-
Data: 2010-09-16 15:17:13
Temat: Re: Sposoby logowania się .
Od: Piotr Gałka <p...@C...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
Użytkownik "Jarek Andrzejewski" <p...@g...com> napisał w wiadomości
news:7fa496lekk93851qg8c6aus7fj7m3kip41@4ax.com...
>
> do wydłużenia hasła wystarczy wygenerowanie (pseudo)losowo
> parudziesięciu bitów. Nie rozumiem więc, po co proponujesz "milion
> operacji mieszania".
Przy (podobno) obowiązkowym w kryptologii założeniu, że algorytmy są znane
atakującemu wygenerowanie pseudolosowo nic nie daje, a wygenerowanie losowo
nie ma tu sensu.
Używam słowa "wydłużenie" w zupełnie innym sensie.
Mam wrażenie, że nie czytasz tego co piszę. Już 2 razy tłumaczyłem jaki jest
cel czyli odpowiedź na pytanie "po co".
>>W tym fragmencie nic nie piszę o dodaniu jawnych bitów. "Wydłużenie" to
>>nie
>>jest dodanie soli tylko wielokrotne przeliczenie funkcji skrótu.
>
> możesz dać jakiś link do tej metody? Nie spotkałem się z
> wykorzystaniem "miliona operacji mieszania" w celu wydłużenia hasła.
>
Nie mam linku. Informacja pochodzi z książki którą już wspominałem wczoraj
rano:
Message-ID: <4c9090b0$1@news.home.net.pl>
---------------
Cytat z książki napisanej w 2003 roku (polskie wydanie 2004) "Kryptografia w
praktyce":
"22.2.1. Solenie i rozciąganie..... Techniki te są tak proste i naturalne,
że powinny być stosowane we wszystkich systemach haseł. Ignorowanie ich nie
ma żadnego wytłumaczenia."
----------------
Dodam, że autorzy to Neils Ferguson i Bruce Schneier. Głowy nie dam, ale to
chyba światowi eksperci w zakresie bezpieczeństwa systemów
kryptograficznych.
Opisywali tam też karygodny błąd w implementacji wydłużania (rozciągania) w
jakimś systemie którego bezpieczeństwo mieli zbadać. Programista, aby
użytkownik nie musiał czekać 1s aż się ten milion operacji wykona
zapamiętywał CRC hasła i szybko sprawdzał, że OK, a potem brał się za ten
milion przeliczeń.
P.G.
>>Sól da różne skróty dla identycznych haseł, a wydłużenie zwiększa nakład
>>obliczeniowy atakującego.
>
> ale skąd mają się te dodatkowe bity wziąć?
>
Tłumaczyłem 2 posty wyżej (cytat):
------------
Chodzi jedynie o pozorne "wydłużenie" hasła użytkownika o
jakieś 20 bitów. Jeśli atakujący sprawdzałby hasła z przestrzeni 2^48 to po
takim "wydłużeniu" nadal musi sprawdzić 2^48, ale pracy będzie miał przy tym
jakby sprawdzał hasła z przestrzeni 2^68 (licząc liczbę niezbędnych operacji
kryptograficznych do wykonania, porównanie=operacja, SHA=operacja).
-------------
To nie są prawdziwe bity, tylko pozorne - że pracy jest tyle jakby one były.
>>Chodzi o obliczenie typu: X0=0; Xi=SHA(Xi-1||p||s), dla i=1,...,r,
>>p-hasło,
>>s-sól, || - połączenie tekstów, Xi-1 - X o indeksie i-1.
>
> podaj jakiś link, bo nie jestem przekonany, że milion takich
> przekształceń jakoś istotnie zwiększa bezpieczeństwo - przekształcenie
> jest deterministyczne, a p i s są jedynymi niewiadomymi.
Znów szybkość kosztem dokładności (chaos): s nie jest niewiadomą - jest
jawne z założenia.
Nie zwiększa bezpieczeństwa w sensie łamania algorytmów, ale milion razy
zwiększa koszt ataku "brute force" na hasła.
P.G.
Następne wpisy z tego wątku
- 16.09.10 15:22 Jarek Andrzejewski
- 16.09.10 15:31 Piotr Gałka
- 17.09.10 22:15 Krzysztof Halasa
- 17.09.10 22:48 Krzysztof Halasa
- 18.09.10 08:56 Piotr Gałka
- 18.09.10 18:19 Krzysztof Halasa
- 20.09.10 09:44 Piotr Gałka
- 20.09.10 19:30 Krzysztof Halasa
- 21.09.10 06:58 Piotr Gałka
- 21.09.10 13:54 kashmiri
- 21.09.10 13:57 kashmiri
- 21.09.10 14:46 Piotr Gałka
- 21.09.10 19:10 Krzysztof Halasa
- 21.09.10 19:15 Krzysztof Halasa
- 22.09.10 07:17 Piotr Gałka
Najnowsze wątki z tej grupy
- O co chodzi Aliorowi?
- mBąk jest wczorajszy.
- AION przejety
- Ile pieniędzy ma bank?
- Zwrot towaru i kasy od sprzedawcy a zmiana plastiku
- Szaleństwo w BOS-iu - 8,1% :D
- Drogie mieszkania, drogie kredyty i ogromne zyski banków. Czy rząd ma rozwiązanie?
- Obcokrajowcy w bankach
- Wysokie ceny nieruchomości... ;)
- Dlaczego takie preferencje banków?
- Awaria BNP Paribas
- Citi Handlowy promocja na kartę kredytową
- czy zablokują mi środki?
- Tak doi się "wisienkobiorców" Nie tylko w kasynach ;-)
- Zamykanie konta dziecka.
Najnowsze wątki
- 2025-03-12 O co chodzi Aliorowi?
- 2025-03-10 mBąk jest wczorajszy.
- 2025-03-07 AION przejety
- 2025-03-05 Ile pieniędzy ma bank?
- 2025-03-04 Zwrot towaru i kasy od sprzedawcy a zmiana plastiku
- 2025-03-03 Szaleństwo w BOS-iu - 8,1% :D
- 2025-02-22 Drogie mieszkania, drogie kredyty i ogromne zyski banków. Czy rząd ma rozwiązanie?
- 2025-02-18 Obcokrajowcy w bankach
- 2025-02-13 Wysokie ceny nieruchomości... ;)
- 2025-02-10 Dlaczego takie preferencje banków?
- 2025-02-03 Awaria BNP Paribas
- 2025-01-23 Citi Handlowy promocja na kartę kredytową
- 2025-01-21 czy zablokują mi środki?
- 2025-01-09 Tak doi się "wisienkobiorców" Nie tylko w kasynach ;-)
- 2024-12-31 Zamykanie konta dziecka.