Hacker News Digest

Alfred Menezes, автор известного "Руководства прикладной криптографии", запустил образовательную платформу Cryptography 101 с курсами по всем областям прикладной криптографии. Платформа включает семь специализированных курсов: решеточная криптография, алгоритмы Kyber и Dilithium, редукция решеточных баз, схемы подписей на основе хеш-функций, фундаментальные криптографические примитивы и их практическое применение, а также коды исправления ошибок. Курсы сочетают видеолекции, конспекты и упражнения, причем некоторые уже доступны, а другие запланированы на 2024-2025 годы.

Особое внимание уделяется постквантовой криптографии: курс по Kyber и Dilithium (стандартам NIST) уже доступен, а запланирован курс по редукции решеточных баз на основе алгоритма LLL. Для преподавателей подготовлены отдельные ресурсы. Платформа дополняется исследовательскими материалами, публикациями и профессиональной деятельностью Менезеса, что делает ее комплексным ресурсом как для начинающих, так и для опытных специалистов в области криптографии.

• Современные криптографические библиотеки (libsodium, Tink) берут на себя выбор алгоритма, оставляя разработчику только выбор уровня безопасности и удобства использования.
• Для большинства задач достаточно использовать готовые решения, но для специфических задач нужно изучать документацию и выбирать алгоритм вручную.
• Надёжные источники информации включают "Handbook of Applied Cryptography" и "Cryptographic Right Answers".
• Для подписи и аутентификации используйте Ed25519, для шифрования — XChaCha20-Poly1305.
• Не пытайтесь реализовывать криптографию самостоятельно, используйте готовые библиотеки.

Автор написал новую реализацию ML-DSA — постквантового алгоритма подписи NIST на Go, но столкнулся с проблемой: функция Verify постоянно отвергала действительные подписи. Уставший после четырех дней работы, он решил попробовать Claude Code для отладки. ИИ мгновенно обнаружил сложную ошибку: при верификации высокие биты w1 брались дважды из-за неправильного повторного использования функции, объединяющей HighBits и w1Encode. Claude Code загрузил код в контекст и сразу нашел проблему без предварительных исследований, затем написал тест для подтверждения гипотезы.

Второй эксперимент с синтетическими ошибками подтвердил эффективность Claude Code: он нашел ошибку в вычислении констант в Монтгомери и проблему с длиной значения в подписи (32 бита вместо 32 байт), потратив меньше времени, чем автор. Хотя Claude Code иногда сдавался после частичного исправления, его способность быстро находить сложные ошибки в низкоуровневой криптографии впечатлила. Автор признал, что до сих пор не понимает, когда лучше использовать ИИ-инструменты, но этот опыт стал отличным кейсом для скептиков.

• LLM-агенты эффективно находят баги, но не всегда предлагают корректные фиксы; важно помнить, что их роль — это инструмент для поиска и понимания проблемы, а не окончательное решение.
• Используйте LLM как «запахивающий» инструмент: он укажет, где копать, но не копает за вас.
• Стоит ли доверять LLM-агентам доступ к вашей системе и данным — вопрос безопасности и приватности.
• Стоит ли доверять LLM-агентам, которые могут запускать код или команды, зависит от вашего уровня доверия к провайдеру и от того, насколько вы уверены в их намерениях.
• Не стоит полагаться на LLM-агентов для критически важных систем безопасности или криптографии.

• Участники обсуждают отчет NIST о китайских моделях ИИ DeepSeek, многие считают его политически мотивированным и предвзятым, отмечая отсутствие в нем доказательств бэкдоров или эксфильтрации данных.
• Ряд комментаторов призывает прочитать оригинальный отчет, а не полагаться на его интерпретации, указывая на несоответствие между содержанием отчета и его критикой в статье Эрика Хартфорда.
• Высказывается мнение, что открытые китайские модели (как DeepSeek) важны для исследований и развития ИИ за пределами США, предоставляя доступные альтернативы дорогим проприетарным моделям.
• Некоторые пользователи выражают скептицизм относительно возможного скрытого влияния китайского правительства через ИИ, но признают, что аналогичные риски могут исходить и от западных моделей.
• Обсуждаются практические аспекты моделей DeepSeek, включая их стоимость, уязвимости к взлому (jailbreaking) и опыт использования различных версий, таких как uncensored Dolphin.

OpenSSH с 9.0 (2022) включает постквантовые алгоритмы согласования ключей:

• sntrup761x25519-sha512
• mlkem768x25519-sha256 (по умолчанию с 10.0)

В 10.1 появится предупреждение при использовании «квантово-уязвимых» схем; отключить его можно опцией WarnWeakCrypto.

Почему это важно

Квантовый компьютер способен решать задачи, недоступные классическим, и сломать современные алгоритмы Диффи–Хеллмана и ЭЦП. Ожидаемый срок появления — середина 2030-х. Атака «собери сейчас — расшифруй потом» позволяет сохранять трафик и расшифровывать его позже.

Что делать, если вы видите предупреждение

1. Обновите сервер до OpenSSH ≥ 9.0 (или другой реализации с поддержкой mlkem768x25519-sha256/sntrup761x25519-sha512).
2. Проверьте, что KexAlgorithms не запрещает новые алгоритмы.
3. Если обновить нельзя, временно отключите предупреждение:

   Match host unsafe.example.com
       WarnWeakCrypto no
   

Подписи

RSA/ECDSA тоже уязвимы, но «store-now-decrypt-later» для подписей невозможен; достаточно заменить ключи до появления квантовых компьютеров. Поддержка постквантовых подписей появится позже.

Надёжность новых алгоритмов

• Используются гибридные схемы: постквантовый + классический алгоритм.
• Выбраны с большим запасом прочности; даже при обнаружении слабостей останутся пригодными.

• OpenSSH уже реализует гибридные KEX-алгоритмы (mlkem768×25519 и sntrup761×25519), которые сочетают пост-квантовую и классическую криптографию.
• Главная причина спешки — «store-now-decrypt-later»: трафик, перехваченный сегодня, могут расшифровать через 10–20 лет.
• Размеры ключей PQ-алгоритмов действительно больше, но для редкого обмена ключами это приемлемо; подписи пока не меняют.
• FIPS-совместимость возможна, если весь криптомодуль сертифицирован; гибридные KEM NIST одобряет.
• На macOS Secure Enclave пока не умеет PQ, но скоро может поддержать ML-KEM, что откроет путь для Secretive.