מישהו מבין ב-CryptoAnalysis ?

V

voguemaster

New member
מישהו מבין ב-CryptoAnalysis ?

אני צריך עזרה בנושא מסוים. צץ לי רעיון (לאחר כמה שעות מחשבה, למרות שהנורה נדלקה כשהייתי במקלחת, כרגיל..
) לדרך שבה CLIENT יוכל לעשות AUTHENTICATION כנגד שרת, לפי סיסמא המוקלדת בצד הלקוח (כמובן). אני בעיקרון מעוניין שאנשים מסוימים יתנו את דעתם על המודל, ואיך ניתן לתקוף אותו. כתבתי אותו בתור קובץ טקסט, ואני אשמח אם מי שמעוניין יפנה אליי במסר כדי שאני אשלח לו את הקובץ. כל המודל נועד להיות אימפלמנטציה זמנית, לפחות עד שניתן יהיה ליישם בשרת שלי AUTHENTICATION ו-ENCRYPTION כמו שצריך... בתודה, אלי
 
ת

תמר,

New member
למה שלא תביא את זה כאן?

אתה יודע, לצרף קובץ טקסט להודעה. בכל אופן, אני אשמח לראות את זה.
 
V

voguemaster

New member
כי זה טיפה ארוך, אל לא הייתי

בטוח אם יהיה פה לאנשים כח לקרוא את זה... אלי נ.ב. פידבקים יתקבלו בברכה
אני מקווה שתבינו את המודל, הוא כתוב באנגלית.
 
I

IgalR

New member
לא ממש הבנתי .

אתה רוצה להעביר את הססמא MD5 בצד לקוח ולשלוח אותה לצד שרת ? ובצד שרת במקום אימות רגיל אתה רוצה לבצע השוואה לMD5 השמור בשרת ? כי אם כן אז פיספסת את המטרה שלשמה נשמרים רק הMD5 של הססמאות על השרת ולא הססמאות עצמן . ולא ממש הבנתי למה בצד לקוח אתה מוסיף מחרוזת של 6 תוים אם אתה מתעלם ממנה בצד שרת . אגב אם אתה מצבע XOR על מידע שונה עם אותו המפתח אז מXOR בין שתי פיסות המידע יתקבל המפתח .
 
S

Scipio

New member
MD5 is an hash function

MD5 is not an encryption method. It is a one way function (hash function). One cannot decrypt the password from the hash. That is: M - Message MD5(M) - The value of evaluting MD5 on M Given MD5(M) one can´t know what is M. The reason that the server holds the passwords is that if someone gets the file (of the passwords) he still can´t come in. When you enter a password (you submit it unsecured for now) the server calculates the MD5 of the password you submitted and tests for equality. This way the server can verify that you know the password. The server needs not to keep the password on the disk עכשיו תחשוב שוב על הבעיה (הסרבר לא שומר את הסיסמא לא מוצפנת / אחרי פונק´ HASH ) ותחשוב האם הסכימה שלך עובדת. אם אתה רוצה לעשות AUTHENTICATION שלא פגיע לציטוט (אפשר לעשות את זה די בקלות (אני יכול לפרט פרוטוקולים / שיטות קיימות)
 
V

voguemaster

New member
הממ ידידי

אולי לא הבנת, או שאולי הייתה לי טעות בניסוח, אבל אל תרחיק לכת ותגיד שאני לא יודע מה זה MD5. בפירוש טענתי שהססמא מוצפנת בעזרת MD5, ואז מושווית לזו שעל השרת. רק שבמקום שזה יקרה לוקאלית כמו ב-LOGIN רגיל, כל ה-HASH מועבר מוצפן שוב דרך הרשת, אבל עם הצפנת XOR עם HASH אחר.. מה לא מובן ?? באמת.. אלי
 
S

Scipio

New member
אל תפגע

1. אל תקח את זה כל כך אישית. לפני הניסוח זה נראה כאילו השרת יודע את הסיסמא (הלא מוצפנת). 2. לגבי העברה המוצפנת עם ה XOR. ה XOR שאיתו עושים הוא בעצם מפתח סימטרי. נכון או לא נכון? 3. נסה לנסח את זה בצורה יותר ברורה - ז"א פחות מילים יותר פרוטוקול (פורמלי יותר) לפי שלבים ומה בדיוק עובר ומה ההנחה למשל K - מפתח A* - ערך הMD5 של A TS - TIME STAMP || - שרשור לקוח יודע את K שרת יודע את K* 1. לקוח מעביר לשרת את K 2. שרת לוקח את K ומבצע MD5 ובודק לK* (פרוץ לחלוטין) ניסוח כזה הוא הרבה יותר ברור וגם ברור מה אפשר לעשות ומה לא. נסה לנסח מחדש בצורה כזו ואני מבטיח שאשמח להקדיש את מלוא תשומת ליבי לעניין (אני לא מתכוון להשמע מתנסה אבל ניסוח קצת יותר פורמלי מה זה יעזור) באנגלית זה עובד הרבה יותר טוב
 
S

Scipio

New member
ולעניין...

תסתכל על ההודעה שלי ונסח את הפרוטוקול בצורה פורמלית יותר וכך יהיה יותר קל להתייחס אליו
 
S

Scipio

New member
MD5 is an hash function

MD5 is not an encryption method. It is a one way function (hash function). One cannot decrypt the password from the hash. That is: M - Message MD5(M) - The value of evaluting MD5 on M Given MD5(M) one can´t know what is M. The reason that the server holds the passwords is that if someone gets the file (of the passwords) he still can´t come in. When you enter a password (you submit it unsecured for now) the server calculates the MD5 of the password you submitted and tests for equality. This way the server can verify that you know the password. The server needs not to keep the password on the disk עכשיו תחשוב שוב על הבעיה (הסרבר לא שומר את הסיסמא לא מוצפנת / אחרי פונק´ HASH ) ותחשוב האם הסכימה שלך עובדת. אם אתה רוצה לעשות AUTHENTICATION שלא פגיע לציטוט (אפשר לעשות את זה די בקלות (אני יכול לפרט פרוטוקולים / שיטות קיימות)
 
You must log in or register to reply here.

Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.

למעלה