eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.comp.programmingKryptografia w całej okazałości.Re: Kryptografia w całej okazałości.
  • X-Received: by 10.140.84.21 with SMTP id k21mr29213qgd.6.1417692904618; Thu, 04 Dec
    2014 03:35:04 -0800 (PST)
    X-Received: by 10.140.84.21 with SMTP id k21mr29213qgd.6.1417692904618; Thu, 04 Dec
    2014 03:35:04 -0800 (PST)
    Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news.cyf-kr.edu.pl!news.nask
    .pl!news.nask.org.pl!newsfeed.pionier.net.pl!news.glorb.com!h15no13110489igd.0!
    news-out.google.com!n9ni15qai.0!nntp.google.com!s7no4052347qap.1!postnews.googl
    e.com!glegroupsg2000goo.googlegroups.com!not-for-mail
    Newsgroups: pl.comp.programming
    Date: Thu, 4 Dec 2014 03:35:04 -0800 (PST)
    In-Reply-To: <m5nqtk$nm6$2@node2.news.atman.pl>
    Complaints-To: g...@g...com
    Injection-Info: glegroupsg2000goo.googlegroups.com; posting-host=178.36.69.63;
    posting-account=xjvq9QoAAAATMPC2X3btlHd_LkaJo_rj
    NNTP-Posting-Host: 178.36.69.63
    References: <m3nv0t$i26$1@node1.news.atman.pl>
    <e...@g...com>
    <m3t8nr$18m$1@node1.news.atman.pl>
    <2...@g...com>
    <m3tshm$nmb$1@node1.news.atman.pl>
    <d...@g...com>
    <m3u67u$2gm$1@node1.news.atman.pl>
    <2...@g...com>
    <m3ugok$1hi$2@news.icm.edu.pl> <m5d8gq$olh$2@node2.news.atman.pl>
    <1...@g...com>
    <m5nqtk$nm6$2@node2.news.atman.pl>
    User-Agent: G2/1.0
    MIME-Version: 1.0
    Message-ID: <2...@g...com>
    Subject: Re: Kryptografia w całej okazałości.
    From: "M.M." <m...@g...com>
    Injection-Date: Thu, 04 Dec 2014 11:35:04 +0000
    Content-Type: text/plain; charset=ISO-8859-2
    Content-Transfer-Encoding: quoted-printable
    Xref: news-archive.icm.edu.pl pl.comp.programming:207120
    [ ukryj nagłówki ]

    On Wednesday, December 3, 2014 9:13:41 PM UTC+1, Edek wrote:

    > Logowanie nie będzie trwało dobę, sól jest znana - doklejasz i liczysz
    > hash w tym samym czasie co zawsze.
    Podstawą jest regulowanie tego czasu. Gdy policzy się raz hash(string), to
    hasła o długości 5 znaków od razu rozkodują. Składające się z 8 znaków na
    mocnym sprzęcie też da rady. Można łamać z milion na sekundę w brutforce.

    > Ten koszt o którym pewnie mówisz to hash(hash(hash(...(hash(string)))).
    O kiedy dostałem funkcję biblioteczną, to szkoda mi czasu na sprawdzanie
    co to naprawdę robi.


    > Taki trick pozwala na zwiększenie kosztowności potrzebnych obliczeń
    > a dodatkowo trzeba wiedzieć ile razy liczyć hash z hasha z hasha -
    > trzeba znać tę liczbę.
    Nie wiem jak jest w bibliotekach których Wy używacie, ja przywykłem, że
    ta liczba jest tak samo doklejana do hasła, jak losowa sól.


    > Używa się raczej do szyfrowania plików niż haseł, ale też można.
    Ale czego używa się do szyfrowania plików? Na pewno zwiększa się
    koszt przy szyfrowaniu haseł. A pliki to chyba zupełnie inna inszość...
    bo hasha nie da się rozszyfrować. Zwykły sha czy md5 to można użyć
    jako coś lepszego od crc do plików, ale do szyfrowania? Sorry, nie
    widzę związku.


    > O ile nie masz na myśli gigantycznej soli...
    Mam na myśli, może nie gigantyczny, ale duży koszt. Zresztą stała sól
    też może być duża, bo czemu nie?


    > Stała + losowa - ma sens, o ile ta stała nie jest znana.
    Jak masz dużą stałą sól i duży koszt (np. 3 sekund na jednym
    rdzeniu) to nawet po wycieku trudno wygenerować tablice tęczowe.
    Na jednym kompie dla 5 znakowych haseł (powiedzmy znak pochodzi z
    80elementowego zbioru), generowanie może trwać 100 lat.


    > czyli w praktyce łatwa do zdobycia.
    Gdy się udostępnia kod (obojętnie czy binarny czy źródłowy) to
    jedyną gwarancję daje świadomość użytkownika, aby nie używał
    hasła takiego samego jak do banku. Zresztą o czym rozmawiamy,
    jeśli na kompie da się zainstalować spyware...


    > Jakoś sens zaszycia stałej w binarce przy
    > podstawowej umiejętności deasemblowania jaką każdy cracker posiada
    > mnie mało przekonuje.
    W ogóle nie przekonuje. Chodzi o sytuacje, gdy trudno jest wykraść
    cokolwiek.


    > Czyli jak mówisz, sprowadza się do sytuacji
    > gdy kody nie wyciekną co zakłada closed-source przy okazji jeżeli
    > nie one-time builds - zbudowanie builda dla każdego z inną stałą.
    Ściśle, sprowadza się do sytuacji colsed-salt ;-)


    > Pytanie jak się ją stosuje. Oba zastosowania mają sens tylko też inne
    > właściwości. W kryptografii różne elementy różnie się stosuje, nie ma
    > jednej złotej reguły na wszystko, jak właściwości pasują do celu
    > to się ich używa. Dlatego trzeba rozumieć co się robi i dlaczego,
    > kopiowanie rozwiązań jest dla misiów o małym rozumku.
    Nie zgodzę się. Jeden i drugi sposób solenia ma swoje zalety. Połączenie
    stałej soli z losową nie powoduje utraty zalet ani jednego sposobu,
    ani drugiego. Dlatego zawsze należy połączyć oba sposoby i
    zawsze należy ustawić duży koszt.


    > Do haseł: doklejonej do hasha zmiennej o ile rozwiązanie jest znane.
    > Zawsze można stworzyć jakieś security by obscurity albo olać -
    > o ile zna się konsekwencje. Ja na mojej prywatnej apce na mojej
    > prywatnej bazce używam hasło plaintext - DO NOT TRY THIS AT HOME.
    Ja mam do tego celu bibliotekę. Generuję sól i wywołuję jedną, może
    dwie funkcje. Nieważne czy aplikacja będzie dla studenta czy poważnej
    firmy.

    Zdrowia

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

  • 04.12.14 12:59 M.M.
  • 04.12.14 17:42 Edek
  • 04.12.14 17:43 Edek
  • 04.12.14 18:07 M.M.
  • 04.12.14 18:24 M.M.
  • 06.12.14 14:19 Edek
  • 06.12.14 21:21 M.M.

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: