Venus AUEB Forum

Διάβασα σήμερα το πρωί αυτό εδώ το άρθρο. Ξέρεις κανείς κάτι παραπάνω? Κάπου αναφέρει ότι

If your users have passwords which are lowercase, alphanumeric, and 6 characters long, you can try every single possible password of that size in around 40 seconds.

Πολύ τραβηγμένο μου φαίνεται . Μιλάμε για 58^6 μεταθέσεις των γραμμάτων (πεζά/κεφαλαία) και των αριθμών.

Τι έχετε ακούσει για το bcrypt ?

Αναφέρει μόνο τα lowercase, οπότε αν μιλάμε για ελληνικό password "πέφτουμε" κατευθείαν στους 34^6 συνδυασμούς (γύρω στις 38~40 φορές μικρότερο από το προηγούμενο νούμερο αν υπολόγισα καλά).

Eγώ δεν το'χω ξανακούσει αλλα είπε περιέργες λέξεις και με έπεισε

Και εμένα μου ακούγεται λίγο τραβηγμένο και γενικά ποιο πολύ σαν διαφημιστικό του bcrypt παρά κάτι που να εξηγεί τα πράγματα πως έχουν...
Δεν γράφει για ποιον λόγο δημιουργήθηκε και σε τι απευθύνεται.. Η πολυπλοκότητα που έχει μπορεί να είναι η "τρύπα" που κάποιος χρησιμοποιεί για να κρυπταναλύσει ένα τέτοιο σύστημα..

proskopos wrote: Η πολυπλοκότητα που έχει μπορεί να είναι η "τρύπα" που κάποιος χρησιμοποιεί για να κρυπταναλύσει ένα τέτοιο σύστημα..

Τον blowfish χρησιμοποιεί .. τι εννοείς?

The Punisher wrote:

proskopos wrote: Η πολυπλοκότητα που έχει μπορεί να είναι η "τρύπα" που κάποιος χρησιμοποιεί για να κρυπταναλύσει ένα τέτοιο σύστημα..

Τον blowfish χρησιμοποιεί .. τι εννοείς?

Δεν ξερω πως λειτουργεί το/ο blowfish... Εννοώ ότι προσπαθώντας να καθυστερίσει την διαδικασία κρυπτανάλυσης, όπως λέει, ίσως κάποιους περιορισμούς για την ασφαλέστερη λειτουργία του μοντέλου κρυπτογράφησης να τους έχει παραλήψει/περιορίσει κτλ... Άλλωστε γράφει πως μπορείς να διαχειριστείς εσύ (ο χρήστης) τον βαθμό, ταχύτητας - ασφάλειας.. Προφανώς δεν αυξάνονται και μειώνονται ταυτόχρονα και τα 2..

Μα σου λέει για ποιο λόγο γράφτηκε. Απλώς βάζεις ένα work factor και αναλόγως σου "αυξάνει την πολυπλοκότητα"(δεν είναι σωστή έκφραση , αλλά δεν πειράζει) με σκοπό το brute force attack να είναι πιο αργό.

How much slower is bcrypt than, say, MD5? Depends on the work factor. Using a work factor of 12, bcrypt hashes the password yaaa in about 0.3 seconds on my laptop. MD5, on the other hand, takes less than a microsecond.

Να και το paper


Edit: Όσο για τον blowfish ήταν μέσα στην 4αδα για να αντικαταστήσει τον DES. 1ος βγήκε ο ΑΕS

gasparosoft wrote:Μα σου λέει για ποιο λόγο γράφτηκε. Απλώς βάζεις ένα work factor και αναλόγως σου "αυξάνει την πολυπλοκότητα"(δεν είναι σωστή έκφραση , αλλά δεν πειράζει) με σκοπό το brute force attack να είναι πιο αργό.

How much slower is bcrypt than, say, MD5? Depends on the work factor. Using a work factor of 12, bcrypt hashes the password yaaa in about 0.3 seconds on my laptop. MD5, on the other hand, takes less than a microsecond.

Να και το paper


Edit: Όσο για τον blowfish ήταν μέσα στην 4αδα για να αντικαταστήσει τον DES. 1ος βγήκε ο ΑΕS

Εννούσα το γιατί... Αυτό που γράφει δηλαδή το paper στις πρώτς 2 σελίδες... Ενδιαφέρων έχει ο πίνακας στην σελίδα 10, πάντως...
Η κρυπτανάλυση ενός τέτοιου συστήματος ίσως μπορεί να γίνει με τροποποίηση του hardware, δεν διάβασα το implementation, αλλά εκεί εστιάζει..

lol, πλάκα έχει

Because of this, bcrypt can keep up with Moore’s law. As computers get faster you can increase the work factor and the hash will get slower.

Άρα αυτοί οι μέθοδοι κρυπτογράφησης είναι βέλτιστοι με ανάλογο work factor απέναντι σε brute force attacks αφού στο μέλλον δεν θα χρειάζονται νέοι αλγόριθμοι αλλά να αυξάνεται το work factor... σωστά?

Βέβαια δεν ξέρω τι άλλες αδυναμίες μπορεί να έχουν αλλά όσον αφορά τα brute forces δεν μπορεί να υπάρξει κάτι καλύτερο...

Επειδή βαριόμουνα , έκατσα κι έκανα ένα δικό μου implementation του MD5. Μετά έκανα την πιο αργή υλοποίηση για υπολογισμό του hash 36^6 λέξεων μήκους 6(ουσιαστικά έκανα brute force attack) και μου πήρε γύρω στα 35 λεπτά.
Οπότε με αυτή την υλοποίηση θα βρεις σε 17.5 λεπτά περίπου το hash της λέξης που ψάχνεις. Αν το βελτιστοποιήσεις και με περισσότερη υπολογιστική ισχύ από την δική μου τότε θα φτάσεις κάτω από 5 λέπτα. Οπότε αυτό που έλεγε αρχικά το άρθρο είναι εφικτό.