Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в реализациях постквантового алгоритма шифрования Kyber, opennews (??), 09-Янв-24, (0) [смотреть все] Ну это в реализации, это не считово , Аноним (1), 20:54 , 09-Янв-24, (1) +8 Криптография - это такая область где скорость процессоров порой только мешает , InuYasha (??), 21:03 , 09-Янв-24, (3) –4 // При чем здесь скорость процессора Проблема в разном наборе операций в конкретном, Карлос Сношайтилис (ok), 22:30 , 09-Янв-24, (7) –2   // Бред Никакого отношения к данной уязвимости компилятор не имеет , qetuo (?), 01:38 , 11-Янв-24, (69) +1   // как раз таки именно компилятор и имеет Авторы Kyber прекрасно знали, что деление, Аноним (81), 08:03 , 12-Янв-24, (81) +1   Вон то совершенно не зависит от скорости проца Только от факапов с зависимостью, Аноним (-), 00:12 , 10-Янв-24, (13) +5 // В данной уязвимости нет логического ветвления, Карлос Сношайтилис (ok), 01:27 , 10-Янв-24, (17) +1 // там есть деление с приватной частью ключа, которая выполняется с разной скорость, penetrator (?), 03:28 , 10-Янв-24, (26) +2 А какая разница какие там ветвления В формулировке этого класса вулнов не прису, Аноним (39), 10:18 , 10-Янв-24, (39) а флагои ZF и CF в 0 или 1 разве за константное время , Sw00p aka Jerom (?), 03:39 , 10-Янв-24, (27) –1 а где пример трушного кода nooby негодует , Sw00p aka Jerom (?), 04:01 , 10-Янв-24, (30) // На правах первой идеи пришедшей в голову code flag 0 for i 0 i 10, Аноним (39), 11:24 , 10-Янв-24, (41) Как вариант улучшить тело цикла code flag flag 124 input1 i input2, Аноним (45), 12:13 , 10-Янв-24, (45) Эм в принципе может быть рассмотрен как условный оператор, кто б его там з, Аноним (39), 13:05 , 10-Янв-24, (47) Но 124 всё равно логично использовать вместо , чтобы переполнение в ноль б, Аноним (45), 16:22 , 10-Янв-24, (56) По своему прикольный ход мыслей, спасибо Впрочем, переполнение можно рубануть и, Аноним (-), 19:31 , 10-Янв-24, (59) p s кстати бонусом - кажется ЭТО еще и к rowhammer относительно устойчиво Чтоб, Аноним (-), 16:08 , 11-Янв-24, (77) а зачем это, зачем делать константой количество циклов, в вашем примере главное , Sw00p aka Jerom (?), 20:54 , 10-Янв-24, (66) Чтобы не утекать никакой полезной информации атакующему А вы что подумали В том, Аноним (-), 15:37 , 11-Янв-24, (75) 1 значение константное, уже утекло знание, что input или равен меньше этой конс, Sw00p aka Jerom (?), 16:53 , 11-Янв-24, (78) Атакующий чаще всего знает лимиты И даже если это новое знание, круто, знаете ч, Аноним (79), 19:56 , 11-Янв-24, (79) Кстати говоря вспомнил что DJB в своих алго любит такое для относительно мелких , Аноним (79), 20:22 , 11-Янв-24, (80) конопатить лучше на асм, что там наконопатит компилятор языка Х - тайна , а про, Sw00p aka Jerom (?), 23:34 , 12-Янв-24, (86) Убивает портабельность и читаемость кода - something to avoid в общем случае И , Аноним (-), 15:29 , 14-Янв-24, (88) ну вот, собственно ясно , Sw00p aka Jerom (?), 16:57 , 14-Янв-24, (89) Ну дык Мне асмовый выхлоп прочекать там где оно реально важно, 1 раз на версию , Аноним (-), 23:26 , 14-Янв-24, (90) https git kernel org pub scm linux kernel git torvalds linux git diff include , Sw00p aka Jerom (?), 23:41 , 14-Янв-24, (91) Ответил в другом топике где вы спросили то же самое Struct в си - они как бы поч, Аноним (-), 01:45 , 15-Янв-24, (92) лол, кек - выходит это ассемблерщикам надо понимать и помнить, что есть память, Sw00p aka Jerom (?), 02:46 , 15-Янв-24, (93) Ваш код содержит синтаксические ошибки Кроме того - вот оно Если массивы были , Аноним (34), 06:59 , 10-Янв-24, (34) // man псевдокод , он не обязан совпадать с существующимм ЯП, только иллюстрироват, Аноним (39), 10:32 , 10-Янв-24, (40) нужно корректно освободить память после завершения процедуры, в том числе при ав, Коммуникатор (?), 09:12 , 12-Янв-24, (85) Криптография - это такая область, где скорость процессоров компенсирует неудачны, Аноним (34), 09:09 , 12-Янв-24, (84) Я сталкивался с тем, что в геометрии деления - ноно, всё что угодно только не де, Аноним (-), 21:40 , 09-Янв-24, (4) // причем тут геометрия - устройство деления всегда дольше отрабатывает чем наприме, anonymous (??), 00:50 , 10-Янв-24, (15) // В геометрии с делением проблема не со скоростью, а с тем, что деление не являетс, Аноним (-), 14:11 , 10-Янв-24, (52) // Наркоман Действительные числа никак не помогают справляться с точками разрыва, Аноним_2го_Рода (?), 20:14 , 10-Янв-24, (64) Уже исправлена в Zig Интересно как безопасные языки решают эту проблему В zi, Витюшка (?), 21:51 , 09-Янв-24, (5) –3 // Ради интереса, кроме шифрования это где-нибудь полезно , Аноним (8), 23:11 , 09-Янв-24, (8) +2 // при майнинге битка гарантированно будешь обнаруживать блок каждую секунду, Аноним (9), 23:23 , 09-Янв-24, (9) –1 Отвечу за анонима выше, возможно real-time что-нибудь , Аноним (10), 23:26 , 09-Янв-24, (10) +1 // а чем алгоритм, с асимптотой O n допустим, отличается в реалтайие и не реалтайи, Sw00p aka Jerom (?), 05:06 , 10-Янв-24, (32) В реалтайме нас может волновать точные предсказуемые времянки И иногда отработа, Аноним (39), 11:46 , 10-Янв-24, (43) А где оно есть, если ишью еще открыта , Аноним (16), 01:21 , 10-Янв-24, (16) Только в zig ее поправили как и в остальных реализациях, изменив выполняемые опе, Вы забыли заполнить поле Name (?), 02:12 , 10-Янв-24, (19) +1 так как и в сях, заменив деление умножением явно, penetrator (?), 03:48 , 10-Янв-24, (28) А как это поможет, если в делении ветвлений нет, а скорость выполнения разная Бу, Аноним (-), 20:31 , 10-Янв-24, (65) если ты про раст, то очень просто допускают CVE, получают репорт, исправляют, н, Аноним (81), 08:39 , 12-Янв-24, (82) DJB всё не даёт покоя что кто то пользуется алгоритмами которые не он создал Вот, Ivan_83 (ok), 23:27 , 09-Янв-24, (11) // Покажи ему уязвимости в его алго в ответ, хренли С RC4 такие господа уже довысту, Аноним (-), 00:19 , 10-Янв-24, (14) +3 Что оригинальный код, что патч https github com pq-crystals kyber commit dda2, Аноним (10), 23:30 , 09-Янв-24, (12) –1 // Почему это хак , Вы забыли заполнить поле Name (?), 02:15 , 10-Янв-24, (20) // Потому что сишный код имеет очень далёкое отношение к тому, что реально будет вы, Аноним (10), 02:55 , 10-Янв-24, (23) // Нужно на ассемблере писать А нет, там не пойдет, там же спекулятивные вычислени, Аноним (31), 04:58 , 10-Янв-24, (31) А memory-mapped IO как до сих пор работает В сях есть возможность сказать компи, Аноним (45), 09:53 , 10-Янв-24, (38) +1 И какое отношение имеет дизассемблерный псевдокод к тому что исполнится на желез, Аноним (49), 13:28 , 10-Янв-24, (49) Этот код имеет прямое отношение к Ну да, для MMIO на умном процессоре этого мал, Аноним (45), 16:07 , 10-Янв-24, (55) Булшит Как правило си это довольно тонкий shim над железом И аккуратно сделанн, Аноним (39), 12:06 , 10-Янв-24, (44) Вот это точно булшит Сам придумал, или вдохновился классической книжкой Кернига, Аноним (49), 13:32 , 10-Янв-24, (50) Вдохновился програмингом фирмварей МК например Я одним си Cortex M с ноля по, Аноним (-), 19:42 , 10-Янв-24, (60) это строго доказанные математические формулы, не беспокойся, Аноним (81), 08:46 , 12-Янв-24, (83) Почему бы раз и навсегда не закрыть данную уязвимость путём обёртки уязвимого AP, Аноним (18), 02:10 , 10-Янв-24, (18) // Уязвимость в реализациях постквантового алгоритма шифрования..., Вы забыли заполнить поле Name (?), 02:25 , 10-Янв-24, (21) // Причём тут деление modinverse Я говорю об универсальной защите Функция внутри , Аноним (22), 02:34 , 10-Янв-24, (22) // Это всё прекрасно, но производители процессоров даже с криптографическими AES ин, Аноним (10), 03:04 , 10-Янв-24, (24) +2 Какая блин разница, если можно простотвремя выполнения кода искусственно выравни, Аноним (25), 03:19 , 10-Янв-24, (25) какого кода , опять засрали свои мозги абстракциями высочайших языков программир, Sw00p aka Jerom (?), 03:55 , 10-Янв-24, (29) +1 В AES на структурном уровне проблема S-box это априори проблемная конструкция , Аноним (39), 12:16 , 10-Янв-24, (46) Этот метод имеет две очевидные мне проблемы 1 Надо задавать время, а время зави, sidewalker (?), 11:39 , 10-Янв-24, (42) // Я не программист, но у меня такое предложение, чтобы неплохо отгородиться от тай, Аноним (51), 13:54 , 10-Янв-24, (51) // Осталось придумать как это все прикрутить в кодогенерацию компилерам , Аноним (-), 19:47 , 10-Янв-24, (61) Во время выполнения Типа собрать метрику mycrypto --getbias , и в условный et, Аноним (68), 23:32 , 10-Янв-24, (68) Просто это получится довольно сложная и интрузивная фигня типа profile guided op, Аноним (-), 15:48 , 11-Янв-24, (76) Зависит, но мы сначала это время профилируем на локальной машине Не зависит, есл, Аноним (71), 13:19 , 11-Янв-24, (71) Окей, устойчивый к квантовым штукамОни мерили время выполнения на квантовом комп, Бывалый смузихлёб (?), 08:53 , 10-Янв-24, (36) –1 Квантовых компьютеров не существует Их придумали лишь для того чтобы гребсти ба, Аноним (37), 09:21 , 10-Янв-24, (37) +1 // Напишите это на картонке, повесьте на шею и ходите так по улицам Найдете едином, Аноним (54), 15:09 , 10-Янв-24, (54) +1 Что мешает в таких случаях просто вставлять в каждый цикл случайную задержку , voiceofreason (?), 13:07 , 10-Янв-24, (48) +1 // А потом получить узвимость из-за предсказания алгоритма случайных чисел которы, Аноним (-), 14:11 , 10-Янв-24, (53) // А потом героически исправить эту уязвимость и получить за это премию , ИмяХ (ok), 19:48 , 10-Янв-24, (62) почему уязвимость, скорее бекдор, Sw00p aka Jerom (?), 13:39 , 11-Янв-24, (74) Тут мешает некомпетентность коментаторов опеннета - которые видимо не в курсе чт, Аноним (-), 19:53 , 10-Янв-24, (63) rustpq pqcrypto pqcrypto-kyber 5 января исправление добавлено в libsignal, но в, Аноним (58), 19:07 , 10-Янв-24, (58) Так не честно - алгоритм для квантового компьютера, а код выполнили на распи 2 , ааноним (?), 21:04 , 10-Янв-24, (67) +1 // не для, а против , Sw00p aka Jerom (?), 13:36 , 11-Янв-24, (72) 1,3,4,5,11,12,18,36,37,48,58,67

Сообщения

[Сортировка по времени | RSS]

	7. "Уязвимость в реализациях постквантового алгоритма шифрования..."	–2 +/–
	Сообщение от Карлос Сношайтилис (ok), 09-Янв-24, 22:30
	При чем здесь скорость процессора? Проблема в разном наборе операций в конкретном блоке кода из за оптимизаций компилятора. Возможность провести атаку будет и на медленном и на быстром проце.
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Уязвимость в реализациях постквантового алгоритма шифрования..."	+1 +/–
	Сообщение от qetuo (?), 11-Янв-24, 01:38
	Бред. Никакого отношения к данной уязвимости компилятор не имеет. >Проблема в том, что время операции деления не является константой и в различных окружениях **число выполняемых для деления циклов CPU зависит от входных данных**.
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Уязвимость в реализациях постквантового алгоритма шифрования..."	+1 +/–
	Сообщение от Аноним (81), 12-Янв-24, 08:03
	как раз таки именно компилятор и имеет. Авторы Kyber прекрасно знали, что деление уязвимо к атакам по таймингу. Но у них в оригинальном коде выполняется деление на константу, известную во время компиляции. Поэтому при компиляции с оптимизациями (а у них в Makefile безусловно задано -O3) никакой уязвимости не будет - компилятор заменит это деление нужными умножениями, сдвигами и т.п. Проблема в том, что Бернштейн скомпилировал свой пример с -Os, там компилятор уже не стал оптимизировать это место, и получилась атака по таймингу. Ну а всякие сказочные криптоэксперты из cloudflare, aws и т.п. просто скопировали оригинальный код, не потрудившись разобраться в нем.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема