Comments | wizzard0: Думал тут про convergent encryption снова

wizzard0

Думал тут про convergent encryption снова

Feb 09, 2018 13:55

Банальная схема: хешируем плейнтекст, получаем hash1 -> используем его как ключ, шифруем этим ключом, хешируем зашифрованное, получаем хеш2, стореджу даем хеш2 чтобы он нам отдал контент, а у себя храним и хеш1 и хеш2 ( Read more... )

Comments 13

mbr February 9 2018, 17:24:55 UTC

емнип, TLS так ключи и генерит для очередного фрейма. Но там какая-то наркоманская соль добавляется в каждом раунде.

blackyblack February 9 2018, 18:00:07 UTC

Каких-то серьёзных угроз не вижу. Разве что ключ короткий относительно шифротекста. Как бы на коллизию не напороться. Ещё, сторадж должен поддерживать индивидуальные ID для контента. И у стораджа будут как раз храниться и ID и хэши контента, то есть нагрузка на него переносится.

wizzard0 February 10 2018, 21:07:46 UTC

По идее, от N хешей logN битов коллизий, и теряется logN/2 effective битов ключа. То есть для двух хешей - полбита, не смертельно.

Hash1 bik_top February 9 2018, 19:39:01 UTC

> Банальная схема: хешируем плейнтекст, получаем hash1 -> используем его как ключ, шифруем этим ключом

А почему в качестве ключа шифрования используется не случайно сгенерированный, а порождённый из хэша плейнтекста?

Re: Hash1 cat_mucius February 10 2018, 13:33:35 UTC

Да, вот то же хотел спросить.
К тому же, почему бы не производить хэш-2 не от всего шифротекста, а от хэша-1, возможно, с добавлением какой-нибудь и так хранящейся меты, типа имени или даты файла? Тогда достаточно хранить хэш-1.

Re: Hash1 wizzard0 February 10 2018, 21:08:45 UTC

Вся остальная мета шифрованная. Да, во второй схеме достаточно хранить хэш1, в этом и соль.

Хеш плейнтекста используется чтобы одинаковые плейнтексты давали одинаковый ключ (дедупликация)

redreptiloid February 9 2018, 22:26:16 UTC

если солить то надо хранить соль и выйгрыш уже не в 2 раза. а если не солить, по идее ключ достаточно рандомный и так, то хз, но интуитивно мне это не нравится, получаем наличие шифртекст+хэш1+хеш от хеш1 и стойкость по идее должна упасть, вопрос насколько

wizzard0 February 10 2018, 21:09:24 UTC

Не, "интуитивно" тут не катит :) Сторадж не видит хэш1

redreptiloid February 11 2018, 01:23:07 UTC

ну вот это мне и не нравится, в первом случае он хэш1 не видит вообще, во втором он видит хэш от хэш1, если он без соли. а он без соли, потому чт дедупликация. по идее это как то должно влиять на стойкость... в первом случае у нас возможна атака только на шифртекст, во втором на шифртекст+хэш от ключа.

wizzard0 February 11 2018, 10:09:44 UTC

ну вот по моим прикидкам должно теряться от 0.5 до 1 бит ключа, что в целом терпимо

Thread 7