Re: Sposoby logowania się . - Grupy dyskusyjne w eGospodarka.pl

Data: 2010-09-16 14:28:09
Temat: Re: Sposoby logowania się .
Od: Piotr Gałka <p...@C...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]

Użytkownik "Jarek Andrzejewski" <p...@g...com> napisał w wiadomości
news:ru5496h1um3uck243n521d3231fb33nnge@4ax.com...

>>> A masz coś na poparcie tezy, że SHA-256 wykonany milion razy będzie
>>> bezpieczniejszy niż wykonany 1 raz?
>>
>>A ja stawiałem taką tezę ?
>
> Tak.
>
> Cytat (Message-ID: <4c908574$1@news.home.net.pl>):
>
> Hasło powinno być na komputerze użytkownika wydłużane kryptograficznie
> (np. milion operacji mieszania) i dopiero takie wysyłane do systemu
> banku /.../

Tu nie ma nic o zwiększeniu bezpieczeństwa funkcji hash przez jej
wielokrotne wykonanie, a jedynie o wydłużeniu hasła.

> Teraz piszesz:
>
>>Chodzi jedynie o pozorne "wydłużenie" hasła użytkownika o
>>jakieś 20 bitów. Jeśli atakujący sprawdzałby hasła z przestrzeni 2^48 to
>>po
>
Czyli powtarzam to samo, co wcześniej napisałem, bo wygląda, że nie zostało
zrozumiane.

> a to nic nowego: jest to tak zwany "salt" (czyli dodanie jawnych
> bitów) i od zarania dziejów jest stosowany np. w linuksie (tam jest
> bodajże 12-bitowy).

W tym fragmencie nic nie piszę o dodaniu jawnych bitów. "Wydłużenie" to nie
jest dodanie soli tylko wielokrotne przeliczenie funkcji skrótu.
O soli pisałem tak: (Message-ID: <4c91e223$1@news.home.net.pl> )
----------
Dodatkowo wydłużanie z dodaniem pewnej jawnej liczby, ale dla każdego
użytkownika innej powoduje, że atakujący nie może stworzyć jednej tablicy
dla wszystkich użytkowników, ale musi tworzyć osobne tablice dla każdego
użytkownika.
----------

> A "salt" ma tę przewagę nad Twoją propozycją, że nawet dla
> identycznych haseł da różne skróty.

Sól da różne skróty dla identycznych haseł, a wydłużenie zwiększa nakład
obliczeniowy atakującego.

Chodzi o obliczenie typu: X0=0; Xi=SHA(Xi-1||p||s), dla i=1,...,r, p-hasło,
s-sól, || - połączenie tekstów, Xi-1 - X o indeksie i-1.
Wydłużenie o 20 bitów to r = milion, a sól to s w tym algorytmie.
Wydłużenie to co innego, a sól to co innego. Ja piszę o wydłużeniu to Ty
zauważasz: "a to nic nowego to sól".
Jak napiszę o soli (już pisałem wczoraj koło 11-tej) to w odpowiedzi
zobaczę: "a to nic nowego to wydłużanie".
Dla mnie chaos nie dyskusja.
P.G.