Antonov 225 - gr???Ÿtes Flugzeug der Welt, mit 640 t Startgewicht - Zerst??rt!

Deswegen hat man ja hoffentlich eine QA-Abteilung und trennt Entwicklung von (Integrations-/End-to-End)Tests, die sich durchaus gut bezahlter Experten...

... bedienen darf. Nennt man dann "Peer-Review" usw.

so eine Begutachtung hat.

Speziell bei kryptografischen Fragestellungen ist "Security by Obscurity" eine Falle, in die von NIHS und dem Dunning-Kruger-Effekt Herausgeforderte immer gerne tappen.

Da findet man dann in der Hall of Shame Perlen wie...

bool CheckLicense(const License& lic) { // [...] if(lic.password="MyTopSecretPassword") return true; // [...] }

... oder:

std::string ComputeLicense(const std::string& SysId, int ExpireDays) { std::ostringstream o; o

--
Reinhardt

Es ist bestenfalls der Beweis, dass nicht genau ein Fehler im Code ist.

--
Reinhardt

Deswegen hat man ja hoffentlich eine QA-Abteilung und trennt Entwicklung von (Integrations-/End-to-End)Tests, die sich durchaus gut bezahlter Experten...

so eine Begutachtung hat.

Speziell bei kryptografischen Fragestellungen ist "Security by Obscurity" eine Falle, in die von NIHS und dem Dunning-Kruger-Effekt Herausgeforderte immer gerne tappen.

Da findet man dann in der Hall of Shame Perlen wie...

bool CheckLicense(const License& lic) { // [...] if(lic.password=="MyTopSecretPassword") return true; // [...] }

... oder:

std::string ComputeLicense(const std::string& SysId, int ExpireDays) { std::ostringstream o; o

um die es hier geht.

t.

a2_256, sha2_512,

implementiert.

rithmen

on (im Folgenden "der Code") ist eine nicht-triviale, in der Regel mathem

nnen.

gelistet sind.

ten.

|This is a set of test vectors for conformance testing,

Die Entwickler von kryptographischen Algorithmen haben das aber ausgesagt . Willst Du denen widersprechen?

korrekt.

Das sagen die Entwickler aus! Und Punkt.

ergaben.

ung der vorgegebenen Berechnungen die erwarteten Ergebnisse liefert. Es i

derer Berechnungen, z.B. wenn andere Eingabeparameter vorgegeben werden, immer noch die erwarteten Ergebnisse liefert.

Falsch. Die Entwickler haben geeignete Tests vorgegeben, um die Korrektheit bewei

ben, auch alle weiteren

den. Die Entwickler kennen ihre Entwicklung in dieser Hinsicht ganz genau.

|We, the designers of Rabbit, hereby state that no hidden weaknesses have

|been inserted by us in the Rabbit algorithm. |The key expansion stage guarantees a one-to-one correspondence be- |tween the key, the state and the counter, which prevents key redun- |dancy. It also distributes the key bits in an optimal way to prepare |for the the system iteration. |The correctness of the code on different platforms is verified by genera ting and comparing test vectors.

ion

gorithmus-Entwickler ist.

ei den vom Entwickler vorgegebenen Eingabedaten die erwarteten Ausgabedat en erzeugt. Nichts anderes.

Erneut falsche Behauptung. Beweise zur Abwechslung doch mal Deine Behauptung.

prozeduren.

Code bei der Eingeba *aller erlaubten* Eingabeparametern die erwarteten Ergebnisse liefern wird.

on gut abgehangen, aber imho immer noch gut.

Ich beherrsche etwa 20 Programmiersprachen mehr oder weniger gut - ein we iteres Buch brauche ich nicht.

Ein mathematischer Beweis ist bei allen Algorithmen des Kontextes prinzip

go von untersuchenden Experten mitgeteilt.

geben, auch alle weiteren

den. (s.o.)

rsinns.

Falsch. Ich bin ganz konkret praxisbezogen ziemlich kenntnisreich auf diesem Gebi et.

?en korrekt, weil er gewisse Tests erfolgreich durchlaufen hat", insbes ondere wenn es sich um sicherheitsrelevanten Code handelt.

Alle genannten Algorithmen wurden und werden weltweit millionenfach korre kt implementiert und konkret hunderte-millionenfach in sicherheitsfordernder Umgebung verw endet.

MD5 und RC4 werden trotz Korrumpierung vor vielen Jahren weiterhin verwen det.

hren lassen.

So wird das seit vielleicht 150 Jahren weltweit getan. Dies funktioniert auch, wenn nicht Jahrzehnte lang Warnungen von Experten ignoriert werden.

