Почему криптосистемы ненадежны?

| | | | |изменений. | | | | |

| | | | |14-байтовая строка | | | | |

| | | | |разбивается на две | | | | |

| | | | |семибайтовых | | | | |

| | | | |половины. | | | | |

| | | | |Используя каждую | | | | |

| | | | |половину строки в | | | | |

| | | | |роли ключа DES, с ним| | | | |

| | | | |шифруется | | | | |

| | | | |фиксированная | | | | |

| | | | |константа, получая на| | | | |

| | | | |выходе две 8-байтовые| | | | |

| | | | |строки. | | | | |

| | | | |Эти строки сливаются | | | | |

| | | | |для создания | | | | |

| | | | |16-разрядного | | | | |

| | | | |значения хэш-функции.| | | | |

| | | | | | | | | |

| | | | |Очевидно, что атаки | | | | |

| | | | |на LM-хэш легко | | | | |

| | | | |достигают успеха по | | | | |

| | | | |следующим причинам: | | | | |

| | | | |Преобразование всех | | | | |

| | | | |символов в верхний | | | | |

| | | | |регистр ограничивает | | | | |

| | | | |и без того небольшое | | | | |

| | | | |число возможных | | | | |

| | | | |комбинаций для | | | | |

| | | | |каждого | | | | |

| | | | |(26+10+32=68). | | | | |

| | | | |Две семибайтовых | | | | |

| | | | |"половины" пароля | | | | |

| | | | |хэшируются независимо| | | | |

| | | | |друг от друга. Таким | | | | |

| | | | |образом, две половины| | | | |

| | | | |могут подбираться | | | | |

| | | | |перебором независимо | | | | |

| | | | |друг от друга, и | | | | |

| | | | |пароли, длина которых| | | | |

| | | | |превышает семь | | | | |

| | | | |символов, не сильнее,| | | | |

| | | | |чем пароли с длиной | | | | |

| | | | |семь символов. Таким | | | | |

| | | | |образом, для | | | | |

| | | | |гарантированного | | | | |

| | | | |нахождения пароля | | | | |

| | | | |необходимо перебрать | | | | |

| | | | |вместо 940+941+... | | | | |

| | | | |9414 ~4L1027 всего | | | | |

| | | | |лишь | | | | |

| | | | |2L(680+681+...+687) | | | | |

| | | | |~1L1013 (т.е. почти в| | | | |

| | | | |1014 раз меньше) | | | | |

| | | | |комбинаций. Кроме | | | | |

| | | | |того, те пароли, | | | | |

| | | | |длина которых не | | | | |

| | | | |превышает семь | | | | |

| | | | |символов, очень | | | | |

| | | | |просто распознать, | | | | |

| | | | |поскольку вторая | | | | |

| | | | |половина хэша будет | | | | |

| | | | |одним и тем же | | | | |

| | | | |значением | | | | |

| | | | |AAD3B435B51404EE, | | | | |

| | | | |получаемой при | | | | |

| | | | |шифровании | | | | |

| | | | |фиксированной | | | | |

| | | | |константы с помощью | | | | |

| | | | |ключа из семи нулей. | | | | |

| | | | | | | | | |

| | | | |Нет элемента | | | | |

| | | | |случайности (salt), | | | | |

| | | | |как это сделано в | | | | |

| | | | |crypt() - два | | | | |

| | | | |пользователя с | | | | |

| | | | |одинаковыми паролями | | | | |

| | | | |всегда будут иметь | | | | |

| | | | |одинаковые значения | | | | |

| | | | |хэш-функции. Таким | | | | |

| | | | |образом, можно | | | | |

| | | | |заранее составить | | | | |

| | | | |словарь хэшированных | | | | |

| | | | |паролей и | | | | |

| | | | |осуществлять поиск | | | | |

| | | | |неизвестного пароля в| | | | |

| | | | |нем. | | | | |

| | | | |Неправильная | | | | |

| | | | |реализация | | | | |

| | | | |криптоалгоритмов | | | | |

| | | | |Несмотря на то, что в| | | | |

| | | | |этом случае | | | | |

| | | | |применяются | | | | |

| | | | |криптостойкие или | | | | |

| | | | |сертифицированные | | | | |

| | | | |алгоритмы, эта группа| | | | |

| | | | |причин приводит к | | | | |

| | | | |нарушениям | | | | |

| | | | |безопасности | | | | |

| | | | |криптосистем из-за их| | | | |

| | | | |неправильной | | | | |

| | | | |реализации. | | | | |

| | | | |Уменьшение | | | | |

| | | | |криптостойкости при | | | | |

| | | | |генерации ключа | | | | |

| | | | |Эта причина с весьма | | | | |

| | | | |многочисленными | | | | |

| | | | |примерами, когда | | | | |

| | | | |криптосистема либо | | | | |

| | | | |обрезает пароль | | | | |

| | | | |пользователя, либо | | | | |

| | | | |генерирует из него | | | | |

| | | | |данные, имеющие | | | | |

| | | | |меньшее количество | | | | |

| | | | |бит, чем сам пароль. | | | | |

| | | | |Примеры: | | | | |

| | | | |Во многих (старых) | | | | |

| | | | |версиях UNIX пароль | | | | |

| | | | |пользователя | | | | |

| | | | |обрезается до 8 байт | | | | |

| | | | |перед хэшированием. | | | | |

| | | | |Любопытно, что, | | | | |

| | | | |например, Linux 2.0, | | | | |

| | | | |требуя от | | | | |

| | | | |пользователей ввода | | | | |

| | | | |паролей, содержащих | | | | |

| | | | |обязательно буквы и | | | | |

| | | | |цифры, не проверяет, | | | | |

| | | | |чтобы 8-символьное | | | | |

| | | | |начало пароля также | | | | |

| | | | |состояло из букв и | | | | |

| | | | |цифр. Поэтому | | | | |

| | | | |пользователь, задав, | | | | |

| | | | |например, достаточно | | | | |

| | | | |надежный пароль | | | | |

| | | | |passwordIsgood19, | | | | |

| | | | |будет весьма удивлен,| | | | |

| | | | |узнав, что хакер | | | | |

| | | | |вошел в систему под | | | | |

| | | | |его именем с помощью | | | | |

| | | | |элементарного пароля | | | | |

| | | | |password. | | | | |

| | | | |Novell Netware | | | | |

| | | | |позволяет | | | | |

| | | | |пользователям иметь | | | | |

| | | | |пароли до 128 байт, | | | | |

| | | | |что дает (считая | | | | |

| | | | |латинские буквы без | | | | |

| | | | |учета регистра, цифры| | | | |

| | | | |и спецсимволы) 68128 | | | | |

| | | | |~2779 комбинаций. Но | | | | |

| | | | |при этом, во-первых, | | | | |

| | | | |хэш-функция (см. | | | | |

| | | | |выше) получает на | | | | |

| | | | |входе всего лишь | | | | |

| | | | |32-байтовое значение,| | | | |

| | | | |что ограничивает | | | | |

| | | | |эффективную длину | | | | |

| | | | |пароля этой же | | | | |

| | | | |величиной. Более | | | | |

| | | | |того, во-вторых, на | | | | |

| | | | |выходе хэш-значение | | | | |

| | | | |имеет длину всего 128| | | | |

| | | | |бит, что | | | | |

| | | | |соответствует 2128 | | | | |

| | | | |комбинаций. Это | | | | |

| | | | |дополнительно снижает| | | | |

| | | | |эффективную длину до | | | | |

| | | | |[pic]=21 символа3, | | | | |

| | | | |т.е. в 6 раз по | | | | |

| | | | |сравнению с | | | | |

| | | | |первоначальной. | | | | |

| | | | |Полностью аналогичная| | | | |

| | | | |ситуация происходит с| | | | |

| | | | |архиватором RAR | | | | |

| | | | |версий 1.5x - выбор | | | | |

| | | | |пароля больше 10 | | | | |

| | | | |символов не приводит | | | | |

| | | | |к росту времени, | | | | |

| | | | |необходимого на его | | | | |

| | | | |вскрытие. | | | | |

| | | | |Если длина пароля | | | | |

| | | | |"сверху" в этом | | | | |

| | | | |случае определяется | | | | |

| | | | |реализацией | | | | |

| | | | |криптоалгоритмов, то | | | | |

| | | | |ограничение на длину | | | | |

| | | | |"снизу" уже связано с| | | | |

| | | | |понятием единицы | | | | |

| | | | |информации или | | | | |

| | | | |энтропии. В | | | | |

| | | | |рассмотренном примере| | | | |

| | | | |с Novell Netware для | | | | |

| | | | |создания хэш-значения| | | | |

| | | | |с энтропией 128 бит | | | | |

| | | | |длина пароля должна | | | | |

| | | | |быть не менее | | | | |

| | | | |[pic]=69 бит4 или не | | | | |

| | | | |менее 22 символов5. | | | | |

| | | | |То, что многие | | | | |

| | | | |криптосистемы не | | | | |

| | | | |ограничивают | | | | |

| | | | |минимальную длину | | | | |

| | | | |пароля, как раз и | | | | |

| | | | |приводит к успеху | | | | |

| | | | |атак перебором не | | | | |

| | | | |ключей, а паролей. | | | | |

| | | | |Отсутствие проверки | | | | |

| | | | |на слабые ключи | | | | |

| | | | |Некоторые | | | | |

| | | | |криптоалгоритмы (в | | | | |

| | | | |частности, DES, IDEA)| | | | |

| | | | |при шифровании со | | | | |

| | | | |специфическими | | | | |

| | | | |ключами не могут | | | | |

| | | | |обеспечить должный | | | | |

| | | | |уровень | | | | |

| | | | |криптостойкости. | | | | |

| | | | |Такие ключи называют | | | | |

| | | | |слабыми (weak). Для | | | | |

| | | | |DES известно 4 слабых| | | | |

| | | | |и 12 полуслабых | | | | |

| | | | |(semi-weak) ключей. И| | | | |

| | | | |хотя вероятность | | | | |

| | | | |попасть в них | | | | |

| | | | |равняется | | | | |

| | | | |[pic]~2L10-16, для | | | | |

| | | | |серьезных | | | | |

| | | | |криптографических | | | | |

| | | | |систем пренебрегать | | | | |

| | | | |ей нельзя. | | | | |

| | | | |Мощность множества | | | | |

| | | | |слабых ключей IDEA | | | | |

| | | | |составляет не много -| | | | |

| | | | |не мало - 251 | | | | |

| | | | |(впрочем, из-за того,| | | | |

| | | | |что всего ключей | | | | |

| | | | |2128, вероятность | | | | |

| | | | |попасть в него в | | | | |

| | | | |3L107 раз меньше, чем| | | | |

| | | | |у DES). | | | | |

| | | | |Недостаточная | | | | |

| | | | |защищенность от РПС | | | | |

Страницы: 1, 2, 3, 4, 5, 6, 7, 8