eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.comp.programmingKryptografia w całej okazałości.Re: Kryptografia w całej okazałości.
  • Data: 2014-12-03 21:13:40
    Temat: Re: Kryptografia w całej okazałości.
    Od: Edek <e...@g...com> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    On Tue, 02 Dec 2014 09:42:45 -0800, M.M. wrote:

    > On Saturday, November 29, 2014 8:58:19 PM UTC+1, Edek wrote:
    >
    >> I tylko dlatego się soli. Stała sól ma pewien sens, w końcu o ile nie
    >> jest znana atakującemu ma przewagę nad solą przyklejoną do hasha, która
    >> staje się znana wraz z hashem. Ale ma wymienione wady, da się
    >> wygenerować hashe no i gratis znać hasła identycznych hashy (z
    >> identycznego hasła przy identycznej soli powstaje identyczny hash).
    >
    > A trzecia możliwość od macochy... Czemu nie używać zarówno stałej soli
    > i losowej? Dlaczego musi być albo stała, albo losowa? Jak ktoś wpisze
    > 5cio znakowe hasło, to dasz cost na całą dobę obliczeń i logowanie
    > będzie trwało dobę? Stała sól o dużym rozmiarze ma zajebisty sens gdy
    > tablice haseł wyciekną, a kody nie wyciekną.

    Logowanie nie będzie trwało dobę, sól jest znana - doklejasz i liczysz
    hash w tym samym czasie co zawsze.

    Ten koszt o którym pewnie mówisz to hash(hash(hash(...(hash(string)))).
    Taki trick pozwala na zwiększenie kosztowności potrzebnych obliczeń
    a dodatkowo trzeba wiedzieć ile razy liczyć hash z hasha z hasha -
    trzeba znać tę liczbę. Używa się raczej do szyfrowania plików
    niż haseł, ale też można. O ile nie masz na myśli gigantycznej soli...

    Stała + losowa - ma sens, o ile ta stała nie jest znana, czyli w praktyce
    łatwa do zdobycia. Jakoś sens zaszycia stałej w binarce przy
    podstawowej umiejętności deasemblowania jaką każdy cracker posiada
    mnie mało przekonuje. Czyli jak mówisz, sprowadza się do sytuacji
    gdy kody nie wyciekną co zakłada closed-source przy okazji jeżeli
    nie one-time builds - zbudowanie builda dla każdego z inną stałą.

    > Jakbyś spojrzał w kody moich programów, to byś właśnie zauważył
    > wszędzie stałą sól. Mam niemal identyczny kod, jak owe kwiatki, z
    > których w tym wątku się nabijacie. Ja się nie nabijam, bo nie wiem jak
    > ta sól jest używana. W frameworkach w jakich pracowałem albo chociaż
    > przeglądałem kod, też była stała sól, i kod też wyglądał w tamtym
    > przykładzie. Nie nabijam się, bo nie sprawdzałem jak ta sól jest
    > używana. Może być jest używana całkiem mądrze.

    Pytanie jak się ją stosuje. Oba zastosowania mają sens tylko też inne
    właściwości. W kryptografii różne elementy różnie się stosuje, nie ma
    jednej złotej reguły na wszystko, jak właściwości pasują do celu
    to się ich używa. Dlatego trzeba rozumieć co się robi i dlaczego,
    kopiowanie rozwiązań jest dla misiów o małym rozumku.

    >> Nie wymyślać tylko solić jak PB przykazał
    > A PB przykazał albo używać stałej, albo losowej?

    Do haseł: doklejonej do hasha zmiennej o ile rozwiązanie jest znane.
    Zawsze można stworzyć jakieś security by obscurity albo olać -
    o ile zna się konsekwencje. Ja na mojej prywatnej apce na mojej
    prywatnej bazce używam hasło plaintext - DO NOT TRY THIS AT HOME.
    OBLICZENIA OKAZANE W POŚCIE NALEŻY POWTÓRZYĆ NA WŁASNYM ZASTOSOWANIU
    ALBO ZASIĘGNĄĆ OPINII LEKARZA LUB FARMACEUTY.




Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

  • 04.12.14 12:35 M.M.
  • 04.12.14 12:59 M.M.
  • 04.12.14 17:42 Edek
  • 04.12.14 17:43 Edek
  • 04.12.14 18:07 M.M.
  • 04.12.14 18:24 M.M.
  • 06.12.14 14:19 Edek
  • 06.12.14 21:21 M.M.

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: