APOP - summary
David Rohleder
davro at ics.muni.cz
Fri May 9 14:46:47 CEST 1997
>
> In cz.net.internet was written by Bohous Michal <michal at fee.vutbr.cz>:
> -> Ne - princip autentizace je takovy:
> -> - server posle klientovi nahodne vytvoreny retezec
> -> - klient jej modifikuje (zasifruje) uzivatelovym heslem (shared secret)
> -> - server na sve strane udelal totez a porovna vysledky
>
> -> Nevyhoda: server musi znat heslo v otevrene forme.
>
> HMm, preco sa nepouziva unixovy sposob sifrovania ? prvykrat sa heslo
> zasifruje nahodnym retazcom a takto sa ulozi, pricom zaciatok zasifrovaneho
> hesla je totozny s tym nahodnym retazcom:
> crypt(pwd,crypted_pwd)==crypted_pwd
>
Unixove sifrovani je trochu jine.
Heslo se pouziva jako klic a ne jako text pro zasifrovani.
Jako text pro zasifrovani se pouziva 64 bitova nula. Nahodny retezec
je pouzit pro permutaci klice (tj.hesla) na obranu proti dostupnym
sifrovacum na DES (a vytvoreni mozne databaze heslo -> zasifrovany obraz)
Tzn. pocitac nemuze odvodit heslo z jeho sifroveho tvaru.
Vyse uvedenym zpusobem se neposila po siti ani naznak nejakeho hesla.
Volba nahodne hodnoty brani proti utoku zopakovani hesla utocnikem.
Proste unixove hesla se k sifrovani nehodi. Spise by se hodil
vyraz digitalni podpis nez sifrovane heslo (muzete zamenit algoritmus
napr. za MD5)
-------------------------------------------------------------------------
David Rohleder davro at ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
More information about the net
mailing list