home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / sci / crypt / 4890 < prev    next >
Encoding:
Text File  |  1992-11-17  |  8.6 KB  |  168 lines
  1. Newsgroups: sci.crypt
  2. Path: sparky!uunet!charon.amdahl.com!pacbell.com!ames!agate!spool.mu.edu!caen!malgudi.oar.net!news.ans.net!newsgate.watson.ibm.com!yktnews!admin!wo0z!lwloen
  3. From: lwloen@rchland.vnet.ibm.com (Larry Loen)
  4. Subject: Re: New Encryption Method - A Challenge!
  5. Sender: news@rchland.ibm.com
  6. Message-ID: <1992Nov16.204355.18036@rchland.ibm.com>
  7. Date: Mon, 16 Nov 1992 20:43:55 GMT
  8. Reply-To: lwloen@vnet.ibm.com
  9. Disclaimer: This posting represents the poster's views, not necessarily those of IBM
  10. Nntp-Posting-Host: wo0z.rchland.ibm.com
  11. Organization: IBM Rochester
  12. Lines: 154
  13.  
  14. Let's me try one last time to get through & then I am
  15. going to give up.
  16.  
  17. I don't think Erik Lindano understands the kind of box being built.
  18.  
  19. Here's an analog.
  20.  
  21.   I have built a box.  It has a red button on top.  If I press it,
  22.   it jumps a foot in the air.
  23.  
  24. The "challenge" being posed basically assumes such a box is being
  25. built and asks us to test it by pressing the button in the various
  26. expert ways we know how and seeing if it doesn't jump.  If it does
  27. not, the experiment is a failure.  One box that fails is probably
  28. enough to decide it is no good.  If we fail, the box is good.
  29.  
  30. However, cryptography is more like this:
  31.  
  32.   I have built a box.  It has a red button on top.  If I press it,
  33.   it will never, ever jump a foot in the air.
  34.  
  35. Well, I claim I "know" that is so because the box is nothing more 
  36. than a box and
  37. a button.  On the other hand, I may be in ignorance of quantum
  38. mechanics, which may provide that the box will someday jump a foot
  39. in the air.  I may also be unaware that someone with just the right
  40. kind of compressed air gadget can make the box jump.  I may have
  41. defeated the obvious kinds of compressed air gadgets, but I don't
  42. know, for sure, that there _is_ no such compressed air gadget that
  43. works.  (Why else did I post on sci.boxjump asking for help?).
  44.  
  45. If I put the box out for test and no one knows quantum mechanics, or
  46. fluidics well enough, we will all assume the box works; at some
  47. point, this is what one does with an encryption system.  One hopes
  48. the box never jumps a foot in the air.
  49.  
  50. But, it might be that, unknown to the inventor, a spring was
  51. accidentally slipped under the box.  It wasn't _supposed_ to be there,
  52. but it is.  The inventor goofed, unknowingly.
  53.  
  54. Now, if the testers are not allowed to look under the box, they may
  55. or may not come up with test techniques that uncover the flaw.  It
  56. may also be that the test box's spring just so happens not to be
  57. strong enough to pop the box up, but that when released for general
  58. use, the manufacturer puts the spring in, thinking it belongs, and
  59. the production spring _is_ sprung by the actual opponent.  The box
  60. jumps and the customer sues.
  61.  
  62. Or, maybe because the testers don't get to see the underside of the
  63. box, they fail to design a compressed air gadget that makes the box
  64. jump.  The opponent, however, has no such scruples and does look 
  65. under the box and is thereby able to design a workable device.
  66.  
  67. Note the difference between this and the first example; a sample size
  68. of one or even a couple is irrelevant.  I have to be sure, before I
  69. bet my livelihood on it, that _every_ box coming off the assembly line
  70. does not jump a foot in the air.  That includes boxes that don't do
  71. quite what the design document says they are supposed to do.  Note, too,
  72. that I can't be sure that the opponent will play by the exact same
  73. rules as my testers.  Those are key, counter-intutitive differences
  74. between the first and second examples.
  75.  
  76. Remember, we are not the advesaries; we are on _your_ team (or,
  77. could be if we were asked properly :-) ).
  78.  
  79. The question is "proving a negative", not proving a positive.  Even
  80. if we participate whole-heartedly, and fail, all it proves is that
  81. your method defeated us.  The opponent is under no obligation to
  82. less talented than we.  Or, to play under the same rules, for that 
  83. matter, and that make make a great difference.
  84.  
  85. Now, I can understand patentability concerns.  The only alternative is
  86. to save your nickels and hire some number of people that append here.
  87. Or, get some folks to look at it off-line.
  88.  
  89. However, you would be very well advised to let some of us under some
  90. set of rules look under your box.  We may devise totally different,
  91. and much more effective tests in far less time.  Remember, cryptography
  92. is always a war of specifics.  It may be that your test message happens
  93. to be much more resistant to analysis than your customers' messages.  It
  94. may be that your system is very resistant along the terms you cite, but
  95. totally vulnerable after (say) a billion bytes have been encrypted.
  96. Well, banks do encrypt billions of bytes and they will not take your
  97. word for it that it is just as secure at the billionth byte as the first.
  98.  
  99. I have seen real messages in real, well-broken systems put out for
  100. puzzle solving that vary in difficulty by a factor of a thousand.  If
  101. your system is any good, a particular message can easily be millions
  102. of times harder to solve for even a single added word than a different
  103. message in the same system.  There is a huge variability and that 
  104. matters; that's why we want to control the experiment a little
  105. more; it is easy to develop a false sense of security, especially on
  106. a sample size of a single, inventor-selected message.  Or, even a
  107. thousand messages if they all happen to share the same lucky properties.
  108.  
  109. In short, there are literally thousands of experiments that might be
  110. relevant to how well your system works and what makes it strong.  You have
  111. not shown that you understand this; indeed, your asking us for help
  112. makes it clear that you _do_ know that you don't understand, quite,
  113. how to set up the test bed.
  114.  
  115. What we have been trying, futilely, to say to you, is that it all may
  116. hang on triffles.  Things that are unobvious to you and even unobvious
  117. to us, initially.  It may hang on unlucky properties that only show up
  118. after thousands or even millions of bytes.  Or on an unlucky kind of
  119. plain text that you may not have happened to include, but will come
  120. up in your customers' text with some regularity.  Cryptography is a war
  121. of specifics; of things that may hold "almost" every time, but fall
  122. apart uttlerly when the one unlucky case comes up.  And, it may be that
  123. the first order of business is to dream up the right unlucky case and 
  124. look for it.
  125.  
  126. Put another way; you have to allow for the possibility that we _failed_
  127. when we _should have_ succeeded.  If we can't get the box to jump,
  128. someone else may, because they think of the unlucky case we don't.
  129.  
  130. You can say all you like that these things do not happen.  Had you read
  131. "The Codebreakers", I think you would be much less certain of this.  You
  132. can't predict what a real opponent may be able to bring to bear.  And,
  133. you can't be sure a real opponent would not do things that we would never
  134. do -- such as burglarize your friend's desk to get the source code for
  135. the program.  Remember, we are in it for peanuts -- the real opponent is
  136. in it to grab a few billion bucks from your customer.  Real opponents are
  137. by definition immoral.  We are simulating the behavior of immoral people,
  138. but we have limits.  They don't, but we may be able to predict what they
  139. will do that we can't.  If you help us help you.  Don't ask us to simulate
  140. the behavior of crooks with one hand tied behind our backs, especially
  141. for such little money :-) .
  142.  
  143. If you want to defeat us, then go ahead and pose the challenge as you have.
  144. We give up.  We can't solve your system under those terms.  That doesn't
  145. mean a damn thing to you, unfortunately.  What you want to know is whether
  146. the system will really secure data.  If you won't let us help you in the
  147. only way we know how, you are on your own.  Go ahead and patent it.  Get
  148. your customers, and hope for the best.  It's a free country.  I truly
  149. wish you well.  But, history is against you.
  150.  
  151. And, all of us who have been refusing the challenge have been trying to
  152. make the point to you; it isn't important to you whether you defeat us.
  153. It is helpful, a little; but not necessarily _disposative_, which is what
  154. you want.  It never can be, but at least give us a fighting chance to be
  155. useful to you instead of our potentially wasting thousands of hours to give
  156. you a false sense of security.
  157.  
  158. You have to defeat your real opponent under rules that are not entirely
  159. under your own control.  In the end, even if we do someday help, you will
  160. have to take your chances.  But, odds are very good that your system is
  161. very vulnerable in a relevant sense that will become obvious to us once
  162. we see how the algorithm works.  And, it really is the cheapest way for
  163. you to find out.
  164.  
  165. -- 
  166.    Larry W. Loen        |  My Opinions are decidedly my own, so please
  167.                         |  do not attribute them to my employer
  168.