-
Data: 2014-11-12 21:57:28
Temat: Re: Kryptografia w całej okazałości.
Od: "M.M." <m...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]> Przy losowych "solach" mozesz userowi udostepnic program hashujacy (moze
> byc nawet zrodlowka czy program napisany w jezyku skryptowym - nie musisz
> ukrywac zarowno kodu jak i jakiejkolwiek stalej w nim zawartej) a plik z
> zakodowanymi haslami mozesz upublicznic a i tak zlamanie hasel (nawet jesli
> to sa proste slowa ze slownika) bedzie trudnym zadaniem.
Ja chyba czegoś nie rozumiem. Moim zdaniem będzie łatwym zadaniem.
Pokaż mi gdzie popełniam błąd:
1) Bierzemy słownik.
2) Bierzemy hasło i jego sól
3) Każde słowo ze słownika solimy i hashujemy
4) Wyświeltamy te słowa, które dały taki sam hash, jak w udostępnionych
plikach.
> Przy stalej "soli" (na twardo zapisanej w kodzie) musisz pilnowac
> znacznie wiecej elementow,
> miedzy innymi musisz zadbac o nastepujace sytuacje:
> - user nie moze miec dostepu do zakodowanych hasel innych userow (na
> wypadek gdyby ktos inny uzyl takiego samego hasla)
Nie moze miec dostepu zarówno do hasel i loginow. Jesli zobaczy, ze dwa hasła
są takie same, to nie będzie wiedział, jacy użytkownicy mają takie same
hasła.
> - user nie moze miec dostepu do kodu zrodlowego programu (odpada
> impelementacja w jezyku skryptowym), bo "sol" jest w nim w postaci jawnej,
> a nawet jesli to jakos "zaczarujesz" i ukryjesz jakos w kodzie, to mozna po
> prostu fragment kodu (tym z "czarami") uzyc bezposrednio do metody
> slownikowej
Dlaczego nie można tak zrobić z losową solą?
> - jesli implementacja jest na przyklad w C, to mimo wszystko user moze
> uruchomic ten program pod debuggerem i sledzic jego wykonanie
> (albo zresourcowac kod lub podejrzec "sol" w binarce)
A w przeciwnym rozwiązaniu ma sól zapisaną razem z hasłem - czyli jeszcze
łatwiej ją wyciągnąć niż z pliku binarnego. No chyba że losowa sól leży na
innej maszynie, ale stała sól też może leżeć na innej maszynie.
> Po prostu - losowa "sol" moim zdaniem ma bardzo wiele plusow w stosunku do
> zakodowanej na twardo i moim zdaniem sol zakodowana na twardo wynika
> glownie z lenistwa programisty :D Oczywiscie to tylko moje zdanie - nie
> upieram sie, ze jest jedynym slusznym ;
Możliwe że masz rację, ja tego nie widzę. Mamy dwie sytuacje:
1) wyciekło zakodowane* hasło i losowa sól
2) wyciekło zakodowane* hasło i stała sól
I w jednym przypadku i w drugim odzyskujemy samo hasło burtforcem.
Kolejne dwie sytuacje:
1) wyciekło zakodowane* hasło, używano stałej soli która nie wyciekła
2) wyciekło zakodowane* hasło, używano losowje soli która nie wyciekła
I w jednym przypadku i w drugim odzyskujemy dwie rzeczy: hasło i sól,
przy pomocy burtforcem.
Kolejna sytuacja: wyciekło zakodowane* hasło, nie używano solenia:
1) Łamiemy przy pomocy tęczowych tablic.
*) znany jest algorytm solenia i kodowania.
W jakim miejscu popełniam błąd?
Pozdrawiam
)
Następne wpisy z tego wątku
- 12.11.14 21:59 M.M.
- 12.11.14 23:24 Stachu 'Dozzie' K.
- 12.11.14 23:48 M.M.
- 13.11.14 00:12 M.M.
- 13.11.14 00:35 bartekltg
- 13.11.14 01:00 bartekltg
- 13.11.14 01:01 M.M.
- 13.11.14 01:11 M.M.
- 13.11.14 03:00 Stachu 'Dozzie' K.
- 13.11.14 03:06 Stachu 'Dozzie' K.
- 13.11.14 03:43 bartekltg
- 13.11.14 03:54 M.M.
- 13.11.14 04:33 bartekltg
- 13.11.14 04:44 M.M.
- 13.11.14 07:03 Andrzej Jarzabek
Najnowsze wątki z tej grupy
- 7. Raport Totaliztyczny: Sprawa Qt Group wer. 424
- TCL - problem z escape ostatniego \ w nawiasach {}
- Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- testy-wyd-sort - Podsumowanie
- Tworzenie Programów Nieuprzywilejowanych Opartych Na Wtyczkach
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
Najnowsze wątki
- 2024-11-17 7. Raport Totaliztyczny: Sprawa Qt Group wer. 424
- 2024-11-18 Gdynia => Spedytor Międzynarodowy <=
- 2024-11-18 Białystok => Full Stack web developer (obszar .Net Core, Angular6+) <
- 2024-11-18 Białystok => Programista Full Stack (.Net Core) <=
- 2024-11-18 Kraków => Business Development Manager - Dział Sieci i Bezpieczeńst
- 2024-11-18 Kraków => Business Development Manager - Network and Network Security
- 2024-11-18 Kraków => Network Systems Administrator (IT Expert) <=
- 2024-11-18 Kraków => Administrator Systemów Sieciowych (Ekspert IT) <=
- 2024-11-18 Zdunowo => Senior PHP Symfony Developer <=
- 2024-11-18 Łódź => QA Inżynier <=
- 2024-11-18 Lublin => Senior PHP Developer <=
- 2024-11-18 Gliwice => Specjalista ds. public relations <=
- 2024-11-18 Gdynia => Front-End Developer (React/Three.js) <=
- 2024-11-18 Gdańsk => Specjalista ds. Sprzedaży <=
- 2024-11-18 Gdańsk => Kierownik Działu Spedycji Międzynarodowej <=
![Nowe mieszkania: czy mniejsze rynki to niższe ceny? [© pressfoto na Freepik]](https://s3.egospodarka.pl/grafika2/mieszkania-od-deweloperow/Nowe-mieszkania-czy-mniejsze-rynki-to-nizsze-ceny-263281-50x33crop.jpg "Nowe mieszkania: czy mniejsze rynki to niższe ceny? [© pressfoto na Freepik]")
Nowe mieszkania: czy mniejsze rynki to niższe ceny?
