Здравствуйте,
> > Я правильно понял, что ключ шифруется на результате
> > однократного применения хэш-функции MD5 к паролю
> > пользователя без случайной добавки?
> Хэш - SHA. Он надёжнее.
SHA-1? Хм. Ну, наверное, всё же АНБ делало, но он сильно похож на MD5. Как я понял они, сейчас, начали переход на другие алгоритмы с длинной значения хэш-функции 256 бит и выше. Да я собственно, и не имел виду ломать саму хэш-функцию, я просто по верхам разглядываю и расспрашиваю, как используют базовые алгоритмы.
Ну да ладно, главное, что без случайной добавки.
> Применение неоднократное - я привёл фрагмент схемы как
> иллюстрацию простоты декомпиляции.
То же хорошо, но по ряду причин не спасает, особенно при не правильном применении.
> Следовательно, к паролю надо предъявить достаточно жесткие
> > требования на случайность, т.к.:
> > - возможен подбор по словарю.
> С учётом вышесказанного - теоретически.
А у меня создалось впечатление, что можно предварительно вычислить таблицу хэш-функций и расшифровать клиентский ключ с одного раза.
> > - скорость подбора на одном узле сети порядка 10^6
> > паролей в секунду;
> Здесь эта схема малоприменима, т.к. время ответа сервера
> довольно велико ( около 0,1 с).
В Вашем анализе это не аргумент по двум причинам:
1. Мне показалось, что ключ расшифровывается в Applete, т.е. у клиента. Это так или нет?
2. Вы в своём анализе ссылались на/установили отсутствие опасности доступа злоумышленника к содержимому WEB-сервера.
> Но уязвимую точку Вы указали (как всегда :) )правильно.
> Пароль - самое слабое место. Теоретически пароль должен
> иметь как минимум 32
> символа длины в мультеалфавите (см. отчёт).
И где Вы таких пользователей видели? Максимум, что я видел - это пользователей, использующие генераторы паролей типа SCO Unix (DoD), или типа ШИП (или ВиПНет). Эти генераторы имеют словари мощностью от 10^6 до 10^12.
А в человеческую фантазию я не верю.
> ...
> P. S. По-моему про MD5 ходили плохие слухи, что его
> научились быстро вскрывать, но
> с другой стороны доказательств этого я так и не увидел.
> Может Вы видели что-то подобное?
Про MD5 точно известно, что:
1. Есть коллизии в шаговой функции;
2. RSA отказался от итеративного использования своей родной хэш-функции MD5 в своей родной спецификации PKCS #12.
И был слух (не подтверждённый, но похожий на правду) в fido7.ru.crypt, что если итерировать MD5, то он начинает повторяться.
Успехов.
--
"Serguei E. Leontiev"<lse@CryptoPro.ru>
http://www.cryptopro.ru
|
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
