Puncte:1

Cum se face inginerie inversă pentru Salt din parolă, iterații și cheie?

drapel de

Să presupunem că o cheie aleatorie este derivată folosind următoarea funcție (PBKDF2).

cheie = fn (parolă, sare, iterații)

Î1: Cum pot face inginerie inversă a sării din parolă, iterații și cheie?

Î2: Dacă aceeași sare este folosită pentru generarea cheii, cum pot face ingineria inversă a sarii din parolă, iterații și cheie?

Swashbuckler avatar
drapel mc
Forța brută (noroc cu asta, deoarece lungimea minimă recomandată de sare pentru PBKDF2 este de 16 octeți) Dar în lumea reală sarea nu este un secret, așa că nu este nevoie să încerci să o găsești, este cheia care este secretul.
drapel de
Chiar și cu forța brută, cât de greu poate deveni?
drapel jp
Nu înțeleg cum diferă a doua întrebare față de prima. Spui „aceeași sare”, dar cu ce este aceeași?
drapel de
@GordonDavisson O sare fixă ​​este folosită pentru a obține cheile. Cu toate acestea, o nouă parolă și o iterație sunt generate de fiecare dată. Deci, întrebarea este că dacă sau cum sarea poate fi inginerie inversă prin extragerea parolei, a iterațiilor și a cheii?
Puncte:3
drapel fr

PBKDF2 se bazează pe HMAC folosind o funcție hash sigură criptografic. Presupunând că funcția hash este sigură, cea mai ușoară abordare va fi forța brută. Presupunând că știți parola, atunci dificultatea este cantitatea de entropie din sare. Deci, dacă ai ales 16 octeți la întâmplare, asta oferă 128 de biți de entropie și vei avea nevoie de mai multă energie decât este necesară pentru a fierbe toate oceanele lumii. 16 sau 32 de octeți aleatori sunt cantități obișnuite de sare de utilizat atunci când nu sunt date alte instrucțiuni, ambele fiind imposibil de ghicit din punct de vedere computațional.

În general, nu considerăm sarea ca fiind secretă. În general, este stocat împreună cu numărul de iterații în text simplu atunci când stochează parolele, iar în protocoalele criptografice precum TLS și SSH, sarea este trimisă în text simplu, ca parte a negocierii criptografice.

drapel de
Mulțumesc pentru răspuns. Am editat postarea cu o întrebare ulterioară. Poți te rog să o adresezi și la asta?
bk2204 avatar
drapel fr
Literal, se aplică același răspuns. Nu este mai ușor în acest caz.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.