Piotr Gałka <p...@c...pl> writes:

> Osobiście uważam, że kiedyś się okaże że z tą niezaprzeczalnością to
> może nie tak do końca. Skoro zdarzają się kradzieże danych z na prawdę
> dobrze chronionych miejsc w sieci (nie mam na myśli sklepów w pl,
> tylko jakieś projekty militarne) to skąd pewność, że użytkownik
> faktycznie dobrze zabezpieczył swój klucz prywatny służący mu do
> podpisu.

To bez znaczenia - chodzi o to, że piłeczka jest wtedy po stronie
klienta. Równie dobrze mógłby podpisać dokument po pijaku.

> Jeśli to jest po prostu wydłużanie hasła to według autorów tej książki
> nie ma żadnego usprawiedliwienia dla nie stosowania tego wszędzie.

I tam naprawdę coś takiego napisali? Przyznaję, że nie czytałem tej
książki (ani pewnie nawet nie miałem jej w ręku), ale to brzmi
przynajmniej kontrowersyjnie.

Może napisali to tylko w tym konkretnym kontekście (np. szyfrowania
dysków lokalnych)? Wtedy mogę się z tym zgodzić.
Albo tylko tak teoretycznie, co by było gdyby user koniecznie chciał
stosować to samo hasło wszędzie i jak to zrobić? Normalnie jednak
korzyści wynikające z zastosowania tego lub podobnego algorytmu byłyby
niewspółmiernie niskie w porównaniu do zagrożeń, jakie niesie ze sobą
jedno hasło.

> Sprawdzenie pojedynczej hipotezy dotyczącej hasła (nie przeliczonego)
> to jedna operacja. Sprawdzenie tego samego hasła ale przeliczonego
> milion razy to milion operacji przeliczania + jedna operacja
> porównania.

Zakładam, że seed jest odpowiednio silny, bo jeśli nie, to tęczowe
tablice mogą nam ten problem sprowadzić do prostego lookupu.
Ale nawet z dobrym seedem, wszystko zależy od siły oryginalnego hasła.

> Przeliczenie milion razy SHA256 na moim 10 letnim komputerze zajmowało
> poniżej 1s. Milion to około 2^20. Po takim zabiegu atakujący to samo
> hasło musi wykonać 2^60 operacji. Czyli długość hasła (przy przyjętej
> definicji długości) zwiększyliśmy o 20 bitów.

Ale atakujący może sobie postawić (dość tanim kosztem - są zdjęcia
w sieci) 200 konsoli. Są też inne możliwości, moc obliczeniowa nie jest
droga. Zauważ, że postęp techniczny powoduje, że jeśli nie uda się tego
złamać dziś, to może uda się jutro.

> Ja za autorami tej książki przyjąłem, że nie ma żadnego
> usprawiedliwienia dla nie stosowania solenia i wydłużania we
> wszystkich aplikacjach. A że czytałem to w 2004r, gdy pewnie nie
> zrobiłem jeszcze żadnego zakupu przez internet więc jak zetknąłem się
> pierwszy raz z tworzeniem sobie konta to byłem pewien, że tak to jest
> wszędzie. Po prostu nie wyobraziłem sobie, że ktoś mógł nie zastosować
> czegoś, co jest proste i nie ma usprawiedliwienia na nie stosowanie
> tego.

Nie wystarczy brak wad :-)
Przede wszystkim, by zastosować jakieś rozwiązanie, musi być ku temu
jakiś racjonalny powód. Często jest - i tam się takie rzeczy stosuje.
Natomiast w przypadku serwerów w Internecie - co jest, Twoim zdaniem,
takim racjonalnym powodem?

Nie żeby "wydłużanie hasła" nie miało wad. Co powiesz o takiej
psychologicznej - "skoro hasło jest wydłużane, to oryginalnie wystarczy
byle co"?

No i tak, jak napisałem - może lepiej po prostu zastosować podpis
elektroniczny (niekoniecznie dokładnie w obecnej "kwalifikowanej"
postaci)? To załatwia dużo więcej, można też naprawdę mieć to samo hasło
(albo w ogóle żadne, zależnie od warunków). Czymś pośrednim są wszelkie
"notatniki haseł".
--
Krzysztof Hałasa