Что такое "Диалоговый код"?

[AdB0kaT]

ГОСТ 28147-89 это симметричный шифр. Для симметричных шифров есть известная проблема в безопасности передачи ключа. Поскольку в симметрии ключ един как для операций шифрования, так и дешифрования. Доступно о различиях симметричного и асиметричного алгоритмов изложено тут: http://intsystem.org/1120/asymmetric-en ... w-it-work/
Если предположить, что ключ не постоянный, а меняется случайно с каждым посылом новой команды, то возможны два варианта:
1. новый ключ, сгенерированный системой в начале каждого сеанса связи с брелком посылается по открытому каналу (это бред, безопасность нулевая)
2. наряду с симметричным алгоритмом ГОСТ используется еще какой-то асиметричный (для безопасной передачи ключа в начале каждого сеанса связи) Но тогда почему производитель не раскрывает этот алгоритм? он как раз самый интересный)
Ну и третий вариант: симметричный ключ ГОСТ в брелке и основном блоке постоянен и меняется только при переобучении брелков. Это лучше чем первый вариант, так как по воздуху ключ может быть перехвачен только в момент переобучения. Либо ключ может быть извлечен и скопирован с брелка или основного блока во время физического доступа к ним (автосервис, мойки и пр.). Но тут нужен профи в криптографических системах, который хорошо разбирается в микросхемах.
Так что хотелось бы надеяться что хоть кто то из производителей использует асиметричные алгоритмы - они самые правильные для диалоговой авторизации по воздуху. То бишь второй вариант идеален с точки зрения безопасности на уровне криптопротокола.

SoundSpeed На самом деле вопрос не праздный ибо плохая криптография хуже полного ее отсутствия, так как даже у грамотных потребителей создает иллюзию защищенности. И будет обидно если через пару лет супер-пупер раскрученная диалоговая система будет взломана как какой нибудь шерхан. Ведь пока "диалог" стоит на малом проценте машин, а потому не сильно интересен производителям грабберов. Когда таких машин станет много, за этот алгоритм злодеи возьмутся всерьез.

Кстати про этот ГОСТ...

Этот блочный шифр долгое время считался общепризнанно стойким, но в последнее время в процессе попыток его международной стандартизации было обращено внимание на его уязвимости. Шифр был взломан с теоретической точки зрения (с позиций сертификационного криптоанализа). Такой взлом недостижим с помощью реально существующих вычислительных ресурсов и абсолютно непрактичен, но делает стандарт фактически устаревшим.

Источник: https://www.pgpru.com/novosti/2012/uluc ... ost2814789
Но у российских производителей нет выбора: использование иностранных криптоалгоритмов (в т.ч. прошедших международную сертификацию) при производстве криптографических систем на территории РФ запрещено законом. Так как в России органами ФСБ сертифицирован только ГОСТ.

[MAVR64]

Вот теперь вас точно никто не понимает.

[муромец]

Но он прав на 100%:

плохая криптография хуже полного ее отсутствия

[SoundSpeed]

Ну написано же выше: Шифр был взломан с теоретической точки зрения (с позиций сертификационного криптоанализа). Такой взлом недостижим с помощью реально существующих вычислительных ресурсов и абсолютно непрактичен, но делает стандарт фактически устаревшим.

Выделенное жирным - это главное. ГОСТ не взломан и не будет взломан еще очень долгое время. Взлом для данного алгоритма - это перебор всех возможных комбинаций чисел. Для того, чтобы перебрать все комбинации на данный момент нужны годы. Скорость вычислений сейчас не достаточно высока для того, чтобы взломать ГОСТ.

Подчеркнутые слова - это политика, не связанная с действительностью (с теоретической точки зрения...но делает фактически устаревшим...) и до сих пор не взломанным!

Для справки: чтобы сертифицировать продукт в России (в сфере охранных систем) не надо указывать алгоритм шифрования, это не обязательно. Поэтому производители могут использовать любые доступные алгоритмы, в том числе иностранного происхождения.

ГОСТ использует не только Автолис: Excellent, Prizrak и другие производители охранных систем.


В догонку:
Цитата:
Но у российских производителей нет выбора: использование иностранных криптоалгоритмов (в т.ч. прошедших международную сертификацию) при производстве криптографических систем на территории РФ запрещено законом. Так как в России органами ФСБ сертифицирован только ГОСТ.

Бред полный.
AES http://ru.wikipedia.org/wiki/Advanced_E ... n_Standard используется Пандорой
стр.9 http://www.alarmtrade.ru/manuals_pdf/Pa ... _21%29.pdf

[AdB0kaT]

SoundSpeed Дело даже не в том что, ГОСТ не надежен с точки зрения перспективного криптоанализа. Это полбеды, хотя уважающий себя разработчик не будет использовать шифр, имеющий даже теоретические уязвимости. Так как через пару лет эти уязвимости могут перейти в практические, что дискредитирует разработку. Но повторюсь вопрос не в этом. А в том, что и этот ГОСТ и AES являются симметричными шрифтами и заведомо не годятся для установления безопасного соединения в рамках небезопасного канала (например по воздуху между брелком и машиной). Для этого нужен асимметричный шифр. Типа RSA, Ди́ффи — Хе́ллмана и им подобные.
При всем уважении к производителям диалоговых сигналок, считаю необходимым заметить что их марекетологам надо подучить азы криптографии.

Система производит защищённый шифрованный (шифрование AES-128) диалоговый высокоскоростной обмен кодами авторизации в частотном диапазоне 2,4 ГГц на одном из 125 каналов.

Они явно не знакомы с классическими персонажами Алисой, Бобом и Евой . И не понимают, что безопасное согласование ключей шифрования в начале сеанса связи по открытом каналу между брелком и машиной по симметричному алгоритму AES невозможно.
Главным преимущество симметричных алгоритм перед асиметричными состоит в том, что первые менее требовательны к "железу", работают гораздо быстрее асимметричных даже на медленных системах. То бишь позволяет производителю такой электроники хорошо сэкономить на чипах.

Деятельность по производству, распространению средств криптографической защиты информации (СКЗИ) на территории РФ лицензируется ФСБ. См. Постановление Правительства РФ от 16.04.2012 № 313. Правда под понятие СКЗИ не подпадает банковская сфера и ряд других сфер, которые не предоставляют конечным пользователям возможность сквозного шифрования произвольных данных. Возможно сигналки тоже не считаются СКЗИ. Тем не менее вышеуказанный вопрос остается открытым.

ГОСТ не взломан и не будет взломан еще очень долгое время.

Очень долгое это сколько? В криптоанализе теоретический взлом может перейти в практическую плоскость за непредсказуемо короткое время. Пример тому история с недавно популярной хеш функцией MD5.

[ShoShuGEN]

AdB0kaT

Если он симметричный (типа AES и аналогов) то криптостокойсть еще как бы на уровне (хотя для компов сейчас стандарт для симметричного шифрования не менее 256 бит). А если алгоритм ассиметричный (что наиболее вероятно для диалогового механизма), то ключи 128 бит факторизуются на раз.

и снова AdB0kaT

Но повторюсь вопрос не в этом. А в том, что и этот ГОСТ и AES являются симметричными шрифтами и заведомо не годятся для установления безопасного соединения в рамках небезопасного канала (например по воздуху между брелком и машиной). Для этого нужен асимметричный шифр.

путаешься в показаниях
илм может быть есть разница в

ассиметричном

и

асимметричном

шифре
ваша фамилия случайно не Картуа

Николя Картуа (англ. Nicolas Courtois) и Йозеф Пепшик (англ. Josef Pieprzyk) в 2002 году опубликовали статью, в которой описали теоретическую атаку, названную ими XSL-атакой (англ. eXtended Sparse Linearization), которая могла бы позволить вскрыть шифры AES и Serpent[11][12]. Тем не менее, результаты работы не всеми были восприняты оптимистично:

в то время как:

В июне 2003 года Агентство национальной безопасности США постановило, что шифр AES является достаточно надёжным, чтобы использовать его для защиты сведений, составляющих государственную тайну (англ. classified information). Вплоть до уровня SECRET было разрешено использовать ключи длиной 128 бит, для уровня TOP SECRET требовались ключи длиной 192 и 256 бит

и этот же персонаж про ГОСТ:

В мае 2011 года известный криптоаналитик Николя Куртуа доказал существование атаки на данный шифр, имеющей сложность в 28 (256) раз меньше сложности прямого перебора ключей при условии наличия 264 пар открытый текст/закрытый текст. Данная атака не может быть осуществлена на практике ввиду слишком высокой вычислительной сложности.

источник- wiki и wiki
Обвинить в некомпетентности всех производителей сигналок - это конечно сильно

[AdB0kaT]

ShoShuGEN
А вы случайно не журналист из желтой прессы? очень уж у вас хорошо получается вырывать слова из контекста. И технические очепятки здорово подмечаете. Чем и прикрываете собственное не владение темой. Первую цитату выхватили из поста про минимальные размеры надежных ключей для симметричных и асиметричных алгоритмов (безотносительно области применения). Вторая цитата о том, что симметричные алгоритмы при любом размере ключа (хоть 256 бит и более) не годятся для инициации безопасного соединения по открытом каналу. Где здесь противоречие?

Обвинить в некомпетентности всех производителей сигналок - это конечно сильно

Это опять ваши фантазии. Я никого не обвиняю. А лишь указываю, что производители диалоговых сигналок делая маркетинговый упор на криптографию в своих продуктах не раскрывают достаточной информации об используемых криптоалгоритмах. В криптографии доверием пользуются лишь те СКЗИ, которые открыты для аудита со стороны широкой общественности. В этом должны быть заинтересованы и сами производители, так как такой "общественный" криптоанализ позволяет гораздо оперативнее выявлять ошибки в реализации криптоалгоритмов в отдельно взятом решении. В качестве примера открытых и пользующихся доверием криптосистем можно привести GnuPG, TrueCrypt, PGP и др.

[муромец]

Если говорить об этой области, то WIKI не может быть "непререкаемым авторитетом". Туда может писать любой дилетант, который слышал звон, да не знает где он. Как показывает практика, таких дилетантов раз в 100 больше чем тех, кто действительно разбирается в вопросе. Цитированные статьи имеют только теоретический интерес. А что до длины кл. в стойкой асимметричной системе - то да, она должна быть раз в 10 больше чем в симметричной - от 1024 и выше.

[ShoShuGEN]

муромец
Ну как же так...
http://ru.wikipedia.org/wiki/%D0%92%D0% ... 1%82%D1%8C
а вы говорите:

Туда может писать любой дилетант, который слышал звон, да не знает где он.

Пробовали когда-нибудь опубликовать материал в wiki ?

А что до длины кл. в стойкой асимметричной системе - то да, она должна быть раз в 10 больше чем в симметричной - от 1024 и выше.

Иными словами, что до симметричных алгоритмов, то ключи 128 и 256 вполне себе устойчивы, как пишет wiki, ссылаясь на авторитетные источники

AdB0kaT
Нет, я не из прессы, просто читаю внимательно...

[AdB0kaT]

Иными словами, что до симметричных алгоритмов, то ключи 128 и 256 вполне себе устойчивы, как пишет wiki, ссылаясь на авторитетные источники

AdB0kaT
Нет, я не из прессы, просто читаю внимательно...

Если быть точным, то ключи 128 бит условно надежны. То есть они пока не могут быть взломаны на практике, но прогресс в криптоанализе уже вплотную подошел к этой отметке, в связи с чем научным сообществом не рекомендуется использование таких ключей в продуктах, рассчитанных на длительное применение (не на один-два года, а более). Ключи 256 бит и выше имеют так называемую "сильную стойкость". То есть криптоаналитики полагают, что даже в обозримом будущем (5-10 лет) их практический взлом останется невозможным.

Но повторюсь вопрос то не в этом! Читайте еще внимательней пост, где я написал про проблему безопасности передачи ключа в симметричных алгоритмах по открытому каналу. Воздух между брелком и машиной это всегда есть незащищенная среда. При этом ни одна диалоговая сигнализация не предусматривает сеанс связи с брелком по физически защищенному каналу (например по проводу) даже в момент обучения. Если симметричный ключ (не важно какой длины) в начале сеанса связи или в момент обучения брелка "летит" по воздуху в открытом виде, то это огромная дыра в безопасности системы. Безопасный обмен ключами шифрования по воздуху возможен только при использовании асимметричных алгоритмов, но насчет них пока нет информации ни от одного представителя производителей диалоговых сигналок. Посему вопрос актуален.

[муромец]

А кстати неплохая идея - сделать переобучение (только обязательно со сменой ключевой таблицы) по проводам, чтобы не фонили. Расходы на железо - только провод и разъемы в блоке и брелке.

Что до WIKI - встречал там абсолютно дилетантские статьи с массой ошибок. Хотя конечно говорить что там всё так - было бы преувеличением. Как говорится, "доверяй, но проверяй".

[AdB0kaT]

Нашел косвенное подтверждение тому, что по крайней мере у старлайн 128 битный ключ передается в открытом виде в момент обучения брелка. Вот что пишут в публикации про диалоговый код на офсайте производителя:

В каждой системе используется индивидуальный ключ шифрования, передаваемый единственный раз при регистрации брелка в системе. Длина ключа — 128 бит, что даёт 3,4*1038 комбинаций.

http://ultrastar.ru/attachment.rpc&fid=15369

Если все обстоит именно так, как изложено в этой цитате, достаточно перехватить статичный 128-битный ключ конкретного экземпляра сигналки в момент обучения ("регистрации брелка в системе") и сделать дубликат брелка не составит труда. Это вполне реализуемо, когда машина остается на сервисе, мойке и т.п. Все остальные обменные ухищрения алгоритма "диалога" не сложнее чем в устаревшем динамическом коде и воспроизвести их на стороннем оборудовании более чем реально.

[AdB0kaT]

В связи с отсутствием на рынке альтернативы диалоговым сигналкам (изучение вопроса показало, что все остальное на российском рынке не имеет вообще никакой защиты эфира) поставил на авто хорошую диалоговую сигнализацию с gsm/gps. И заметил такую обнадеживающую вещь: при регистрации новых брелков в системе, блок "забывает" прежние и требуется их повторная регистрация в ходе проводимого сеанса регистрации. Таким образом это позволяет надеяться, что криптографический ключ AES все таки не является в сигналке постоянным, а генерируется блоком заново в начале каждого сеанса регистрации брелков. Таким образом, злоумышленнику для перехвата ключа надо сканировать эфир именно в момент последнего сеанса регистрации брелков, что очень усложняет ему задачу. Владельцу авто в этом случае достаточно при передаче машину в сервис и в других подобных случаях просто переводить сигналку в сервисный режим и не отдавать свои брелки в чужие руки. Если в сервисе попытаются прописать свой брелок, владелец, забирая машину сразу это обнаружит, так как его брелки, содержащие старый ключ, не будут приниматься сигналкой. Владелец будет вынужден провести переобучение своих брелков и при этом старый перехваченный злоумышленником ключ утратит свою актуальность.
Это так сказать оптимистичный вариант.

Но есть и другой: ключ шифрования все таки вшит в блок каждого экземпляра сигналки на заводе и не меняется при переобучении брелков. То есть "забывание" системой брелков не затрагивает криптографическую часть "диалогового" протокола. В этом случае злоумышленнику, чтобы заполучить ключ, достаточно хотя бы раз присутствовать в радиусе зоны покрытия в момент регистрации брелков (например он может запустить эту процедуру пока машина в сервисе). И даже если хозяин потом заново переобучит свои брелки, у злоумышленника все еще будет в распоряжении актуальный криптографический ключ.

Второй вариант к сожалению имеет право на жизнь, так как, чтобы блок сигналки умел самостоятельно генерировать новые криптографические ключи его надо снабдить чипом, имеющим аппаратный генератор псевдослучайных чисел и другие плюшки, что ведет к удорожанию продукта. Если у кого то из форумчан есть хорошие контакты с техническими специалистами __________, был бы им признателен, если бы они уточнили какой из вышеуказанных вариантов имеет место в диалоговых сигналках этого производителя.

[муромец]

Увы, вариант скорее всего второй (моё личное мнение), проскольку первый, как Вы и заметили, предполагает наличие генератора по крайней мере в базовом блоке. Информации по старлайну у меня, к сожалению, нет, только предположения.
Если даже у кого-то и реализована " в железе" смена индивидуального ключа , в чём я сильно сомневаюсь, то здесь возникают новые вопросы: а какое качество у применяемого генератора псевдослучайных последовательностей? Есть много генераторов "хороших на вид", но не обладающих нужными характеристиками. Сделать хороший генератор - дел весьма непростое. По этому вопросу есть тонны литературы, начиная с Кнута, по которому учатся все инженеры. "На хромой козе" тут не объедешь. А вот риск взять первый попавшийся из тех что есть "в железе", лишь бы подешевле - вполне реальный.
P.S. Вы зря написали в открытую, какую модель сигналки поставили на машину. Город Ваш не такой большой, зачем давать ворам дополнительную инфу? Удалите от греха подальше пока не поздно.

[SoundSpeed]

Взял на себя смелость убрать из поста адвоката название сигнализации от греха подальше.
По связям с той компанией, про которую спрашивали, поищу визитку - где то у меня были контакты их главного инженера (на конференции познакомились в 2011 году)
Если найду - кину в личку.

[AdB0kaT]

Взял на себя смелость убрать из поста адвоката название сигнализации от греха подальше.
По связям с той компанией, про которую спрашивали, поищу визитку - где то у меня были контакты их главного инженера (на конференции познакомились в 2011 году)
Если найду - кину в личку.

Спасибо. Жаль что производители сигналок не выкладывают в открытом доступе исходники ПО своих сигналок. Или хотя бы той части ПО, которая реализует беспроводной обмен между брелком и основным блоком.

Насчет данных о сигнализации сам не убрал, потому что в моем городе хоть он и не большой очень много Паджер 4 поколения - каждый день не по разу встречаю на улицах. Кроме того для угона не столько важен тип сигналки (поскольку хочется надеяться что диалог пока не грабят), а индивидуальные особенности установки. А именно маскировка проводки, суть работы и расположение блокировок и пр.

[marlipuz]

Доброе время суток! Есть ли какая-нибудь свежая информация по способу обмена ключами по данной теме? Можно ли все-таки доверять диалоговому коду? Диалоговая сигналка диалоговой сигналке рознь?

[муромец]

Да вот непонятно. Производители инфой делиться не спешат.

Само выражение "диалоговый код", кстати, некорректно - есть термин "криптопротокол" (если он действительно "крипто").

[AdB0kaT]

Диалоговая сигналка диалоговой сигналке рознь?

"Диалоговый" код в том числе его криптографическая часть не стандартизированы, а потому каждый производитель сигналок волен вкладывать в это понятие свою программно-аппаратную начинку. Общее у "диалогов" лишь одно - обмен между брелком и блоком построен по принципу "вопрос-ответ". Количество сессий "вопрос-ответ" и особенности их шифрования у разных систем тоже может быть разным. Поскольку исходный код ПО и аппаратные характеристики чипов производители сигналок не раскрывают ,любой желающий специалист провести сторонний аудит надежности не может. Остается надеяться на то,что у производителей диалоговых сигналок работают достаточно компетентные специалисты в сфере защиты данных. Ну и среди угонщиков не так много способных и желающих ковыряться в криптоалгоритмах сигналок, ибо не такое это простое занятие в отсутствие исходного кода. Пока "диалог" стоит на каждой десятой (а то и меньше) машине, серьезно ковырять эти системы с целью создания граббера экономически не выгодно. Динамический код тоже считался надежным, пока стоял на единичных авто.

[Espanjola]

Скажите пожалуйста, сейчас есть сигнализации, которые не используют диалоговый код, но тем не менее они считаются невзламываемыми, если я не ошибаюсь про экселлент так говорят. В таком случае каким образом эта сигналка обеспечивает стойкость к т.н. "электронному взлому" ?