From eb1bc407061e259588fe672c7f4983da02c393ad Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Fri, 15 Jul 2022 14:33:32 +0300
Subject: [PATCH] =?utf8?q?=D0=97=D0=B0=D0=BC=D0=B5=D0=BD=D0=B0=20=D1=80?=
 =?utf8?q?=D0=B5=D0=B6=D0=B8=D0=BC=D0=B0=20=D1=88=D0=B8=D1=84=D1=80=D0=BE?=
 =?utf8?q?=D0=B2=D0=B0=D0=BD=D0=B8=D1=8F=20=D0=B2=20PGP=20=D0=B1=D0=B5?=
 =?utf8?q?=D1=81=D0=BF=D0=BE=D0=BB=D0=B5=D0=B7=D0=BD=D0=B0=20=D0=B8=20?=
 =?utf8?q?=D0=B2=D1=80=D0=B5=D0=B4=D0=BD=D0=B0?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

https://articles.59.ca/doku.php?id=pgpfan:no_new_ae
Видел эту статью в RSS, но решил не комментировать. Но он её продолжает
сувать ещё и в официальные рассылки OpenPGP. Задолбал.

В своей статье он рассматривает нападки на OCFB-MDC и парирует их. Одной
из нападок является факт расчёта MDC до шифрования, что даёт возможность,
за счёт специально подобранных сообщений, атаковать систему. Но так как
там что-то ещё шифруется, именно в OpenPGP, то это не создаёт проблем.
То есть: есть, действительно, не самый безопасный режим шифрования и
аутентификации, но к которому сбоку добавили костыль-подпорку. Этот
режим и так не самый простой, но ещё и с костылём. Нет, я согласен, что
это не означает что нужно бежать сломя голову и менять это всё, ибо оно
на практике is good enough. Но это не значит что оно good.

Где-то, вроде бы Moxie Marlinspike, говорил что даже 3DES+HMAC-MD5,
казалось бы -- архаичные алгоритмы, но всё равно на практике more than
secure enough. Вот и автор демонстрирует аналогичное и призывает
оставаться на архаичных решениях.

У меня на самом деле тоже есть похожая позиция касательно OpenPGP и
например age (4674ad351dcb1f018d2392bc03fb0692e101e229). Но там
призывают полностью выбросить и отказаться от OpenPGP, в чём я сильного
смысла не вижу. А тут автор призывает вообще-превообще ничего не трогать
в OpenPGP. Я вот нарадоваться не могу OCB AEAD-режиму его: он прост,
надёжен и жутко быстр. Да, OpenPGP придётся поддерживать и legacy с
OCFB-MDC какое-то время, но новые реализации будут state of start.

А дальше он критикует новую хотелку в OpenPGP: о том что OpenPGP не
должен выдавать наружу не аутентифицированные (подозрительные) данные.
По моему это очевидно что не может быть чем-то плохим. Но автор считает
что это проблемы конечных приложений. Собственно, в этом то и наезд на
EFAIL: OpenPGP имеет такую особенность что он выдаёт подозрительные
данные. Тот кто его использует -- должен знать о ней и корректно
использовать, а кто не смог, тот заEFAILился. Но желание сделать
формат/решение таким, чтобы убрать подобные неприятные особенности:
разумно. Криптография это про простоту. И OpenPGP с AEAD-ами именно
упрощают, а не подпирают костылями, как это делали прежде.

Резюмирует он это всё тем, что OCFB-MDC безопасен, поэтому ничего не
надо менять. Не спорю -- при правильном использовании он безопасен. Но
предлагают его заменить на нечто более простое, более быстрое и в чём
куда сложнее напортачить так, чтобы возник ещё один EFAIL.
-- 
2.50.0