Názory k článku Postřehy z bezpečnosti: rootkit Curing ukazuje slabiny detekce
-
NUKIB upozorňuje na metodu „harvest now, decrypt later“…
Já se přiznám, že kvantové počítače jsou asi první „ajtý věc“ v mém životě, která se vymyká mému chápání světa. Ale pokud je mi známo, nějaké takové kvantové stroje už existují. Může mi někdo, kdo tomu opravdu rozumí, vysvětlit, proč ještě nedošlo k tomu prolomení dnešních šifer, o kterých se pořád říká, že „v budoucnu bude možné je prolomit“? To tu ještě ta budoucnost s těmi kvantovými počítači není? A kdy asi tak očekáváte, že bude a proč až tehdy? Vždy, když se hovoří „o těch kvantových počítačích“, tak slýchám věci jako že „úlohu, kterou by dnešní superpočítače řešily kombajnmilion let, kvantový počítač vyřeší za pár minut“ (nebo tak nějak, možná sekund, nevím, tenhle drobný detail v obmyšleném měřítku nehraje roli).
Mně to totiž připadá, že s těmi kvantovými počítači se někde něco zadrhlo a stále nám k tomu chybí něco, co neumíme překonat, jinak už by ty šifry byly dávno prolomeny a byli bychom se slavným současným šifrováním reálně v háji. A to ještě jaksi nejsme, aspoň jsem nic takového nezaznamenal.
Berte mě jen jako takového zvědavého invalidu Karáska, který se prostě jen snaží zjistit, co to sakra ti vořeši melou.5. 5. 2025, 18:55 editováno autorem komentáře
-
Protože na realistický kvantový počítač, schopný dekryptovat, potřebujete cca milion q-bitů, zatímco dnes se pohybujeme v stovkách, a škálovatelnost není jen otázka kvantitativní, ale i kvalitativní (ty qbity potřebujete entanglované, takže to fakt není postavit 10000x to samé a počítat paralelně).
Jinak řečeno, pořád to není jen o otázce kdy, ale spíš jestli. Obor se posouvá, to ne že ne, ale ty chybějící 4 řády je mnohem víc než málo.
(A vyplatí se brát články o průlomech s velkou rezervou, zatím pokaždé platilo, že cokoli hlásalo průlom byl hype nebo desinformace - viz v poslední době třeba ty Microsofti Majoranovy qbity, o kterých se psalo i tady.)
5. 5. 2025, 19:39 editováno autorem komentáře
-
Ale pokud je mi známo, nějaké takové kvantové stroje už existují.
Zatím stále velký hype, bublina a marketing. Je to extrémně drahé i na provoz a skoro nic to neumí.
To tu ještě ta budoucnost s těmi kvantovými počítači není?
Ne není, protože i na faktoring čísla 15 na 3*5 potřebuješ minimálně kapalný dusík, helium je lepší a to je drahé samo o sobě. Vůbec nemusíme diskutovat o tom, kam to helium naliješ aby se ti okamžitě nevypařilo a už vůbec ne o tom, jak těch 5 quibitů pro ten jeden triviální výpočet vyrobíš. Už jen tohle stojí na koruny miliony a o to helium přijdeš do několika dnů. I obyčejné kryostaty s nic moc magnety na UPOL jsou drahé jako prase právě kvůli tomu heliu a pokud možno jeho chlazení a zabránění únikům. U prachobyčejní elektromagnet na 10T je drahej a je na UPOLu jeden a druhej je v dusíku a umí 2T, což umí i obyčejný velký železný elektromagnet klidně doma do zásuvky na 230V a pár watů. 10T není nic moc extra, ale už to je problém uchladit nějak trvale pro delší provoz, než jeden impuls.
Mně to totiž připadá, že s těmi kvantovými počítači se někde něco zadrhlo a stále nám k tomu chybí něco, co neumíme překonat, jinak už by ty šifry byly dávno prolomeny a byli bychom se slavným současným šifrováním reálně v háji.
Viz výše, ty "kvantové startupy" horko těžko zaujmou reklamou, když to skoro nic neumí a je to drahé i pro zakázkové výpočty pro studenty. Kde se ty výsledky navíc ještě cachují na obyčejném levném PC serveru, aby se náhodou nemuseli počítat vícekrát, když se jim to v laborce už 3x povedlo. Ten šum je obrovský a pokud ten kvantový počítač dá 10x stejný výsledek a je skutečně správně, tak je to stále skoro na nobelovku.
