> Date: Wed, 1 Sep 2010 10:04:48 +0200
> From: Marco Ermini <[email protected]>
> Subject: Re: [ml] Un'altro standard, un'altro algoritmo: 4G -> ZUC
> To: [email protected]
> Message-ID:
> <[email protected]>
> Content-Type: text/plain; charset=ISO-8859-1
>
> On 17 August 2010 17:38, Fabio Pietrosanti (naif) <[email protected]>
> wrote:
>> Sembra che nel mondo telefonico della GSM association e 3GPP l'utilizzo
>> di algoritmi consolidati e assodati come "standard", rendendo il tutto
>> meramente modulare ed aggiornabile nel tempo non sia una cosa
>>
>> Per il 4G viene proposta la suite di algoritmi ZUC.
>> Sembra un po' una barzelletta, visto che c'? tempo fino a Gennaio 2011
>>
>> Per AES la valutazione da parte del NIST con un contest aperto ? stata
>> un filo pi? impegnativa (http://csrc.nist.gov/archive/aes/).
>>
>> Oggi invece il mondo telefonico propone solo 4 mesi per fare una public
>> review di un set di algoritmi che rappresentano i buildingblocks del
>> futuro della societ? dell'informazione in mobilit??
>
> In base a cosa paragoni un registro nazionale come è il FIPS con
> algoritmi dedicati ad una indutria tutto sommato chiusa come quella
> del GSM?
>
> Gli algoritmi sono già stati valutati e corretti da mesi, quattro mesi
> per due pagine di codice C ti sembrano pochi? Non mi pare poco che
> siano stati pubblicati apertamente, tra l'altro, non mi pare così
> scontato.
>
> Inoltre da qui a vederlo applicato in pratica ne passerà di tempo... e
> non è detto che la deadline sia rispettata in ogni caso
>
>
> Cordiali saluti
> --
> Marco Ermini
Caro Marco,
1) e' vero che questi sono algoritmi che saranno (forse) usati da
aziende di un certo settore,
2) e' quindi vero che potevano anche approvarseli senza sottoporli a
public review, tanto piu' che hanno speso
dei soldi x farli valutare da centri di alto livello,
3) ma il discorso deille due pagine non vuol dire nulla: qui il punto
non e' se ci sono bachi evidenti, il punto e' se l'algoritmo ha delle
debolezze
nascoste; quindi 4 mesi sono pochi, perche' la gente ha anche
altro da fare oltre a giocare con ZUC; io per esempio sicuramente ci
provero'
a vederci qualcosa, ma non mi ci mettero' prima di un mese perche'
sto facendo altre cose; e sicuramente non ci metto una persona del mio
lab a tempo pieno, xche' nessuno ci paga per quello; ci potrei
mettere un laureando, ma tra individuarlo, fargli capire il problema e
farcelo
lavorare passano ben piu' dei 4 mesi.
4) se esce un attacco serio tra 10 mesi e' molto peggio x loro,
perche' nel frattempo avranno buttato via soldi x implementarlo.
Se public review deve essere, che sia almeno di un anno, che e' poi
il tempo per parlarne con altri alle conf di primavera/estate del
2011, dopo che c'abbiamo
giocato un po' nei bui mesi invernali.
Ciao
Max
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
