Re: Авторизация
Maxim Dounin
mdounin at mdounin.ru
Fri Jan 24 11:51:45 UTC 2014
Hello!
On Fri, Jan 24, 2014 at 05:19:23PM +0700, Pavel V. wrote:
> Здравствуйте, Михаил.
>
> >>> Полным перебором это ломается. Просто процессоры стали сильно быстрые
> >>> и многоядерные. SHA1 считается слишком быстро.
>
> >> Почему тогда нет проблемы если использовать HMAC-SHA1 ?
>
> >> Из-за того, что считается sha1 от вычисленного в sha1,
> >> что дает "сброс внутреннего состояния" хеширующей функции?
>
> > Нет. Вместо конкатенации данных и секретного ключа HMAC размазывает и
> > перемешивает биты ключа по всему хэшу.
>
> > Двойной sha1 видимо так же ломается. Иначе применяли бы его, а не
> > изобретали HMAC.
>
> Я смотрел, как работает HMAC, и конечно же не имел ввиду чистую sha1(sha1(key||message)).
>
> Фактически HMAC-SHA1 это sha1(key_pad1 || sha1 (key_pad2 || message)) что не сильно далеко ушло
> от sha1(sha1(key||message)). В вычислениях HMAC key_pad1 и key_pad2 это сугубо статические значения,
> зависящие от ключа.
>
> Не совсем понятно, как происходит это размазывание и почему нельзя выбрать два _произвольных_
> key_pad1 и key_pad2. Фактически блочный XOR ключа (приведенного до нужной длинны) на значения
> $36 и $5C дает произвольные значения, разве нет?
>
> В общем, тема интересная, читать можно много, были бы где "наглядные объяснения" )
> А может оно и лучше, что "наглядных объяснений" не так много, а то переломали бы половину интернета.
Наиболее наглядное объяснение про собственные MAC'и - это length
extension attack на конструкции вида hash(secret || message) (aka
"secret prefix").
http://en.wikipedia.org/wiki/Length_extension_attack
Проблема, IMHO, не в том, что sha1(sha1(key||message)) - ломается
(AFAIK, иначе как грубой силой - не ломается), проблема - в том,
что когда люди изобретают на коленке - они зачастую ходят по давно
известным и элементарным граблям.
--
Maxim Dounin
http://nginx.org/
Подробная информация о списке рассылки nginx-ru