Здравствуйте,
> > Я правильно понял, что ключ шифруется на результате > > однократного применения хэш-функции MD5 к паролю > > пользователя без случайной добавки? > Хэш - SHA. Он надёжнее.
SHA-1? Хм. Ну, наверное, всё же АНБ делало, но он сильно похож на MD5. Как я понял они, сейчас, начали переход на другие алгоритмы с длинной значения хэш-функции 256 бит и выше. Да я собственно, и не имел виду ломать саму хэш-функцию, я просто по верхам разглядываю и расспрашиваю, как используют базовые алгоритмы.
Ну да ладно, главное, что без случайной добавки.
> Применение неоднократное - я привёл фрагмент схемы как > иллюстрацию простоты декомпиляции.
То же хорошо, но по ряду причин не спасает, особенно при не правильном применении.
> Следовательно, к паролю надо предъявить достаточно жесткие > > требования на случайность, т.к.: > > - возможен подбор по словарю. > С учётом вышесказанного - теоретически.
А у меня создалось впечатление, что можно предварительно вычислить таблицу хэш-функций и расшифровать клиентский ключ с одного раза.
> > - скорость подбора на одном узле сети порядка 10^6 > > паролей в секунду; > Здесь эта схема малоприменима, т.к. время ответа сервера > довольно велико ( около 0,1 с).
В Вашем анализе это не аргумент по двум причинам:
1. Мне показалось, что ключ расшифровывается в Applete, т.е. у клиента. Это так или нет?
2. Вы в своём анализе ссылались на/установили отсутствие опасности доступа злоумышленника к содержимому WEB-сервера.
> Но уязвимую точку Вы указали (как всегда :) )правильно. > Пароль - самое слабое место. Теоретически пароль должен > иметь как минимум 32 > символа длины в мультеалфавите (см. отчёт).
И где Вы таких пользователей видели? Максимум, что я видел - это пользователей, использующие генераторы паролей типа SCO Unix (DoD), или типа ШИП (или ВиПНет). Эти генераторы имеют словари мощностью от 10^6 до 10^12.
А в человеческую фантазию я не верю.
> ... > P. S. По-моему про MD5 ходили плохие слухи, что его > научились быстро вскрывать, но > с другой стороны доказательств этого я так и не увидел. > Может Вы видели что-то подобное?
Про MD5 точно известно, что:
1. Есть коллизии в шаговой функции;
2. RSA отказался от итеративного использования своей родной хэш-функции MD5 в своей родной спецификации PKCS #12.
И был слух (не подтверждённый, но похожий на правду) в fido7.ru.crypt, что если итерировать MD5, то он начинает повторяться.
Успехов.
--
"Serguei E. Leontiev"<lse@CryptoPro.ru>
http://www.cryptopro.ru
|