Почти год назад (6 апреля 2011) вышел новый федеральный закон об электронной подписи (ЭП) — N 63-ФЗ «Об электронной подписи» взамен старого ФЗ №1-ФЗ от 10.01.2002. Когда старый закон отменили, многие вздохнули с облегчением, уж больно он был неподъемен для коммерческого сектора. Теория и практика обращения с ЭП в этом топике. Читать полностью »
Рубрика «криптография» - 111
Электронная подпись простыми словами
2012-03-27 в 8:47, admin, рубрики: информационная безопасность, криптография, минкомсвязь, ФСБ, ЭП, метки: минкомсвязь, ФСБ, ЭПТоргуем титульными знаками Bitcoin
2012-03-24 в 10:07, admin, рубрики: bitcoin, cryptography, валютная биржа, информационная безопасность, криптоанархизм, криптография, платежные системы, метки: bitcoin, cryptography, валютная биржа, криптоанархизм 
Я по известным причинам являюсь изрядным поклонником теории криптоанархизма, и появление и развитие анонимной децинтрализованной валюты Bitcoin особенно вдохновиляет меня. Но в последнее время один за другим произошло несколько неприятных инцендентов, которые в целом снижают доверие людей к данной валюте:
habrahabr.ru/post/122350/ Фонд Электронных Рубежей объяснил, почему прекратил принимать Bitcoin.
habrahabr.ru/post/136130/ и habrahabr.ru/post/136130/ Qiwi блокирует кошельки пользователей Bitcoin
habrahabr.ru/post/138153/ Bitcoin: первая волна банковского давления (MasterCard)
habrahabr.ru/post/139314/ Взломаны cервера на Linode, украдено около 50K BTC ($250K). Подвержены атаке: Bitcoinica (потеряла более 43 000 биткойнов клиентских денег), чешский майнинг пул slush, и др.
Все это вызвало мое беспокойство, Ведь создается ощущение, будто бы надежно обменять кибервалюту на денежные знаки какой-либо страны стало невозможно. Но, являясь неутомимым энтузиастом, я, чтобы доказать себе и другим, что не все так плохо, решил сделать небольшой любительский обзор существующих на данный момент бирж и обменников. В первую очередь меня интересовало, появляются ли новые торговые площадки, что косвенно свидетельствет о продолжении процесса развитии bitcoin-движения.
Читать полностью »
Почему сеть Фейстеля работает? Объяснение «на пальцах»
2012-03-21 в 10:21, admin, рубрики: криптография, шифрование, метки: шифрование 
В продолжении статьи про blowfish хотелось бы поговорить про его основу — сеть Фейстеля. Люди «в теме» слышали про неё не одну сотню раз — эта сеть используется в подавляющем большинстве блочных шифров. Но вот вам, только честно, что нибудь понятно из картинки справа? Ну, допустим в одну сторону(шифрование) понятно, а обратно?
Если нет, то прошу под коврик
Читать полностью »
На пути к Skein: просто и понятно про Blowfish
2012-03-21 в 1:05, admin, рубрики: blowfish, bruce schneier, Алгоритмы, защита информации, информационная безопасность, криптография, метки: blowfish, bruce schneier, защита информации, криптография 
«От желудка иглобрюхих рыб отходят мешковидные выросты. При появлении опасности они наполняются водой или воздухом, из-за чего рыба становится похожой на раздувшийся шар
с торчащими шипиками. Шарообразное состояние делает рыб практически неуязвимыми. Если всё же достаточно крупный хищник попытается проглотить такой шар, то он застревает
в глотке у хищника, который впоследствии умирает»
К концу 1993 года в мире криптографии возникла очень неловкая ситуация. Алгоритм симметричного шифрования DES, со своим слабеньким 56-битным ключом, был близок к фиаско, а существующие на тот момент альтернативные варианты, такие как Khufu, REDOC II, IDEA были защищены патентами и не доступны для свободного использования. Алгоритмы RC2 и RC4, разработанные в то время компанией RSA Security, также требовали проведение процедуры лицензирования. И в целом, индустрия криптографии в рамках государственных организаций и крупных корпораций была обращена в сторону использования секретных алгоритмов, таких как Skipjack.
Возник определенный ваккум. Необходим был алгоритм шифрования, более криптостойкий нежели отмирающий DES, и в то же время без каких-либо ограничений на право своего использования.
И он появился.
Читать полностью »
Шустрый 128-битный LFSR (MMX required)
2012-03-16 в 11:19, admin, рубрики: Алгоритмы, генератор случайных чисел, защита информации, криптография, метки: генератор случайных чисел, защита информации, криптографияСлучайные числа — темная лошадка обеспечения механизмов безопасности в цифровой среде. Незаслуженно оставаясь в тени криптографических примитивов, они в то же время являются ключевым элементом для генерации сессионных ключей, применяются в численных методах Монте-Карло, в имитационном моделировании и даже для проверки теорий формирования циклонов!
При этом от качества реализации самого генератора псевдослучайных чисел зависит и качество результирующей последовательности. Как говорится: «генерация случайных чисел слишком важна, чтобы оставлять её на волю случая».
.png "Шустрый 128 битный LFSR (MMX required)")
Вариантов реализации генератора псевдослучайных чисел достаточно много: Yarrow, использующий традиционные криптопримитивы, такие как AES-256, SHA-1, MD5; интерфейс CryptoAPI от Microsoft; экзотичные Chaos и PRAND и другие.
Но цель этой заметки иная. Здесь я хочу рассмотреть особенность практической реализации одного весьма популярного генератора псевдослучайных чисел, широко используемого к примеру в Unix среде в псевдоустройстве /dev/random, а также в электронике и при создании потоковых шифров. Речь пойдёт об LFSR (Linear Feedback Shift Register).
Дело в том, что есть мнение, будто в случае использования плотных многочленов, состояния регистра LFSR очень медленно просчитываются. Но как мне видится, зачастую проблема не в самом алгоритме (хотя и он конечно не идеал), а в его реализации.
Читать полностью »
К вопросу о безопасности, или зачем вообще хранить пароли
2012-03-15 в 9:17, admin, рубрики: авторизация, Алгоритмы, безопасность, Веб-разработка, криптография, пароли, хеширование, метки: авторизация, безопасность, пароли, хеширование Переодически встречаю статьи про способы хранения паролей, например сегодня. И хочу предложить свой способ.
В статье используется MD5, можно взять любое другое хеширование.
Общие рассуждения
Когда передо мной встала задача авторизации пользователей, я пришел к выводу что хранение паролей, в любом виде, недопустимо. Ни в открытом виде, ни в виде хеша, кроме того недопустима передача пароля в открытом или хешированном виде по сети, при авторизации пользователя на сайте. Причины просты:
- передачу пароля можно перехватить (троян, обезьяна в середине)
- базу с паролями могут украсть, и расшифровать
Криптография / Крипто-шифр «пасьянс»
2012-02-27 в 20:11, admin, рубрики: криптография, обратная связь, шифр, метки: криптография, обратная связь, шифрАлгоритм поточного шифрования SOLlTAlRE (ПАСЬЯНС) предложен Б. Шнайером в 1999 г. Шифр до безумия красив и я не понимаю, почему на Хабре его еще никто не осветил. Неужели никто не читал «Криптономикон» Стивенсона? Собственно после прочтения книги не могу пройти мимо сего чуда.
Из теории, это поточный шифр с обратной связью по выходу. Из поточности следует, что каждому символу изначальной последовательности будет соответствовать символ зашифрованной. Для тех, кто не знает, к примеру, существуют еще блочные шифры, в них шифрование происходит блоками (несколькими байтами или символами). Далее существует очень много видов сцепления блоков текста иЧитать полностью »