Введение в современную криптографию
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- 5.6.4 Установление ключа
| Ликвидация. Мы кратко опишем два механизма, используемых для ликвидации
угрозы взлома пароля; дальнейшее описание можно найти в текстах по компью- терной безопасности. Один из методов - это использование «медленных» хэш- функций или замедление существующих хэш-функций с использованием множе- ственных итераций (то есть вычисляя H(I)(pw) для I 1). За этим следует эффект з амедления законных пользователей на коэффициентI, что не является проблемой, если I установлен на какое-то «умеренное» значение (например, 1,000). С другой стороны, это значительно влияет на злоумышленника, пытающего- ся взломать тысячи паролей одновременно. Второй механизм - это ввести соль. Когда пользователь регистрирует свой па- роль, ноутбук/сервер генерирует длинное случайное значение s («соль»), уни- кальное для такого пользователя, и сохраняет (s, hpw = H(s, pw)) вместо просто хранения H(pw) как раньше. Поскольку значение s неизвестно атакующему за- ранее, предварительная подготовка становится неэффективной, и лучшее, что атакующий может сделать - ждать, пока он получит файл паролей и затем про- изведет линейный полный перебор области D, как было описано ранее. Об- 205 ратите внимание, что поскольку разная соль используется для каждого сохра- ненного пароля, отдельная атака на основе «грубой силы» необходима, чтобы восстановить каждый из паролей. 5.6.4 Установление ключа Все симметричные криптосистемы, которые мы видели, требуют единообразно распространенную битовую строку для секретного ключа. Часто, однако, боле удобно для дух сторон опираться на общую информацию, например, пароль или биометри- ческие данные, которые не распределяются единообразно. (Забегая вперед, в Главе 10 мы увидим, как стороны могут взаимодействовать для генерирования секрета с высо- кой энтропией, который не распределяется единообразно.) Стороны могли бы попро- бовать использовать их общую информацию непосредственно в качестве секретного ключа, но, в общем, это не будет безопасно (поскольку, например, схемы с закрытым ключом все подразумевают единообразно распределенный ключ). Более того, общие данные могут даже не быть корректного формата, чтобы использоваться в качестве секретного ключа (например, они могут быть слишком длинными ). Обрезая общий секрет или преобразовывая его каким-то другим подходящим об- разом в строку правильной длины, можно потерять значительный объем энтропии. (Мы определили одно понятие об энтропии ниже, но в данный момент следует пони- мать под энтропией логарифм пространства возможных общих секретов.) Например, представьте две стороны, которые разделяют пароль, состоящий из 28 случайных за- главных букв и хотят использовать криптосистему с 128-битным ключом. Посколь- ку существует 26 сочетаний для каждого символа, 2628 > 2130 возможных паролей. Если пароль в формате ASCII, каждый символ храниться в 8 битах, и поэтому общая длина пароля будет 224 бита. Если стороны обрезают свой пароль до первых 128 бит, они будут использовать только 16 символов пароля. Однако, это не будет единообрано распределенной 128-битной строкой! Фактически, представления ASCII из букв A–Z лежат между 0x41 и 0x5A; в частности, первые 3 бита каждого байта всегда 010. Это означает, что 37,5% битов итогового ключа будут зафиксированными, и 128-битный ключ, который извлекут стороны, будет иметь только около 75 бит энтропии (то есть будет только 275 или около того сочетаний для ключа. Что нам требуется, так это типичное решение для извлечения ключа из обще- го секрета высокой энтропии (но необязательно универсального). Перед про- должением, мы определим понятие энтропии, которое мы здесь рассматриваем. жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|