При использовании корректного ГПСЧ стойкость криптографической системы RSA (как и всех алгоритмов асимметричного шифрования) базируется на том, что при наличии открытого ключа сложно вычислить парный ему секретный.

Ключи создаются на основе произведения пар больших простых чисел (натуральных чисел, которые делятся без остатка только на единицу и сами на себя). Эти числа генерируются псевдослучайным образом. В теории ключу длиной 1 024 бита соответствует множество из 2502 простых чисел. Для атакующей стороны они все равновероятны.

На практике это означает неприемлемо долгое время атаки (годы, века) даже с использованием суперкомпьютера или сети распределённых вычислений, так как она в конечном счёте сводится к решению задачи факторизации — представления (больших) целых чисел в виде произведения простых.

Эксперт по вопросам криптографии Марк Бернетт поясняет в своём микроблоге, что число атомов во Вселенной гораздо меньше множества этих пар. Поэтому при реальном соблюдении всех требований FIPS 140-2 Level 2 шанс найти два идентичных произведения простых чисел или сотню слабых ключей RSA даже из миллионов образцов должен быть очень близок к нулевому.

На первый взгляд, такая грубая ошибка, как дефектный генератор псевдослучайных чисел, в международной платёжной системе просто не могла пройти мимо десятков специалистов сертификационных центров и остаться незамеченной. Складывается впечатление, что их попросту заставили проигнорировать её, а сложившаяся ситуация возникла по причине закрытости деталей конкретной криптографической системы.

Распространено мнение, что открытый исходный код криптографических программ гарантирует их надёжность. Однако на практике получается, что открытость — необходимое, но не достаточное условие.

К примеру, подобная ошибка в генераторе случайных чисел криптографического пакета OpenSSL (применяемого в том числе и для создания ключей RSA) в ОС Debian не замечалась сообществом более полутора лет, хотя его исходный код был общедоступен. Всё это время серверами генерировались слабые OpenSSL-ключи. Они были настолько предсказуемы, что вскрывались в течение нескольких часов ещё пять лет назад. При быстрой проверке среди владельцев цифровых сертификатов на основе слабых ключей обнаружилось свыше двадцати тысяч сайтов коммерческих и правительственных организаций, одним из которых был сайт Белого дома.

Критерии надёжности криптографических систем пересматриваются каждый год. Происходит это даже не столько в связи с увеличением мощности компьютеров, сколько из-за развития математики. Продолжается поиск всё больших простых чисел, открываются их новые свойства, создаются более эффективные алгоритмы и реализующие их ценой минимальных затрат узкоспециализированные чипы.

В этом году перуанским математиком Харальдом Хельфготтом (Harald Andres Helfgott Seier) была решена одна из старейших математических проблем — доказана гипотеза Гольдбаха. Она гласит, что любое нечётное число больше пяти можно представить в виде суммы трёх простых чисел.

Определить общее количество простых чисел в заданном диапазоне гораздо проще, чем вычислить их ряд до этого предела. Существуют (и разрабатываются новые) также способы эффективного поиска простых чисел отдельных типов и алгоритмы проверки произвольного числа на соответствие критериям простоты.

При помощи проекта добровольных распределённых вычислений было найдено самое большое (среди известных на сегодня) простое число. Им оказалось число Мерсенна: 2 57885161 — 1. Его запись в десятичном виде в формате текстового файла выглядит так: [Осторожно! Браузер может зависнуть при попытке загрузить эту страницу в память.].

Помимо очевидного упрощения задачи взлома систем шифрования с течением времени (в силу развития математики и закона Мура), существует гораздо более серьёзная проблема — снижение стойкости применяемых на практике криптографических средств из-за ошибок в их реализации или намеренного ослабления.

Именно в последнем заключается политика правительства США, Канады, Великобритании и, возможно, других стран в отношении как экспортируемых, так и свободно доступных криптографических продуктов. К примеру, эффективная длина ключа намеренно уменьшалась в системах с блочным алгоритмом DES и поточным алгоритмом шифрования A5.

До недавнего времени считалось, что наиболее популярные варианты реализации RSA сегодня лишены такого явного огрубления, но их стойкость оказалась снижена на другом уровне.

После двух с половиной лет распределённых вычислений группе криптографов под руководством Торстена Клейнюнга (Thorsten Kleinjung) в декабре 2009 года удалось выполнить факторизацию ключа RSA длиной 768 бит методом решета числового поля. После этой работы оценка вычислительной сложности взлома криптосистемы RSA была понижена на несколько порядков.

