Здравствуйте,
> Сергей, я не совсем понимаю, что подразумевается Вами под > понятием "случайной добавки", > может невольно ввёл Вас в заблуждение неудачными > формулировками, если так извините, > форум есть форум - пишешь наскоро. Если нетрудно уточните, > что Вы имели в виду.
Синхропосылка, её аналоги (salt, IV, SV ...), или иные меры не позволяющие по словарю паролей создать словарь(и) ключей. Использование имени пользователя в конкатенации с паролем - это добрая идея, но, на мой взгляд, не достаточная.
> Не нижесказанное ли случайно?
Нет не это, это уже схема распределённого хранения уже полученного ключа, который однозначно связан с паролем. А дальше, как это было у чехов с PGP, достаточно одного подписанного сообщения, и ключики у нас.
> На случай дальнейших разночтений опишу саму схему. > Схема защиты ключа (примерная на основе декомпиляции, как я > её понимаю): > ... > Это конечно очень примерная схема.
Т.е. анализ этой схемы не ставился как задача, ну и леший с ней. На форуме его всё равно провести не получится.
> ... > имелось в виду, что хотя и удалось удалось добраться до > зашифрованных текстов писем > лично мне это не дало возможности > дешифровать их содержимое.
Предлагаю Вам остановиться на этой формулировке. Чистая проверка по возможности НСД.
Вы же не ставите перед собой задачу проанализировать комплекс S-mail и доказать, что в некоторой модели угроз и нарушителя, соблюдения правил эксплуатации и регламента, комплекс S-mail обеспечивает безопасность информации по такому-то классу или с такой-то вероятностью. Это другая задача, значительно более тяжёлая и влекущая существенную переработку комплекса, но, как я понимаю, создателям S-mail будет достаточно приведённого выше утверждения: "Я Комлин А.В. имеющий ...регалии и авторитет... проверил S-mail в условиях ... потратил ... сил, обнаружил ..., но писем прочесть не смог". Такое утверждение дорогого стоит, я серьёзно.
Вообще странно, что на них такая "халява" свалилась :)
> ... > (логин==пароль), но IMHO > это их проблемы: если уж пользователь идёт пользоваться > защённым сервисом, то уж > позаботиться о хороше пароле он просто обязан. > ...
Т.е. лифт не обслуживает необученных академиков. Каждый академик должен сам научиться подниматься и опускаться, с помощью лифта или без оного.
--
"Serguei E. Leontiev"<lse@CryptoPro.ru>
http://www.cryptopro.ru
|