Введение в криптографию и шифрование, часть вторая. Лекция в Яндексе

[YourChief]

Числе е мы называем публичной экспонентой, а d — секретной экспонентой. Последняя вычисляется при помощи алгоритма Евклида как наименьшее общее.

Мультипликативное обратное вычисляется при помощи расширенного алгоритма Евклида с помощью наибольшего общего делителя, но не является им. Ваше утверждение неверно.

А с RSA мы не можем шифровать куски произвольной длины, поскольку возведение в степень — дорогая операция.

Из первой половины предложения не следует вторая. Цена операции не является преградой. А вот модуль — является.

Такие предвычисленные секреты не надо использовать напрямую, поэтому мы каким-то образом применяем к секрету KDF-функцию, а на выходе получаем два ключа: для шифрования и для верификации. Не буду погружаться в детали, как именно мы их получаем. Самый простой способ сгенерировать из одного секрета два ключа — конкатинировать: в одном случае с единицей, во втором случае с двойкой. И — применяем KDF-функцию.

Смысл слушать лекции по криптографии как раз состоит в том, чтобы знать и правильно применять нужные криптопримитивы. Для такого случая как раз подходит HKDF, которая принимает в качестве одного из входов метку с назначением ключа. В противовес PBKDF2, HKDF не ставит перед собой задачу затруднить перебор и как раз предназначен для образования ключевого материала из готового ключевого материала.

[YourChief]

Чем удобен CTR? Он позволяет нам зашифровать 125-й блок, не шифруя предыдущие 124 блока, то есть решает проблему расшифровки последних 16 байт из 10-гигабайтного файла. Он достаточно удобный и во всех остальных смыслах. Если говорить про всплеск трафика, можно загодя нагенерировать блоки для шифрования.

Это в случае с сообщениями длиннее одного блока. А что делать, если они короче одного блока? Другими словами, мы хотим зашифровать не 16, а 8 байт.

Вот этот момент странный. Тот же самый CTR не требует паддинга вообще, поскольку открытый текст в блок не заходит вовсе, вместо этого блочный шифр используется для гаммирования открытого текста.

[saipr]

Ну ошибся человек. Вместо 0 набрал случайно 8 и сразу срамота. Не хорошо.

[YourChief]

На видео он это вслух на лекции говорит.

[lightjedi]

Лучше бы сразу учить пользователей использовать authenticated encryption, а не самопальные схемы с хэшами.

[corsairnv]

По сути, одно называется MAC before encrypt, а второе — encrypt before MAC.

Я первый раз вижу такое название, их обычно вот так называют:
Encrypt-and-MAC (E&M, раньше так делал SSH, сейчас вроде-бы тоже), MAC-then-encrypt (MtE, как в TLS) и Encrypt-then-MAC (EtM, не помню где использовался).

[akdes]

Здравствуйте, спасибо за материал. Схавал информацию. Было сложно понять, но думаю общее представление я получил. Было бы намного проще, если бы описания действий (обмены ключей хэширования, подпись и т.д.), подкреплялись элементарной илюстрационной схемой, всё, как Вы и описали рассказали, просто подкрепить диаграмой только что прочитанное. Для меня эффект был бы 100%.
Помимо этого назревает вопрос:
На дворе 2019 год, изменилось ли что-то? Может Вы смогли бы сделать обзор актуальных практик шифрования сообщений..?
Спасибо

[GDI89]

Спасибо, интересная статья. Есть над чем подумать.