On 05.04.2013 16:45, Stachu 'Dozzie' K. wrote:
> On 2013-04-05, Michoo<m...@v...pl> wrote:
>> On 04.04.2013 22:00, Stachu 'Dozzie' K. wrote:
>>> On 2013-04-04, Michoo<m...@v...pl> wrote:
>>>> On 04.04.2013 15:51, Borneq wrote:
>>>>> Nie mogę natrafić na artykuł, ale jestem prawie pewien że coś takiego
>>>>> było.
>>>>
>>>> Jestem prawie pewien, że nie było czegoś takiego. były natomiast faile w
>>>> debianie i w BSD gdzie "sprytny" programista upośledził przypadkowo
>>>> generator pseudolosowy.
>>>
>>> Jeśli dobrze pamiętam, to w przypadku Debiana ten "sprytny" programista
>>> najpierw zapytał na liście opiekunów, czy wolno mu.
>>
>> A potem wywalił więcej niż mu pozwolili.
>
> Zdaje się że nie, choć głowy za to nie dam.
>

Nie mogę teraz na szybko znaleźć, ale to wyglądało tak:
dodaj entropię z niezaincjalizowanego bufora B
wsadź entropię z /dev/random do B
przekształć dane w B
dodaj entropię z przekształconego B

Na pierwszym krzyczał walgrind więc gość zapytał, czy może usunąć na co
usłyszał, ze tak. A potem usunął oba dodania zawartości B - i
niezainicjalizowanego i tego po przekształceniach.


--
Pozdrawiam
Michoo

do góry

W dniu piątek, 5 kwietnia 2013 16:45:42 UTC+2 użytkownik Stachu 'Dozzie' K. napisał:

>
> A wiesz jak się w ogóle generuje "przemysłowe" liczby pierwsze do użycia
> w kryptografii asymetrycznej? Losuje się całą liczbę, a potem sprawdza
> jej pierwszość. Ile według ciebie niesie informacji liczba 2048-bitowa
> znaleziona przez GnuPG, który nie używa generatorów pseudolosowych do
> tworzenia pary kluczy?

Nie dam głowy, że na pewno o to pytasz, ale ilość
informacji w 2048 bitowym kluczy, pod warunkiem,
że jest on pierwszy (losujemy do skutku albo
bierzemy najbliższą większą pierwszą) zmniejsza
ilość 'losowych bitów' o ok 10.5 bita.

Gęstość liczb pierwszych w okolicy x to z grubsza
1/ln[x], więc średnio jakies 1500 liczb ląduje
w jednej, tej samej liczbie pierwszej.

pzdr
bartekltg

do góry

W dniu piątek, 5 kwietnia 2013 01:28:14 UTC+2 użytkownik Edek Pienkowski napisał:

>
>
> Używam linucha do tych celów, jak nie ma dysku zostaje klawiatura
> i mysz.

Dlatego pisałem o serwerze. Nikt przy nim nie siedzi
i nie macha myszką.
Pewnie jakimś pomysłem jest użycie ruchu sieciowego,
(śledzenie głowicy pośrednio to robi;))
ale trzeba by to zrobić bardzo ostrożnie.

> Dysk jest wygodniejszy. Do robienia klucza raz na przysłowiowy
> rok.

> A ssd się faktycznie nie nadają? Serio, nie wiem, ale jak jest tak czy
> inaczej mix to nie ma to większego. Ten random "z assemblera" też jest
> domyślnie miksowany, tak na wszelki wypadek - nie mój wymysł.

Też nie wiem. Pewnie cos się da wymyślić, ale na pewno nie ma głowicy;)

pzdr
bartekltg

do góry

On 2013-04-05, Michoo <m...@v...pl> wrote:
>>>> Ale tu mowa o liczbie
>>>> potrzebnych operacji, a nie o długości klucza.
>>>
>>> Siła kryptograficzna klucza to ilość bitów informacji przez niego
>>> niesionej
[...]
>> Ile według ciebie niesie informacji liczba 2048-bitowa
>> znaleziona przez GnuPG, który nie używa generatorów pseudolosowych do
>> tworzenia pary kluczy?
>
> A co on niby robi? Afaik specjalnie pisał, że generuje klucz i
> potrzebuje entropii więc należy zająć się "normalnymi działaniami" do
> czasu skończenia.

Stwierdziłeś, że siła kryptograficzna to ilość informacji niesiona przez
klucz. Ile twoim zdaniem niesie informacji asymetryczny klucz (para
kluczy) 2048-bitowy, który ma bezpieczeństwo z grubsza porównywalne
z 192-bitowym kluczem symetrycznym? I w jaki sposób wyliczyłeś, że to
właśnie tyle, ile podasz?

--
Secunia non olet.
Stanislaw Klekot

do góry

On 2013-04-05, Michoo <m...@v...pl> wrote:
[...]
>>>>> były natomiast faile w
>>>>> debianie i w BSD gdzie "sprytny" programista upośledził przypadkowo
>>>>> generator pseudolosowy.
>>>>
>>>> Jeśli dobrze pamiętam, to w przypadku Debiana ten "sprytny" programista
>>>> najpierw zapytał na liście opiekunów, czy wolno mu.
>>>
>>> A potem wywalił więcej niż mu pozwolili.
>>
>> Zdaje się że nie, choć głowy za to nie dam.
>>
>
> Nie mogę teraz na szybko znaleźć,

Mnie się własnie udało: http://lwn.net/Articles/282038/

> ale to wyglądało tak:
> dodaj entropię z niezaincjalizowanego bufora B
> wsadź entropię z /dev/random do B
> przekształć dane w B
> dodaj entropię z przekształconego B
>
> Na pierwszym krzyczał walgrind więc gość zapytał, czy może usunąć na co
> usłyszał, ze tak. A potem usunął oba dodania zawartości B - i
> niezainicjalizowanego i tego po przekształceniach.

No właśnie nie. Usunął to, na czym krzyczał Valgrind, bo mu powiedziano
"If it helps with debugging, I'm in favor of removing them". Usunął
tyle, ile uznał, że mu pozwolono na openssl-dev. Trudno się
nie-kryptologowi dziwić, że przeoczył całą ideę stojącą za tym kawałkiem
kodu (za tą jedną linijką).

Ciężko powiedzieć, co konkretnie nawaliło: człowiek (i który, o ile
można go obciążyć odpowiedzialnością), proces (sposób dyskusji
z autorami OpenSSL) czy któraś ze strategii (obchodzenie się z patchami
w Debianie, nie-kryptolog zajmujący się pakietem kryptograficznym).
Wina nie jest tu jednoznaczna.

--
Secunia non olet.
Stanislaw Klekot

do góry

On 2013-04-05, bartekltg <b...@g...com> wrote:
> W dniu piątek, 5 kwietnia 2013 16:45:42 UTC+2 użytkownik Stachu 'Dozzie' K.
napisał:
>
>>
>> A wiesz jak się w ogóle generuje "przemysłowe" liczby pierwsze do użycia
>> w kryptografii asymetrycznej? Losuje się całą liczbę, a potem sprawdza
>> jej pierwszość. Ile według ciebie niesie informacji liczba 2048-bitowa
>> znaleziona przez GnuPG, który nie używa generatorów pseudolosowych do
>> tworzenia pary kluczy?
>
> Nie dam głowy, że na pewno o to pytasz, ale ilość
> informacji w 2048 bitowym kluczy, pod warunkiem,
> że jest on pierwszy (losujemy do skutku albo
> bierzemy najbliższą większą pierwszą) zmniejsza
> ilość 'losowych bitów' o ok 10.5 bita.
>
> Gęstość liczb pierwszych w okolicy x to z grubsza
> 1/ln[x], więc średnio jakies 1500 liczb ląduje
> w jednej, tej samej liczbie pierwszej.

Zdajesz sobie sprawę z tego, że wyszły ci głupoty? Bo niniejszym
twierdzisz, że jest jedynie 2^(10.5) < 2048 liczb pierwszych nie
większych niż 2^2048. A liczb pierwszych mniejszych niż 2^14 = 16384
jest już 1900.

Zadanie domowe: znaleźć, gdzie pomyliłeś logarytm z liczbą
logarytmowaną.

--
Secunia non olet.
Stanislaw Klekot

do góry

W dniu piątek, 5 kwietnia 2013 17:33:56 UTC+2 użytkownik Stachu 'Dozzie' K. napisał:
> On 2013-04-05, bartekltg <b...@g...com> wrote:
>
> > W dniu piątek, 5 kwietnia 2013 16:45:42 UTC+2 użytkownik Stachu 'Dozzie' K.
napisał:
>
> >
>
> >>
>
> >> A wiesz jak się w ogóle generuje "przemysłowe" liczby pierwsze do użycia
>
> >> w kryptografii asymetrycznej? Losuje się całą liczbę, a potem sprawdza
>
> >> jej pierwszość. Ile według ciebie niesie informacji liczba 2048-bitowa
>
> >> znaleziona przez GnuPG, który nie używa generatorów pseudolosowych do
>
> >> tworzenia pary kluczy?
>
> >
>
> > Nie dam głowy, że na pewno o to pytasz, ale ilość
>
> > informacji w 2048 bitowym kluczy, pod warunkiem,
>
> > że jest on pierwszy (losujemy do skutku albo
>
> > bierzemy najbliższą większą pierwszą) zmniejsza
>
> > ilość 'losowych bitów' o ok 10.5 bita.
>
> >
>
> > Gęstość liczb pierwszych w okolicy x to z grubsza
>
> > 1/ln[x], więc średnio jakies 1500 liczb ląduje
>
> > w jednej, tej samej liczbie pierwszej.
>
>
>
> Zdajesz sobie sprawę z tego, że wyszły ci głupoty? Bo niniejszym

Nie mnie.

> twierdzisz, że jest jedynie 2^(10.5) < 2048 liczb pierwszych nie
> większych niż 2^2048. A liczb pierwszych mniejszych niż 2^14 = 16384
> jest już 1900.

Bzdury, nigdzie tak nie twierdze. Na dzeiń dobry jak to pogodzisz
ze stwierdzenim, ze co 1500 liczba 2048bitowa jest pierwsza?

Mógłbyś na przyszłość przedstawiać swój tok rozumowania, aby
można było w nim wskazać błąd, a nie pisać wszystko raz jeszcze? :)

Rozumiesz pojęcie gęstości?

Wśród liczb 2^2047 - 2^2048 jest z grubsza
ilość liczb * gęstość więc:
2^2047 * 1/ln[2^2047] = 10^613


>
> Zadanie domowe: znaleźć, gdzie pomyliłeś logarytm z liczbą
> logarytmowaną.

Szukaj;>

pzdr
bartekltg

do góry

Użytkownik "bartekltg" <b...@g...com> napisał:

> Szukaj;>

:)
Nie cierpię chwalić "Kobiet i Młodzieży" (z oczywistych względów;) ,
ale naprawdę imponujesz (przynajmniej mnie:) godną pozazdroszczenia
wiedzą nie tylko na tej grupie.
Słowem: jak zwykle: matma/numeryka/fizyka rulez, a nie jakieś głupie
wychwalanie zalet zwykłego "młotka" (np. C++ czy innego scierwa :(

AK

do góry

W dniu piątek, 5 kwietnia 2013 18:04:25 UTC+2 użytkownik AK napisał:
> U�ytkownik "bartekltg" <b...@g...com> napisa�:
>
>
>
> > Szukaj;>
>
>
>
> :)
>
> Nie cierpi� chwali� "Kobiet i M�odzie�y" (z oczywistych wzgl�d�w;) ,
> ale naprawdďż˝ imponujesz (przynajmniej mnie:) godnďż˝ pozazdroszczenia
> wiedzďż˝ nie tylko na tej grupie.
> S�owem: jak zwykle: matma/numeryka/fizyka rulez, a nie jakie� g�upie
> wychwalanie zalet zwyk�ego "m�otka" (np. C++ czy innego scierwa :(


Czy ten zalew sarkazmu oznacza, że znalazłeś jednak błąd?
Mógłbyś go wskazać, w końcu człowiek uczy się całe życie;>

[sorry za kaszankę, do przyszłego weekendu siedze na googlach:(]

pzdr
bartekltg

do góry

On 05.04.2013 17:26, Stachu 'Dozzie' K. wrote:
> On 2013-04-05, Michoo<m...@v...pl> wrote:
>
>> ale to wyglądało tak:
>> dodaj entropię z niezaincjalizowanego bufora B
>> wsadź entropię z /dev/random do B
>> przekształć dane w B
>> dodaj entropię z przekształconego B
>>
>> Na pierwszym krzyczał walgrind więc gość zapytał, czy może usunąć na co
>> usłyszał, ze tak. A potem usunął oba dodania zawartości B - i
>> niezainicjalizowanego i tego po przekształceniach.
>
> No właśnie nie. Usunął to, na czym krzyczał Valgrind, bo mu powiedziano


> So yes I think not using the uninitialized memory (it's only a single
> line, the other occurrence is already commented out) helps valgrind.


> "If it helps with debugging, I'm in favor of removing them". Usunął
> tyle, ile uznał, że mu pozwolono na openssl-dev. Trudno się
> nie-kryptologowi dziwić, że przeoczył całą ideę stojącą za tym kawałkiem
> kodu (za tą jedną linijką).

Pozwolono na wywalenie dodawania _niezainicjalizowanych_ danych.

>
> Ciężko powiedzieć, co konkretnie nawaliło: człowiek (i który, o ile
> można go obciążyć odpowiedzialnością), proces (sposób dyskusji
> z autorami OpenSSL) czy któraś ze strategii (obchodzenie się z patchami
> w Debianie, nie-kryptolog zajmujący się pakietem kryptograficznym).

Wszystko po trochu.


--
Pozdrawiam
Michoo

do góry