Не понял, а при изменении алгоритма хеширования зачем пароли то менять? Ведь можно же просто при первом входе после изменения автоматически обновить БД?
Понимаете, абсолютно тоже самое можно сказать в адрес любой асимметричной криптосистемы будь то RSA или Эль-Гамаль или еще что-нибудь. Стойкость всех этих систем в лучшем случае доказывается следующим образом: «RSA стоек потому что мы не знаем, как факторизовать число N». И в этом плане RSA и EC совершенно равноценны.
И по-поводу никто не перешел, это вы зря. Все современные системы ЭЦП работают как раз на эллиптических кривых.
Одним словом, Перельмана бояться, в лес не ходить.:)
Насколько я помню использовать эллиптические кривые в криптографии было предложено еще в 1985 году. И с тех пор ведутся активные исследования на предмет стойкости. За 25 лет никаких серьезных уязвимостей не найдено. А это достаточно большой срок, чтобы начать доверять эллиптической криптографии. Так что, на мой взгляд, сейчас уже можно смело переходить на EC.
Вот это называется креативный подход к проблеме генерации паролей. Веселый дядька.
Только вот надежность способа меня тоже смущает. Все-таки наверное достаточно большой процент людей будет выбирать в качестве точки на карте какое-то полулярное место или свой дом. И получается что опять придем к тем самым 30% пользователей которые используют пароли из словаря 1000 самых популярных паролей, только теперь словарь для брут-форса можно будет заменить энциклопедией для детей «1000 самых популярных мест на земле».
Если очень схемотично то все происходит примерно так. Во-первых уязвимы не сами криптосистемы AES или DES, а режим шифрования CBC.
Во-воторых сама атака: атакующий производит следующие действия:
1. Получает криптованный текст С.
2. Генеритует случайный набор бит равный по размеру блоку данных R.
3. Отправляет единным блоком серверу пару R||C.
4. Сервер получив данное сообщение пытается его расшифровать. И вот тут, собственно уязвимое место. Видители сервер во время дешифровки должен произвести, в силу специфики CBC, следующие действия D(С) xor R. Получившуюся белеберду(напомню, что R-совершенно случайный набор бит сгенерированный атакующим) сервер проверяет на предмет правильности заполнения и возвращает атакующему ответ в виде «заполнение правильно/направильно».
5. Вероятность того что заполнение окажется верным составляет 1/256. Т.е. отправив всего 256 запросов атакующий вполне вероятно сможет получить верно заполненное сообщение.
6. Это даст ему возможность расшифровать последний байт криптованного блока.
7. И так расшифровывая байт за батом можно взломать весь криптотекст.
Ну это в общих чертах. Надеюсь принцип вы поняли. Т.е. тут уж вы как не пытайтесь но смена криптоалгоритма не поможет. Нужно именно устранять возможность для атакующено узнавать правильно ли заполненым вышло сообщение D(С) xor R или нет.
Не поможет, какой бы вы блочный алгоритм шифрования не выбрали, т.к. все они используют дополнение данных до размера блока, а именно это и позволяет реализовать атаку.
И все равно мне непонятно почему сразу нельзя было реализовать временную задержку при ответе на криптованный запрос(пусть даже включающуюся опционально). Неужели понадеялись что и так сойдет, никто не заметит.
Как я понял из слайдов доклада, была продемонстрирована уязвимость к некой модификации атаки Воденэ, описаной еще в 2002 году и которая очень широко известна. И если это действительно так, то мне непонятно почему в Microsoft 8 лет(!) игнорировали существование этой атаки, а опомнились только когда петух клюнул в одно место.
Собственно, «открытие» не ново. Тоже самое еще Теодор Старджон в рассказе «Скальпель Оккама» описывал в далеком 1971 году. Только у него это все с юмором как-то преподносилось.
Хм, ваш пример не совсем удачен. У Кизи есть еще один роман очень тепло встеченный как критиками, так и читателями. Называется «порою блаж великая» и многие, кстати, считают его лучшим произведением писателя.
Рассказ производит неизгладимое впечатление. Читал его несколько лет назад. Уже успел практически забыть, но сейчас нахлынули такие ощущения как-будто дочитал его только что.
Одним словом, спасибо автору за напоминание о чудесном авторе.
Да значение работы конечно трудно переоценить, особенно для криптографов. Ну чтож буду ждать мнения умных людей и надеятся, что доказательство все же верно.
Ничто не мешает, только зачем? Ведь даже если Алиса отправит Бобу плохое число D, это для Боба не критично, т.к. в вычислениях помимо этого числа он будет также использовать свое случайное число C. И Алиса тоже помимо своего слабого СЧ будет использовать СЧ Боба.
И по-поводу никто не перешел, это вы зря. Все современные системы ЭЦП работают как раз на эллиптических кривых.
Одним словом, Перельмана бояться, в лес не ходить.:)
Только вот надежность способа меня тоже смущает. Все-таки наверное достаточно большой процент людей будет выбирать в качестве точки на карте какое-то полулярное место или свой дом. И получается что опять придем к тем самым 30% пользователей которые используют пароли из словаря 1000 самых популярных паролей, только теперь словарь для брут-форса можно будет заменить энциклопедией для детей «1000 самых популярных мест на земле».
Во-воторых сама атака: атакующий производит следующие действия:
1. Получает криптованный текст С.
2. Генеритует случайный набор бит равный по размеру блоку данных R.
3. Отправляет единным блоком серверу пару R||C.
4. Сервер получив данное сообщение пытается его расшифровать. И вот тут, собственно уязвимое место. Видители сервер во время дешифровки должен произвести, в силу специфики CBC, следующие действия D(С) xor R. Получившуюся белеберду(напомню, что R-совершенно случайный набор бит сгенерированный атакующим) сервер проверяет на предмет правильности заполнения и возвращает атакующему ответ в виде «заполнение правильно/направильно».
5. Вероятность того что заполнение окажется верным составляет 1/256. Т.е. отправив всего 256 запросов атакующий вполне вероятно сможет получить верно заполненное сообщение.
6. Это даст ему возможность расшифровать последний байт криптованного блока.
7. И так расшифровывая байт за батом можно взломать весь криптотекст.
Ну это в общих чертах. Надеюсь принцип вы поняли. Т.е. тут уж вы как не пытайтесь но смена криптоалгоритма не поможет. Нужно именно устранять возможность для атакующено узнавать правильно ли заполненым вышло сообщение D(С) xor R или нет.
Ню-ню, пока дышу надеюсь.:)
Одним словом, спасибо автору за напоминание о чудесном авторе.