<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Sep 25, 2015 at 11:59 PM,  <span dir="ltr"><<a href="mailto:dj@deadhat.com" target="_blank">dj@deadhat.com</a>></span> wrote:<br><div> </div></div></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div class="gmail_extra"><div class="gmail_quote"><div>I've seen this go too far, where randomized testing is all that is done</div></div></div><div class="gmail_extra"><div class="gmail_quote"><div>
and so the corner cases you can reach with directed testing are never</div></div></div><div class="gmail_extra"><div class="gmail_quote"><div>
handled. </div></div></div><div class="gmail_extra"><div class="gmail_quote"><div>....</div></div></div><div class="gmail_extra"><div class="gmail_quote"><div>I'm keeping my skeptic's hat on. Until someone shows us the code, I have</div></div></div><div class="gmail_extra"><div class="gmail_quote"><div>
seen nothing that can reconcile the journalists claims with what I know</div></div></div><div class="gmail_extra"><div class="gmail_quote"><div>
about how the testing works.</div></div></div></blockquote><div class="gmail_extra"><br>There is something else that may be involved.   <br>In the context of Bayesian statistics a lot of moving parts can be</div><div class="gmail_extra">hidden behind a simple 1/0, Good/Bad,  True/False result.</div><br>These new method Bayesian statistics are being applied to <div>many complex multi dimensional decision trees and the relationship</div><div>between the dimensions is unknown.  These systems are self tuning</div><div>and interesting in that some results are near magic.<br>Spam filters are a good example... there is no need to know that viagra</div><div>is a key word just a set of is-spam files allows the statistics</div><div>to build the filter. </div><div><br>So a simple Pass/Fail feedback could tune specifically for</div><div>emission tests without knowing what the test was or even</div><div>the way the system adjusted itself.   i.e. It is possible that the </div><div>test design is the problem not people.</div><div><br></div><div>This impact of modern statistics to tease out relationships</div><div>may have interesting impact on crypto systems.   The clarity</div><div>of decrypted/decrypted based on has words/ has characters/ </div><div>has some other chink exposed may allow information to be </div><div>discovered that can bound or expose the key quicker than </div><div>expected.</div><br>The foundations of Bayesian statistics are old but the modern <div>subset insight made computationally difficult problems almost</div><div>easy on modern hardware.   <br><br>Applying this to public+private key systems can be done with </div><div>no interaction with the target...  because the attacker has full</div><div>control of known input and a fixed but known public key.</div><div><div><br></div><div>Pay attention to statistics...<br><br>--<div class="gmail_extra"><div class="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div></div></div>