-
X-Received: by 10.140.84.21 with SMTP id k21mr29213qgd.6.1417692904618; Thu, 04 Dec
2014 03:35:04 -0800 (PST)
X-Received: by 10.140.84.21 with SMTP id k21mr29213qgd.6.1417692904618; Thu, 04 Dec
2014 03:35:04 -0800 (PST)
Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news.cyf-kr.edu.pl!news.nask
.pl!news.nask.org.pl!newsfeed.pionier.net.pl!news.glorb.com!h15no13110489igd.0!
news-out.google.com!n9ni15qai.0!nntp.google.com!s7no4052347qap.1!postnews.googl
e.com!glegroupsg2000goo.googlegroups.com!not-for-mail
Newsgroups: pl.comp.programming
Date: Thu, 4 Dec 2014 03:35:04 -0800 (PST)
In-Reply-To: <m5nqtk$nm6$2@node2.news.atman.pl>
Complaints-To: g...@g...com
Injection-Info: glegroupsg2000goo.googlegroups.com; posting-host=178.36.69.63;
posting-account=xjvq9QoAAAATMPC2X3btlHd_LkaJo_rj
NNTP-Posting-Host: 178.36.69.63
References: <m3nv0t$i26$1@node1.news.atman.pl>
<e...@g...com>
<m3t8nr$18m$1@node1.news.atman.pl>
<2...@g...com>
<m3tshm$nmb$1@node1.news.atman.pl>
<d...@g...com>
<m3u67u$2gm$1@node1.news.atman.pl>
<2...@g...com>
<m3ugok$1hi$2@news.icm.edu.pl> <m5d8gq$olh$2@node2.news.atman.pl>
<1...@g...com>
<m5nqtk$nm6$2@node2.news.atman.pl>
User-Agent: G2/1.0
MIME-Version: 1.0
Message-ID: <2...@g...com>
Subject: Re: Kryptografia w całej okazałości.
From: "M.M." <m...@g...com>
Injection-Date: Thu, 04 Dec 2014 11:35:04 +0000
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: quoted-printable
Xref: news-archive.icm.edu.pl pl.comp.programming:207120
[ ukryj nagłówki ]On Wednesday, December 3, 2014 9:13:41 PM UTC+1, Edek wrote:
> Logowanie nie będzie trwało dobę, sól jest znana - doklejasz i liczysz
> hash w tym samym czasie co zawsze.
Podstawą jest regulowanie tego czasu. Gdy policzy się raz hash(string), to
hasła o długości 5 znaków od razu rozkodują. Składające się z 8 znaków na
mocnym sprzęcie też da rady. Można łamać z milion na sekundę w brutforce.
> Ten koszt o którym pewnie mówisz to hash(hash(hash(...(hash(string)))).
O kiedy dostałem funkcję biblioteczną, to szkoda mi czasu na sprawdzanie
co to naprawdę robi.
> Taki trick pozwala na zwiększenie kosztowności potrzebnych obliczeń
> a dodatkowo trzeba wiedzieć ile razy liczyć hash z hasha z hasha -
> trzeba znać tę liczbę.
Nie wiem jak jest w bibliotekach których Wy używacie, ja przywykłem, że
ta liczba jest tak samo doklejana do hasła, jak losowa sól.
> Używa się raczej do szyfrowania plików niż haseł, ale też można.
Ale czego używa się do szyfrowania plików? Na pewno zwiększa się
koszt przy szyfrowaniu haseł. A pliki to chyba zupełnie inna inszość...
bo hasha nie da się rozszyfrować. Zwykły sha czy md5 to można użyć
jako coś lepszego od crc do plików, ale do szyfrowania? Sorry, nie
widzę związku.
> O ile nie masz na myśli gigantycznej soli...
Mam na myśli, może nie gigantyczny, ale duży koszt. Zresztą stała sól
też może być duża, bo czemu nie?
> Stała + losowa - ma sens, o ile ta stała nie jest znana.
Jak masz dużą stałą sól i duży koszt (np. 3 sekund na jednym
rdzeniu) to nawet po wycieku trudno wygenerować tablice tęczowe.
Na jednym kompie dla 5 znakowych haseł (powiedzmy znak pochodzi z
80elementowego zbioru), generowanie może trwać 100 lat.
> czyli w praktyce łatwa do zdobycia.
Gdy się udostępnia kod (obojętnie czy binarny czy źródłowy) to
jedyną gwarancję daje świadomość użytkownika, aby nie używał
hasła takiego samego jak do banku. Zresztą o czym rozmawiamy,
jeśli na kompie da się zainstalować spyware...
> Jakoś sens zaszycia stałej w binarce przy
> podstawowej umiejętności deasemblowania jaką każdy cracker posiada
> mnie mało przekonuje.
W ogóle nie przekonuje. Chodzi o sytuacje, gdy trudno jest wykraść
cokolwiek.
> Czyli jak mówisz, sprowadza się do sytuacji
> gdy kody nie wyciekną co zakłada closed-source przy okazji jeżeli
> nie one-time builds - zbudowanie builda dla każdego z inną stałą.
Ściśle, sprowadza się do sytuacji colsed-salt ;-)
> Pytanie jak się ją stosuje. Oba zastosowania mają sens tylko też inne
> właściwości. W kryptografii różne elementy różnie się stosuje, nie ma
> jednej złotej reguły na wszystko, jak właściwości pasują do celu
> to się ich używa. Dlatego trzeba rozumieć co się robi i dlaczego,
> kopiowanie rozwiązań jest dla misiów o małym rozumku.
Nie zgodzę się. Jeden i drugi sposób solenia ma swoje zalety. Połączenie
stałej soli z losową nie powoduje utraty zalet ani jednego sposobu,
ani drugiego. Dlatego zawsze należy połączyć oba sposoby i
zawsze należy ustawić duży koszt.
> Do haseł: doklejonej do hasha zmiennej o ile rozwiązanie jest znane.
> Zawsze można stworzyć jakieś security by obscurity albo olać -
> o ile zna się konsekwencje. Ja na mojej prywatnej apce na mojej
> prywatnej bazce używam hasło plaintext - DO NOT TRY THIS AT HOME.
Ja mam do tego celu bibliotekę. Generuję sól i wywołuję jedną, może
dwie funkcje. Nieważne czy aplikacja będzie dla studenta czy poważnej
firmy.
Zdrowia
Następne wpisy z tego wątku
- 04.12.14 12:59 M.M.
- 04.12.14 17:42 Edek
- 04.12.14 17:43 Edek
- 04.12.14 18:07 M.M.
- 04.12.14 18:24 M.M.
- 06.12.14 14:19 Edek
- 06.12.14 21:21 M.M.
Najnowsze wątki z tej grupy
- TCL - problem z escape ostatniego \ w nawiasach {}
- Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- testy-wyd-sort - Podsumowanie
- Tworzenie Programów Nieuprzywilejowanych Opartych Na Wtyczkach
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
- Ada 2022 Language Reference Manual to be Published by Springer
Najnowsze wątki
- 2024-11-13 Filtr do pompy ruskiej
- 2024-11-12 Gdzie kosz?
- 2024-11-13 elektrycznie
- 2024-11-12 Jebane kurwa, kurwy.
- 2024-11-13 karta parkingowa
- 2024-11-13 Wl/Wyl (On/Off) bialy/niebieski
- 2024-11-12 I3C
- 2024-11-13 Kraków => DevOps Engineer (Junior or Regular level) <=
- 2024-11-13 Łódź => Senior SAP HANA Developer <=
- 2024-11-13 Zabrze => Senior PHP Symfony Developer <=
- 2024-11-13 Karlino => Konsultant wewnętrzny SAP (FI/CO) <=
- 2024-11-13 Kraków => QA Inżynier <=
- 2024-11-13 Żerniki => Dyspozytor Międzynarodowy <=
- 2024-11-13 Warszawa => Analityk Biznesowo-Systemowy <=
- 2024-11-13 Lublin => Delphi Programmer <=