index.html

<!doctype html>
<html>
  <head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no">

    <link rel="stylesheet" href="revealjs/css/reset.css">
    <link rel="stylesheet" href="revealjs/css/reveal.css">
    <link rel="stylesheet" href="revealjs/css/theme/white.css" id="theme">
    <!-- Theme used for syntax highlighting of code -->
    <link rel="stylesheet" href="revealjs/lib/css/monokai.css">

    <link rel="stylesheet" href="css/style.css">

    <!-- Printing and PDF exports -->
    <script>
      var link = document.createElement( 'link' );
      link.rel = 'stylesheet';
      link.type = 'text/css';
      link.href = window.location.search.match( /print-pdf/gi ) ? 'revealjs/css/print/pdf.css' : 'revealjs/css/print/paper.css';
      document.getElementsByTagName( 'head' )[0].appendChild( link );
    </script>

    <title>Калина, Купина, та інша флора вітчизняної криптографії</title>
  </head>

  <body>
    <div class="reveal">
      <div class="slides">

        <section>
          <h1>Калина, Купина</h1>
          <h3>та інша флора вітчизняної криптографії</h3>
          <br><br>
          Руслан Кіянчук
          <p>
          <small>
            <em>Криптограф &amp; інженер-програміст @ Symantec</em>
          </small>
          </p>
          <aside class="notes" data-markdown>
            Привіт!

            Мене звати Руслан і сьогодні я розкажу як так сталось, що
            Україна тепер має свій власний алгоритм шифрування.

            Я навчався на кафедрі Безпеки Інформаційних Технологій в
            Харківському університеті Радіоелектроніки і працював в Інституті
            Інформаційних Технологій, де був членом команди криптографів, що
            розробляла новий криптоалгоритм, котрий згодом був прийнятий
            державним стандартом шифрування в Україні.

            Як видно зі слайду зараз я вже працюю не там, як і багато хто з
            решти команди, проте певна спадщина залишилася :)
          </aside>
        </section>

        <section>
          <section>
            <h2>Національна стандартизація шифрування</h2>
            <aside class="notes" data-markdown>
              Навіщо потрібна стандартизація загалом, я думаю, зрозуміло.

              Але якщо вже існують алгоритми та міжнародні стандарти,
              то навіщо навіщо державам розробляти власні криптографічні алгоритми?
            </aside>
          </section>

          <section>
            <h4>Національні криптографічні алгоритми</h4>
            <p>
            Захищають інформацію, що становить<br>
            державну таємницю.
            </p>

            <aside class="notes" data-markdown>
              Перш за все важливо розуміти, що задачі, котрі покладаються на
              національні шифри зазвичай відрізняються від шифрів загального
              призначення:

              Замість короткострокового захисту терабайт відео з котиками
              вони зазвичай захищають менші обсяги інформації, проте ця
              інформація пов'язана із значно вищими ризиками та вимагає
              довгострокового захисту.
            </aside>
          </section>

          <section>
            <h3>Мотивація держав розробляти власні алгоритми</h3>
            <p>
            <ul>
              <li class="fragment fade-up">Недовіра закордонним розробникам.
                <!--
                <small>
                  <a href="https://en.wikipedia.org/wiki/Dual_EC_DRBG">Матеріали Сноудена.</a>
                  <a href="https://who.paris.inria.fr/Leo.Perrin/pi.html">Потенційна вразливість Кузнєчіка.</a>
                </small>
                -->
              </li>
              <li class="fragment fade-up">Політичні упередження.</li>
              <li class="fragment fade-up">Розвиток науки та заохочення досліджень.</li>
            </ul>
            </p>
            <!-- Add link to Snowden leaks + Leo Perrin's find in Kuzneshik. -->
            <aside class="notes" data-markdown>
              Тому держава має кілька мотиваційних факторів для розробки
              власного алгоритму шифрування.

              Основний з них -- це підозра, що існуючий алгоритм розроблений за
              кордоном може містити навмисно приховані вразливості.
              Якщо у вас скептичне ставлення до такого погляду,
              я заохочую вас ознайомитися з матеріалами опублікованими
              Едвардом Сноуденом (якщо ви досі не ознайомились) про намагання
              уряду США вплинути на органи стандартизації з метою прийняття
              нестійких алгоритмів; а також з недавньою роботою
              криптографа Лео Перріна з французського інституту INRIA, який
              виявив ознаки бекдору у шифрі Кузнєчік нещодавно
              стандартизованого Росією. При цьому Росія також активно просуває
              цей шифр у міжнародну стандартизацію. Тому це не такий
              малоймовірний сценарій як здається.

              Банальна бюрократія та політичні упередження теж можуть
              відігравати свою роль.  Бо якщо обирати існуючий іноземний шифр,
              потрібно обгрунтувати, чому довіра до нього вища, аніж до іншого
              шифру, і це може конфліктувати з політичними відносинами, що має
              держава; Бо алгоритм котрий є об'єктивно кращим може виявитись
              алгоритмом ворожої країни і тоді виходить незручно :)

              Розробка власних шифрів також може спонукати розвиток
              криптографії в країні.  При оголошенні криптографічних конкурсів
              фахівцям простіше отримати фінансування для проектів, вони
              починають розробляти нові алгоритми, аналізувати алгоритми
              розроблені іншими криптографами і публікувати результати.

              Загалом, певно є й інші причини, але їх треба запитувати у
              чиновників. З точки зору інженерів це все насправді не важливо
              -- якщо оголошується конкурс, ми подаєм заявку :)
            </aside>
          </section>

          <section>
            А як же?
            <p>
            <h2><q>Don't roll your own crypto</q></h2>
            </p>

            <aside class="notes" data-markdown>
              Часто запитують:
              А як же мантра "не вигадуйте власної криптографії"?

              Але ця рекомендація зазвичай стосується компаній та інженерів,
              для яких розробка криптографічних алгоритмів не є основною метою
              та які не мають у розпорядженні фахівців з криптографії.

              У держави доступ до таких фахівців завичай є, а якщо
              криптоалгоритм розробляють фахівці, вони не починають з нуля, а
              грунтуються на попередніх дослідженнях та найкращих практиках.
              Тобто вони не вигадують криптографію, а розвивають та
              вдосконалюють її.
            </aside>
          </section>

          <section>
            <p>
            <table>
              <tbody>
                <tr>
                  <td>США</td>
                  <td>DES, Rijndael</td>
                </tr>
                <tr>
                  <td>Канада</td>
                  <td>CAST5</td>
                </tr>
                <tr>
                  <td>Китай</td>
                  <td>SM4</td>
                </tr>
                <tr>
                  <td>Японія</td>
                  <td>Camellia</td>
                </tr>
                <tr>
                  <td>Корея</td>
                  <td>SEED, ARIA</td>
                </tr>
                <tr>
                  <td>Казахстан</td>
                  <td>NPSS Crypto</td>
                </tr>
                <tr>
                  <td>РФ</td>
                  <td>Магма (ГОСТ 28147), Кузнєчік</td>
                </tr>
                <tr>
                  <td>Білорусь</td>
                  <td>BelT</td>
                </tr>
                <tr class="fragment fade-up">
                  <td>Україна</td>
                  <td>Калина</td>
                </tr>
              </tbody>
            </table>
            </p>

            <aside class="notes" data-markdown>
              Як наслідок усіх вище вказаних факторів багато країн мають свої
              власні алгоритми шифрування, це цілком нормально. Віднедавна до
              таких країн приєдналась і Україна.

              При цьому в кожної держави може бути свій підхід впровадження
              шифрів:

              Хтось оголошує відкритий конкурс.
              При цьому конкурс може бути міжнародний (як США зробило з AES),
              а може бути обмеженим лише для громадян країни (як у нас).

              Хтось не робить конкурс, а розробляє алгоритм виключно
              внутрішніми відомствами. Потім його можуть або опублікувати для
              використання іншими організаціями, або ж залишити
              секретним і використовувати виключно для захисту держ. таємниці.
            </aside>
          </section>
        </section>

        <section>
          <section>
            <h2>Розвиток алгоритмів шифрування в Україні</h2>
            <aside class="notes" data-markdown>
              Це все добре, але як же Україна захищала конфіденційні дані раніше,
              до створення власного алгоритму?
            </aside>
          </section>

          <section>
            <h3>ГОСТ 28147 (Магма)</h3>

            <img style="float: right" data-src="images/gost28147.png" alt="GOST 28147">
            <ul style="display: block">
              <li>Блок 64 біти (<a href="https://sweet32.info/">Sweet32</a>)</li>
              <li>Класи слабких ключів.</li>
              <li>Розроблений у 70х роках <br> у 8-му управлінні КДБ.</li>
              <li>Введений в дію у 1989.<br>
                (під грифом ДСК)</li>
              <li>Розсекречений у 1994.</li>
              <span class="fragment step-fade-in-then-out" data-fragment-index="1">
                <li>
                  Забезпечує захист інформації, що становить
                  державну таємницю України.
                </li>
              </span>
              <img class="fragment step-fade-in-then-out" data-fragment-index="2" data-src="images/sarcasm.jpg">
            </ul>

            <aside class="notes" data-markdown>
              Для цього в нас використовувався успадкований від СРСР шифр
              Магма, ширше відомий як ГОСТ 28147.

              Не зважаючи на те, що старився цей шифр значно краще за
              американський DES, з ним все одно було багато проблем:

              - Цей шифр має розмір блоку 64 біти, що враховуючі сучасні
              обчислювальні потужності робить шифр вразливим до так званої
              атаки Sweet32, базованої на парадоксі днів народження.

