eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiSposoby logowania się .Re: Sposoby logowania się .
« poprzedni post
następny post »
  • Data: 2010-09-16 12:54:37
    Temat: Re: Sposoby logowania się .
    Od: Piotr Gałka <p...@C...pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]


    Użytkownik "Jarek Andrzejewski" <p...@g...com> napisał w wiadomości
    news:9d0496djmqta15hb78lectj281eds467j8@4ax.com...
    >
    > A masz coś na poparcie tezy, że SHA-256 wykonany milion razy będzie
    > bezpieczniejszy niż wykonany 1 raz?

    A ja stawiałem taką tezę ?
    Nie mówię o łamaniu SHA-256 tylko o ataku na hasła poprzez sprawdzanie
    pewnej listy prawdopodobnych haseł w oparciu o domniemane zwyczaje
    użytkowników. Chodzi jedynie o pozorne "wydłużenie" hasła użytkownika o
    jakieś 20 bitów. Jeśli atakujący sprawdzałby hasła z przestrzeni 2^48 to po
    takim "wydłużeniu" nadal musi sprawdzić 2^48, ale pracy będzie miał przy tym
    jakby sprawdzał hasła z przestrzeni 2^68 (licząc liczbę niezbędnych operacji
    kryptograficznych do wykonania, porównanie=operacja, SHA=operacja). Gdyby
    chciał pominąć to "wydłużenie" i atakować poprzez sprawdzanie wszystkich
    możliwych wyników to musiałby sprawdzać 2^256 kombinacji, bo tu nie da się
    stworzyć listy prawdopodobnych wybranych przez użytkownika wartości.
    Zakładam, że taki atak jest znacznie prostszy od próby łamania SHA-256 i
    wykonanie SHA-256 milion razy nie ma na celu jego wzmacniania.

    > Tak naprawdę idea łamania funkcji skrótu sprowadza się do jednego:

    To (według mnie) nie jest tematem tej dyskusji.

    > Można wielokrotnie wykonywać przekształcenie, ale idea jest taka:
    > http://en.wikipedia.org/wiki/Hash_chain

    Rzuciłem (niedokładnie) okiem - to jest jakaś zupełnie inna bajka - chodzi o
    to, aby za każdym razem inne hasło było przesyłane. Jeśli łącze jest
    odpowiednio zabezpieczone to nie widzę takiej potrzeby.

    > albo taka (połączenie wyniku kilku algprytmów):
    > http://en.wikipedia.org/wiki/Cryptographic_hash_func
    tion#Concatenation_of_cryptographic_hash_functions

    Nie mam powodów aby wątpić, że poskładanie wielu funkcji hash nie jest
    bezpieczniejsze od wykonania jedynie najmocniejszej z nich.

    > A zamiast "mieszania" chyba lepiej użyć nazwy "funkcji skrótu".
    >
    Zgodzę się, choć dla mnie słowo "mieszanie" lepiej oddaje wykonywaną
    operację, a "funkcja skrótu" sugeruje, że wynik jest krótszy od oryginału, a
    to akurat w tym przypadku raczej nie jest prawdą (nigdy nie stosowałem
    jeszcze 32 znakowych haseł).
    P.G.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy