= Сообщение: 1515 из 8504 ========================================= RU.LINUX = От : Serguei E. Leontiev 2:5020/400 16 Oct 14 11:50:49 Кому : Alexey Vissarionov 16 Oct 14 11:50:49 Тема : Re: SSL poodle FGHI : area://RU.LINUX?msgid=<1187496335@ddt.demos.su>+1211624e На : area://RU.LINUX?msgid=2:5020/545+543f6144 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== From: "Serguei E. Leontiev" <leo@sai.msu.ru>
Привет Алексей,
От 16 октября 2014 г., 10:10:10 в fido7.ru.linux ты писал: AV>>> ssl_protocols TLSv1 AV>>> ssl_ciphers AES256-SHA:AES128-SHA SL>> Пока не напишешь хотя бы AES128-GCM, добра не жди, станет SL>> только хуже. AV> А чем GCM принципиально лучше CBC или обычного CTR? AV> Лично я скорее предпочту CFB, но все же интересно.
Принципиальных причин 3:
1. В CBC каждый блок является синхропосылкой (IV) для следующего блока, из чего следует одна небольшая и пара больших проблем: 1.1 подверженность гаммы шифра парадоксу дней рождения (небольшая); 1.2 возможность адаптивных атак, если пакет шифруется и/или расшифровывается не единой операцией, а по частям; 1.3 возможность нарушителя навязывать принимающей стороне работу с избранной им синхропосылкой;
2. GCM - это AEAD режим, т.е. все зашифрованныые данные имеют имитозащиту (MAC);
3. GCM, в отличии от CBC, имеет одинаковые производительности, как при шифровании, так и при расшифровании, в частности, компонент шифрования/расшифрования естественным образом может быть внутренне "распараллелен" (или векторизован) в обеих случаях. Что может обеспечивать многократное снижение информативности побочных каналов (время, задержки, обращения в ОЗУ и т.д. и т.п.).
Конечно, вышеперечисленные принципиальные проблемы, а так же тот факт, что CBC - блочный режим, могут быть частично (хотя и в достаточной мере) устранены правильно спроектированным протоколом верхнего уровня.
Hо в контексте SSL/TLS, получилось совсем уж "как всегда", просто вот "как всегдее" не бывает. Более или менее правильно спроектированным можно назвать только SSL 2.0, все остальные версии одна другой хуже (ИМХО ухудшение прогрессировало по нарастающей, заплата на заплате и заплатой погоняет, а есть ещё DTLS). Кто-то насчитал всего-то чуть меньше пары десятков атак на использование CBC в TLS, т.е. далеко ещё не все сочетания принципиальных проблем CBC реализовались, есть перспектива :)
CTR - хорош, конечно при правильной спроектированной имитозащите. Hо этот компонент будет разрабатываться, конечно же, с наилучшими побуждениями, но получится то "как всегда", в отличии от добротных изделий мастеров из АHБ.
CFB - конечно получше CBC будет, но в принципе имеет те же самые проблемы, что и CBC.
-- Успехов, Сергей Леонтьев. E-mail: lse@CryptoPro.ru --- ifmail v.2.15dev5.4 * Origin: ГАИШ МГУ (2:5020/400)