-
DannyStříbrný podporovatelZ druhe strany - je ale dobre, ze se neceka, az to fakt bude fungovat a k opevnovani algoritmu dochazi s predstihem. Vesmes se resi ta asymetricka cast, co se pouziva pro vymenu klicu pouzitych pro symetricky AES (tzn. relativne male payloady - ale soucasne nejzranitelnejsi). A ze to muze byt drahe, co by nektere sektory trapilo...
Aneb, kdo je pripraven, neni prekvapen. Historie pamatuje spoustu jinych algoritmu, ktere byly povazovane za neprolomitelne a cas nejak ukazal opak. Minulost byla spise az aktivni reakci na prulom a nikoliv preventivni pripravou...
-
Jo, to každopádně, ale ukazuje se, že stačí triviálně zvětšit RSA například na 65536, algoritmus máš, spočítá se to rychle i na obyčejném ARMu za pár sekund a kvantové počítače, které by tohle dokázali nejsou vůbec ani v teoriích a oni náhodou ve vývoji a to i ta reklama je 100x nadsazená.
Aktuální velikost prvočísel ještě hodně dlouho neohrozí vůbec nic a RSA-4096 byla triviální záležitost už od vynálezu RSA samotného. Ok, tehdy se to možná počítalo minuty, dneska pár ms jakkoliv velký klíč, který ti ten software dovolí. A to, pokud vím, běžně dostupný RSA-8192 vůbec není ani ve FIPS ani v EU standardech. Stále je vysoce bezpečné a dostupné RSA-4096 a zvládne to levou zadní mobil za tisícovku v appce do banky. AES-256 vůbec kvantově ohrožený není, RSA-4096 se refaktorovat na PC nedá ani za miliony dolarů (RSA vyhlašuje soutěže za velmi vysoké odměny, takže pokud máš doma pár milionů Threadripperů, tak zítra dostaneš pár mega a poletíš na dovolenou kam chceš).
Kvantovka reálně neohrožuje vůbec nic a až konečně půjdou koupil v Lídlu k deseti rohlíkům zadarmo jako bonus, tak prostě doma nastavíš RSA na max a jsi naprosto na 100 let v klidu. A jestli máš vnuky, tak ti můžou být 50 let v klidu.
-
To už je ty lepší Erathosteny (cca 2000 let stará technologie, tehdy bez papíru) jsou dneska tak rychlé, že generovat 500 cifer dlouhá celkem dobře zaručená prvočísla je doslova na pár sekund a vynásobit je je z DECIMAL přesnými datovými typy v nejhorším pár set mikro sekund. V HW to je a v nejhorším simulace to umí taky, těch pár instrukcí navíc to nezpomalí. Klidně i to cc oslavované AVX-512 se dá simulovat na 64b integeru, dneska je v každé ARM hračce za 500Kč tolik jader, že ten SIMD kód taky ztrácí význam a Ampere 128 cores si koupíš za jednu výplatu. Kdy ti to přivezou, to nevím, to nevědí ani oni.
Takže příprava ano, klidně si do zásoby vygeneruj pár tisíc prvočísel a používej do konce života. Ten ARM můžeš dát v pondělí na bazoš a budeš mít na limonádu na měsíc dopředu.
-
Já tohle takhle řeším celý život. Nejsem moc dobrý matematik ani programátor, ale koupit si domů na hraní třeba i 6 ryzenů 5 vyjde opravdu do 20tis. Kdo chce mít doma na síti 128 jader, tak ať si objedná Alza box a zítra to může postavit na levném switchi za 3 stovky a potom programovat klidně single thread v pythonu a udělat z toho 128 systemd unit na 6 strojích. Opravdu za jedno dopoledne postavené, v neděli u ranní kávy naprogramované a to že je to pomalé je vlastně úplně jedno a na AVX assembler prostě stačí zapomenout. Ty integer ALU jsou super výkonné a parallelizace totálně masivní na čemkoliv (ARM, RISC-V, klidně syntetizované na FPGA), zpomal si to čím chceš a stejně dostaneš prvočísla tak velká, že se z toho velkému Kvantovi bude točit hlava ještě v příštím tisíciletí. Ono udělat jeden refaktoring jednoho čísla o velikosti 15 je sice na Turingovu a nobelovu cenu, ale přesně tehdy se to taky reálně zastavilo. Turing spí a nobelovky se mezitím dávají za kraviny typu LED dioda a na nějakého génia to podle YT a Arxis vůbec nevypadá, všechno důchodci, kteří si hrají (třeba Peterson a jeho kámoš s RISC-V) moc pěkná hračka pro dnešní mladé, to každopádně, ale to byl Sinclair taky a ten chlap už je dávno mrtvej. Frekvence jsou na max a fyzikálně se tam nedá dělat nic jiného, než z drahého křemíku vyrábět co nejvíce co nejmenších jader. Proto RISC architektura, překladače na to jsou a klidně si to napiš v Rustu se svými LGBT+ kámošema. Pěkná zábava za pár kaček, všechno dostupné a v podstatě zadarmo (dokumentace a videa potom zcela zdarma). I tady v česku od pana Píši a Tišnovského. Všechno máš v češtině a za pár korun si postavíš Cluster na hraní, jak ukazuje Jeff Gearling. I a Ansible a pěknými ale zbytečnýmy grafy na dotykové obrazovce. Lepší příležitost pro levné super počítače nikdy nebyla, stačí 100mbps switch zadara a pár Rpi a hned máš zadarmo desítky jader propojených celkem ucházející sítí. Spotřeba 50W na supercluster.
-
DannyStříbrný podporovatel
Rozdil mezi EC a RSA je na vykonu porad preci jen poznat. I kdyz je rec o milisekundach, tak k 8k RSA komparativni EC je proste rychlejsi. I u PQC je to o hledani kompromisu, ktere to i oproti EC zase bezpecnostne posouvaji (a aktualne tlacene algoritmy si EC dokonce v sobe drzi jako fallback).
Ad "nikoho neohrozuje" - vsak ano, zatim. Ta diskuze je o tom, ze ohrozit muze. Stejne tak se kdysi zpocatku nepovazovaly za mozne riziko kolize u MD5 ci SHA1, ale cas nam v case ukazal, ze to pru.er je ;-)
-
No to se teda považovali, to věděl úplně každý. 112b není nic moc, dneska mám v každém jádře 6x 64b integer ALU a i když to bude zadara CPU na 2GB, tak je to pořád 10^9*6*8 jader. Platíš jen "drahou" elektřinu a to i ten 2xXeon co tady mám na hraní, žere pouhých 250W (bez regulace čehohliv, to v tom DELL Power Edge 2U prostě ani není) a 12 core na 2.5GHz ti stejně udělá hezkých a ECC přesných pár miliard 64b za sekundu. A to se vědělo i na 486 s jednou ALU na 100MHz, že 112b je zcela na nic.
-
Ono není 112b a 112b. Hlavní problém jak SHA1, tak mnohem hůř MD5 je v tom, že lze generovat kolize mnohem rychleji, než odpovídá brute-force, jinak by na spoustu věcí (snad až s výjímkou digitálního podpisu na nějaké smlouvě, která není čistě v TXT apod. na prakticky cokoli) by bylo dostačující do dnes.
Ale pak to chce řešit case by case, jestli potřebujeme asi nejtěžší preimage attack, nebo pro kompromitaci stačí vygenerovat jakoukoli kolizi apod. a pak, jaký na to máme čas (něco jiného je mít měsíce na vygenerování dvou smluv , které se liší částkou, v nějakém bordelformátu kde je dost míst na výplň, nebo to samé v TXT kde už možností manipulace tolik není a ani s započtením birthday paradoxu prostě je šance na nepodezřele znějící dokument mizivá, a úplně něco jiného je vygenerovat stejný HMAC pro paket, co jinak během jednotek sekund stejně vytimeoutuje) -
To já vím, ale pokud má něco 112, tak je mi celkem jedno, jak moc dobrých 112b to je, když mám CPU ze smetiště, který má 6*8*2^64 instrukcí za sekundu. Což je 2*3*4*2*64=15 000 mld instrukcí za sekundu a tolik dat se stejně nedostane z toho CPU ani do ram, natož na Internet.
Takže v L1+L2 cache si spočítáš 2^(9*64*4*6) bitů za 1s, což je 13824b/s. 112b byl opravdu výsměch v době 486 a lidem jako čechům jako Rosa a hlavně Klíma se prostě nechtělo čekat. :-) Ale že je to málo se vědělo už když se to v době studené války dávalo do exportovaných standardů. To už se vědělo v době 56b DES, že na to stačí jen dostatek tuhy a trochu větší papír a jedno volné fotbalové hřiště. 2^cokoliv menší než 256 je pro první třídu za domácí úkol na papír krasopisem do pátku a babička nepůjčí počítadlo :-DDD.
-
Jinak ta čísla mám samozřejmě blbě, prostě 5GHz frekv je 5*10^9, tedy cca 2^32 * 8 jader * 6 ALU per jádro * 64 = 98Tbit/s=12GB/s, takže tohle se do RAM dostane (ale s velkou latencí*)! Můj první Core procesor z roku 2010 měl v benchmarku 88Gflops, takže jsem se nespletl a grafika z roku 2016 za 200dolarů (tehdy) měla 5TFlops v pixelech. Což je ale Float a 100x rychlejší integer je dnešní realita.
*) Takže klidně lze argumentovat o kvalitě 112b, to ti neberu, ale je to na počkání se na kvalitu prostě vykašlat. 2^112 - 2^98 = 2^14 sekund = 4.5h bez chytrystiky a těžké algebry. To se ani nemusí ukládat do rainbow tables, když mi dáš 10 000 MD5, tak to 5 hodin má 10 tis kolizí MD5 tou nejhloupější metodou.
-
2^112 - 2^98 = 2^14
Poznámka, je jasné, že tohle je matematicky špatně! Ale já počítám bity, což je vyjádřeno tím 2^ , prostě za sekundu je to 240 000 000 000 bitů! 112b je dekadicky obrovské číslo, ale vydělte si to rychlostí a počtem ALU a jader a sekundama a jste o 5 řádů níž každou hodinu! 5*5 = 25 řádů! Do 10h jste na 50% šance a dle narozeninového paradoxu je kolize už téměř jistota!
-
Proto, bez ohledu na moje chyby způsobené presycení kofeinem přidáním pár bitů dostanete exponenciální nárůst náročnosti, zatímco frekvence cpu je už 15 let konstantní! A počet jader na dvourozměrné ploše také roste spíše lineárně a ne alespoň kvadraticky! Takže exponenciála té přímce zdrhne každým jedním bitem.
A neexistence qubitů znamená, že nic lepšího než hromadu procesorů stejně není a nebude a ani ten RISC-V není tak malý, abych si ji CIA nebo FBI nebo BIS koupila miliardy k rohlíkům v lidlu, protože křemík je sice na každé pláži, ale továren spíše ubývá a high tech jsou jen dvě a Intel se snaží udržet alespoň 10 let starý proces! Takže moje slavná hypotetická AES-1024 tady bude tak dlouho, než nenaklonují mrtvého Turinga a ten nepřijde na to, jak to rozmlátit silou. Proto mám tak moc rád SHA-3, která je interně 1600b!!! (Což je hash a ne šifra, ale brute force neprolomitelná do konce života vesmíru.)
-
Proto tady tak "blbnu". Práci mám totálně low level, mozek je 90% stavu v C-Power off, a ty poznámky píšu sem, abych je náhodou automaticky svalovou pamětí nevymazal. Teď budou 4 dny volna, já mám co jíst, mám peněz, že jsem si zakázal cokoliv kupovat, stačí mi klávesnice a monitor a za víkend v klidu, bez kofeinu a nikotinu zpracuju všechny komentáře od ledna, protože svaly a klouby jsou a jsou moc rádi, že nemusí tahat zbytečná kila navíc a na úřadě jsou moc rádi že mají tiskárny, které přestárlý personál neunese a já si tam tisknu co chci bez ptaní. Klidně to zaplatím, peníze mám, ale potřebuju 4 dny bez kofeinu a těch pár poznámek od ledna bude ve formě pěkného českého článku jak pro kolegy v práci, tak na internetu. Anonymně, ozdrojované odkazy na wiki a pokud možno i do Arxiv! Všechno mám i na papíře, mozek se přepne na Power On a pomalu to napíšu. Děkuji. Potom to klidně smažte. A ukliďte na rootu, pokud tohle vadí (minimálně to množství komentářů, což chápu, že otravuje všechny).
-
Filip JirsákStříbrný podporovatelDES ani MD5 nejsou dnešní, MD5 není šifra a DES ani MD5 nejsou prolamovány kvantovými počítači.
-
Tak kdyz oni soudruzi v MS zasadne neumej nic lepsiho. Trebas na ten ipsec se ti widle bez dalsiho nepripojej a to ani 11tky. Kdyz si na jednu stranu postavis trebas strongswan a na druhou widle, oboji v defaultu, tak se to nespoji.
Pokracovat muzes treba .NETtima aplikacema. Ty jsou na tom vlastne jeste lip, protoze kdyz na serverech vypnes TLS 1.0/1 ... tak se nepripojej.
Mno a kdybys dostal ten napad, ze na widlich zakazes TLS 1.2, tak ti ani nenastartujou.
Ale nemusis zustavat jen u widli. To treba takovej battlenet, tak na ten se neprihlasis, pokud nepodporujes usecure sifrovani (v tomhle konkretnim pripade sifry s SHA).
A jak sem napsal vejs, ty krabky co pres ne posilas karetni transakce, pouzivaji DES a MD5. Vubec se za to nestydej, kdyz si nechas vypsat konfiguraci tak ti to prasknou.
Jinak receno, velice casto je situace takova, ze muzes data xorovat nebo dratem do oka, vyber si.
