крипто-алгоритмы и стойкость

[Robus]

Робус - обеспечение защиты данных путем секретности алгоритма - это тупиковая ветвь эволюции. Поясню, почему:

Да не тупиковая ... Я прекрасно понимаю, что знать как всё устроено, - легко найти ... Ты думаешь я просто так выложил файл ??? Запакованный файл с кодом XOR'а это не взламываемая вещь !!! Понятно, что если запаковать, а потом проксорить поверх, то ломается ... Но если ксорить с учётом хода паковки, то код ксорки меняется на ходу. Тут я это и сделал ... Если поменяется хотя бы одно слово в тексте, то резко меняется алгоритм кода. В данном случае делается всего две зависимости. Первая зависимость от количество не пакуемых данных на блок (8192 байт), вторая зависимость от количество повторяемых участков кода на блок. В данном случае меняется только Код, а точнее говоря их два. А есали сделать ещё и плавающую талицу ксоров, которая в данном пакере фиксированная, то просто полный аут.

В моём пакере два кода которые модифицируют друг друга в зависимости от данных. Начальное значение так же фиксированно. А ведь можно поменять.

Код я имею в виду КЛЮЧЬ для ксора.

Голая математика легко просчитывается криптовщиком, голая логика легко просчитывается криптофщиком. Но стоит применить и мат. и лог. получаем приличную кашу.

Поэтому и уникальны Specc'овские программеры, они умеют применять все свои знания.

Добавлено через 5 минут

Секретный алгоритм упаковки

Данный алгоритм может меняться на ходу. Мало того ещё и программироваться. На ходу меняются методы записи повторений и комманд.

Думаю не ломанёте ... Конечно всё возможно в этом мире, но думаю что данный метод потребует только для частного случая мучений на неделю. Да же я зная все возможные перетасовки команд и записи длин пакетов искал бы только ключ неделю. Всё что из этого файла можно понять это размер пакованных данных.

Добавлено через 7 минут

Хранение секретной части (программы-депакера) является уязвимым местом.

Не ... Ну это вообще не обсуждается ... Я могу просто взять и выложить распакованные данные и депакер не нужен ...

Мы же мыслим здраво !!! Депакер и пакер никому не известен, это очевидно ....

[psb]

Поэтому я люблю писать всё сам ... На планете 90% кода пишется через инет. Линкуют стандартные библиотеки. И потом оно всё глючит. И исправить не могут, потому что не знают чего туды накомпилировали.

оффтопик, конечно...
ну, я за свою жизнь видел очень много людей, называющих себя программистами. когда начинаешь с ними работать, выясняется, что они много не знают, не понимают, понимают не верно или как-то интуитивно (а это самое опасное). так вот само собой, если такие пишут чего-то вместе, то и результат понятно какой! и не надо это приводить в пример. а что касается "все сам".. так ты наверное по-настоящему-то больших проектов и не делал (да еще за ограниченное время).

есть 2 подхода: один твой (да и мой тоже), а второй коммерческий. я когда пишу, я свою прогу вылизываю и тестирую сам, т.к. мне лучше известно где и что надо проверять и какие баги могут быть при моем подходе. когда же люди делают огромный проект за короткое время, им проще нанять ниче не понимающего в программировании тестера, который будет искать в программе баги опытным путем, а программист будет меньше сосредоточиваться на отладке и быстрее писать. все понимают, что это не совсем правильно, но задача решается (хоть и продукт получается слегка глюкавым).

это я к чему. не надо говорить, что "все сам" - это единственно правильный метод.

Думаю недели хватит для раскодировки ? Ровно через неделю я выложу депакер, и каждый сможет распаковать.

недели? офигеть... предложишь мне 24 часа 7 дней сидеть и ломать? а кто будет работать? мне еще жить на что-то надо. это во-первых. во-вторых, вряд ли можно ломать по одному зашифрованному тексту. нужно много текстов, и коротких, и длинных. и хотя бы пару из них расшифрованных (ты бы еще букву А зашифровал и попросил расшифровать.

ну и еще я хотел спросить: а где можно применять закрытые алгоритмы-то? взять, например, переписку. делать прогу ради 2х человек? для всех-то ты её выложить не можешь, в проге ключ. девайс общается с компом по закрытому протоколу? так можно прогу на компе поломать..

[Robus]

по-настоящему-то больших проектов и не делал (да еще за ограниченное время).

