forum.opennet.ru

"Уязвимость в реализациях постквантового алгоритма шифрования Kyber"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Уязвимость в реализациях постквантового алгоритма шифрования..."	+/–
Сообщение от Аноним (41), 10-Янв-24, 11:24
На правах первой идеи пришедшей в голову... ... flag = 0; for (i = 0; i < 100; i++) { flag += (input1[i] ^ input2[i]); // input1[i] XOR input2[i] == 0 on match. } if (flag != 0) { FAIL! } Заметьте: 1) в core loop нет условных бранчей, на процах с бранчпредиктором это важно 2) нет зависимости поведения от входных данных, всегда жует 100 байтов хоть что. 3) вердикт выносится после проверки всей чушки "от и до" а математика по всей площади одинаковая. После этого момента времянки уже не важны - цель срубить итеративный анализ поведения побайтово. В этом смысле идея в том что core loop всегда должен работать одно и то же время. В нем по задумке только (регистровая) математика. Disclaimer: 1) я не считаю себя профессиональным криптографом. 2) это иллюстративный псевдокод на тему.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в реализациях постквантового алгоритма шифрования Kyber, opennews, 09-Янв-24, 20:54 [смотреть все]

Ну это в реализации, это не считово , Аноним, 09-Янв-24, 20:54 (1)
Криптография - это такая область где скорость процессоров порой только мешает , InuYasha, 09-Янв-24, 21:03 (3) //
- При чем здесь скорость процессора Проблема в разном наборе операций в конкретном, Карлос Сношайтилис, 09-Янв-24, 22:30 (7) //
  - Бред Никакого отношения к данной уязвимости компилятор не имеет , qetuo, 11-Янв-24, 01:38 (69) //
    - как раз таки именно компилятор и имеет Авторы Kyber прекрасно знали, что деление, Аноним, 12-Янв-24, 08:03 (81)
- Вон то совершенно не зависит от скорости проца Только от факапов с зависимостью, Аноним, 10-Янв-24, 00:12 (13) //
  - В данной уязвимости нет логического ветвления, Карлос Сношайтилис, 10-Янв-24, 01:27 (17) //
    - там есть деление с приватной частью ключа, которая выполняется с разной скорость, penetrator, 10-Янв-24, 03:28 (26)
    - А какая разница какие там ветвления В формулировке этого класса вулнов не прису, Аноним, 10-Янв-24, 10:18 (39)
  - а флагои ZF и CF в 0 или 1 разве за константное время , Sw00p aka Jerom, 10-Янв-24, 03:39 (27)
  - а где пример трушного кода nooby негодует , Sw00p aka Jerom, 10-Янв-24, 04:01 (30) //
    - На правах первой идеи пришедшей в голову code flag 0 for i 0 i 10 , Аноним, 10-Янв-24, 11:24 (41)
      - Как вариант улучшить тело цикла code flag flag 124 input1 i input2, Аноним, 10-Янв-24, 12:13 (45)
        
        Эм в принципе может быть рассмотрен как условный оператор, кто б его там з, Аноним, 10-Янв-24, 13:05 (47)
        
        Но 124 всё равно логично использовать вместо , чтобы переполнение в ноль б, Аноним, 10-Янв-24, 16:22 (56)
        
        По своему прикольный ход мыслей, спасибо Впрочем, переполнение можно рубануть и, Аноним, 10-Янв-24, 19:31 (59)
        
        p s кстати бонусом - кажется ЭТО еще и к rowhammer относительно устойчиво Чтоб, Аноним, 11-Янв-24, 16:08 (77)
      - а зачем это, зачем делать константой количество циклов, в вашем примере главное , Sw00p aka Jerom, 10-Янв-24, 20:54 (66)
        
        Чтобы не утекать никакой полезной информации атакующему А вы что подумали В том, Аноним, 11-Янв-24, 15:37 (75)
        
        1 значение константное, уже утекло знание, что input или равен меньше этой конс, Sw00p aka Jerom, 11-Янв-24, 16:53 (78)
        
        Атакующий чаще всего знает лимиты И даже если это новое знание, круто, знаете ч, Аноним, 11-Янв-24, 19:56 (79)
        
        Кстати говоря вспомнил что DJB в своих алго любит такое для относительно мелких , Аноним, 11-Янв-24, 20:22 (80)
        
        конопатить лучше на асм, что там наконопатит компилятор языка Х - тайна , а про, Sw00p aka Jerom, 12-Янв-24, 23:34 (86)
        
        Убивает портабельность и читаемость кода - something to avoid в общем случае И , Аноним, 14-Янв-24, 15:29 (88)
        
        ну вот, собственно ясно , Sw00p aka Jerom, 14-Янв-24, 16:57 (89)
        Ну дык Мне асмовый выхлоп прочекать там где оно реально важно, 1 раз на версию , Аноним, 14-Янв-24, 23:26 (90)
        https git kernel org pub scm linux kernel git torvalds linux git diff include , Sw00p aka Jerom, 14-Янв-24, 23:41 (91)
        Ответил в другом топике где вы спросили то же самое Struct в си - они как бы поч, Аноним, 15-Янв-24, 01:45 (92)
        лол, кек - выходит это ассемблерщикам надо понимать и помнить, что есть память, Sw00p aka Jerom, 15-Янв-24, 02:46 (93)
  - Ваш код содержит синтаксические ошибки Кроме того - вот оно Если массивы были , Аноним, 10-Янв-24, 06:59 (34) //
    - man псевдокод , он не обязан совпадать с существующимм ЯП, только иллюстрироват, Аноним, 10-Янв-24, 10:32 (40)
    - нужно корректно освободить память после завершения процедуры, в том числе при ав, Коммуникатор, 12-Янв-24, 09:12 (85)
- Криптография - это такая область, где скорость процессоров компенсирует неудачны, Аноним, 12-Янв-24, 09:09 (84)
Я сталкивался с тем, что в геометрии деления - ноно, всё что угодно только не де, Аноним, 09-Янв-24, 21:40 (4) //
- причем тут геометрия - устройство деления всегда дольше отрабатывает чем наприме, anonymous, 10-Янв-24, 00:50 (15) //
  - В геометрии с делением проблема не со скоростью, а с тем, что деление не являетс, Аноним, 10-Янв-24, 14:11 (52) //
    - Наркоман Действительные числа никак не помогают справляться с точками разрыва, Аноним_2го_Рода, 10-Янв-24, 20:14 (64)
Уже исправлена в Zig Интересно как безопасные языки решают эту проблему В zi, Витюшка, 09-Янв-24, 21:51 (5) //
- Ради интереса, кроме шифрования это где-нибудь полезно , Аноним, 09-Янв-24, 23:11 (8) //
  - при майнинге битка гарантированно будешь обнаруживать блок каждую секунду, Аноним, 09-Янв-24, 23:23 (9)
  - Отвечу за анонима выше, возможно real-time что-нибудь , Аноним, 09-Янв-24, 23:26 (10) //
    - а чем алгоритм, с асимптотой O n допустим, отличается в реалтайие и не реалтайи, Sw00p aka Jerom, 10-Янв-24, 05:06 (32)
      - В реалтайме нас может волновать точные предсказуемые времянки И иногда отработа, Аноним, 10-Янв-24, 11:46 (43)
- А где оно есть, если ишью еще открыта , Аноним, 10-Янв-24, 01:21 (16)
- Только в zig ее поправили как и в остальных реализациях, изменив выполняемые опе, Вы забыли заполнить поле Name, 10-Янв-24, 02:12 (19)
- так как и в сях, заменив деление умножением явно, penetrator, 10-Янв-24, 03:48 (28)
- А как это поможет, если в делении ветвлений нет, а скорость выполнения разная Бу, Аноним, 10-Янв-24, 20:31 (65)
- если ты про раст, то очень просто допускают CVE, получают репорт, исправляют, н, Аноним, 12-Янв-24, 08:39 (82)
DJB всё не даёт покоя что кто то пользуется алгоритмами которые не он создал Вот, Ivan_83, 09-Янв-24, 23:27 (11) //
- Покажи ему уязвимости в его алго в ответ, хренли С RC4 такие господа уже довысту, Аноним, 10-Янв-24, 00:19 (14)
Что оригинальный код, что патч https github com pq-crystals kyber commit dda2, Аноним, 09-Янв-24, 23:30 (12) //
- Почему это хак , Вы забыли заполнить поле Name, 10-Янв-24, 02:15 (20) //
  - Потому что сишный код имеет очень далёкое отношение к тому, что реально будет вы, Аноним, 10-Янв-24, 02:55 (23) //
    - Нужно на ассемблере писать А нет, там не пойдет, там же спекулятивные вычислени, Аноним, 10-Янв-24, 04:58 (31)
    - А memory-mapped IO как до сих пор работает В сях есть возможность сказать компи, Аноним, 10-Янв-24, 09:53 (38)
      - И какое отношение имеет дизассемблерный псевдокод к тому что исполнится на желез, Аноним, 10-Янв-24, 13:28 (49)
        
