информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 NSA выпустило Гидру 
 Неприятная уязвимость во всех WinRAR,... 
 Apple случайно превратила FaceTime... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / theory
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Результат проверки - должен быть результатом проверки 04.06.02 21:54  Число просмотров: 2198
Автор: Serge3 Статус: Незарегистрированный пользователь
Отредактировано 04.06.02 23:10  Количество правок: 7
<"чистая" ссылка>
Здравствуйте,

> Сергей, я не совсем понимаю, что подразумевается Вами под
> понятием "случайной добавки",
> может невольно ввёл Вас в заблуждение неудачными
> формулировками, если так извините,
> форум есть форум - пишешь наскоро. Если нетрудно уточните,
> что Вы имели в виду.

Синхропосылка, её аналоги (salt, IV, SV ...), или иные меры не позволяющие по словарю паролей создать словарь(и) ключей. Использование имени пользователя в конкатенации с паролем - это добрая идея, но, на мой взгляд, не достаточная.

> Не нижесказанное ли случайно?

Нет не это, это уже схема распределённого хранения уже полученного ключа, который однозначно связан с паролем. А дальше, как это было у чехов с PGP, достаточно одного подписанного сообщения, и ключики у нас.

> На случай дальнейших разночтений опишу саму схему.
> Схема защиты ключа (примерная на основе декомпиляции, как я
> её понимаю):
> ...
> Это конечно очень примерная схема.

Т.е. анализ этой схемы не ставился как задача, ну и леший с ней. На форуме его всё равно провести не получится.

> ...
> имелось в виду, что хотя и удалось удалось добраться до
> зашифрованных текстов писем
> лично мне это не дало возможности
> дешифровать их содержимое.

Предлагаю Вам остановиться на этой формулировке. Чистая проверка по возможности НСД.

Вы же не ставите перед собой задачу проанализировать комплекс S-mail и доказать, что в некоторой модели угроз и нарушителя, соблюдения правил эксплуатации и регламента, комплекс S-mail обеспечивает безопасность информации по такому-то классу или с такой-то вероятностью. Это другая задача, значительно более тяжёлая и влекущая существенную переработку комплекса, но, как я понимаю, создателям S-mail будет достаточно приведённого выше утверждения: "Я Комлин А.В. имеющий ...регалии и авторитет... проверил S-mail в условиях ... потратил ... сил, обнаружил ..., но писем прочесть не смог". Такое утверждение дорогого стоит, я серьёзно.

Вообще странно, что на них такая "халява" свалилась :)

> ...
> (логин==пароль), но IMHO
> это их проблемы: если уж пользователь идёт пользоваться
> защённым сервисом, то уж
> позаботиться о хороше пароле он просто обязан.
> ...

Т.е. лифт не обслуживает необученных академиков. Каждый академик должен сам научиться подниматься и опускаться, с помощью лифта или без оного.

--
"Serguei E. Leontiev"<lse@CryptoPro.ru>
http://www.cryptopro.ru
<theory> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach