eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiSposoby logowania się .Re: Sposoby logowania się .
  • Data: 2010-09-16 14:28:09
    Temat: Re: Sposoby logowania się .
    Od: Piotr Gałka <p...@C...pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]


    Użytkownik "Jarek Andrzejewski" <p...@g...com> napisał w wiadomości
    news:ru5496h1um3uck243n521d3231fb33nnge@4ax.com...

    >>> A masz coś na poparcie tezy, że SHA-256 wykonany milion razy będzie
    >>> bezpieczniejszy niż wykonany 1 raz?
    >>
    >>A ja stawiałem taką tezę ?
    >
    > Tak.
    >
    > Cytat (Message-ID: <4c908574$1@news.home.net.pl>):
    >
    > Hasło powinno być na komputerze użytkownika wydłużane kryptograficznie
    > (np. milion operacji mieszania) i dopiero takie wysyłane do systemu
    > banku /.../

    Tu nie ma nic o zwiększeniu bezpieczeństwa funkcji hash przez jej
    wielokrotne wykonanie, a jedynie o wydłużeniu hasła.

    > Teraz piszesz:
    >
    >>Chodzi jedynie o pozorne "wydłużenie" hasła użytkownika o
    >>jakieś 20 bitów. Jeśli atakujący sprawdzałby hasła z przestrzeni 2^48 to
    >>po
    >
    Czyli powtarzam to samo, co wcześniej napisałem, bo wygląda, że nie zostało
    zrozumiane.

    > a to nic nowego: jest to tak zwany "salt" (czyli dodanie jawnych
    > bitów) i od zarania dziejów jest stosowany np. w linuksie (tam jest
    > bodajże 12-bitowy).

    W tym fragmencie nic nie piszę o dodaniu jawnych bitów. "Wydłużenie" to nie
    jest dodanie soli tylko wielokrotne przeliczenie funkcji skrótu.
    O soli pisałem tak: (Message-ID: <4c91e223$1@news.home.net.pl> )
    ----------
    Dodatkowo wydłużanie z dodaniem pewnej jawnej liczby, ale dla każdego
    użytkownika innej powoduje, że atakujący nie może stworzyć jednej tablicy
    dla wszystkich użytkowników, ale musi tworzyć osobne tablice dla każdego
    użytkownika.
    ----------

    > A "salt" ma tę przewagę nad Twoją propozycją, że nawet dla
    > identycznych haseł da różne skróty.

    Sól da różne skróty dla identycznych haseł, a wydłużenie zwiększa nakład
    obliczeniowy atakującego.

    Chodzi o obliczenie typu: X0=0; Xi=SHA(Xi-1||p||s), dla i=1,...,r, p-hasło,
    s-sól, || - połączenie tekstów, Xi-1 - X o indeksie i-1.
    Wydłużenie o 20 bitów to r = milion, a sól to s w tym algorytmie.
    Wydłużenie to co innego, a sól to co innego. Ja piszę o wydłużeniu to Ty
    zauważasz: "a to nic nowego to sól".
    Jak napiszę o soli (już pisałem wczoraj koło 11-tej) to w odpowiedzi
    zobaczę: "a to nic nowego to wydłużanie".
    Dla mnie chaos nie dyskusja.
    P.G.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1