Em Wed, Feb 06, 2002 at 10:30:20AM -0200, [EMAIL PROTECTED] escreveu: > Ola, > > Correto Andreas, mas agora eu tmb fiquei curioso! :) > > Porem o hash nao faz parte da criptografia ? Por exemplo se eu soubesse > a chave que o OS usou para gerar o hash do arquivo de senha eu a teria facilmente > certo ?? Como essas chaves sao geradas no Linux ?? Aleatoriamente ??
Um hash n�o usa chave. Tem uma entrada, o algoritmo, e a sa�da. Voc� n�o precisa informar uma senha quando verifica ou calcula o md5 de uma imagem iso, por exemplo. O *nix (bsd, linux, unix, etc) usa salts ainda, para dificultar ainda mais, de forma que a palavra "senha" tenha (se n�o me engano) 65536 vers�es diferentes "hasheadas". Isso para evitar que algu�m construa um dicion�rio j� hasheado (se bem que eu gostaria de refazer essas contas, talvez j� seja poss�vel e vi�vel construir e usar um dicion�rio desses). Com o salt, ele teria que calcular 65536 hashes para cada palavra (se n�o me engano � isso, 2 bytes de salt no md5). > Sera que nao existem "everdropping" (acho q eh assim q escreve) nas mesmas > ? Basta capturar o que o usu�rio est� digitando. Um passwd com "trojaned" poderia fazer isso, por exemplo. > ps.: Alias, o shadow (sombreamento) interfere em algo nos hashs do Linux Que eu saiba, n�o interfere. Ele apenas move as senhas (hashes) para um arquivo que apenas o root pode ler. � que � necess�rio que os programas possam ler coisas do /etc/passwd. Seu home est� l�, o seu shell, seu UID, etc. Os programas precisam disso. Mas n�o da sua senha (a maioria n�o, pelo menos). Os que precisam ter acesso � senha (como su, ou passwd) s�o ent�o SUID root. > ? Por exemplo dificultam a "decriptografia". Desculpe usar o termo decriptografia, > eu sei que ele nao existe porem eu nao sei como se fala! Alias os decriptadores Eu tamb�m n�o sei como se fala... > na verdade nao decriptam eles fazem compara��es entre hashs gerados de senhas > conhecidas em cima do algoritimo usado no arquivo de senha, certo ? :) Sim, n�o se "descriptografa" a senha, se pega o que o usu�rio digitou, usa o salt correto e aplica o hash. Se der a mesma coisa, sup�e-se que o usu�rio digitou a mesma senha. � assim que funciona a verifica��o da senha. Se fosse criptografia, o programa usaria uma chave para "descriptografar" o texto. > Afinal o shadow dificulta nessa tentativa de cracking ou nao ?? Ele dificulta ter acesso aos hashes, visto que precisa ser root para ler este arquivo. Mas a� entram exploits locais e tal :) > Em que sentido? Como ele aumenta a seguran�a do MD5 ? :) No sentido que voc� precisa ser root ou explorar um programa que rode como root para ter acesso aos hashes e s� ent�o come�ar a tentar quebrar as senhas. Mas, se j� � root, poderia simplesmente instalar um login ou sshd "trojan", e pegar as senhas dos usu�rios � medida que forem se logando na m�quina, por exemplo. Assinantes em 06/02/2002: 2232 Mensagens recebidas desde 07/01/1999: 153752 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