Последующие работы этого же коллектива выявили другие проблемы с практической реализацией криптосистем на базе RSA. Как и в рассмотренных выше случаях, её корнем стал ненадёжный ГПСЧ. Совпадающие произведения простых чисел были обнаружены у одного процента всех проанализированных ключей с длиной 1 024 бита. Это кажется не столь большим, пока не осознаёшь, что в таком огромном массиве идентичных пар не должно встречаться вовсе. Разложив модуль на произведение двух простых чисел, атакующий может вычислить недостающий секретный компонент и взломать RSA.

Главный специалист подразделения безопасности корпорации EMC и директор лаборатории RSA Ари Джулс (Ari Juels) ознакомился с исследованиями группы Торстена и опубликовал официальный комментарий. На страницах блога он в очередной раз подчёркивает, что теоретическая стойкость алгоритма не эквивалентна надёжности конкретных криптографических систем на его основе. Указанные недостатки касаются не самого алгоритма RSA, а проблем его применения.

_{Криптографическое общество любителей слабых ключей (основные члены клуба по версии cryptome.org).}

Что получается в сухом остатке? На протяжении как минимум последних пяти лет разные группы криптографов указывали на однотипные проблемы в самых распространённых системах, использующих алгоритм RSA. Проанализировав эти отчёты и фактические темпы вскрытия ключей разной длины в конкурсе RSA Challenge, Национальный институт стандартов и технологий США (NIST) рекомендовал устранить выявленные ошибки, а также прекратить использование ключей длиной 1 024 бита и менее не позже начала 2010 года. Однако проблема остаётся актуальной и для ключей длиной 2 048 бит, поскольку ненадёжные генераторы псевдослучайных чисел продолжают применяться до сих пор в самых ответственных областях.

К оглавлению

Особый путь Daimler AG к внедрению в свои машины искусственного интеллекта

Михаил Ваннах

Опубликовано 17 сентября 2013

Были когда-то автомобили-классики. Не редкой ныне классической схемы (впереди мотор, в середине — кардан, привод на задний мост), а именно классики. Как Данте, Шекспир и Достоевский в литературе. Рождалось их производство до Великой войны, в мире, не знавшем подоходных налогов и социальной справедливости, и продолжалось до 1930-х годов. Наиболее известен воспетый пролетарским поэтом Маяковским Rolls-Royce – «Товарищи, вы видели Ройса? Ройса, который с ветром сросся?» Товарищи, впрочем, Rolls-Royce любили и активно эксплуатировали. Ребёнок, поглядевший в Музее В. И. Ленина в Горках на машину, предпочитаемую вождём пролетариев, на всю жизнь избавлялся от идиотской веры в равенство и братство… Были и менее известные в нашей стране классики — скажем Bucciali и Bugatti.

Огромные, до семи метров длиной. С длиннющими капотами, скрывающими двигатели аж о шестнадцати цилиндрах. У Hispano-Suiza («испано-швейцарской») на капоте был аист, в память об эскадрилье аса первой мировой Гинеме, имевшей эмблемой эту птицу и летавшей на моторах этой фирмы. Модель от Avions Voisin 1935 года звалась «Аэродинамик». Люксовые автопроизводители из Германии также были связаны с авиацией: одна из моделей компании Maybach звалась Maybach Zeppelin, её моторы стояли и на цеппелинах, и на менее известных жёстких дирижаблях от Шютте-Ланц. Так что хайтек индустриальной эпохи широко присутствовал в классиках, собиравшихся вручную, в традициях европейских цехов.

_{Maybach Zeppelin.}

Именно с «классиков» пришли в массовое автомобилестроение электрический стартер, впервые появившийся на кадиллаках, указатели поворота, синхронизаторы в коробке передач. Оценить это может только тот, кому в 70-е приходилось с мотороллера «Тула-200″ показывать намерение повернуть рукой, а потом, чуть позже, «ловить передачи» в коробке «Москвича-400», в девичестве известного как «опель-кадет»; нынче выросло уже целое поколение, не умеющее ездить без «автомата»… Несмотря на консервативность «классиков», изменения в технологиях смежного, авиационного хайтека отображались и на них. У Bugatti колёса сначала имели спицы из рояльной проволоки, шедшей на растяжки аэропланов. Потом, когда крылатым металлом стал дюраль, они обрели диски из лёгких сплавов.

_{Когда-то Daimler был таким.}

Ну а теперь перенесёмся в наши дни. Посмотрим на продукцию концерна Daimler — и увидим, что его новости в равной мере проходят и по ведомству информационных технологий. Дело в том, что опытный автомобиль Mercedes Benz S 500 Intelligent Drive абсолютно автономно совершил стокилометровую поездку между Мангеймом и Пфорцхаймом. Расстояние небольшое — по сравнению с состоявшимся в 2010 году пробегом от Милана до Шанхая минивэнов Piaggio Porter, оборудованных системами автовождения от пармской компании Vislab. Но там были машины, обвешанные дополнительным оборудованием. Перед каждым роботом ехал человек, прокладывавший ему путь…

_{Vislab щедро обвешала свои машины лазерами и радарами.}

А вот Mercedes Benz S 500 Intelligent Drive выглядит так, как и подобает машине премиального класса от добротного германского производителя. Большой седан и большой седан.

