On Thu, 04 Dec 2014 03:35:04 -0800, M.M. wrote:

>> Ten koszt o którym pewnie mówisz to hash(hash(hash(...(hash(string)))).
> O kiedy dostałem funkcję biblioteczną, to szkoda mi czasu na sprawdzanie
> co to naprawdę robi.

To sobie nie podyskutujemy, bo o czym

do góry

On Thu, 04 Dec 2014 03:59:41 -0800, M.M. wrote:

> On Thursday, December 4, 2014 12:35:06 PM UTC+1, M.M. wrote:
>> > Jakoś sens zaszycia stałej w binarce przy podstawowej umiejętności
>> > deasemblowania jaką każdy cracker posiada mnie mało przekonuje.
>> W ogóle nie przekonuje. Chodzi o sytuacje, gdy trudno jest wykraść
>> cokolwiek.
> Przykładowo na jednym kompie może być baza haseł. Hasła są osolone
> losową solą. Na drugim kompie może być program ze stałą solą lub bez
> stałej soli. Co się dzieje, gdy ukradną komputer z bazą haseł? Bez
> stałej soli, zaczynają łamać burteforcem. Ze stałą solą łamanie w ogóle
> nie jest możliwe. Gdy ukradną komputer ze stałą solą, to w ogóle nie ma
> czego łamać. Trudniej wykraść dwa komputery niż jeden? Trudniej! Dlatego
> jak gdzieś w programie w źródłach widać stałą sól,
> to warto jeszcze sprawdzić jak ona jest używana, wtedy można krytykować.

No nie, jeżeli wykradną komputer ze stałą solą to jest tak,
jakby sól była znana. Równie dobrze mogłoby jej nie być.

--
Edek

do góry

On Thursday, December 4, 2014 5:43:59 PM UTC+1, Edek wrote:
> On Thu, 04 Dec 2014 03:59:41 -0800, M.M. wrote:
>
> > On Thursday, December 4, 2014 12:35:06 PM UTC+1, M.M. wrote:
> >> > Jakoś sens zaszycia stałej w binarce przy podstawowej umiejętności
> >> > deasemblowania jaką każdy cracker posiada mnie mało przekonuje.
> >> W ogóle nie przekonuje. Chodzi o sytuacje, gdy trudno jest wykraść
> >> cokolwiek.
> > Przykładowo na jednym kompie może być baza haseł. Hasła są osolone
> > losową solą. Na drugim kompie może być program ze stałą solą lub bez
> > stałej soli. Co się dzieje, gdy ukradną komputer z bazą haseł? Bez
> > stałej soli, zaczynają łamać burteforcem. Ze stałą solą łamanie w ogóle
> > nie jest możliwe. Gdy ukradną komputer ze stałą solą, to w ogóle nie ma
> > czego łamać. Trudniej wykraść dwa komputery niż jeden? Trudniej! Dlatego
> > jak gdzieś w programie w źródłach widać stałą sól,
> > to warto jeszcze sprawdzić jak ona jest używana, wtedy można krytykować.
>
> No nie, jeżeli wykradną komputer ze stałą solą to jest tak,
> jakby sól była znana. Równie dobrze mogłoby jej nie być.
Ależ tak, bo nie mają komputera z hasłami. W rozwiązaniu opartym
na soleniu zarówno solą stałą jaki losową, trzeba wykraść dwa komputery.

Pozdrawiam

do góry

On Thursday, December 4, 2014 5:42:18 PM UTC+1, Edek wrote:
> On Thu, 04 Dec 2014 03:35:04 -0800, M.M. wrote:
>
> >> Ten koszt o którym pewnie mówisz to hash(hash(hash(...(hash(string)))).
> > O kiedy dostałem funkcję biblioteczną, to szkoda mi czasu na sprawdzanie
> > co to naprawdę robi.
>
> To sobie nie podyskutujemy, bo o czym.
Można o tym, jak używać tychże bibliotek. O tym, że warto
użyć i stałej i losowej soli, o tym że warto dobrać odpowiedni
cost, itd.

Trudno wymyślić coś lepszego niż oferują biblioteki. Nie
wiem czy to jest hash( hash ( hash ( string ) ) ). A może
tak (na bezpiecznym randzie):

for( int i=0 ; i<(1<<cost) ; i++ ) {
string = hash( string + rand() );
}

Pozdrawiam

do góry

On Thu, 04 Dec 2014 09:24:21 -0800, M.M. wrote:

> Trudno wymyślić coś lepszego niż oferują biblioteki. Nie wiem czy to
> jest hash( hash ( hash ( string ) ) ). A może tak (na bezpiecznym
> randzie):
>
> for( int i=0 ; i<(1<<cost) ; i++ ) {
> string = hash( string + rand() );
> }
>
> Pozdrawiam

Obawiam się, że nie zrozumiałeś. Składa się funkcję skrótu ze sobą
nie po to żeby wygenerować sól. Po to, żeby skrót od (hasło + sól)
wymagał długich obliczeń.

Generowanie soli w ten sposób może ma sens ale jak na razie
dla mnie ulotny.

--
Edek

do góry

On Saturday, December 6, 2014 2:19:33 PM UTC+1, Edek wrote:
> On Thu, 04 Dec 2014 09:24:21 -0800, M.M. wrote:
>
> > Trudno wymyślić coś lepszego niż oferują biblioteki. Nie wiem czy to
> > jest hash( hash ( hash ( string ) ) ). A może tak (na bezpiecznym
> > randzie):
> >
> > for( int i=0 ; i<(1<<cost) ; i++ ) {
> > string = hash( string + rand() );
> > }
> >
> > Pozdrawiam
>
> Obawiam się, że nie zrozumiałeś. Składa się funkcję skrótu ze sobą
> nie po to żeby wygenerować sól. Po to, żeby skrót od (hasło + sól)
> wymagał długich obliczeń.
Nie pomyliłem tego. Nie mam tylko pewności, czy w dobrych bibliotekach
koszt jest generowany przez zwykłe złożenie funkcji skrótu. Nie jest
to bardziej wyrafinowana operacja?

> Generowanie soli w ten sposób może ma sens ale jak na razie
> dla mnie ulotny.
Moim zdaniem, sól powinna być wygenerowana dobrym generatorem
liczb losowych, a ta ukryta-stała sól, bardzo dobrym generatorem.

Pozdrawiam

do góry