Title: Доказательство P=NP: пострадает ли криптоалг& Post by: VELVET on December 17, 2013, 08:06:46 AM Вчера опубликовали новость доказательства одной из проблем тысячелетия: равенство классов P и NP (http://hornews.ru/news/last_news/chelyabinskiy_matematik_reshil_odnu_iz_zadach_tyisyacheletiya.html).
+ тык (http://www.itar-tass.com/ural-news/837298), тык (http://www.naukablog.com/nauka/7680), хабр (http://habrahabr.ru/post/206288/) Не будучи математиком, я не понимаю, как это влияет на современные криптоалгоритмы и на майнинг биткоинов, в частности. Заметил, что вчера вечером курс биткоина пошел вниз. Связано ли это с данной новостью? Основная фишка в том, что устаревают все современные технологии защиты и все электронные транзакции становятся уязвимыми. обсуждение на quora (http://www.quora.com/How-will-life-change-if-it-is-proved-that-P-NP) Однако, само по себе математическое доказательноство ничего не значит на практике: научиться превращать NP алгоритмы в P может занять очень много времени... Title: Re: Доказательство P=NP: пострадает ли криптоал Post by: Balthazar on December 17, 2013, 10:43:14 AM Этих доказательств и опровержений опубликовали уже много сотен.
Как правило, анализ заканчивается нахождением ошибки :) В данном же случае доказательство еще не было даже опубликовано, так что маловероятно. Title: Re: Доказательство P=NP: пострадает ли криптоал Post by: gnuberg on December 17, 2013, 08:35:02 PM Естественно пострадает.
Доказавший купит на полученное вознаграждение асиков и сделает 51% всей сети. Вчера опубликовали новость доказательства одной из проблем тысячелетия: равенство классов P и NP (http://hornews.ru/news/last_news/chelyabinskiy_matematik_reshil_odnu_iz_zadach_tyisyacheletiya.html). + тык (http://www.itar-tass.com/ural-news/837298), тык (http://www.naukablog.com/nauka/7680), хабр (http://habrahabr.ru/post/206288/) Не будучи математиком, я не понимаю, как это влияет на современные криптоалгоритмы и на майнинг биткоинов, в частности. Заметил, что вчера вечером курс биткоина пошел вниз. Связано ли это с данной новостью? Нет, таких "прорывов" по нескольку десятков в год бывает. В лучшем случае где-то ошибка, обычно же просто утка. У Успенского было описание того как еще в советское время после журналистского бума приходилось разгребать тысячи заведомо неверных решений математических задач. Основная фишка в том, что устаревают все современные технологии защиты и все электронные транзакции становятся уязвимыми. обсуждение на quora (http://www.quora.com/How-will-life-change-if-it-is-proved-that-P-NP) Однако, само по себе математическое доказательноство ничего не значит на практике: научиться превращать NP алгоритмы в P может занять очень много времени... Сама идея использования полиномиальных алгоритмов вместо экспоненциальных стоит практически любого затраченного времени :) Title: Re: Доказательство P=NP: пострадает ли криптоал Post by: gauntlet on January 17, 2014, 10:29:53 PM Жёлтая пресса.
По открытому ключу, читай биткоин адрес, можно будет восстановить priv key. Таких доказательств, из Челябинска и др. городов приносит на страницах беспантовых газет, каждый год пачками. Title: Re: Доказательство P=NP: пострадает ли криптоал Post by: boinc on January 21, 2014, 05:51:27 AM Жёлтая пресса. Биткойн адрес это не пубкей, он еще хэширован несколько разПо открытому ключу, читай биткоин адрес, можно будет восстановить priv key. Таких доказательств, из Челябинска и др. городов приносит на страницах беспантовых газет, каждый год пачками. Title: Re: Доказательство P=NP: пострадает ли криптоал Post by: ri on January 21, 2014, 03:15:20 PM По открытому ключу, читай биткоин адрес, можно будет восстановить priv key. Биткойн адрес это не пубкей, он еще хэширован несколько разВ данном случае это не имеет принципиального значения... Насколько я понял суть задачи, ее доказательство означает, что любой алгоритм как асимметричного шифрования, так и хэширования гарантированно уязвим - если, конечно, доказательство верное. Другое дело, что доказать, что у Васи есть деньги - не значит, отнять эти деньги, т.е. на каждый алгоритм нужно найти конкретный метод взлома - на это могут уйти годы, а то и века (тысячелетия). Т.е. если доказательство окажется верным - это будет значить, что взлом и биткойна, и множества других криптографических систем (всех, кроме симметричного шифрования) - дело времени. Но сколь долгого - непонятно. Title: Re: Доказательство P=NP: пострадает ли криптоал Post by: boinc on January 21, 2014, 04:35:26 PM В данном случае это не имеет принципиального значения... Насколько я понял суть задачи, ее доказательство означает, что любой алгоритм как асимметричного шифрования, так и хэширования гарантированно уязвим - если, конечно, доказательство верное. Ну, во-первых, с вероятностью семь девяток доказательство очередной фейк, а во-вторых, AFAIR, из утверждения P=NP вовсе не следует автоматически, что вся криптография рухнет, степень полинома будет иметь значение. Так же как из утверждения P≠NP не следует, что существующая криптография абсолютно надёжна - необходимо доказать существование односторонних функцийTitle: Re: Доказательство P=NP: пострадает ли криптоал Post by: ri on January 21, 2014, 04:51:19 PM Ну, во-первых, с вероятностью семь девяток доказательство очередной фейк, Гм, а какова методика расчета этой вероятности :) ? а во-вторых, AFAIR, из утверждения P=NP вовсе не следует автоматически, что вся криптография рухнет, степень полинома будет иметь значение. Ммм я же писал - если утверждение P=NP верное, то это означает потенциальную возможность взлома, но не дает его алгоритмов. Так же как из утверждения P≠NP не следует, что существующая криптография абсолютно надёжна - необходимо доказать существование односторонних функций Насколько я понимаю, это утверждение и есть доказательство их существования. Но - их нужно еще найти и использовать. Если они существуют - то это не значит, что они уже используются, возможно, как раз ни в одной современной криптографической системе ни одна из таких функций не применяется. Title: Re: Доказательство P=NP: пострадает ли криптоал Post by: boinc on January 22, 2014, 05:00:16 AM Вобщем расходимся мужики - новость желтая, битку новых дыр не добавилось пока.
Title: Re: Доказательство P=NP: пострадает ли криптоал Post by: bblizard on January 23, 2014, 12:00:08 PM Наш дорогой питерец Григорий Перельман восемь лет ломал Пуанкаре головой даже малость поехал, затворником стал, а Вы - "доказательство нашли" - если это правда, то этим самым доказательством подтверждается теория струн!
Title: Re: Доказательство P=NP: пострадает ли криптоал Post by: ri on January 23, 2014, 12:05:13 PM Наш дорогой питерец Григорий Перельман восемь лет ломал Пуанкаре головой даже малость поехал, затворником стал, а Вы - "доказательство нашли" - если это правда, то этим самым доказательством подтверждается теория струн! Непонятно - каким образом затворничество Перельмана доказывает невозможность доказательства титульной задачи? Title: Re: Доказательство P=NP: пострадает ли криптоал Post by: bblizard on January 23, 2014, 12:19:04 PM Наш дорогой питерец Григорий Перельман восемь лет ломал Пуанкаре головой даже малость поехал, затворником стал, а Вы - "доказательство нашли" - если это правда, то этим самым доказательством подтверждается теория струн! Непонятно - каким образом затворничество Перельмана доказывает невозможность доказательства титульной задачи? Конечно не доказывает - просто хотел подчеркнуть уровень необходимой работы! А эта работа по самым имхо скромным меркам на порядок сложнее! А в общем и целом мне видится, что доказательство или опровержение поставленной задачи в ближайшее время ожидать не стоит! Можно спать спокойно и не переживать за возможность подбора приватного ключа! Title: Ветка: Основная Post by: ZeroTheGreat on January 25, 2014, 01:32:41 PM Насколько я понимаю, это утверждение и есть доказательство их существования. Разве? Вроде это лишь означает, что поиск коллизий нельзя будет вести в полиномиальное время, но не запретит существование коллизий. Тем более в некоторых устаревших алгоритмах коллизии были найдены, вопрос только в том достаточно ли сложно найти коллизии в новых алгоритмах, чтобы пользоваться ими. Пока ответ: да, это сложно (=дорого).Title: Ветка: Основная Post by: ZeroTheGreat on January 25, 2014, 01:36:14 PM Ну, во-первых, с вероятностью семь девяток доказательство очередной фейк, Гм, а какова методика расчета этой вероятности :) ? Title: Re: Ветка: Основная Post by: ri on January 25, 2014, 02:28:54 PM Насколько я понимаю, это утверждение и есть доказательство их существования. Разве? Вроде это лишь означает, что поиск коллизий нельзя будет вести в полиномиальное время, но не запретит существование коллизий. Тем более в некоторых устаревших алгоритмах коллизии были найдены, вопрос только в том достаточно ли сложно найти коллизии в новых алгоритмах, чтобы пользоваться ими. Пока ответ: да, это сложно (=дорого).Вообще-то коллизии заведомо существуют для любого алгоритма хэширования - и не надо быть профессором математики, чтобы это доказать. Могу продемонстрировать доказательство, если хотите. Что же касается сложности поиска коллизий - именно ей все и определяется. Вам же совсем необязательно находить коллизии, чтобы взломать чей-то кошелек - вполне достаточно подобрать оригинальный ключ. Невозможность решения задачи в полиномиальное время обеспечивает возможность подобрать такой алгоритм и длины ключей, что любые попытки взлома будут совершенно непрактичны. Ну, во-первых, с вероятностью семь девяток доказательство очередной фейк, Гм, а какова методика расчета этой вероятности :) ? Нелогично. В данном случае мы имеем работу, опубликованную, я так понимаю, как минимум в одном из научных журналов, а может и отдельным изданием - лень гуглить и проверять, но не суть важно. Возьмем классичесские семь задач тысячелетия. Одно из опубликованных решений для них принято считать верным. Чтобы получить ваши семь нулей, получается, что опубликованных работ с решениями одной из задач тысячелетия должно быть более миллиона. Вы можете поверить в эту цифру? Я - нет. Готов допустить десяток-сотню, да пусть даже тысячу опровергнутых опубликованных решений задач тысячелетия, но уж никак не миллион. Title: Re: Ветка: Основная Post by: boinc on January 26, 2014, 09:36:42 AM Нелогично. В данном случае мы имеем работу, опубликованную, я так понимаю, как минимум в одном из научных журналов, а может и отдельным изданием С чего вы взяли?лень гуглить и проверять, но не суть важно. Вот на таких читателях и держится вся желтая пресса.Нет ссылки ни на какую научную публикацию, даже на arXiv, только бла-бла-бла и ко-ко-ко Ну и как аргумент скопипастю коммент с хабра Quote Ключевой момент — источником такой новости никак не может стать сайт с заголовками вроде «Тайна Бермудского треугольника всплыла сама!». И заголовок новости будет не будет содержать «челябинский ученый» (не потому что в Челябинске ученых быть не может, а потому что если будет возможен хоть какой-то шанс верности доказательства, не будет иметь значения из какого города или страны доказавший). Title: Re: Ветка: Основная Post by: ri on January 26, 2014, 12:36:21 PM Нелогично. В данном случае мы имеем работу, опубликованную, я так понимаю, как минимум в одном из научных журналов, а может и отдельным изданием С чего вы взяли?лень гуглить и проверять, но не суть важно. Вот на таких читателях и держится вся желтая пресса.Нет ссылки ни на какую научную публикацию, даже на arXiv, только бла-бла-бла и ко-ко-ко Вообще-то я специально сделал оговорку, давая понять, что у меня нет точной и абсолютно достоверной информации на этот счет. Сейчас все-таки загуглил, ситуация действительно весьма неоднозначная... С одной стороны утверждается, что работа не опубликована, с другой - сказано, что "Так, свое доказательство Панюков представил на международной конференции в Черногории, а также в Институте математики и механики УрО РАН и в журнале «Автоматика и механика»". С другой стороны навскидку я не нашел такой журнал, однако существует журнал "Автоматика и телемеханика", в котором этот самый Панюков многократно публиковался, правда, требуемой статьи я там не нашел. Ну и как аргумент скопипастю коммент с хабра Quote Ключевой момент — источником такой новости никак не может стать сайт с заголовками вроде «Тайна Бермудского треугольника всплыла сама!». И заголовок новости будет не будет содержать «челябинский ученый» (не потому что в Челябинске ученых быть не может, а потому что если будет возможен хоть какой-то шанс верности доказательства, не будет иметь значения из какого города или страны доказавший). А теперь - вот, получите: http://grani.ru/Society/Science/m.29288.html (http://grani.ru/Society/Science/m.29288.html) Начнем с заголовка: "Российский математик Григорий Перельман утверждает, что доказал гипотезу Пуанкаре" - таки российский? Это же совершенно неважно! Несколько цитат: Quote Григорий Перельман, кстати, сын знаменитого Якова Перельмана, автора "Занимательной физики", является сотрудником петербургского Математического института имени Стеклова Российской Академии наук. А вот википедия утверждает, что Quote Распространено заблуждение, что отцом Григория Яковлевича Перельмана является Яков Исидорович Перельман — известный популяризатор физики, математики и астрономии[44]. Однако Я. И. Перельман умер более чем за 20 лет до рождения Григория Перельмана. Уже достаточно желто для вас? Значит, доказательство Перельмана - гарантированный фейк? Далее по тексту: Quote Как пишет New York Times, статью которой публикует InoPressa, на доскональную проверку доказательства уйдет не один месяц. Если доказательство профессора Перельмана будет принято к публикации в реферативном научном журнале и не будет опровергнуто в течение двух лет, ученый получит от Математического института Клэя в Кембридже премию в 1 млн долл. Найдите-ка пять отличий от нынешней ситуации! Я не смог. Из всего вышесказанного совершенно не вытекает, что я считаю доказательство Панюкова правильным - даже если бы я его досконально изучил, то и тогда мое образование не позволило бы сделать никаких выводов на этот счет. Но и утверждать, что оно гарантированно неверное у меня нет абсолютно никаких оснований - как и у вас. Только я это признаю, а вы - нет. Title: Re: Ветка: Основная Post by: boinc on January 26, 2014, 01:07:23 PM А теперь - вот, получите: http://grani.ru/Society/Science/m.29288.html (http://grani.ru/Society/Science/m.29288.html) Если вы обратите внимание, они по крайней мере ссылаются на NYT, хотя статейке более 10 лет уже. А тут чистейшая желтизна.Начнем с заголовка: "Российский математик Григорий Перельман утверждает, что доказал гипотезу Пуанкаре" - таки российский? Это же совершенно неважно! Title: Re: Ветка: Основная Post by: boinc on January 26, 2014, 01:11:57 PM утверждать, что оно гарантированно неверное у меня нет абсолютно никаких оснований - как и у вас. Только я это признаю, а вы - нет. Что оно гарантированно неверное я ни где не говорил. Я лишь говорю, что статейка несомненно желтая, и именно по этой причине всерьёз воспринимать её не стоит.Title: Re: Ветка: Основная Post by: ri on January 26, 2014, 01:33:29 PM утверждать, что оно гарантированно неверное у меня нет абсолютно никаких оснований - как и у вас. Только я это признаю, а вы - нет. Что оно гарантированно неверное я ни где не говорил. Я лишь говорю, что статейка несомненно желтая, и именно по этой причине всерьёз воспринимать её не стоит.Статейка не одна, их много - разной степени желтизны. Однако из них тоже можно сделать несколько выводов... Я на сегодняшний день ситуацию таковой вижу: некий профессор, доктор физико-математических наук, заведующий кафедрой в достаточно серьезном вузе, обладатель кучи почетных званий и т.п. (http://www.mathnet.ru/php/person.phtml?option_lang=rus&personid=30278 (http://www.mathnet.ru/php/person.phtml?option_lang=rus&personid=30278), http://www.susu.ac.ru:8001/ru/f/fakultet_vychislitelno_matematiki_i_informatiki/kafedry/emmis/professorsko-prepodavatelski_sostav/panjukov (http://www.susu.ac.ru:8001/ru/f/fakultet_vychislitelno_matematiki_i_informatiki/kafedry/emmis/professorsko-prepodavatelski_sostav/panjukov)) считает, что решил одну из "задач тысячелетия", над которой работал более 30 лет. Сие решение он готовит к публикации и надеется, что оно окажется верным. Поскольку проблема (как, по всей видимости, и ее доказательство) весьма сложна и ранее было предложено много доказательств (и опровержений), оказавшихся ошибочными, вероятнее всего и на этот раз где-нибудь будет найдена ошибка, однако ввиду серьезности заявления и биографии заявителя это решение должно быть рассмотрено самым серьезным образом. Title: Ветка: Основная Post by: ZeroTheGreat on January 29, 2014, 11:13:21 PM Вообще-то коллизии заведомо существуют для любого алгоритма хэширования - и не надо быть профессором математики, чтобы это доказать. Могу продемонстрировать доказательство, если хотите. М? Я читал, что было доказано математически, что Keccak работает точно так же, как искомый "чёрный ящик". Была статья на Хабре. В таком случае коллизий существовать не должно по идее, или их нахождение ничего не даст (я не криптограф, не кидайтесь тапками).Title: Re: Ветка: Основная Post by: ri on January 29, 2014, 11:55:05 PM Вообще-то коллизии заведомо существуют для любого алгоритма хэширования - и не надо быть профессором математики, чтобы это доказать. Могу продемонстрировать доказательство, если хотите. М? Я читал, что было доказано математически, что Keccak работает точно так же, как искомый "чёрный ящик". Была статья на Хабре. В таком случае коллизий существовать не должно по идее, или их нахождение ничего не даст (я не криптограф, не кидайтесь тапками).Фишка в том, что ограничена длина хэша. Предположим, мы используем keccak - ну или абсолютно любой другой алгоритм с длиной хэша n бит. В этом случае максимально возможное количество значений хэша будет 2n. Возьмем 2n+1 сообщений и вычислим хэши для каждого из них. Очевидно, что поскольку количество сообщений больше, чем количество возможных значений хэша, то хотя бы у двух сообщений хэши окажутся одинаковыми - вот вам и коллизия. n теоретически может быть сколь угодно велико (на практике крайне редко используется значение больше 512), однако оно должно быть конечным - иначе для вычисления и сохранения хэша нам понадобятся бесконечные ресурсы, в то же время как количество возможных сообщений теоретически бесконечно. Title: Ветка: Основная Post by: ZeroTheGreat on January 30, 2014, 01:19:35 AM Фишка в том, что ограничена длина хэша. Предположим, мы используем keccak - ну или абсолютно любой другой алгоритм с длиной хэша n бит. В этом случае максимально возможное количество значений хэша будет 2n. Возьмем 2n+1 сообщений и вычислим хэши для каждого из них. Очевидно, что поскольку количество сообщений больше, чем количество возможных значений хэша, то хотя бы у двух сообщений хэши окажутся одинаковыми - вот вам и коллизия. Ммм, ясно. Но ведь мало найти коллизию, надо ещё определить какого она рода и насколько опасна?А если сообщения с одинаковым хэшем вообще никак аналитически не стыкуются, то это будет значить, что коллизия безопасна, так? По идее, именно такое тогда должно быть доказательство соответствия "чёрному ящику". Который может зажевать любое число бит, но выплюнет только n. Title: Re: Ветка: Основная Post by: ri on January 30, 2014, 03:07:08 PM Но ведь мало найти коллизию, надо ещё определить какого она рода и насколько опасна? Ну, собственно, приведенное доказательство только указывает на существование коллизий, но не дает ответа, как, кроме брутфорса, их находить. Нахождение коллизий представляет серьезную сложность даже для устаревших алгоритмов, вышедших (md4) или постепенно выходящих (md5) из употребления. А если сообщения с одинаковым хэшем вообще никак аналитически не стыкуются, то это будет значить, что коллизия безопасна, так? Это уже зависит от сферы применения хэширования, в большинстве случаев нахождение коллизии действительно не представляет никакой опасности. Пример: разработчик программы, которому вы доверяете, выложил архив с пакетом на множество зеркал для разгрузки своего сайта. Одно или несколько из этих зеркал могут быть мошенническими, т.е. их владельцы стремятся добавить внутрь программы свой вредоносный код. Разработчик на своем сайте кроме ссылок на зеркала опубликовал md5-хэш архива (напомню, на сегодняшний день md5 уже считается ненадежным). Вы качаете архив и проверяете соответствие его md5 значению, выложенному на сайте, и если они совпадают - считаете файл надежным. Для злоумышленника это выглядит так - любая произвольная найденная коллизия совершенно не годится для его целей, т.к. выложив файл с произвольными данными, чья md5-сумма равна целевой он ничего не добьется. Во-первых, ваш архиватор сразу же откажется работать с этим файлом, не найдя в ней корректного формата для данного типа архивов. Во-вторых, если даже ему удастся подобрать такую коллизию, что файл действительно будет соответствовать корректному формату - совсем необязательно (точнее, практически невероятно), что там окажется тот самый вредоносный код, которых хотел внедрить злоумышленник. Ну и поскольку вы ожидаете, что запустить установку нужно, кликнув setup.exe (например), то файл, запускающий вредоносный код должен после распаковки называться именно так - и никак иначе. Итого получаем - для использования уязвимостей md5 в таком применении совершенно недостаточно умения находить сообщения, чьи хэши будут равны заданному значению - нужно выбрать такое соообщение, которое будет содержать корректный формат для данного вида архива, а после распаковки такого архива - иметь правдоподобную для программы установки структуру, содержать конкретный вредоносный код, программу, которая должна быть установлена (без этого вы можете догадаться о наличии вредоносного кода и незамедлительно начать с ним бороться - и на своем компьютере, и онлайн, например, напишете о проблеме разработчику, после чего он уберет из списка зеркал злонамеренное, предотвратив дальнейшее распространение кода). Кроме того, оно должно иметь хотя бы правдоподобный (чтобы избежать обоснованных подозрений) или даже конкретный размер (ведь никто не мешает вам проверить не только хэш, но и размер файла). Таким образом, на сегодняшний день такое применение md5 выглядит вполне надежным, несмотря на то, что сам md5 уже считается ненадежным и не рекомендуется к применению в любых целях. В применении к криптовалютам - на майнинг очень сильно повлияет взлом алгоритма, однако для этого необязательно умение находить коллизии - нам ведь нужно не точное соответствие хэша, а всего лишь хэш, подчиняющийся определенным правилам (меньше заранее известного значения). Касательно использования чужих средств - кроме взлома двух применяемых при генерации адресов алгоритмов хэширования необходимо также уметь генерировать закрытый ключ из открытого для асимметричного шифрования на основе эллиптических кривых. Последний пункт во многих случаях позволит красть чужие средства (хотя и не любые - только те, для которых уже был опубликован публичный ключ) без взлома алгоритмов хэширования. А если использовать умение нахождения коллизий для нахождения открытого ключа - то коллизия тоже должна быть не любая, а такая, которая даст правдоподобный открытый ключ. Правда, каким он должен быть - не знаю, это фактически зависит от того, к любому ли числу можно подобрать пару, которая в случае использования в качестве закрытого ключа даст соответствующий открытый ключ. Плюс к тому - скорее всего (хотя и не уверен), клиент bitcoin проверяет длину ключа - чтобы его длина была не более целевой, в этом случае коллизии нужно находить в области сравнительно малых чисел. |