SORU
11 ŞUBAT 2009, ÇARŞAMBA


Olmayan rasgele şifre sağlamalarının için tuz

GÜNCELLEME: geçenlerde öğrendim this question o zaman tüm tartışma aşağıda, ben (ve eminim diğerleri de öyle) biraz kafa karıştırıcı: Ne duruyorum çağıran bir gökkuşağı tablo, aslında denilen bir karma tablo. Gökkuşağı tabloları daha karmaşık yaratıklar, ve aslında Hellman Karma Zincirleri bir türevi. Cevap yine aynı güç sistemlerinde optimal çalışma için aşağıya taşımıyor beri) olduğuna inanıyorum ama, bu tartışma biraz çarpık olabilir.
Soru: "What are rainbow tables and how are they used?"


Tipik olarak, ben her zaman tuz olarak şifrelenmiş güçlü ve rasgele bir değer kullanarak, hash fonksiyonları (şifre gibi), Gökkuşağı Tablo saldırılara karşı korumak gibi kullanılması tavsiye edilir.

Ama aslında şifreli olarak tuzu rastgele olmak için gerekli mi? Benzersiz bir değer () kullanıcı, örneğin, kullanıcı kimliği başına benzersiz bu konuda yeterli olur mu? Aslında tek bir Gökkuşağı Tablo sistemi (veya çoğu) tüm şifreleri kırmak kullanarak önlemek
Ama entropi eksikliği gerçekten hash fonksiyonları şifreleme gücünü zayıflatmak mı?


Not, ben soruyorum neden kullanın tuz, nasıl korumak (yok etmek gerekir) kullanarak bir tek sabit karma (yok), ya da ne tür bir hash fonksiyonu için kullanın.
Tuz entropi ihtiyacı olup olmadığını.


Teşekkürler cevaplar şimdiye kadar, ama (biraz) daha az aşina olduğum alanlara odaklanmak istiyorum. Güç sistemlerinde optimal çalışma için etkileri çoğunlukla - eğer herkes kripto-matematiksel PoV giriş varsa en çok takdir ediyorum.
Eğer kabul olmamış bir ek vektörler ise, orada da, çok büyük giriş (çoklu sistemlerde bkz: @Dave Sherohman nokta böyle.
Eğer herhangi bir teori varsa bunun ötesinde, bir fikir ya da en iyi yöntem bu kadar da kanıt, saldırı senaryosunda, ya da ampirik kanıtlar ile lütfen. Hatta geçerli hususlar için kabul edilebilir bir denge... biliyorum, en İyi uygulamalarla (sermaye B Sermaye P) konu ile ilgili, bu aslında sağlar ne ispat etmek istiyorum.


EDİT: ama @Dave diyor, ortak kullanıcı adları için Gökkuşağı Tablolar... ve daha az yaygın Olası isimleri de gelir olarak bence çok iyi cevaplar burada. Ancak, eğer benim adları genel benzersiz. Benim sistem için ille benzersiz, ama her kullanıcı - örneğin e-posta adresi başına.
Tek bir kullanıcı için bir RT oluşturmak için teşvik @Dave vurguladı, tuz sır, olur olmaz, ve bu hala kümeleme önleyecektir. Tek sorun, aynı e-posta olabilir ve farklı bir site üzerinde şifre ama tuz olmaz zaten buna engel.
, Entropi gerekli ya da değil, geri güç sistemlerinde optimal çalışma için aşağı gelir? (Benim şu anki düşünce ve bakış güç sistemlerinde optimal çalışma noktası gerek yok, ama diğer pratik nedenlerden ötürü.)

CEVAP
11 ŞUBAT 2009, ÇARŞAMBA


Tuz geleneksel karma parola için bir önek olarak saklanır. Bu zaten parola karma erişimi olan herhangi bir saldırgan için bilinen yapar. Tuz ya da değil gibi kullanıcı adını kullanarak bu bilgiye etkilemez ve bu nedenle, tek-sistem güvenliği üzerinde hiçbir etkisi olurdu.

Ancak, kullanarak kullanıcı adı veya başka bir kullanıcı tarafından kontrol edilen değer olarak tuzu azaltmak çapraz sistem güvenliği, bir kullanıcı vardı aynı kullanıcı adı ve şifre çoklu sistemler kullanılan aynı şifre karma algoritması ki sonunda aynı şifre karma her biri bu sistemleri. Ben düşünün bu önemli bir sorumluluk, çünkü ben, bir saldırganın, deneyin şifreler bir hedef hesabıdır bilinen için kullanılan diğer sistemler ilk önce deneyen başka hiçbir şekilde taviz hesabı. Aynı sağlamalarının bilinen tek şifre işe yarayacağını önceden söyler, fiili saldırı hiç kolay olmaz. (Hesap veritabanlarının hızlı bir karşılaştırma olan ve yeniden şifreler değil, bana kim olduğunu söyle, zaman zaman yüksek öncelikli hedefler listesi sağlayacağını unutmayın.)

Büyük tehlike bu fikir adlarını sık yeniden - herhangi bir site de umurunda ziyaret edecek bir kullanıcı hesabı adında "Dave", örneğin, "admin" veya "root" daha sık arardım yapmak inşaat gökkuşağı tabloları kullanıcıları hedefleyen bu ortak isimler çok daha kolay ve daha etkili.

Hem bu kusurları olabilir etkili bir şekilde ele ekleyerek ikinci bir tuz değeri (sabit ve Gizli ya da açıkta gibi standart tuz) şifresini daha önce karma, ama, bu noktada, olabilir de olabilir kullanarak standart entropik tuz zaten çalışmak yerine kullanıcı adı.

Düzenlenmiş Eklemek için:Bir çok insan tuz depolarında önemli olup olmadığını entropi ve konuşuyor. Ama yorumların çoğu düşündüğü sebepten değil.

Genel entropi tuz saldırganın tahmin etmek için zor olacak, böylece önemli gibi görünüyor düşündüm. Bu yanlış ve, aslında, tamamen alakasız. Gibi oldu çekti bir kaç kere çeşitli insanlar, saldırıların olacak etkilenen tuz sadece tarafından yapılabilir biriyle parola veritabanı ve biriyle parola veritabanı sadece bakmak görmek her hesabın tuz. Olsun tahmin edilebilir ya da basit hiç bir zaman önemli değil.

Entropi önemli nedeni tuz değerleri kümeleme kaçınmaktır. Eğer tuz dayanır kullanıcı adı ve bilirsiniz sistemleri iradeye sahip bir hesap adlı ya da "kök" ya da "admin", o zaman sen-ebilmek yapmak bir gökkuşağı tablo için bu iki tuz ve çatlak sistemlerin çoğu. Diğer taraftan, rastgele bir 16-bit tuz kullanılır ve rasgele değerleri kabaca bile dağıtım varsa, o zaman 2^16 olası tüm tuzlar için bir gökkuşağı tablo gerekir.

Değil önleme saldırgandan bilmek ne tek bir hesap tuz, hayır vererek onları büyük, şişman, hedef bir tek tuz kullanılacak önemli oranda potansiyel hedefler.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • PUSHER

    PUSHER

    11 HAZİRAN 2014
  • RyanXLT

    RyanXLT

    22 Ocak 2011
  • SegaAmerica

    SegaAmerica

    5 Mart 2008