Re: Kryptografia w całej okazałości. - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.comp.programming › Kryptografia w całej okazałości. › Re: Kryptografia w całej okazałości.

Data: 2014-11-12 19:59:00
Temat: Re: Kryptografia w całej okazałości.
Od: Piotr <S...@w...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
Dnia 12.11.2014 M.M. <m...@g...com> napisał/a:
> Co trzeba zrobić aby odzyskać ten stały ciąg zaburzający? Można
> łamać brutforcem, potrzebujemy:
> 1) 1mln jednostek przetwarzających,
> 2) szybką implementację
> 3) około 1-3 miesięcy czasu
> 4) kilka milionów usd na energię elektryczna
>
> Nie wiem czy można go łamać tęczowymi tablicami, jeśli można, to ile potrzeba
> zasobów? Przypomnę, mamy krótki, 64 bitowy, losowy-stały ciąg zaburzający.

Przy losowych "solach" mozesz userowi udostepnic program hashujacy (moze
byc nawet zrodlowka czy program napisany w jezyku skryptowym - nie musisz
ukrywac zarowno kodu jak i jakiejkolwiek stalej w nim zawartej) a plik z
zakodowanymi haslami mozesz upublicznic a i tak zlamanie hasel (nawet jesli
to sa proste slowa ze slownika) bedzie trudnym zadaniem. Przy stalej "soli"
(na twardo zapisanej w kodzie) musisz pilnowac znacznie wiecej elementow,
miedzy innymi musisz zadbac o nastepujace sytuacje:
- user nie moze miec dostepu do zakodowanych hasel innych userow (na
wypadek gdyby ktos inny uzyl takiego samego hasla)
- user nie moze miec dostepu do kodu zrodlowego programu (odpada
impelementacja w jezyku skryptowym), bo "sol" jest w nim w postaci jawnej,
a nawet jesli to jakos "zaczarujesz" i ukryjesz jakos w kodzie, to mozna po
prostu fragment kodu (tym z "czarami") uzyc bezposrednio do metody
slownikowej
- jesli implementacja jest na przyklad w C, to mimo wszystko user moze
uruchomic ten program pod debuggerem i sledzic jego wykonanie
(albo zresourcowac kod lub podejrzec "sol" w binarce)
- jesli masz osobny serwer autoryzujacy i padnie dysk w macierzy na ktorej
stoi cala autoryzacja hasel, to po prostu go wyciagasz i wyrzucasz do kosza
a wszystkim userom ustawiasz koniecznosc zmiany hasla przy nastepnym
zalogowaniu (nie przejmujesz sie tym, ze ktos wyjmie dysk ze smietnika i na
jego podstawie zlamie hasla w krotkim czasie)

Po prostu - losowa "sol" moim zdaniem ma bardzo wiele plusow w stosunku do
zakodowanej na twardo i moim zdaniem sol zakodowana na twardo wynika
glownie z lenistwa programisty :D Oczywiscie to tylko moje zdanie - nie
upieram sie, ze jest jedynym slusznym ;)