Użytkownik "Marek" <f...@f...com> napisał w wiadomości
news:almarsoft.5927629346930432473@news.neostrada.pl
...
>
> Skoro podpis taki sam dla tej samej komendy, to oznacza ze trzeba
> wprowadzić jakaś unikalnosc, aby ta sama komenda była prawidłowa dla
> różnych Xb, aby nie można było wykorzystać tego samego Xb drugi raz, ta
> unikalnosc daje nam nr sekwencyjny, czyli mamy komunikat
> Xb=(cmd+nrsek+podpis)
>
> Xb de facto staje się strumieniem bajtów o dkugosci b, który powoduje
> wykonanie Y.
> Jeśli b będzie małe, można bez trudu wygenerować wszystkie możliwe
> kombinacje Xb i trafić na te, które wywołają Y (pisal o tym Michoo), bez
> żadnej "analizy kryptograficznej"... Wniosek jest taki, ze kryptografia
> daje jedynie algorytm i narzędzie do wygenerowania i weryfikacji tych
> unikalnych Xb, to samo mozna by uzyskać bez kryptografii umieszczając w
> obu mcu bazę kolejnych Xb autoryzujacych Y, ważne aby Xb było na tyle
> długie by zgadywanie kolejnego prawidlowego było czasowo nieopłacalne.
>
Masz rację, przy założeniu, że odbiornik w żaden sposób nie reaguje na
błędne podpisy.
O wymaganej długości podpisu decyduje pasmo kanału pozwalającego atakującemu
weryfikować swoje kolejne próby.
Jak pasmo jest wąskie (RS232 300 Bodów) lub szerokie, ale w przypadku błędów
celowo zawężane, to wystarczy względnie krótki podpis - 32 bity. Dla innych
systemów może być potrzeba 48 bitów lub 64.
Atak na podpis tym się różni od ataku na szyfrowanie, że nie można go
przeprowadzić u siebie na superkomputerze w oderwaniu od atakowanego sprzętu
bo tylko atakowany sprzęt pozwala ustalić, czy podpis jest prawidłowy.
Moim zdaniem podpis nie powinien być dłuższy niż połowa długości klucza
używanego do podpisu. Gdyby podpis był tak długi jak klucz to atakujący może
założyć, że tylko jeden klucz da prawidłowy podpis i przenieść poszukiwanie
klucza podpisu na swój sprzęt i ograniczenia pasma przestają działać.

Nie rozumiem przyjmowanego przez Ciebie podejścia celowo wydłużającego czas
ataku. Przyjmując takie podejście przy ocenie odporności systemu można się
nieźle pośliznąć.
Jednym z założeń kryptografii jest to, że algorytmy, formaty danych są
znane. Czyli przy rozważaniu takiego przypadku wiadomo, gdzie jest rozkaz i
jaki ma być, gdzie jest kolejny numer i jakie może w danym momencie przyjąć
wartości i gdzie jest podpis. Nie ma sensu próbować wszystkich kombinacji
dla całej wiadomości bo jeśli na przykład rozkaz jest tylko 1 bajtowy to z
góry skazujemy 255 z każdych naszych 256 prób na porażkę - wydłużamy
szacowany czas ataku 256 razy (wyjdzie nam, że atak potrwa 256 lat, gdy
faktycznie wystarczy rok - a to jest zasadnicza różnica). A jak zależy nam
na wymuszeniu konkretnego rozkazu, gdy rozkaz jest kodowany na większej
liczbie bajtów - wyjdą nam lata, a faktycznie wystarczą milisekundy.

Takie podejście prowadzi do absurdu bo jeśli rozkaz jest 16 bajtowy i tylko
jeden konkretny kod spowoduje akcję Y to dojdziemy do wniosku, że podpis
jest w ogóle niepotrzebny bo atakujący musi prawdopodobnie sprawdzić 2^127
kombinacji (połowę wszystkich) zanim trafi na właściwą.
P.G.