Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m31v8uq3z3.fsf@intrepid.localdomain...

>> Według mnie nie musi.
>> Hasło powinno być na komputerze użytkownika wydłużane kryptograficznie
>> (np. milion operacji mieszania)
>
> Oczywiscie zwieksza to nieco moc obliczeniowa potrzebna do zlamania
> (milion = 20 bitow),

Nieco = milion razy. Jeśli coś teraz nie daje się (w rozsądnym czasie)
złamać, ale za 10 lat dostępna moc obliczeniowa pozwoliłaby to złamać w
jeden dzień to stosowanie wydłużenia powoduje, że za te 10 lat trzeba będzie
milion dni. Dopiero za kolejne 10 lat wystarczy jeden dzień.

> ale to dosc nieefektywne,

To jest jedna sekunda zwłoki na moim (chyba 5 letnim) PC i wydaje mi się, że
to nigdy nie musi być wykonywane nigdzie indziej jak tylko na komputerze
logującego się użytkownika.

> jaka to ma zalete
> w stosunku do kryptografii asymetrycznej? Bo ta ostatnia ma potezna
> zalete, bank nie moze takiej operacji sam spreparowac.
>
O kryptografii asymetrycznej wiem za mało, aby się odpowiedzialnie
wypowiadać.
Nie rozumiem dlaczego bank nie może sam spreparować. Jeśli jak wynika z
poprzednich dyskusji przynajmniej niektóre banki przechowują hasła klientów
czyli znają wszystkie informacje, którymi posługuje się klient wykonując
jakąś operację (kod jednorazowy wysyłany SMS-em też bank zna).

> Takie wydluzanie zwiekszy czas generowania teczowych tablic, ale ani nie
> beda one wieksze, ani szukanie w nich nie bedzie wolniejsze.

Z tego co wiem o kryptografii (wiem niewiele, bo tylko z konieczności
musiałem jedną książkę przeczytać (asymetryczną pominąłem)) to przy
określaniu złożoności ataku czas jednego porównania z zawartością tabeli
przyjmuje się za jedną operację bez względu na wielkość porównywanych
obiektów. Hasła mają to do siebie, że zazwyczaj są za krótkie. Jakieś
badania pokazały, że typowo na jeden znak przypada około 3..4 bitów
niepewności (bo ludzie nie stosują w pełni losowego następstwa znaków). 12
znakowe hasło to byłoby około 48 bitów. Jego wydłużenie o 20 bitów to zawsze
coś (wydłuża czas ataku milion razy).
Dodatkowo wydłużanie z dodaniem pewnej jawnej liczby, ale dla każdego
użytkownika innej powoduje, że atakujący nie może stworzyć jednej tablicy
dla wszystkich użytkowników, ale musi tworzyć osobne tablice dla każdego
użytkownika.
Jeśli atakujący atakuje system haseł dla 1000 użytkowników to bez wydłużania
dla każdego domniemanego hasła musi wykonać jedno porównanie czyli 1000
operacji. Z wydłużaniem dla tego jednego hasła musi wykonać 1 001 000
operacji (wydłużenie milion i 1000 porównań), dla wydłużenia z dodaniem tej
jawnej liczby musi wykonać 1 000 001 000 operacji (1000 wydłużeń po milion i
1000 porównań). Z tysiąca operacji zrobił się miliard operacji dla
sprawdzenia jednego domniemanego hasła u wszystkich. To jest chyba pewna
różnica, a jedyny koszt to dodatkowa 1s czekania przy każdym logowaniu.
Gdyby jedna operacja zajmowała 1ns (1000 razy szybciej niż na moim PC) to
sprawdzenie 2^48 haseł bez wydłużania zajmie 3.2 dnia (dla jednego
użytkownika), a z wydłużaniem 3200000 dni - prawie 10 tysięcy lat. Faktyczna
różnica będzie większa, bo jednak porównanie trwa znacznie krócej niż
pojedyncza operacja mieszania.
P.G.