_{Mercedes Benz S 500 Intelligent Drive.}

Все датчики – внутри. Не нарушая аэродинамики и минимально угрожая здоровью пешехода, попавшего под колёса, как этого и требуют современные нормы безопасности. И ехал он по дороге с весьма интенсивным движением, местами круговым. Пересекая трамвайные пути и велосипедные дорожки (а велосипедист германский предельно избалован, не жмётся он к обочине при виде автомобиля), пропуская пешеходов (привыкших, что поток машин застывает, стоит занести ногу над «зеброй»).

Навигационному оснащению опытного автомобиля позавидовали бы боевые корабли и истребители недавнего прошлого. Четыре системы ближней радиолокации, три системы локации дальней… Стереокамеры играют роль оптических дальномеров, в долокаторную эру наводивших на цель корабельные пушки. Панорамная камера позволяет получать наиболее точную привязку к местности по ориентирам. Цветная камера следит за сигналами светофоров. Функции всех этих систем многократно накладываются друг на друга, образуя многоуровневое резервирование.

Как можно понять из описаний, получив приказ на поездку по маршруту в точку Б, робокар прежде всего начинает определять свои координаты по данным системы глобального позиционирования. После начальной топопривязки — точности которой позавидовали бы артиллеристы и ракетчики восьмидесятых — положение сверяется панорамной камерой с бортовой базой данных, содержащей информацию об ориентирах. Убедившись, что машина действительно находится в точке А, робот проверяет, есть ли у него возможность свободного выезда и строит траекторию, по которой и начинает движение. В процессе этого движения он непрерывно контролирует свои координаты, сверяет их с видимыми в оптике ориентирами, следит за соседями по потоку движения и выделяет тех, кто может в этот поток вписаться или врезаться, подобно лосю на дороге…

_{Руки-то — вот они!}

И — самое интересно. Датчики, стоящие на экспериментальной машине от Daimler, серийные. Они — хоть и по отдельности или в иных сочетаниях — стоят уже на серийных моделях Mercedes Benz. А рулить, хотя бы только при парковках, умеют уже и машины куда более демократичных производителей. То есть — Mercedes Benz S 500 Intelligent Drive хоть и несколько более «зорок», чем серийные машины от фирмы Daimler, но отличается от них прежде всего не этим. Он более интеллектуален. Он имеет более мощный разум, позволяющий ему ехать самостоятельно. И дело прежде всего в этом.

Но есть в кибернетике ещё и понятие тезауруса. Того, с помощью чего интерпретируются входные воздействия. Им в данном случае будут трёхмерные карты, содержащие ширину проезжей части, количество полос на шоссе, параметры поворотов, дорожные знаки, точные координаты светофоров и придорожных ориентиров, за которые сможет уцепиться панорамная камера. Такие карты — несопоставимо более подробны, чем ориентированные на водителя-человека, и занимают несопоставимо большие объёмы. Карты будут составлять совместно Daimler AG и бывший производитель мобильных телефонов Nokia. Финны, продавшие свой телефонный бизнес Microsoft, оставили себе отделение Here, которое и займётся картированием. Первой дорогой, подвергнутой тщательному картированию, будет именно шоссе между между Мангеймом и Пфорцхаймом.

_{Профессор Томас Вебер из руководства Daimler.}

Впрочем, доктор Томас Вебер, профессор из руководства Daimler, призывает желающих купить робота-водителя к терпению. По его мнению, необходимо повысить быстродействие компьютеров, качество картирования и изменить законодательную базу. Пара первых задач сугубо проходит по ИТ-ведомству — и даёт ответ на вопрос о том, что будет формировать платёжеспособный спрос на процессоры новых поколений, потенциал которых заведомо перекрывает потребности и офисной работы, и мультимедиа.

_{Робот с номерным знаком штата Невада.}

Впрочем, с законодательной базой дело начинает сдвигаться с мёртвой точки. На номерных знаках штата Невада пишут «Silver State». И именно знак «Серебряного штата» оказался у первого робота, зарегистрированного в соответствии с принятым тамошней легислатурой законом, разрешающии езду по шоссе «автомобилей, использующих искусственный интеллект, сенсоры и систему GPS для самостоятельного передвижения, без активного вмешательства водителя-человека». Впрочем, водитель по-невадски переименовывается в оператора и должен, кроме обычной лицензии, иметь и лицензию оператора-робокара. И на Mercedes Benz S 500 Intelligent Drive, когда он пойдёт в серию, планируется пока оставлять рулевое правление на случай экстренных ситуаций. Но ведь и Daimler AG — концерн автомобильный…

К оглавлению

На шаг впереди: так для чего Apple понадобился 64-разрядный мобильный процессор?

Евгений Золотов

Опубликовано 17 сентября 2013

Микропроцессор A7 стал одной из главных изюминок обделённого новизной iPhone 5S. Но при всём техническом превосходстве «первый в мобильной истории», «вдвое более производительный», «десктопного класса» чип выглядит, тем не менее, больше маркетинговой находкой: практической необходимости в 64-битном CPU на смартфоне нет — либо она неочевидна. К констатации этого факта и сводились почти все комментарии первых часов и дней после показа 10 сентября (см. «Налетай, подешевело!»). Однако уже в выходные тон дискуссии сменился. После всесторонней оценки A7 сочтён вещью ещё менее нужной в одной плоскости, но весьма полезной (хоть и с серьёзным оговорками) в другой.

Теорию вы уже знаете, а если не успели, учить там совсем немного. Apple A7 — основанный на спецификациях ARMv8 микропроцессор (точнее, система на чипе, SoC, включающая ещё и графический процессор, оперативную память и прочую обвеску). Однако, поскольку спецификации ARM описывают лишь процессорное ядро, а сам A7 в руках никто из аутсайдеров пока не держал, то и не известно о нём почти ничего. Никто, например, не знает точного количества ядер. Да что там, не знают даже, кто именно его производит!

Утверждать наверняка можно лишь то, что у A7 два набора инструкций, отдельно для 32- и 64-разрядного режимов, плюс несколько вспомогательных наборов, доступных и там и там; что 32-битный код в 64-битном режиме исполняется в виртуальных машинах, организуемых самим процессором под надзором операционной системы; что работает он на частоте, незначительно (предположительно, процентов на 30) превышающей A6, то есть менее 2 ГГц. Наконец, весной мы, вероятно, увидим более мощную версию A7 (A7X?) в новых «Айпадах».

_{«Бюджетный» 5C уже очевидно провалился. Ритейлеры сразу же заявили, что намерены предлагать его дешевле озвученной Apple цены. А предзаказов за первые сутки было сделано вполовину меньше по сравнению с прошлогодним iPhone 5 — почему Apple впервые за несколько лет и не стала хвастаться цифрой.}

Что даёт увеличение разрядности процессора с 32 до 64 единиц? Во-первых, возможность оперировать числами вдвое большей длины, откуда двойной прирост производительности и меньший, но заметный выигрыш в энергопотреблении. Во-вторых, 64 разряда обеспечивают прямой доступ к значительно большему объёму оперативной памяти (специалисты говорят, впрочем, что на адресацию в ARMv8 выделено только 48 бит, но и этого достаточно, чтобы обойти ограничение на 4 Гбайт, присущее 32-разрядным процессорам). Проблема лишь в том, что этими преимуществами ещё нужно суметь воспользоваться.

64-разрядная математика пригодится там, где есть потребность в обработке больших массивов данных. Это резко сужает круг приложений, которые выиграют от перехода на 64 бита: к примеру, для офисных приложений (текст, соцсети, коммуникаторы и пр.) выигрыш окажется совершенно незначительным, если будет вообще (о побочных эффектах далее). Базы данных в мобильный сегмент пока не перебрались, так что остаются игры, мультимедиа, криптография, научные инструменты.

Увы, и этот список при ближайшем рассмотрении придётся сильно сократить. Игры, на которых во время презентации новых «Айфонов» Apple сделала особый акцент, традиционно больше выигрывают от мощного GPU, работающего, как теперь и полагается, независимо (графический процессор на 5S поддерживает новейший OpenGL ES 3.0, но больше о нём ничего не рассказали — похоже, как раз чтоб не бросать тень на «супермощный» CPU). Из числа мультимедийных программ 64-разрядность смотрится интереснее всего для синтезаторов звука, однако и там выигрыш не гарантирован. В процессе подготовки колонки я советовался с автором мультиплатформенного (и одного из самых популярных на iOS) синтезатора — и он, опираясь на опыт адаптации приложения для 64-битных x86, выразил сомнение, что практический, полезный выигрыш вообще будет. Кроме того, в A7 интегрирован сигнальный сопроцессор, который возьмёт на себя рутинную работу с камерой/изображениями, а попутно, вероятно, может быть применён и для обработки звука.