Hlavní navigace

Názor k článku Webové aplikace s sebou přinášejí různě závažná rizika od BLEK. - Řeknu třeba příklad: nepoužívám AES, používám Serpent, protože...

  • Článek je starý, nové názory již nelze přidávat.
  • 30. 7. 2010 22:29

    BLEK. (neregistrovaný)
    Řeknu třeba příklad: nepoužívám AES, používám Serpent, protože na Serpent není žádný známý útok, zatímco na implementaci AES je ( http://www.wisdom.weizmann.ac.il/~tromer/papers/cache.pdf ).

    Nicméně kdybych byl v nějaké instituci, musel bych používat AES, protože AES je standard. Komise vybrala AES mimo jiné i na základě toho, že je „rychlý“, ale jaksi se zapomnělo na to, že ta rychlá softwarová implementace je nebezpečná na víceuživatelských počítačích.

    Není technický problém použít Google a Wikipedii a najít šifrovací algoritmus, vůči kterému nejsou žádné slabiny (není na to potřeba formální metrika, prostě si stačí útoky na jednotlivé algoritmy vyhledat). Ale kdyby to takhle bezpečnostní expert dělal, tak rychle skončí na dlažbě. Musí se řídit normami, i když jsou ty normy špatné (AES).

    Ze stejného důvodu např. spousta bank používala DES, i v době, kdy bylo známo, že je prolomitelný (asi se nestalo, že by je kvůli tomu někdo vykradl, ale jednou se stalo, že banka prohrála soud, protože u soudu bylo dokázáno, že DES prolomit lze, a tedy určité důkazy nebyly uznány).