Мне больше всего нравится сравнительная форма как константа. Большие это сколько ? В чём мерить ? В гигабайтах ? Во времени создания ? Я занимаюсь профессиональной деятельностью с 1998 года. Самый большой мой проект я считаю "ФОТОМЕТР", это индустриальный лабораторный прибор для измерения цветности бумаги. Но там программирования не много, зато немало запатентованных исследовательских работ. Если словом БОЛЬШИХ называется гигантский код, то начиная с 2004 по сей день работаю ведущим инженер-программистом. Сейчас, вроде как по-подсчётом заканчиваю 7-ой проект. В общей сложности, если брать Израиль, Россию и Украину у меня в подчинении 18 программистов. Одновременно веду три проекта. Но я большего отупения человечества(программисто� �) не видел, начиная с 2004 года. Да, это приносит компании прибыль, но на каком гавне. И я работаю тут только ради денег и никогда не буду гордиться той работой, которую делаю сейчас. Да, я досконально изучил говёный линукс, смысл которого я вижу только в поддержки Ethernet'а(IP/PPP). Я досконально знаю OpenRg и Asterisk. Ну и что ??? Говно всё это, причём редко глючное. Все эти XML, JAV'ы, C# - всё это порождение похабного отношения к искусству программирования. И, когда мне выставляют рамки, как ты говоришь, - (да еще за ограниченное время), и при этом, что OpenRg, что Asterisk, что линукс, глючит в данный момент, я не могу писать разработчикам - "ВЫ ЛОХИ У ВАС ТУТ 33.33 ошибки в коде". Я просто сажусь и правлю это. И на поиск этих ошибок, порождённых лозунгами - "БОЛЬШИЕ проекты", уходит времени ровно столько, сколько бы ушло на "всё сам". Так, извини, моё "всё сам", почему-то работает уже не один год и не на одном заводе и не один проект.

А вот гордиться я буду меньшими проектами, научными. Например система обнаружения людей в аэропортах. С видеокамер считывается 2-3 кадра в секунду снимки толпы, вносятся ФЕЙСЫ в архивчик, и потом на другой камере в другом месте делается то же самое. Итак, известно, когда ФЕЙС зашёл и когда вышел. Система противо-террористическая. Успешно работает в Борисполе и в БенГурионе (терминал 3). Вот это была научная работа. Хоть наш директор её и продал, хоть я со всей нашей командой и остался у разбитого корыта. Но за то это работает и это глобальный проект. И этот проект сделан с максимальной дотошностью, в нём нет ни виндовса, ни линукса там ВСЁ СВОЁ. И мы его от а до я сделали за 2 года с учётом введения в эксплуатацию и тестом на эффективность.

Поэтому если ты хочешь сделать надёжную систему, то - только один путь - "всё сам". А если речь идёт о, например, мобильном телефоне, тот тут пусть будет солянка. Всё равно я не куплю такой мобильный. Именно поэтому я хожу со старым мобильным. У него зелёный экран и он не умеет играть МП3, за-то он не зависает и не раздражает тормозящими менюшками.

предложишь мне 24 часа 7 дней сидеть и ломать? а кто будет работать?

Тут я тебя очень хорошо понимаю. У самого такая жизнь, которую я стал ненавидеть. Просто была затронута тема о криптографии, и был поиск самого мощного способа защиты. Моя практика показала, что именно перемешанный пак с кодировкой делает данные, не поддающиеся анализу. Просто была такая практика. Я понимаю, что могу ошибаться, что нет ничего невозможного.

нужно много текстов, и коротких, и длинных.

Это волне реализуемо. Запакуем. Только я хочу сразу предупредить. Да же 20 байт текста я бы в сети передавал бы с еррорными пакетами. Как мы делали в казиношном проекте в 2002 году. Я согласен не заниматься таким в данном случае. К вечеру постараюсь найти пробелы в работе и запаковать с 10-ок текстов.

и хотя бы пару из них расшифрованных (ты бы еще букву А зашифровал и попросил расшифровать.

Так ... Это уже наглость ... Такое через неделю ... Мы же договорились, что депакер и пакер не известен. Расшифрованный текст - практически ключ. Хотя и не очень эффективный, но всё же это очень серьёзный путь к расшифровке. В данном случае мы рассматриваем самый приоритетный вариант использования защиты. То есть голые данные. В жизни такой ситуации практически нет. Как правило, человек видит данные между двумя устройствами, которые что-то делают. Он видит реакцию устройства. Например - изображение, звук, исполнение разнообразных функций.

Так что, выложить 10 закодированных текстов, это пожалуйста, и без рандомных добавок. Но на раскодированный я не согласен. Но можно и этот вариант проверить.

Тогда меняем немного правила. Через неделю я выложу оригинал 10-ти текстов запакованных текстов. Останется только один, - первый.

ну и еще я хотел спросить: а где можно применять закрытые алгоритмы-то? взять, например, переписку. делать прогу ради 2х человек? для всех-то ты её выложить не можешь, в проге ключ. девайс общается с компом по закрытому протоколу? так можно прогу на компе поломать..

Ну ... Поле действий просто неограниченно. Например - на данный момент мы занимаемся именно подобной задачей. Есть такая штука как GSM, это, с одной стороны простой пакет радио связи. Но это только тогда когда два устройства стандартные. По настоящему GSM пакет имеет около 300 видов конфигурации. Мобилы юзают только один, служба безопасности от 3 до 5. Как ты понимаешь, шифровка тут очень актуальна.
А так мы это применяли в:
1. В десятках приборах. Программу на компе хай воруют, она только отображает процессы и задаёт параметры. Зато вся система общается по собственному протоколу. Максимум что могут сделать, это с контроллеров, непосредственно с кристалла, считать программу. Ну, так нет проблем, вперёд. Во всей системе около 20 разновидностей контроллеров. Єто обойдётся в кругленькую сумму. У нас такое делают за $100000, для одного контроллера. Дешевле купить у производителя. Каждый контроллер связан друг с другом по собственным протоколам с собственными кодами защиты. Центральному, он отдаёт только состояние датчиков и протекающих процессов.
2. ФЕЙС детектор. Тут я буду молчать.
3. Казиношном проекте (против кражи данных об обороте в казино)

А вообще, взламывается всё, тут главный фактор - Время.

[Vitamin]

Очень быстро писать *****код и очень медленно писать качественные велосипеды- вещи одного порядка проблематичности.
Вот писать быстро и качественно - это показатель мастерства разработчика. Тут даже язык программирования на второй план отходит. Ибо правильно сделанный алгоритм на каком-нибудь скрипте будет работать быстрее наколенной поделки на ассемблере.

[Robus]

Очень быстро писать *****код и очень медленно писать качественные велосипеды- вещи одного порядка проблематичности.
Вот писать быстро и качественно - это показатель мастерства разработчика. Тут даже язык программирования на второй план отходит.

Прекрасное высказывание !!! Я согласен с каждым словом ... Именно такой у меня подход к работе. Да же на текущей, где меня постоянно заставляют обращать внимание на процентность ошибки в проекте. Если процент ошибки работы не привышает 15% то баг не рассматривается и не считается критичным. Именно подобное меня раздражает.
Быстро и качественно это моё стремление. Понятно, что я не гуру, но к этому идеалу я всегда стремлюсь. Но если рассматривать приоритеты то я бы их раставил так:

00000. Быстро и качественно
00001. Медленно и качественно
65535. Быстро и говёно ИЛИ медленно и говёно

Ибо правильно сделанный алгоритм на каком-нибудь скрипте будет работать быстрее наколенной поделки на ассемблере.

А что делать с правильным алгоритмом на ассмеблере ??? Эти "правильные" алгоритмы на скриптах кишат везде, и они меня за время работы так уже задрали, что моя любимая команда на СЯХ перед такими обработчиками скриптов стала - "//". А особенно в OpenRG, ссори, просто наболело, и от слова скрипт начинает типать.

[Vitamin]

Да же на текущей, где меня постоянно заставляют обращать внимание на процентность ошибки в проекте. Если процент ошибки работы не привышает 15% то баг не рассматривается и не считается критичным. Именно подобное меня раздражает.

В принципе, нормальный подход. Отвлекаться на мелочи, когда есть более крупные проблемы преступно. Тем более что большинство мелких багов рассасываются при исправлении крупных. Другое дело когда вообще не рассматриваются низкоприоритетные баги, даже если нет более приоритетных. У нас вот цель- 0 багов в итоге, у тестеров соотвецно другое мнение

[siril]

ой песта-песта....

antiofftop: да!

[Robus]

нужно много текстов, и коротких, и длинных.

Тут 5 из 10 запакованных файлов - текстов.

[Robus]

нужно много текстов, и коротких, и длинных.

Тут остальные из 10 запакованных файлов - текстов.

[psb]

Большие это сколько ?

я имел в виду большой код. например, возьми опенофис. софтина здоровая, глючная. за сколько ты напишешь такую, если "все сам" с нуля? пока ты напишешь, остальные сделают "*****код" и продадут его.

никогда не буду гордиться той работой, которую делаю сейчас.

так и я не буду. я полностью разделяю твою точку зрения про линуксы, программеров и прочее (я сам часто точно так же ругаю то, с чем приходится работать). только не будь так категоричен и самоуверен.
во-первых, если у человека нет никаких наработок и перед ним стоит задача сделать быстро, ясен перец у него один выход - взять чье-то. если времени очень мало - то он может даже и не разобраться, че как работает. только задачу он выполнит.
а ты рассуждаешь, что у тебя уже есть наработки свои, ты их применяешь и все здорово пашет. так само собой! только плюс, если так. только на практике такое очень редко бывает.

И на поиск этих ошибок, порождённых лозунгами - "БОЛЬШИЕ проекты", уходит времени ровно столько, сколько бы ушло на "всё сам".

не надо лукавить. то, что есть в линуксе - ты бы писал сам несколько лет.
линукс хорош не только своим тцп/ип стеком, в нем много полезных хреней (если эти хрени действительно нужны). а тцп и езернет, а так же файловая система и пр. легко делаются даже на микроконтроллерах.

И этот проект сделан с максимальной дотошностью, в нём нет ни виндовса, ни линукса там ВСЁ СВОЁ.

вот как тебе сказать. ты же не будешь спорить, что делать все своё - это гораздо сложнее, нежели взять линукс и сделать на его основе? вот и я думаю, что не будешь. а согласен, что за более сложную работу надо платить больше денег? а платят? вот и результат. нет заинтересованных людей в качественном продукте, если люди заинтересованные быстро продать хрень.

Поэтому если ты хочешь сделать надёжную систему, то - только один путь - "всё сам".

есть второй путь: разобраться как работает то, на чем ты это сделал. если ты действительно досконально изучил линукс внутри, то у тебя не должно быть вопросов, а че это оно тут не так работает.
это тоже самое, как ассемблерщик ругает си, мол, непонятно, как он все скомпилирует, я теряю контроль над программой и т.п. так а что тебе мешает разобраться в компиляторе? недельку поковыряешься - больше не будет вопросов.

Моя практика показала, что именно перемешанный пак с кодировкой делает данные, не поддающиеся анализу.

а, собс-но, кто пытался твой пакер анализировать? или ты сам "просто подумал и понял"? или ты криптоаналитик?

Да же 20 байт текста я бы в сети передавал бы с еррорными пакетами.

это как? ошибки CRC? если обмен между девайсами - можешь вообще без црц делать - это дело разработчика. хакеру же твои црц по барабану.

Так ... Это уже наглость ... Такое через неделю ... Мы же договорились, что депакер и пакер не известен. Расшифрованный текст - практически ключ.

ха-ха-ха! а с чего это наглость? почему ты думаешь, что в жизни не будет известно, что за текст ты передаешь? в жизни-то как раз похакать твою кодировку еще интереснее, можно видеть что происходить, пробовать разные виды атак. а так - скучно. да и нет у меня особой уверенности, что за короткое время у меня что-то получится. я не спец, я просто балуюсь иногда.
и расшифрованный текст - это не ключ никак.

Максимум что могут сделать, это с контроллеров, непосредственно с кристалла, считать программу.

и здесь ты ошибаешься. имея в наличии такую систему можно поставить очень много экспериментов и очень многое понять именно по реакции.
кстати, однажды один чел мне рассказывал, как они в конторе, которая занимается системами охраны, делали свои приборы тоже с самовыдуманным шифрованием. вот он мне рассказал принцип, и я практически сразу придумал, как такую систему расколоть просто снифая траффик. а у них там в системе был "типа ключ" 256 байт))
и вот с некоторых пор я не верю в псевдошифрование.

ты, конечно, молодец, тексты выложил, но мы не договорились. за неделю я 100% ниче не успею, а больше никто браться не будет. щас конец года, на работе завал.
ну и плюс к тому, абсолютно ничего не известно про исходные данные.