On 11.11.2014 15:07, M.M. wrote:
> On Sunday, November 9, 2014 3:51:10 PM UTC+1, bartekltg wrote:
>> Ciekawy kwiatek
>>
>> https://github.com/haiwen/ccnet/issues/35
>> https://github.com/haiwen/ccnet/blob/master/net/serv
er/user-mgr.c#L612
>>
>> /* -------- EmailUser Management -------- */
>> /* truly random sequece read from /dev/urandom. */
>> static unsigned char salt[8] = { 0xdb, 0x91, 0x45, 0xc3, 0x06, 0xc7,
>> 0xcc, 0x26 };
>>
>> I ta tabelka użyta jest przynajmniej w funkcji hash_password_salted.

> Dlaczego nazywasz to kwiatkiem?

Z tego co rozumiem (specem od kryptografii nie jestem) 'solenie'
jednym z jego zadań jest uodpornienie na atak 'tęczowymi tablicami'.

Atakujący może sobie odpowiednio przygotować tablicę (sporych
rozmairów:), która umożliwi mu szybkie odwrócenie hashy.
Ludzie lubią używać krótkich haseł;-)
Dodanie losowego ciągu po haśle (czy szerzej, hash przyjmuje dwa
argumenty, hasło i liczbę losową) powoduje, że te tablice musiałby
być niepraktycznie duże. Dla każdej soli nowa tablica.

Zapisanie tego na sztywno spowoduje co prawda, że uniwersalna tablica
będzie mało przydatna, ale koszt odwrócenia jednego hasha
jest w praktyce taki sam, jak odwrócenia wszystkich.
Do tego ciąg jest dość krótki.

Ale jak wspomniałem na początku, znam się bardzo umiarkowanie;-)

pzdr
bartekltg