              - Шифр був розроблений в КДБ ще у 70х роках., і згодом поступово
              розсекречений.

              - При цьому стандарт був неповний і не визначав деякі
              перетворення, що призвело до існування несумісних реалізацій.

              І згідно свідчень людей що працювали в держ. установах в 90х,
              через це
              до повного розсекречення ГОСТу Україна навіть не генерувала ключі
              шифрування, вони мали бути згенеровані в Росії і потім надіслані
              в Україну.

              Нагадаю, це шифр, що захищає державну таємницю України!
            </aside>
          </section>

          <section>
            <h4>Конкурс криптографічних алгоритмів</h4>
            <img src="images/dsszzi.png">
            <img id="opsec" class="fragment" src="images/opsec.svg">

            <aside class="notes" data-markdown>
              На щастя парадоксальність ситуації у нас розуміли, а тому в 2006
              році Державна Служба Спеціального Зв'язку та Захисту Інформації
              України оголосила відкритий конкурс криптографічних алгоритмів,
              за результатами якого мав бути обраний шифр для
              нового національного стандарту шифрування.

              Питання та пропозиції можна було надсилати за електронною адресою
              dept125@yandex.ru. Як бачимо opsec в 2006-му все ще був не дуже.
            </aside>
          </section>

          <section>
            <h3>Вимоги до криптоалгоритму</h3>
            <p>
            <ul>
              <li>Розміри ключа та блоку даних:
                <span class="fragment highlight-red">128, 256, 512</span> біт;
              </li>
              <li>Стійкість проти відомих методів криптоаналізу;</li>
              <li>Прозорість дизайну та
                <span class="fragment highlight-red">відсутність закладок</span>;</li>
              <li>Швидкодія не менша за ГОСТ 28147.</li>
              <li>Режими роботи: ECB, CBC, CFB, OFB, CTR.</li>
            </ul>
            </p>
            <aside class="notes" data-markdown>
              Конкурс визначав певні вимоги до шифрів-кандидатів:

              - з неочікуваних -- це наявність режиму шифрування з розміром
              ключа та блоку в 512 біт.

              Що цікаво, на той момент така вимога здавалася нераціональною, бо
              вважалось що розмір блоку понад 256 біт негативно впливає на
              швидкодію, не додаючи при цьому практичної безпеки: був стійкий
              шифр, став ще стійкіший, але значно повільніший.
              Проте зараз з загрозою побудови квантового комп'ютера, наявність
              такого режиму як опціонального стає цілком обгрунтованою.

              Наступну вимогу яку хотілось би виділити на заздрість моїм
              колегам з США -- це той факт що в нас держава вимагає створити шифр,
              який НЕ містить закладок :D Що повністю протилежне тому, чого
              останнім часом намагається досягти уряд США та багатьох інших
              країн.
            </aside>
          </section>

          <section>
            <h3>Шифр «Калина»</h3>

            <ul>
              <li>Пріоритет — криптографічна стійкість.</li>
              <li>Консервативний підхід.</li>
              <li>Спроектовано на основі SP-мережі <span style="color:#8A2BE2">Rijndael</span>.</li>
              <li>Оптимізований для <span style="color:#8A2BE2">x86_64</span> архітектури.</li>
            </ul>

            <aside class="notes" data-markdown>
              Маючи умови конкурсу почалася розробка шифрів. Алгоритм над яким
              працювали ми отримав кодове ім'я Калина.

              Оскільки шифр створювався для державних потреб і судячи з
              оголошених вимог, ми вирішили що
              у балансі стікість-швидкодія доцільно робити акцент на стійкості.

              Тому алгоритм базували на структурі шифру Rijndael,
              оскільки він має математично обгрунтовані показники
              стійкості перевірені часом.

              Через вимогу підтримки 512-бітного блоку шифр був оптимізований
              під 64-бітні архітектури -- це був єдиний спосіб зберегти
              конкурентну швидкодію. І ми все одно не очікуємо, що шифр з
              подібними характеристиками буде широво використовуватись на
              малопотужних embedded пристроях.

              В результаті вийшло ось що:
            </aside>
          </section>

          <section>
            <font size="5">
              $$ \Theta^{(K)} = \psi_l \circ \tau_l \circ \pi_l^{\prime} \circ
              \eta^{(K_{\alpha})}_l \circ \psi_l \circ \tau_l \circ \pi^{\prime}_l
              \circ \kappa^{(K_{\omega})}_l \circ \psi_l \circ \tau_l \circ
              \pi^{\prime}_l \circ \eta^{(K_{\alpha})}_l $$

              $$ \Xi^{K,K_{\alpha},i} =
              \eta^{\phi^{(K_{\sigma})}_i} \circ
              \psi_l \circ \pi^{\prime}_l \circ ^{(K_{\sigma})}_l \circ
              \phi_l \circ \tau_l \circ \pi^{\prime}_l \circ
              \eta^{\phi^{(K_{\sigma})}_i} $$

              $$ \phi^{(K_{\sigma})}_i =
              \eta^{(K_{\sigma})}_l((\mathtt{0x00010001\ldots0001}) \ll (i/2)) $$

              $$ \psi \implies f = x^8 + x^4 + x^3 + x^2 + 1 $$

              $$W_{i,j} = (\nu \ggg i) \otimes G_j$$

              $$ \chi(x) \in V_l, \chi \in \{ \pi^{\prime}_l, \tau_l, \psi_l \} $$

              $$T_{l,k}^{(K)} = \eta_l^{(K_t)} \circ \psi_l \circ \tau_l \circ
              \pi_l^{\prime} \circ \Big( \prod_{v=1}^{t-1} \big(\kappa_l^{(K_v)}
              \circ \psi_l \circ \tau_l \circ \pi_l^{\prime} \big) \Big) \circ
              \eta_l^{(K_0)}$$

              $$ G = (g_{i,j}) \rightarrow \pi_{i \bmod 4}(g_{i,j}),
              \pi_s: V_8 \rightarrow V_8, s\in {0,1,2,3} $$
            </font>
            <aside class="notes" data-markdown>
              Сподіваюсь все очевидне зрозуміло, коментувати не треба?
              Жартую.
              Один мій викладач любив так казати, і я тепер компенсую :)

              Проте це дійсно справжній аналітичний запис процедури
              зашифрування Калини.
            <aside>
          </section>

          <section>
            <img src="images/kalyna-round.png" width="50%">
            <aside class="notes" data-markdown>
              Але схематично шифр виглядає ось так, сама структура
              схожа на Rijndael, проте кожне з перетворень було вдосконалене
              враховуючи минулі роки досліджень для вищої стійкості проти
              відомих атак.
            </aside>
          </section>

          <section>
            <h3>Геш-функція «Купина»</h3>
            <ul>
              <li>Cтруктура <span style="color:#8A2BE2">Меркла—Дамгора</span> (MD).</li>
              <li>Одностороння функція $T$ — «Калина»</li>
            </ul>
            <img src="images/kupyna-scheme.png">
            <aside class="notes" data-markdown>
              Хоча конкурс був оголошений лише на алгоритми шифрування,
              на практиці для побудови більшості
              криптосистем потрібно щонайменше два компоненти:

              - блочний симетричний шифр;
              - функція гешування;

              а тому ми також розробили і запропонували хеш-функцію Купина.

              Це класична структура на основі функції стиснення
              Меркла-Дамгора, що в якості односторонньої функції T використовує
              шифр Калина.
            </aside>
          </section>

          <section>
            Калина Звичайна &nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp
            Купина́ Лікарська
            <img style="float: left; width: 40%" src="images/kalyna.jpg">
            <img style="float: right; width: 40%" src="images/kupyna.jpg">
            <aside class="notes" data-markdown>
              Одразу відповідаючи на ботанічні питання, вам не здалося,
              алгоритми дійсно були названі за поширеними на території України
              рослинами:
              Калина Звичайна та Купина́ Лікарська.

              Зрештою ці два алгоритми і склали нашу заявку подану до конкурсу.
            </aside>
          </section>

          <section>
            <h3>Кандидати</h3>
            <!-- TODO: Додати лінк на PDF з описом кандидатів. --->
            <p>
            <table>
              <tbody>
                <tr>
                  <td><a href="https://www.sav.sk/journals/uploads/0317154006ogdr.pdf">ADE</a></td>
                  <td>ХНУПС ім. Кожедуба, Харків<br>
                    <small>Rijndael SPN, підвищена стійкість до алгебраїчних атак.</small></td>
                </tr>
                <tr>
                  <td><a href="http://www.hups.mil.gov.ua/periodic-app/article/5592/soi_2007_4_8.pdf">Лабіринт</a></td>
                  <td>АТ «Криптомаш», Харків<br>
                    <small>Компактна реалізація, низька швидкодія.</small></td>
                </tr>
                <tr>
                  <td><a href="http://dspace.nbuv.gov.ua/bitstream/handle/123456789/6887/02-Beletskiy.pdf?sequence=1">RSB</a></td>
                  <td>НАУ, Київ<br>
                    <small>Складна структура, нестандартний мат. апарат.</small></td>
                </tr>
                <tr>
                  <td><a href="http://openarchive.nure.ua/bitstream/document/4808/1/221-225.pdf">Мухомор</a></td>
                  <td>ХНУРЕ, Харків<br>
                    <small>Висока швидкодія.</small></td>
                </tr>
                <tr>
                  <td><a href="https://eprint.iacr.org/2015/650.pdf">Калина</a></td>
                  <td>АТ «ІІТ», Харків<br>
                    <small>Rijndael SPN, високий запас стійкості.</small></td>
                </tr>
              </tbody>
            </table>
            </p>
            <aside class="notes" data-markdown>
              За час конкурсу всього було подано 5 заявок, включаючи нашу.

              5 може здатись як небагато, проте це чудово демонструє мою тезу про
              те, як відкриті конркурси спонукають розвиток галузі.

              Для порівняння -- коли США оголосило конкурс
              Advanced Encryption Standard на міжнародному масштабі (кандидати
              приймались з будь-якої країни), туди було подано 15 заявок.

              Тому отримати 5 заявок на внутрішній конкурс оголошений Україною
              -- це, я вважаю, чудовий результат.

              Майже кожен алгоритм мав свою визначну характеристику, що
              вирізняла його з-поміж інших. Але схоже ми правильно розставили
              пріоритети і за результатом конкурсу саме шифр Калина був
              рекомендований до затвердження національним стандартом.
          </aside>
          </section>
        </section>

        <section>
          <section>
            <h3>Національний стандарт шифрування</h3>
            <aside class="notes" data-markdown>
              Здавалось би на цьому все, залишилось лише оформити і опублікувати
              стандарт, але по факту цей процес зайняв кілька років.

              Справа в тому, що в Українських реаліях якщо у вас є
              довгостроковий проект -- його може бути важко втиснути між двома
              революціями і ми трішечки не вписались. Тому в 13-14 роках процес
              рухався дуже повільно, бо всім було якось не до криптографії.
            </aside>
          </section>

          <section>
            <img style="float: left; width: 48%" src="images/dstu-7624-title.png">
            <img style="float: right; width: 48%" src="images/dstu-7564-title.png">
            <aside class="notes" data-markdown>
              Але нарешті в 2015 році Держ. Спец. зв'язок офіційно оголосив про
              прийняття нового стандарту, причому аж двох:
              ДСТУ 7624 - блочний симетричний шифр; та
              ДСТУ 7564 - функція гешування.

              При тому я поняття не маю, чому вони вибирають номери так, щоб
              було складно запам'ятати де який.
            </aside>
          </section>

          <section>
            Державне підприємство <br>
            <a href="http://shop.ukrndnc.org.ua/">
              «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості»
            </a>

            <p>
            <font size="6">
            <ul>
              <li>Вимагає реєстрації.</li>
              <li class="fragment"><span style="color:red">Без HTTPS</span>, користуйтеся генераторами identity 😉</li>
              <li class="fragment">Зберігає пароль у відкритому виді.</li>
              <li class="fragment">Ціноформування посторінкове, тому стандарт коштує <span style="color:red">3000₴</span>.</li>
              <li class="fragment">PDF можна скачати лише <span style="color:red">5</span> раз, користуйтеся бекапами.</li>
            </ul>
            </p>
            </font>
            <aside class="notes" data-markdown>
              Тепер, як можна отримати ці стандарти?

              Офіційним розповсюджувачем держ. стандартів та нормативних
              документів у нас є державне підприємство  «Український
              науково-дослідний і навчальний центр проблем стандартизації,
              сертифікації та якості».

              Раніше єдиним способом, отримати стандарт -- це було заповнити
              бланк, надіслати його поштою та почекати кілька місяців доки вам
              прийде друкований варіант.

              Зараз вони впровадили інноваційний онлайн-магазин, але давайте я
              вам дещо розповім про цей онлайн магазин:

              Для придбання стандарту вам потрібно зареєструватись. Для цього
              вас просять вказати ім'я, email, поштову адресу, інші персональні
              дані, як то ідентифікаційний код платника податків і пароль. При
              тому навіщо вони питають пароль я не знаю, тому що це все
              надсилається у відкритому виді, бо на сайті немає TLS
              сертифікату. Звісно пароль вони також зберігають відкритим і
              надсилають його вам на email, але це вже не має
              значення, бо цей пароль вам також можуть надіслати всі, через
              кого пройшов ваш трафік. Тому при реєстрації
              раджу користуватись генераторами identity та унікальними
              паролями.

              Наступний нюанс -- це ціна, але це вже частково й на нашій
              совісті. Бачте, ми хотіли як краще, і включили в стандарт тестові
              вектори для перевірки коректності реалізації, в тому числі
              проміжні значення перетворень для простоти дебагу. Але в друку ці
              вектори були сформатовані отакенним шрифтом в одну колонку, а
              тому стандарт тепер має 270 сторінок. Враховуючи, що ціна
              формується від кількості сторінок, стандарт тепер коштує 3000
              гривень. Навіть якщо ви купуєте не друкований варіант, а PDF
              файл.

              Втім якщо ви все ж купили PDF файл, не забудьте забекапити його,
              бо його можна лише 5 раз.

              Але я трохи відволікся, досить зради, давайте рухатись далі.
            </aside>
          </section>

          <section>
            <h3>Режими роботи шифру</h3>
            <font size="6">
              <table width="100%">
                <tbody>
                  <tr>
                    <td width="15%">ECB</td>
                    <td>Проста заміна</td>
                  </tr>
                  <tr>
                    <td>CBC</td>
                    <td>Зчеплення шифроблоків</td>
                  </tr>
                  <tr>
                    <td>CFB</td>
                    <td>Зворотний зв'язкок за шифротекстом</td>
                  </tr>
                  <tr>
                    <td>OFB</td>
                    <td>Зворотний зв'язкок за шифрогамою</td>
                  </tr>
                  <tr>
                    <td>CTR</td>
                    <td>Гамування</td>
                  </tr>
                  <tr>
                    <td width="15%">XTS</td>
                    <td>Індексована заміна</td>
                  </tr>
                  <tr>
                    <td>CMAC</td>
                    <td>Вироблення імітовставки</td>
                  </tr>
                  <tr>
                    <td>CCM</td>
                    <td>Вироблення імітовставки + гамування</td>
                  </tr>
                  <tr>
                    <td>GCM, GMAC</td>
                    <td>Вибіркове гамування з прискореним виробленням імітовставки</td>
                  </tr>
                  <tr>
                    <td>KW</td>
                    <td>Захист ключових даних</td>
                  </tr>
                </tbody>
              </table>
            </font>
            <aside class="notes" data-markdown>
              сам шифр, на скільки б надійним він не був, не здатен
              забезпечити конфіденційність інформації сам по собі, бо шифр --
              це насправді лише одна складова надійної криптосистеми, самого
              шифру мало.

              Для того, щоб криптосистема була надійна, шифр потрібно
              використовувати в певній конфігурації. Це називається --
              режим роботи шифру.

              Конкурс вимагав лише 5 базових режимів, але вони
              всі вони забезпечували тільки конфіденційність даних.

              Але для сучасних застосунків цього зазвичай недостатньо --
              потрібна також цілісність та автентичність даних --
              тобто гарантії, що зашифровані дані не були модифіковані третьою
              стороною.

              Тому ми включили 5 додаткових режимів, що такі властивості
              забезпечують.
            </aside>
          </section>

          <section>
            <h3>Electronic Code Book (ECB)</h3>
            <h4>Проста заміна</h4>
            <img src="images/mode-ecb.svg" width=80%>
            <p>
            <font size="6">
            <ul class="fragment">
              <li><span style="color:red">НІКОЛИ НЕ ВИКОРИСТОВУЙТЕ!</span></li>
            </ul>
            </font>
            </p>
            <aside class="notes" data-markdown>
              Давайте розглянемо на прикладі, чому вибір правильного режиму
              шифрування є критичним.

              Це режим простої заміни. Тобто пряме використання шифру без
              будь-яких ускладнень: вхідне повідомлення розбивається на блоки і
              кожен блок зашифровується. Як я казав, так робити неможна.

              Чому?
            </aside>
          </section>

          <section>
            <h3>ECB пінгвін</h3>
            <img style="float: left; width: 40%" src="images/tux.png">
            <img style="float: right; width: 40%" src="images/tux-ecb.png">
            <aside class="notes" data-markdown>
              Перед вами ECB пінгвін, певно найпоширеніша ілюстрація
              недосконалості режиму ECB...

              Навіть є жарт: чому неможна використовувати режим ECB? Тому що
              видно пінгвіна :)

              Але в Україні пінгвіни не водяться, тому я гадаю наглядніше буде
              взяти звичнішого для наших країв птаха.
            </aside>
          </section>

          <section>
            <h3>ECB гусь</h3>
            <img style="float: left; width: 40%" class="fragment fade-out" src="images/gus.png">
            <img style="float: right; width: 40%" src="images/gus-ecb.png">
            <aside class="notes" data-markdown>
              А тому знайомтесь: ECB Гусь.

              Ліворуч у нас звичайний свійський гусь, праворуч у нас гусь
              зашифрований.

              Проте навіть не маючи початкового повідомлення ми все одно можемо
              розгледіти гуся.
            </aside>
          </section>

          <section>
            <h3>Cipher Block Chaining (CBC)</h3>
            <img src="images/mode-cbc.svg">
            <p>
            <font size="6">
            <ul>
              <li><span style="color:red">конфіденційність</span></li>
              <li>IV: (nonce) <span style="color:red">унікальний</span>, <span style="color:red">випадковий</span>.</li>
              <li>Паралелізація: &nbsp&nbsp&nbsp&nbsp зашифрування ❌ &nbsp&nbsp&nbsp&nbsp розшифрування ✅</li>
              <li>Вимагає доповнення.</li>
            </ul>
            </font>
            </p>
            <aside class="notes" data-markdown>
              Як цьому зарадити? Використовуючи кращі режими роботи шифру.

              Режим CBC концептуально має дві відмінності:

              1. Рандомізація за рахунок вектора ініціалізації IV. Тепер окрім
              повідомлення ми на вхід також подаємо унікальне значення.

              2. Зчеплення шифроблоків створює залежність між сусідніми блоками.
            </aside>
          </section>

          <section>
            <h3>CBC гусь</h3>
            <img style="float: left; width: 40%" src="images/gus.png">
            <img style="float: right; width: 40%" src="images/gus-cbc.png">
            <aside class="notes" data-markdown>
              Як наслідок увесь семантичний зміст в повідомленнях приховується
              і гусь у нас знаходиться в приватності :)
            </aside>
          </section>

          <section>
            <h3>Counter Mode (CTR)</h3>
            <img src="images/mode-ctr.svg">
            <font size="6">
            <ul>
              <li><span style="color:red">конфіденційність</span></li>
              <li>IV: <span style="color:red">унікальний</span>.</li>
              <li>Паралелізація: &nbsp&nbsp&nbsp&nbsp ✅ зашифрування  &nbsp&nbsp&nbsp&nbsp ✅ розшифрування </li>
              <li>Не вимагає доповнення.</li>
              <li>✅ Random access.</li>
            </ul>
            </font>
            <aside class="notes" data-markdown>
            </aside>
          </section>

          <section>
            <h3>XTS</h3>
            <small>Xor-encrypt-Xor tweaked-codebook with ciphertext stealing</small>
            <img src="images/mode-xts.png" width=80%>
            <font size="6">
            <ul>
              <li><span style="color:red">конфіденційність</span></li>
              <li>Не вимагає IV</li>
              <li>Паралелізація: &nbsp&nbsp&nbsp&nbsp ✅ зашифрування  &nbsp&nbsp&nbsp&nbsp ✅ розшифрування </li>
              <li>✅ Random access.</li>
            </ul>
            </font>
            <aside class="notes" data-markdown>
              "Tweakable"
              Не використовує счеплення, а отже розпаралелюється та стійкий до
              псування даних на диску.

              Використовується для шифрування на диску.
            </aside>
          </section>

          <section>
            <h3>GCM</h3>
            <img src="images/mode-gcm.png" width=50%>
            <font size="6">
            <ul>
              <li><span style="color:red">конфіденційність</span>, <span style="color:green">автентичність</span>.</li>
              <li>IV: <span style="color:red">унікальний</span>.</li>
              <li>Паралелізація: &nbsp&nbsp&nbsp&nbsp ✅ зашифрування  &nbsp&nbsp&nbsp&nbsp ✅ розшифрування </li>
              <li>Найвища швидкодія.</li>
              <li>Єдиний ключ для автентифікації та шифрування.</li>
            </ul>
            </font>
            <aside class="notes" data-markdown>
            </aside>
          </section>

          <section>
            <h3>Гусь та Nonce reuse</h3>
            <img src="images/mode-ctr-nonce-reuse.png" width="90%">
          </section>

          <section>
            <h3>Key Wrap (KW)</h3>
            <img src="images/mode-kw.png">
            <p>
            <font size="6">
            <ul>
              <li>Захист криптографічних ключів.</li>
              <li>Низька швидкодія.</li>
              <li>Призначений для надійного шифрування малих блоків даних.</li>
            </ul>
            </font>
            </p>
          </section>
        </section>

        <section>
          <section>
            <h3>Реалізації</h3>
            <p>
            <ul>
              <li><a href="https://github.com/kalyna-cipher/kalyna">Прототип</a><br>
                <small style="color:red">Лише для досліджень!</small>
              </li>
              <li><a href="https://github.com/privat-it/cryptonite">Cryptonite</a><br>
                <small>Приватбанк. Проведено державну експертизу.</small>
              </li>
              <li><a href="https://www.cryptopp.com/wiki/Kalyna">Crypto++</a><br>
                <small>Open source 😬</small>
              </li>
            </ul>
            </p>
            <aside class="notes" data-markdown>
              Тепер, як ви знаєте про національний алгоритм шифрування, як ним
              можна скористатись?

              Вже існує кілька реалізацій, які можна спробувати:

              - Перша -- це один з наших прототипів. Ця реалізація коректна,
              але не оптимізована і небезпечна для використання в production,
              користуйтеся нею лише для практики та досліджень.

              - Інша реалізація -- це бібліотека створена Приватбанком, на яку
              навіть було отримано позитивний висновок державної експертизи.
              Вона вільно доступна на GitHub і ви можете ознайомитись з кодом,
              проте з перевикористанням можуть бути юридичні проблеми, оскільки
              вони не вказали ліцензію для коду.

              - Також Калина реалізована в open source бібліотеці Crypto++,
              проте там присутні не всі режими і я не певен, чи проводився
              аудит цього коду, тому враховуйте ризики.
            </aside>
          </section>

          <section>
            <h3>Ресурси по криптоалгоритмам</h3>
            <p>
            <ul>
              <li><a href="https://eprint.iacr.org/2015/650.pdf">Kalyna Block Cipher</a><br>
                <small>архів Міжнародної Асоціації Криптографічних Досліджень</small></li>
              <li><a
                  href="http://openarchive.nure.ua/bitstream/document/5021/1/rvmnts_2015_181_4.pdf">Функція гешування «Купина»</a><br>
                <small>журнал «Радіотехніка», випуск 181</small></li>
              <li><a href="https://www.slideshare.net/oliynykov/kalyna">«Калина» — основні властивості</a><br>
                <small>Огляд алгоритму у слайдах</small>
              </li>
              <li><a href="https://www.slideshare.net/oliynykov/kupyna">«Купина» — основні властивості</a><br>
                <small>Огляд алгоритму у слайдах</small>
              </li>
              <li>ДСТУ :)</li>
            </ul>
            </p>
            <aside class="notes" data-markdown>
              Якщо вам цікаво дізнатися більше технічних деталей про алгоритми,
              ви можете ознайомитись з офіційною публікацією Калини в архіві
              Міжнародної Асоціації Криптографічних досліджень;

              Опис Купини там не публікувався, але вона є у статті журналу
              Радіотехніка українською.

              Також є презентації зі стислим оглядом алгоритмів.

              І звісно ви завжди можете придбати ДСТУ за 3000 грн :)

            </aside>
          </section>

          <section>
            <h3>Ресурси по криптографії</h3>
            <ol>
              <li><a href="https://www.crypto101.io/">Crypto 101</a><br>
                <em><small>Laurens Van Houtven</small></em></li>
              <li><a href="https://nostarch.com/seriouscrypto">Serious Cryptography</a><br>
                <em><small>Jean-Philippe Aumasson</small></em></li>
              <li><a href="https://www.schneier.com/books/cryptography_engineering/">Cryptography Engineering</a><br>
                  <em><small>Ferguson, Schneier, Kohno</small></em>
              </li>
              <li><a
                  href="https://www.springer.com/us/book/9783319219356">Cryptography Made Simple</a><br>
                <em><small>Nigel Smart</small></em>
              </li>
              <li><a href="https://toc.cryptobook.us/">A Graduate Course in Applied Cryptography</a><br>
                <em><small>Boneh, Shoup</small></em>
              </li>
            </ol>
          </section>

          <section>
            Шнайєр теж знає про «Калину» 😉
            <img src="images/scheier.png"/>
            <aside class="notes">
              Так, і щодо фанів Брюса Шнайера -- не хвилюйтесь, він теж в курсі про
              наш шифр ;)
            </aside>
          </section>
        </section>

        <section>
          <h1>Q & A</h1>
          <p>
          Twitter: <a href="https://twitter.com/zoresvit">@zoresvit</a><br>
          GitHub: <a href="https://github.com/zoresvit">@zoresvit</a><br>
          LinkedIn: <a href="https://www.linkedin.com/in/ruslan.kiyanchuk">ruslan.kiyanchuk</a><br>
          </p>
        </section>

      </div>
    </div>

    <script src="revealjs/js/reveal.js"></script>

    <script>
      // More info about config & dependencies:
      // - https://github.com/hakimel/reveal.js#configuration
      // - https://github.com/hakimel/reveal.js#dependencies
      Reveal.initialize({
        dependencies: [
          // Markdown support
          { src: 'revealjs/plugin/markdown/marked.js' },
          { src: 'revealjs/plugin/markdown/markdown.js' },
          // Code highlight
          { src: 'revealjs/plugin/highlight/highlight.js', async: true },
          // Speaker notes
          { src: 'revealjs/plugin/notes/notes.js', async: true },
          // MathJax
          { src: 'revealjs/plugin/math/math.js', async: true },
          // Zoom in and out with Alt+click
          { src: 'revealjs/plugin/zoom-js/zoom.js', async: true },
        ],
        // math: {mathjax: 'js/MathJax.js'},
        math: {mathjax: 'https://cdnjs.cloudflare.com/ajax/libs/mathjax/2.7.0/MathJax.js'},
        navigationMode: 'linear',
        mouseWheel: true,  // Enable slide navigation via mouse wheel.
        pdfSeparateFragments: false,
        history: true  // Push each slide change to the browser history.
      });
    </script>
  </body>
</html>