Am 28.03.2022 um 20:23 schrieb Thomas Prufer:
Entwicklung. Bei Kryptographie erst wenn Experten dauerhaft keine Schwachstellen finden konnten.
Bernd
Am 28.03.2022 um 20:23 schrieb Thomas Prufer:
Entwicklung. Bei Kryptographie erst wenn Experten dauerhaft keine Schwachstellen finden konnten.
Bernd
Deswegen hat man ja hoffentlich eine QA-Abteilung und trennt Entwicklung von (Integrations-/End-to-End)Tests, die sich durchaus gut bezahlter Experten...
... bedienen darf. Nennt man dann "Peer-Review" usw.
so eine Begutachtung hat.
Speziell bei kryptografischen Fragestellungen ist "Security by Obscurity" eine Falle, in die von NIHS und dem Dunning-Kruger-Effekt Herausgeforderte immer gerne tappen.
Da findet man dann in der Hall of Shame Perlen wie...
bool CheckLicense(const License& lic) { // [...] if(lic.password="MyTopSecretPassword") return true; // [...] }
... oder:
std::string ComputeLicense(const std::string& SysId, int ExpireDays) { std::ostringstream o; o
-- Reinhardt
Es ist bestenfalls der Beweis, dass nicht genau ein Fehler im Code ist.
-- Reinhardt
Deswegen hat man ja hoffentlich eine QA-Abteilung und trennt Entwicklung von (Integrations-/End-to-End)Tests, die sich durchaus gut bezahlter Experten...
so eine Begutachtung hat.
Speziell bei kryptografischen Fragestellungen ist "Security by Obscurity" eine Falle, in die von NIHS und dem Dunning-Kruger-Effekt Herausgeforderte immer gerne tappen.
Da findet man dann in der Hall of Shame Perlen wie...
bool CheckLicense(const License& lic) { // [...] if(lic.password=="MyTopSecretPassword") return true; // [...] }
... oder:
std::string ComputeLicense(const std::string& SysId, int ExpireDays) { std::ostringstream o; o
um die es hier geht.
t.
a2_256, sha2_512,
implementiert.
rithmen
on (im Folgenden "der Code") ist eine nicht-triviale, in der Regel mathem
nnen.
gelistet sind.
ten.
|This is a set of test vectors for conformance testing,
Die Entwickler von kryptographischen Algorithmen haben das aber ausgesagt . Willst Du denen widersprechen?
korrekt.
Das sagen die Entwickler aus! Und Punkt.
ergaben.
ung der vorgegebenen Berechnungen die erwarteten Ergebnisse liefert. Es i
derer Berechnungen, z.B. wenn andere Eingabeparameter vorgegeben werden, immer noch die erwarteten Ergebnisse liefert.
Falsch. Die Entwickler haben geeignete Tests vorgegeben, um die Korrektheit bewei
ben, auch alle weiteren
den. Die Entwickler kennen ihre Entwicklung in dieser Hinsicht ganz genau.
|We, the designers of Rabbit, hereby state that no hidden weaknesses have
|been inserted by us in the Rabbit algorithm. |The key expansion stage guarantees a one-to-one correspondence be- |tween the key, the state and the counter, which prevents key redun- |dancy. It also distributes the key bits in an optimal way to prepare |for the the system iteration. |The correctness of the code on different platforms is verified by genera ting and comparing test vectors.
ion
gorithmus-Entwickler ist.
ei den vom Entwickler vorgegebenen Eingabedaten die erwarteten Ausgabedat en erzeugt. Nichts anderes.
Erneut falsche Behauptung. Beweise zur Abwechslung doch mal Deine Behauptung.
prozeduren.
Code bei der Eingeba *aller erlaubten* Eingabeparametern die erwarteten Ergebnisse liefern wird.
on gut abgehangen, aber imho immer noch gut.
Ich beherrsche etwa 20 Programmiersprachen mehr oder weniger gut - ein we iteres Buch brauche ich nicht.
Ein mathematischer Beweis ist bei allen Algorithmen des Kontextes prinzip
go von untersuchenden Experten mitgeteilt.
geben, auch alle weiteren
den. (s.o.)
rsinns.
Falsch. Ich bin ganz konkret praxisbezogen ziemlich kenntnisreich auf diesem Gebi et.
?en korrekt, weil er gewisse Tests erfolgreich durchlaufen hat", insbes ondere wenn es sich um sicherheitsrelevanten Code handelt.
Alle genannten Algorithmen wurden und werden weltweit millionenfach korre kt implementiert und konkret hunderte-millionenfach in sicherheitsfordernder Umgebung verw endet.
MD5 und RC4 werden trotz Korrumpierung vor vielen Jahren weiterhin verwen det.
hren lassen.
So wird das seit vielleicht 150 Jahren weltweit getan. Dies funktioniert auch, wenn nicht Jahrzehnte lang Warnungen von Experten ignoriert werden.
.cht das Wetter schuld.
ommen (Bau 1967). |Selbst Warnungen des Bauplaners waren ignoriert worden (~1985).
ungsrichterin Angela Nutini
wie ein Urteil",
Du willst die Kenntnisse der Entwickler und Gepflogenheiten im Bereich der kryptographischen Cipher offensichtlich nicht anerkennen.
-- Helmut Schellong var@schellong.biz http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar .bish.html http://www.schellong.de/htm/sieger.bish.html http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/a udio_unsinn.htm http://www.schellong.de/htm/tuner.htm http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/strin g.c.html http://www.schellong.de/htm/deutsche_bahn.htm http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/ rand.htm http://www.schellong.de/htm/bsd.htm
Schwachsinniger Kommentar.
--
Helmut Schellong snipped-for-privacy@schellong.biz
rung der
derer
er
Das ist falsch - u.a. weil die Entwickler der Algorithmen etwas Gegenteil iges schreiben.
Diese ganze blinde Hetzerei und wildes Invert-Behaupten kennzeichnet dies e NG als Ort der Unerquicklichkeiten und Unwahrheiten.
-- Helmut Schellong var@schellong.biz http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar .bish.html http://www.schellong.de/htm/sieger.bish.html http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/a udio_unsinn.htm http://www.schellong.de/htm/tuner.htm http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/strin g.c.html http://www.schellong.de/htm/deutsche_bahn.htm http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/ rand.htm http://www.schellong.de/htm/bsd.htm
und dein Geprotze durchschauen. Versuchs doch irgendwo im Kindergarten.
-- Reinhardt
Im vor dir zitierten Text der Entwickler steht, dass die Testvektoren zur _Verifikation_ des Codes dienen. Du kennst noch nicht mal den Unterschied
zum Teufel jagen.
-- Reinhardt
itt, der
der
gehen
tligen
y"
rte
e)
s dem
Es sind nicht meine Erzeugnisse!
t selbst entwickelt habe. Keinen davon. Jetzt schreibe ich das erneut. Was ist so schwer daran zu verstehen?
ernehmen!
oder gar
lt. Und
e,
Das ist massiv unprofessionell - Einfach horrender Quatsch!
Viel wichtiger sind
-- Helmut Schellong var@schellong.biz http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar .bish.html http://www.schellong.de/htm/sieger.bish.html http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/a udio_unsinn.htm http://www.schellong.de/htm/tuner.htm http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/strin g.c.html http://www.schellong.de/htm/deutsche_bahn.htm http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/ rand.htm http://www.schellong.de/htm/bsd.htm
ng
hrung der
anderer
t.
Das ist massiv unlogisch!
wickelt habe.
Du hast folglich erneut eine wilde Behauptung aufgestellt. Schrieb ich doch vor Deiner vorstehenden Antwort.
n ind
Welches Geprotze? Was ist an meinen Inhalten im Kontext Geprotze? Ich habe lediglich von anderen Entwicklern entwickelte Algorithmen hier a ufgelistet. Mehr ist da nicht! Also schon wieder eine wilde Behauptung. Eine falsche Behauptung nach der anderen.