        Этот код имеет прямое отношение к Ну да, для MMIO на умном процессоре этого мал, Аноним, 10-Янв-24, 16:07 (55)
    - Булшит Как правило си это довольно тонкий shim над железом И аккуратно сделанн, Аноним, 10-Янв-24, 12:06 (44)
      - Вот это точно булшит Сам придумал, или вдохновился классической книжкой Кернига, Аноним, 10-Янв-24, 13:32 (50)
        
        Вдохновился програмингом фирмварей МК например Я одним си Cortex M с ноля по, Аноним, 10-Янв-24, 19:42 (60)
- это строго доказанные математические формулы, не беспокойся, Аноним, 12-Янв-24, 08:46 (83)
Почему бы раз и навсегда не закрыть данную уязвимость путём обёртки уязвимого AP, Аноним, 10-Янв-24, 02:10 (18) //
- Уязвимость в реализациях постквантового алгоритма шифрования..., Вы забыли заполнить поле Name, 10-Янв-24, 02:25 (21) //
  - Причём тут деление modinverse Я говорю об универсальной защите Функция внутри , Аноним, 10-Янв-24, 02:34 (22) //
    - Это всё прекрасно, но производители процессоров даже с криптографическими AES ин, Аноним, 10-Янв-24, 03:04 (24)
      - Какая блин разница, если можно простотвремя выполнения кода искусственно выравни, Аноним, 10-Янв-24, 03:19 (25)
        
        какого кода , опять засрали свои мозги абстракциями высочайших языков программир, Sw00p aka Jerom, 10-Янв-24, 03:55 (29)
      - В AES на структурном уровне проблема S-box это априори проблемная конструкция , Аноним, 10-Янв-24, 12:16 (46)
- Этот метод имеет две очевидные мне проблемы 1 Надо задавать время, а время зави, sidewalker, 10-Янв-24, 11:39 (42) //
  - Я не программист, но у меня такое предложение, чтобы неплохо отгородиться от тай, Аноним, 10-Янв-24, 13:54 (51) //
    - Осталось придумать как это все прикрутить в кодогенерацию компилерам , Аноним, 10-Янв-24, 19:47 (61)
      - Во время выполнения Типа собрать метрику mycrypto --getbias , и в условный et, Аноним, 10-Янв-24, 23:32 (68)
        
        Просто это получится довольно сложная и интрузивная фигня типа profile guided op, Аноним, 11-Янв-24, 15:48 (76)
  - Зависит, но мы сначала это время профилируем на локальной машине Не зависит, есл, Аноним, 11-Янв-24, 13:19 (71)
Окей, устойчивый к квантовым штукамОни мерили время выполнения на квантовом комп, Бывалый смузихлёб, 10-Янв-24, 08:53 (36)
Квантовых компьютеров не существует Их придумали лишь для того чтобы гребсти ба, Аноним, 10-Янв-24, 09:21 (37) //
- Напишите это на картонке, повесьте на шею и ходите так по улицам Найдете едином, Аноним, 10-Янв-24, 15:09 (54)
Что мешает в таких случаях просто вставлять в каждый цикл случайную задержку , voiceofreason, 10-Янв-24, 13:07 (48) //
- А потом получить узвимость из-за предсказания алгоритма случайных чисел которы, Аноним, 10-Янв-24, 14:11 (53) //
  - А потом героически исправить эту уязвимость и получить за это премию , ИмяХ, 10-Янв-24, 19:48 (62)
  - почему уязвимость, скорее бекдор, Sw00p aka Jerom, 11-Янв-24, 13:39 (74)
- Тут мешает некомпетентность коментаторов опеннета - которые видимо не в курсе чт, Аноним, 10-Янв-24, 19:53 (63)
rustpq pqcrypto pqcrypto-kyber 5 января исправление добавлено в libsignal, но в, Аноним, 10-Янв-24, 19:07 (58)
Так не честно - алгоритм для квантового компьютера, а код выполнили на распи 2 , ааноним, 10-Янв-24, 21:04 (67) //
- не для, а против , Sw00p aka Jerom, 11-Янв-24, 13:36 (72)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру