On 25.07.2013 19:56, Piotr Gałka wrote:
>>
> Masz rację, przy założeniu, że odbiornik w żaden sposób nie reaguje na
> błędne podpisy.

To jest _kolejna_ rzecz którą trzeba rozpatrzyć przy analizie
bezpieczeństwa _systemu_. Natomiast tak - jest dość prosta i dość
skuteczna - kilkaset ms odstępu praktycznie niweluje możliwość ataku
brute-force (ale czasami generuje możliwość DoS).

> Atak na podpis tym się różni od ataku na szyfrowanie, że nie można go
> przeprowadzić u siebie na superkomputerze w oderwaniu od atakowanego
> sprzętu bo tylko atakowany sprzęt pozwala ustalić, czy podpis jest
> prawidłowy.

Zakładasz security through obscurity? - niejawna funkcja generowania
podpisu. Nie różni się to wtedy od ataku na nieznany algorytm
szyfrujący. Jeśli nie - to masz prawie to samo.


> Moim zdaniem podpis nie powinien być dłuższy niż połowa długości klucza
> używanego do podpisu. Gdyby podpis był tak długi jak klucz to atakujący
> może założyć, że tylko jeden klucz da prawidłowy podpis i przenieść
> poszukiwanie klucza podpisu na swój sprzęt i ograniczenia pasma
> przestają działać.

Atakujący zazwyczaj jeżeli będzie rozważał brute-force to wykona go na
swoim klastrze a "na żywo" będzie testował tylko kolizje tam znalezione.

--
Pozdrawiam
Michoo