03/23/2022 21:39 ========================= ========================= ================= Die Kern-Algorithmen sind nicht selbst entwickelt. Ich habe u.a. die Algorithmen Rabbit, Spritz, sha2_256, sha2_512, sha3_256, sha3_512 (Keccak) in meine Shell bish implementiert. Diese Algorithmen sind alle kryptographisch. ========================= ========================= =================Geprotze?
-- Helmut Schellong var@schellong.biz http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar .bish.html http://www.schellong.de/htm/sieger.bish.html http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/a udio_unsinn.htm http://www.schellong.de/htm/tuner.htm http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/strin g.c.html http://www.schellong.de/htm/deutsche_bahn.htm http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/ rand.htm http://www.schellong.de/htm/bsd.htm
.
?mlich niemand
ur
ed
du
n dich
Falsch. Du stellst zum x-ten Mal falsche Behauptungen auf. Etwas Korrektes zur Abwechslung scheint Dich nicht zu befriedigen. Ich habe in der Industrie 15 Jahre lang sicherheitskritische Software ent wickelt.
Man hat mir beste Arbeitszeugnisse ausgestellt.
|This is a set of test vectors for conformance testing, |The correctness of the code on different platforms is verified by genera ting and comparing test vectors.
Auch Englisch kannst Du offenbar nicht richtig.
mmung nachfolgend vorhanden sind.
schiedlichen Plattformen . nachgewiesen wird durch generieren und vergleichen von Test-Vektoren .
-- Helmut Schellong var@schellong.biz http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar .bish.html http://www.schellong.de/htm/sieger.bish.html http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/a udio_unsinn.htm http://www.schellong.de/htm/tuner.htm http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/strin g.c.html http://www.schellong.de/htm/deutsche_bahn.htm http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/ rand.htm http://www.schellong.de/htm/bsd.htm
Am 29.03.22 um 17:33 schrieb Helmut Schellong:
Tschernobyl...
Hanno
-- The modern conservative is engaged in one of man's oldest exercises in moral philosophy; that is, the search for a superior moral justification for selfishness. - John Kenneth Galbraith
den Spiegel vorhalten. Dieser Ort der Unerquicklichkeiten und
Gestalten gibts wohl in jedem unmoderierten Forum. Ich hoffe, die
hilft das Killfile.
Volker
Deswegen hat man ja hoffentlich eine QA-Abteilung und trennt Entwicklung von (Integrations-/End-to-End)Tests, die sich durchaus gut bezahlter Experten...
niemand - d. h. auch nicht unter Geheimhaltungsvereinbarung -
Speziell bei kryptografischen Fragestellungen ist "Security by Obscurity" eine Falle, in die von NIHS und dem Dunning-Kruger-Effekt Herausgeforderte immer gerne tappen.
Da findet man dann in der Hall of Shame Perlen wie...
bool CheckLicense(const License& lic) { // [...] if(lic.password=="MyTopSecretPassword") return true; // [...] }
... oder:
std::string ComputeLicense(const std::string& SysId, int ExpireDays) { std::ostringstream o; o
stenz
Kommt nicht in Frage.
.che
Falsch gedacht. Irgendwann wird mein Klon weitermachen.
olgen.
Und im Kindergarten wird man mich nicht nehmen.
-- Helmut Schellong var@schellong.biz http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar .bish.html http://www.schellong.de/htm/sieger.bish.html http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/a udio_unsinn.htm http://www.schellong.de/htm/tuner.htm http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/strin g.c.html http://www.schellong.de/htm/deutsche_bahn.htm http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/ rand.htm http://www.schellong.de/htm/bsd.htm
Am 29.03.2022 um 18:13 schrieb Volker Bartheld:
teils erst Jahre oder Jahrzehnte nach der Entwicklung, Implementierung und Benutzung der Algorithmen gefunden, und nur zum Teil auf Grund schnellerer Rechner. Ein Algorithmus ist in der Regel nicht per se "sicher" oder
wird zeigt die sinnvolle Lebensdauer an. Und die kann sehr schnell gegen 0 sinken, wenn unerwartet Attacken entdeckt werden.
