Здравствуйте,
> Сергей, я не совсем понимаю, что подразумевается Вами под
> понятием "случайной добавки",
> может невольно ввёл Вас в заблуждение неудачными
> формулировками, если так извините,
> форум есть форум - пишешь наскоро. Если нетрудно уточните,
> что Вы имели в виду.
Синхропосылка, её аналоги (salt, IV, SV ...), или иные меры не позволяющие по словарю паролей создать словарь(и) ключей. Использование имени пользователя в конкатенации с паролем - это добрая идея, но, на мой взгляд, не достаточная.
> Не нижесказанное ли случайно?
Нет не это, это уже схема распределённого хранения уже полученного ключа, который однозначно связан с паролем. А дальше, как это было у чехов с PGP, достаточно одного подписанного сообщения, и ключики у нас.
> На случай дальнейших разночтений опишу саму схему.
> Схема защиты ключа (примерная на основе декомпиляции, как я
> её понимаю):
> ...
> Это конечно очень примерная схема.
Т.е. анализ этой схемы не ставился как задача, ну и леший с ней. На форуме его всё равно провести не получится.
> ...
> имелось в виду, что хотя и удалось удалось добраться до
> зашифрованных текстов писем
> лично мне это не дало возможности
> дешифровать их содержимое.
Предлагаю Вам остановиться на этой формулировке. Чистая проверка по возможности НСД.
Вы же не ставите перед собой задачу проанализировать комплекс S-mail и доказать, что в некоторой модели угроз и нарушителя, соблюдения правил эксплуатации и регламента, комплекс S-mail обеспечивает безопасность информации по такому-то классу или с такой-то вероятностью. Это другая задача, значительно более тяжёлая и влекущая существенную переработку комплекса, но, как я понимаю, создателям S-mail будет достаточно приведённого выше утверждения: "Я Комлин А.В. имеющий ...регалии и авторитет... проверил S-mail в условиях ... потратил ... сил, обнаружил ..., но писем прочесть не смог". Такое утверждение дорогого стоит, я серьёзно.
Вообще странно, что на них такая "халява" свалилась :)
> ...
> (логин==пароль), но IMHO
> это их проблемы: если уж пользователь идёт пользоваться
> защённым сервисом, то уж
> позаботиться о хороше пароле он просто обязан.
> ...
Т.е. лифт не обслуживает необученных академиков. Каждый академик должен сам научиться подниматься и опускаться, с помощью лифта или без оного.
--
"Serguei E. Leontiev"<lse@CryptoPro.ru>
http://www.cryptopro.ru
|
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
