) С балаболами тут все ок. Поэтому если мы с вами пришли к тому, что сгенерировать ключ все же можно
(пускай это и очень сложно), то нужно либо убрать кукареканье про "строгое", "математическое"
и любое другое "доказательство", заменив утверждение на гипотезу. Или опровергнуть формулы которые я привел.

Чего я с нетерпением и жду. И займу вашу позицию в случае устранения очевидных огрехов в приведенных
автором поста рассуждениях. Удачи :)

[do_dodo]

1) Алгоритм генерации подписей к заданному письму, пользуясь другими подписями
к другим письмам тем же ключом.

2) Если ключ из того бесконечного множества подойдет к какому-то конкретному
подписанному письму, то это не значит, что он подойдет к любому другому,
подписанному оригинальным ключом.

НЕ КАЖЕТСЯ ЛИ ВАМ, что все эти детали были уже предусмотрены при разработке
алгоритма подписей?

3) На практике невозможно как подобрать правильный ключ, так и найти другой,
который нужное письмо подпишет точно так же, как и оригинальный. Потому все
отсылки на то, что "сложно, но невозможно" -- это и есть то самое пресловутое кукарекание.

[dmitryts]

1) кто утверждал, что нужно пользоваться одним и тем же ключом для генерации?
2) кто утверждал, что найденный кандидат зачем-то нужно пользовать на других письмах?
3) кто утверждал, что требуется подписать точно также как и оригинальный?

Достаточно чтобы проверка на паб ключе проходила,
Ведь именно автор не в состоянии доказать,
что получается точно такой же хэш как и у гугла, - не я, вы что-то перепутали :)

p.s. "эти детали были предусмотрены", "точно также" - ну-ну, повесилили, побольше таких слов :)))

[do_dodo]

1) У меня речь не о "ключе для генерации", а о нескольких
образцах писем с подписями, подписанных одним и тем же
ключом. Используя образцы с подписями оригинальным
ключом, требуется найти любые подписи, проходящие проверку
для некоего заданного письма.
2) Писем от Белковского пятнадцать, если вы не в курсе
3) ОК, подписывать _точно так же_ не требуется, вы правы.
Но подписать по-другому, но так. чтоб подпись проходила
проверку на публичном ключе -- ненамного проще.

И именно эти детали были предусмотрены при разработке
алгоритма, да. Именно эти -- что к одному и тому же письму
может существовать больше одной подписи, проходящей
проверку заданным открытым ключом, также и то, что
потенциальному взломщику могут быть доступны несколько
образцов подписей к различным письмам.Если б это было
не так -- подписи были бы просто тотально бесполезны.

[dmitryts]

Итак, остается 1) и 2)

1) Еще раз, не нужно использовать какие-либо образцы подписанные оригинальным ключом. Зачем? В формулах отсутствуют упоминания чего-либо кроме фейк-тела письма, оригинального публичного ключа и произвольного C' дающего произвольный X'.

Подписал ключом С', посчитал X', подставил в (A' * B) mod X', сравнил с нулем.
И - никаких данных от других писем.

2) 15 писем. so what?

Вы видимо очень хорошо ориентируетесь в том, что предусматривали при разработке алгоритма, тогда скажите, учли ли разработчики то, что проверять валидность можно только по публичному ключу а идентичность хэша - не нужна?

[sporaw]

1. Расскажите, пожалуйста, об использовании указанных по ссылке "уязвимостей" в контексте обсуждаемой темы при имеющемся подписанном "Received:" с "via HTTP" (проставляемым сервером при формировании письма). Конкретно, а не так, как вы привели ссылку для "красного словца" и на этом, якобы, всем все понятно

[dmitryts]

> Расскажите пожалуйста
Записывайтесь на курсы :)

>Хэш подписан закрытым ключом Yahoo. Найти коллизию SHA256 хэша, так чтобы сообщение "Привет, как у тебя >дела?" имело такой же хэш как и сообщение: "Вот твои $50K, давай работай", невозможно. Стойкость к >коллизиям >для каждого криптографического хэша - данные исследований, доступные публично.

Много букв - а снова мимо. Вы похоже просто в упор не понимаете, что коллизию хэша _для приватного ключа yahoo_ тут искать никто не собирался.

Я в очередной раз вам изложил _что не нравится_. И получил что? Капитанство из RFC?
Зачем математике спорить с философией.
Правильно, что считаете вопрос закрытым.

[sporaw]

Ну вот если я что-то "в упор не вижу", то и изложите это, пожалуйста, нормальным языком.

Да, кстати, извините, но я уже просил не использовать наркоманский язык. Сочетание "коллизия хэша для приватного ключа" вводит меня в ступор.

> Зачем математике спорить с философией.

Вот уж точно, не понимаю, зачем я продолжаю переписываться с философом.