Здравствуйте,
> Пример: процедура вычисления шифра к секретному ключу на > основе пароля : > ... return messagedigest.digest(); > }
Я правильно понял, что ключ шифруется на результате однократного применения хэш-функции MD5 к паролю пользователя без случайной добавки?
Зашифрованный ключ сравнительно свободно доступен любому пользователю Internet?
Следовательно, к паролю надо предъявить достаточно жесткие требования на случайность, т.к.:
- возможен "мгновенный" подбор по словарю;
- скорость подбора на одном узле сети не менее, по порядку величины, 10^6 паролей в секунду, т.е. отмороженный хакер, может за год перебрать до 10^18 паролей или получить ключи для 1/10 всех пользователей всех систем с S-Mail-ом даже для Вашей сильно завышенной оценки множества паролей ~70^10. Вот в мощность множества паролей 10^6 поверю, ну 10^9 для параноиков.
В общем, это сильно не стойкая идея хранить ключи в сети.
Успехов.
--
"Serguei E. Leontiev"<lse@CryptoPro.ru>
http://www.cryptopro.ru
|