Użytkownik "Jarek Andrzejewski" <p...@g...com> napisał w wiadomości
news:7fa496lekk93851qg8c6aus7fj7m3kip41@4ax.com...

>
> do wydłużenia hasła wystarczy wygenerowanie (pseudo)losowo
> parudziesięciu bitów. Nie rozumiem więc, po co proponujesz "milion
> operacji mieszania".

Przy (podobno) obowiązkowym w kryptologii założeniu, że algorytmy są znane
atakującemu wygenerowanie pseudolosowo nic nie daje, a wygenerowanie losowo
nie ma tu sensu.
Używam słowa "wydłużenie" w zupełnie innym sensie.
Mam wrażenie, że nie czytasz tego co piszę. Już 2 razy tłumaczyłem jaki jest
cel czyli odpowiedź na pytanie "po co".

>>W tym fragmencie nic nie piszę o dodaniu jawnych bitów. "Wydłużenie" to
>>nie
>>jest dodanie soli tylko wielokrotne przeliczenie funkcji skrótu.
>
> możesz dać jakiś link do tej metody? Nie spotkałem się z
> wykorzystaniem "miliona operacji mieszania" w celu wydłużenia hasła.
>

Nie mam linku. Informacja pochodzi z książki którą już wspominałem wczoraj
rano:
Message-ID: <4c9090b0$1@news.home.net.pl>
---------------
Cytat z książki napisanej w 2003 roku (polskie wydanie 2004) "Kryptografia w
praktyce":
"22.2.1. Solenie i rozciąganie..... Techniki te są tak proste i naturalne,
że powinny być stosowane we wszystkich systemach haseł. Ignorowanie ich nie
ma żadnego wytłumaczenia."
----------------
Dodam, że autorzy to Neils Ferguson i Bruce Schneier. Głowy nie dam, ale to
chyba światowi eksperci w zakresie bezpieczeństwa systemów
kryptograficznych.
Opisywali tam też karygodny błąd w implementacji wydłużania (rozciągania) w
jakimś systemie którego bezpieczeństwo mieli zbadać. Programista, aby
użytkownik nie musiał czekać 1s aż się ten milion operacji wykona
zapamiętywał CRC hasła i szybko sprawdzał, że OK, a potem brał się za ten
milion przeliczeń.
P.G.

>>Sól da różne skróty dla identycznych haseł, a wydłużenie zwiększa nakład
>>obliczeniowy atakującego.
>
> ale skąd mają się te dodatkowe bity wziąć?
>
Tłumaczyłem 2 posty wyżej (cytat):
------------
Chodzi jedynie o pozorne "wydłużenie" hasła użytkownika o
jakieś 20 bitów. Jeśli atakujący sprawdzałby hasła z przestrzeni 2^48 to po
takim "wydłużeniu" nadal musi sprawdzić 2^48, ale pracy będzie miał przy tym
jakby sprawdzał hasła z przestrzeni 2^68 (licząc liczbę niezbędnych operacji
kryptograficznych do wykonania, porównanie=operacja, SHA=operacja).
-------------
To nie są prawdziwe bity, tylko pozorne - że pracy jest tyle jakby one były.

>>Chodzi o obliczenie typu: X0=0; Xi=SHA(Xi-1||p||s), dla i=1,...,r,
>>p-hasło,
>>s-sól, || - połączenie tekstów, Xi-1 - X o indeksie i-1.
>
> podaj jakiś link, bo nie jestem przekonany, że milion takich
> przekształceń jakoś istotnie zwiększa bezpieczeństwo - przekształcenie
> jest deterministyczne, a p i s są jedynymi niewiadomymi.

Znów szybkość kosztem dokładności (chaos): s nie jest niewiadomą - jest
jawne z założenia.
Nie zwiększa bezpieczeństwa w sensie łamania algorytmów, ale milion razy
zwiększa koszt ataku "brute force" na hasła.
P.G.