.

cht das Wetter schuld.

ommen (Bau 1967). |Selbst Warnungen des Bauplaners waren ignoriert worden (~1985).

ungsrichterin Angela Nutini

wie ein Urteil",

Du willst die Kenntnisse der Entwickler und Gepflogenheiten im Bereich der kryptographischen Cipher offensichtlich nicht anerkennen.

--

Helmut Schellong   var@schellong.biz 
http://www.schellong.de/c.htm  http://www.schellong.de/c2x.htm  http://www.schellong.de/c_padding_bits.htm 
http://www.schellong.de/htm/bishmnk.htm  http://www.schellong.de/htm/rpar 
.bish.html  http://www.schellong.de/htm/sieger.bish.html 
http://www.schellong.de/htm/audio_proj.htm  http://www.schellong.de/htm/a 
udio_unsinn.htm  http://www.schellong.de/htm/tuner.htm 
http://www.schellong.de/htm/string.htm  http://www.schellong.de/htm/strin 
g.c.html  http://www.schellong.de/htm/deutsche_bahn.htm 
http://www.schellong.de/htm/schaltungen.htm  http://www.schellong.de/htm/ 
rand.htm  http://www.schellong.de/htm/bsd.htm

Schwachsinniger Kommentar.

--

Helmut Schellong snipped-for-privacy@schellong.biz

.bish.html udio_unsinn.htm g.c.html rand.htm

rung der

derer

er

Das ist falsch - u.a. weil die Entwickler der Algorithmen etwas Gegenteil iges schreiben.

Diese ganze blinde Hetzerei und wildes Invert-Behaupten kennzeichnet dies e NG als Ort der Unerquicklichkeiten und Unwahrheiten.

--

Helmut Schellong   var@schellong.biz 
http://www.schellong.de/c.htm  http://www.schellong.de/c2x.htm  http://www.schellong.de/c_padding_bits.htm 
http://www.schellong.de/htm/bishmnk.htm  http://www.schellong.de/htm/rpar 
.bish.html  http://www.schellong.de/htm/sieger.bish.html 
http://www.schellong.de/htm/audio_proj.htm  http://www.schellong.de/htm/a 
udio_unsinn.htm  http://www.schellong.de/htm/tuner.htm 
http://www.schellong.de/htm/string.htm  http://www.schellong.de/htm/strin 
g.c.html  http://www.schellong.de/htm/deutsche_bahn.htm 
http://www.schellong.de/htm/schaltungen.htm  http://www.schellong.de/htm/ 
rand.htm  http://www.schellong.de/htm/bsd.htm

und dein Geprotze durchschauen. Versuchs doch irgendwo im Kindergarten.

--
Reinhardt

Im vor dir zitierten Text der Entwickler steht, dass die Testvektoren zur _Verifikation_ des Codes dienen. Du kennst noch nicht mal den Unterschied

zum Teufel jagen.

--
Reinhardt

itt, der

der

g

ehen

t

ligen

y"

rte

e)

s dem

Es sind nicht meine Erzeugnisse!

t selbst entwickelt habe. Keinen davon. Jetzt schreibe ich das erneut. Was ist so schwer daran zu verstehen?

ernehmen!

oder gar

lt. Und

e,

Das ist massiv unprofessionell - Einfach horrender Quatsch!

Viel wichtiger sind

--

Helmut Schellong   var@schellong.biz 
http://www.schellong.de/c.htm  http://www.schellong.de/c2x.htm  http://www.schellong.de/c_padding_bits.htm 
http://www.schellong.de/htm/bishmnk.htm  http://www.schellong.de/htm/rpar 
.bish.html  http://www.schellong.de/htm/sieger.bish.html 
http://www.schellong.de/htm/audio_proj.htm  http://www.schellong.de/htm/a 
udio_unsinn.htm  http://www.schellong.de/htm/tuner.htm 
http://www.schellong.de/htm/string.htm  http://www.schellong.de/htm/strin 
g.c.html  http://www.schellong.de/htm/deutsche_bahn.htm 
http://www.schellong.de/htm/schaltungen.htm  http://www.schellong.de/htm/ 
rand.htm  http://www.schellong.de/htm/bsd.htm

ng

hrung der

anderer

t.

Das ist massiv unlogisch!

wickelt habe.

Du hast folglich erneut eine wilde Behauptung aufgestellt. Schrieb ich doch vor Deiner vorstehenden Antwort.

n ind

Welches Geprotze? Was ist an meinen Inhalten im Kontext Geprotze? Ich habe lediglich von anderen Entwicklern entwickelte Algorithmen hier a ufgelistet. Mehr ist da nicht! Also schon wieder eine wilde Behauptung. Eine falsche Behauptung nach der anderen.

03/23/2022 21:39 ========================= ========================= ================= Die Kern-Algorithmen sind nicht selbst entwickelt. Ich habe u.a. die Algorithmen Rabbit, Spritz, sha2_256, sha2_512, sha3_256, sha3_512 (Keccak) in meine Shell bish implementiert. Diese Algorithmen sind alle kryptographisch. ========================= ========================= =================

Geprotze?

--

Helmut Schellong   var@schellong.biz 
http://www.schellong.de/c.htm  http://www.schellong.de/c2x.htm  http://www.schellong.de/c_padding_bits.htm 
http://www.schellong.de/htm/bishmnk.htm  http://www.schellong.de/htm/rpar 
.bish.html  http://www.schellong.de/htm/sieger.bish.html 
http://www.schellong.de/htm/audio_proj.htm  http://www.schellong.de/htm/a 
udio_unsinn.htm  http://www.schellong.de/htm/tuner.htm 
http://www.schellong.de/htm/string.htm  http://www.schellong.de/htm/strin 
g.c.html  http://www.schellong.de/htm/deutsche_bahn.htm 
http://www.schellong.de/htm/schaltungen.htm  http://www.schellong.de/htm/ 
rand.htm  http://www.schellong.de/htm/bsd.htm

.

?mlich niemand

ur

ed

du

n dich

Falsch. Du stellst zum x-ten Mal falsche Behauptungen auf. Etwas Korrektes zur Abwechslung scheint Dich nicht zu befriedigen. Ich habe in der Industrie 15 Jahre lang sicherheitskritische Software ent wickelt.

Man hat mir beste Arbeitszeugnisse ausgestellt.

|This is a set of test vectors for conformance testing, |The correctness of the code on different platforms is verified by genera ting and comparing test vectors.

Auch Englisch kannst Du offenbar nicht richtig.

mmung nachfolgend vorhanden sind.

schiedlichen Plattformen . nachgewiesen wird durch generieren und vergleichen von Test-Vektoren .

--

Helmut Schellong   var@schellong.biz 
http://www.schellong.de/c.htm  http://www.schellong.de/c2x.htm  http://www.schellong.de/c_padding_bits.htm 
http://www.schellong.de/htm/bishmnk.htm  http://www.schellong.de/htm/rpar 
.bish.html  http://www.schellong.de/htm/sieger.bish.html 
http://www.schellong.de/htm/audio_proj.htm  http://www.schellong.de/htm/a 
udio_unsinn.htm  http://www.schellong.de/htm/tuner.htm 
http://www.schellong.de/htm/string.htm  http://www.schellong.de/htm/strin 
g.c.html  http://www.schellong.de/htm/deutsche_bahn.htm 
http://www.schellong.de/htm/schaltungen.htm  http://www.schellong.de/htm/ 
rand.htm  http://www.schellong.de/htm/bsd.htm

Am 29.03.22 um 17:33 schrieb Helmut Schellong:

Tschernobyl...

Hanno

--
The modern conservative is engaged in one of man's oldest exercises in 
moral philosophy; that is, the search for a superior moral justification 
for selfishness. 
- John Kenneth Galbraith

den Spiegel vorhalten. Dieser Ort der Unerquicklichkeiten und

Gestalten gibts wohl in jedem unmoderierten Forum. Ich hoffe, die

hilft das Killfile.

Volker

Deswegen hat man ja hoffentlich eine QA-Abteilung und trennt Entwicklung von (Integrations-/End-to-End)Tests, die sich durchaus gut bezahlter Experten...

niemand - d. h. auch nicht unter Geheimhaltungsvereinbarung -

Speziell bei kryptografischen Fragestellungen ist "Security by Obscurity" eine Falle, in die von NIHS und dem Dunning-Kruger-Effekt Herausgeforderte immer gerne tappen.

Da findet man dann in der Hall of Shame Perlen wie...

bool CheckLicense(const License& lic) { // [...] if(lic.password=="MyTopSecretPassword") return true; // [...] }

... oder:

std::string ComputeLicense(const std::string& SysId, int ExpireDays) { std::ostringstream o; o

stenz

Kommt nicht in Frage.

.

che

Falsch gedacht. Irgendwann wird mein Klon weitermachen.

olgen.

Und im Kindergarten wird man mich nicht nehmen.

--

Helmut Schellong   var@schellong.biz 
http://www.schellong.de/c.htm  http://www.schellong.de/c2x.htm  http://www.schellong.de/c_padding_bits.htm 
http://www.schellong.de/htm/bishmnk.htm  http://www.schellong.de/htm/rpar 
.bish.html  http://www.schellong.de/htm/sieger.bish.html 
http://www.schellong.de/htm/audio_proj.htm  http://www.schellong.de/htm/a 
udio_unsinn.htm  http://www.schellong.de/htm/tuner.htm 
http://www.schellong.de/htm/string.htm  http://www.schellong.de/htm/strin 
g.c.html  http://www.schellong.de/htm/deutsche_bahn.htm 
http://www.schellong.de/htm/schaltungen.htm  http://www.schellong.de/htm/ 
rand.htm  http://www.schellong.de/htm/bsd.htm

Am 29.03.2022 um 18:13 schrieb Volker Bartheld:

teils erst Jahre oder Jahrzehnte nach der Entwicklung, Implementierung und Benutzung der Algorithmen gefunden, und nur zum Teil auf Grund schnellerer Rechner. Ein Algorithmus ist in der Regel nicht per se "sicher" oder

wird zeigt die sinnvolle Lebensdauer an. Und die kann sehr schnell gegen 0 sinken, wenn unerwartet Attacken entdeckt werden.

Bei closed source stellt sich das Problem gar nicht, da ja keiner den Code

man genau eines: Abstand.

Haha, erinnert mich ein wenig an den Pen-Tester, der nach Tagen

Ja genau! Ich habe ihn dann etwas lapidar auf Kapitel x in Handbuch y

Er war ein bisschen geknickt, hatte er doch kurz davor genau dieses geforderte Sicherheitshandbuch mit allen Algorithmen validiert.

Bernd

ttacken werden teils erst Jahre oder Jahrzehnte nach der Entwicklung, Imp lementierung und Benutzung der Algorithmen gefunden, und nur zum Teil auf Grund schnellerer Rechner. Ein Algorithmus ist in der Regel nicht per se

nvolle Lebensdauer an. Und die kann sehr schnell gegen 0 sinken, wenn une rwartet Attacken entdeckt werden.

Du beschreibst hier korrekt die (Zwangs-)Lage bei kryptographischen Algor ithmen.

Brute force liefert nicht garantiert ein Knacken.

en"

ll

ist, denn unter

st und

turn true;

Klartext im Code! Ja genau! Ich habe ihn dann etwas lapidar auf Kapitel x

olgt verwendet wird.

orderte Sicherheitshandbuch mit allen Algorithmen validiert.

Schwachsinns-Code. Ich verschleiere solche Daten u.a. durch a='p', b='a', c='s', d= 'w';

411] strings /u/bin/bish FreeBSD FreeBSD AWAVSPH AWAVAUATSPI ffffff. ...

--

Helmut Schellong   var@schellong.biz 
http://www.schellong.de/c.htm  http://www.schellong.de/c2x.htm  http://www.schellong.de/c_padding_bits.htm 
http://www.schellong.de/htm/bishmnk.htm  http://www.schellong.de/htm/rpar 
.bish.html  http://www.schellong.de/htm/sieger.bish.html 
http://www.schellong.de/htm/audio_proj.htm  http://www.schellong.de/htm/a 
udio_unsinn.htm  http://www.schellong.de/htm/tuner.htm 
http://www.schellong.de/htm/string.htm  http://www.schellong.de/htm/strin 
g.c.html  http://www.schellong.de/htm/deutsche_bahn.htm 
http://www.schellong.de/htm/schaltungen.htm  http://www.schellong.de/htm/ 
rand.htm  http://www.schellong.de/htm/bsd.htm

die Implementierung auf den unterschiedlichen Compilern und Plattformen weitestgehend (d. h. zumindst ohne funktionale Abweichungen) gleich

Preprozessoranweisungen wie...

#ifdef WIN #include #else #include #endif

, wir haben unterschiedliche Versionen der C++ Runtime, der STL, das ABI unterscheidet sich, nicht einmal auf die Byteorder (LSB/MSB, Little/Big Endian) oder die Breite (wieviele Bits hat der Typ "int" oder "long" auf einer 32- vs. 64-Bit-Plattform, Windows vs. Linux, auf einem Arduino, usw.) kann man sich nicht zwingend verlassen.

funktionsrelevante Abweichungen sich bereits in einer kleinen Untermenge der Tests - z. B. mit Testvektoren - offenbaren.

Aber wem sage ich das.

fundamental wichtig.

De facto ist ein Test immer nur eine Stichprobe. Zumindest dann, wenn ich unter "Test" nicht einen mathematischen Funktionsbeweis verstehe oder der

der Fall ist - automatisch von einem hoffentlich pefekten Compiler aus einem hoffentlich perfekten Simulationsmodell erzeugt wurde. Dort gibt es wieder ganz andere Probleme, deren Diskussion an dieser Stelle aber zu

Genau. Ist ohnehin irrelevant.

Lizenzvereinbarung verweigert. Aus gutem Grund.

Und wirst auf eine semantische Diskussion treffen, bei der es um die

Volker