Bei closed source stellt sich das Problem gar nicht, da ja keiner den Code
man genau eines: Abstand.
Haha, erinnert mich ein wenig an den Pen-Tester, der nach Tagen
Ja genau! Ich habe ihn dann etwas lapidar auf Kapitel x in Handbuch y
Er war ein bisschen geknickt, hatte er doch kurz davor genau dieses geforderte Sicherheitshandbuch mit allen Algorithmen validiert.
Bernd
ttacken werden teils erst Jahre oder Jahrzehnte nach der Entwicklung, Imp lementierung und Benutzung der Algorithmen gefunden, und nur zum Teil auf Grund schnellerer Rechner. Ein Algorithmus ist in der Regel nicht per se
nvolle Lebensdauer an. Und die kann sehr schnell gegen 0 sinken, wenn une rwartet Attacken entdeckt werden.
Du beschreibst hier korrekt die (Zwangs-)Lage bei kryptographischen Algor ithmen.
Brute force liefert nicht garantiert ein Knacken.
en"
ll
ist, denn unter
st und
turn true;
Klartext im Code! Ja genau! Ich habe ihn dann etwas lapidar auf Kapitel x
olgt verwendet wird.
orderte Sicherheitshandbuch mit allen Algorithmen validiert.
Schwachsinns-Code. Ich verschleiere solche Daten u.a. durch a='p', b='a', c='s', d= 'w';
411] strings /u/bin/bish FreeBSD FreeBSD AWAVSPH AWAVAUATSPI ffffff. ...-- Helmut Schellong var@schellong.biz http://www.schellong.de/c.htm http://www.schellong.de/c2x.htm http://www.schellong.de/c_padding_bits.htm http://www.schellong.de/htm/bishmnk.htm http://www.schellong.de/htm/rpar .bish.html http://www.schellong.de/htm/sieger.bish.html http://www.schellong.de/htm/audio_proj.htm http://www.schellong.de/htm/a udio_unsinn.htm http://www.schellong.de/htm/tuner.htm http://www.schellong.de/htm/string.htm http://www.schellong.de/htm/strin g.c.html http://www.schellong.de/htm/deutsche_bahn.htm http://www.schellong.de/htm/schaltungen.htm http://www.schellong.de/htm/ rand.htm http://www.schellong.de/htm/bsd.htm
die Implementierung auf den unterschiedlichen Compilern und Plattformen weitestgehend (d. h. zumindst ohne funktionale Abweichungen) gleich
Preprozessoranweisungen wie...
#ifdef WIN #include #else #include #endif
, wir haben unterschiedliche Versionen der C++ Runtime, der STL, das ABI unterscheidet sich, nicht einmal auf die Byteorder (LSB/MSB, Little/Big Endian) oder die Breite (wieviele Bits hat der Typ "int" oder "long" auf einer 32- vs. 64-Bit-Plattform, Windows vs. Linux, auf einem Arduino, usw.) kann man sich nicht zwingend verlassen.
funktionsrelevante Abweichungen sich bereits in einer kleinen Untermenge der Tests - z. B. mit Testvektoren - offenbaren.
Aber wem sage ich das.
fundamental wichtig.
De facto ist ein Test immer nur eine Stichprobe. Zumindest dann, wenn ich unter "Test" nicht einen mathematischen Funktionsbeweis verstehe oder der
der Fall ist - automatisch von einem hoffentlich pefekten Compiler aus einem hoffentlich perfekten Simulationsmodell erzeugt wurde. Dort gibt es wieder ganz andere Probleme, deren Diskussion an dieser Stelle aber zu
Genau. Ist ohnehin irrelevant.
Lizenzvereinbarung verweigert. Aus gutem Grund.
Und wirst auf eine semantische Diskussion treffen, bei der es um die
Volker
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here. All logos and trade names are the property of their respective owners.