Введение в современную криптографию
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
| 5.6.3 Хэширование паролей
Одним из наиболее распространенных и важных применений хэш-функций в компьютерной безопасности является защита паролей. Рассмотрим пользователя, который вводит пароль перед началом работы на ноутбуке. Чтобы аутентифици- ровать пользователя какая-то форма пользовательского пароля должна храниться где-то в ноутбуке. Если пароль пользователя хранится в явном виде, тогда зло- умышленник, который украдет ноутбук, сможет прочитать пароль пользователя с жесткого диска и войти в ноутбук в роли пользователя. (Это может показаться бессмысленным - прятать пароль от атакующего, который уже может получить доступ к содержимому жесткого диска. Однако, файлы на жестком диске могут быть зашифрованы ключом, извлекаемым из пользовательского пароля, и, таким образом, и доступ к ним может открыться только после ввода пароля. К тому же, пользователи часто используют один и тот же пароль в других местах.) Такой риск может быть нивелирован посредством хранения хэша пароля вме- сто самого пароля. То есть жесткий диск хранит значение hpw = H(pw) в фай- ле паролей; когда пользователь вводит свой пароль pw, операционная система проверяет, H(pw) =? hpw перед тем, как открыть доступ. Такой же базовый подход также используется для аутентификации на основе паролей в интернете. Теперь, если атакующий украдет жесткий диск (или взломает веб-сервер), все, что он получит - это хэш пароля, но не сам пароль. Если пароль подбирается из какого-то относительно небольшого пространства D возможностей (например, D могло бы быть словарем английских слов, в этом слу- чае |D| ≈ 80, 000), атакующий может перебрать все возможные пароли pw1, pw2, . . . ∈ D и для каждого возможного пароля pwi проверить H(pwi) = hpw. Мы бы хотели заявить, что ничего лучшего атакующий сделать не может. (Это также гарантирует, что злоумышленник не сможет узнать пароль любого другого пользователя, кото- рый выбирает сильный пароль из большого пространства.) К несчастью, стойкости прообраза (то есть однонаправленность) H недостаточно, чтобы реализовать то, что мы хотим. Прежде всего, стойкость прообраза только подразумевает, что H(x) тяже- 204 ло инвертировать, когда x выбирается единообразно из большой области, такой как {0, 1}n. Речь не идет о сложности инвертирования H , если x выбирается из како-то другой области, или если x выбирается согласно какому-то другому распределе- нию. Кроме того, стойкость прообраза не подразумевает конкретное количество времени, необходимое для поиска прообраза. Например, хэш-функция H , для которой вычисление x ∈{0, 1}n с учетом H(x) требует время 2n/2, могла бы все еще считаться стойкой к нахождению прообраза, но это бы все еще зна- чило, что 30-битный пароль мог бы быть восстановлен всего лишь за время 215. Если мы смод елируем H как случайный оракул, тогда мы сможем формально доказать защиту, которую мы хотим, а именно, восстановление pw из hpw (предпо- лагая, что pw выбирается единообразно изD) требует |D|/2 вычислений H в среднем. Вышеописанное подразумевает, что атакующий не осуществлял никакой предварительной обработки. Как мы видели в Разделе 5.4.3, хотя предваритель- ная обработка может быть использована для генерирования больших таблиц, которые обеспечивают инверсию (даже случайной функции!) быстрее, чем ме- тод перебора. Это серьезная проблема на практике: даже если пользователь вы- бирает пароль как случайную комбинацию из 8 буквенно-цифровых символов, предоставляя парол ю пространство размером N = 628 ≈ 247.6, может случиться атака с использованием времени и пространства N 2/3 ≈ 232 , которая будет очень эффективной. Таблицы могут быть сгенерированы один раз и могут быть использованы для взлома сотен тысяч паролей в случае нарушения работы сер- вера. Такие атаки рег улярно происходят на практике. жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|