andreas:> Um hash n�o usa chave. Tem uma entrada, o algoritmo, e a sa�da. Voc� n�o precisa informar uma senha quando verifica ou calcula o md5 de uma imagem iso, por exemplo. O *nix (bsd, linux, unix, etc) usa salts ainda, para dificultar
Hummmm. Nao sei se consigo entender! Olha, quando vc pega um dado por exemplo e faz a mais fajuta das criptografias "suponha um char". Suponha que vc tem a chave X e o dado b. Vc simplesmente pega o X (88 decimal) converte para binario e faz o mesmo com o b . Depois tira um XOR deles (OU exclusivo). Depois vc pega o resultado binario do XOR e converte pra decimal e depois ASCII. Entao vc cifrou o dado. Se vc quiser voltar vc pega a CIFRA e faz XOR da chave e vc tem o dado "limpo". Se vc fizer o XOR da cifra e do DADO vc tem a chave! :) Certo ? Eu imagino que essa seja a "base" da criptografia. Me corrija se eu estiver enganado! =] Entao como se gera os HASHES sem existir uma CHAVE ?? Eh necessaria uma CHAVE para se gerar a CIFRA, nao ?? Vc poderia me explicar isso melhor, com um exemplo se fosse possivel ? :) Andreas:> ainda mais, de forma que a palavra "senha" tenha (se n�o me engano) 65536 vers�es diferentes "hasheadas". VERS�ES diferentes ou POSSIBILIDADES diferentes ?? ps.: Ent�o existe a possibilidade da mesma senha ter dois ou mais hashes ?? Isso acontece com o Message Digest 5 ? Isso eh uma falha nao ?? :) Andreas:> Isso para evitar que algu�m construa um dicion�rio j� hasheado (se bem que eu gostaria de refazer essas contas, talvez j� seja poss�vel e vi�vel construir e usar um dicion�rio desses). Q tal recalcular ? As vezes essa MD5 ja era mesmo!! heheheh Dicionario ja hasheado que vc diz, o que seria ? Um arquivo de dicionario com todas as possibilidades de hashs ?? Isso eh possivel ? O numero de possibilidades nao gira em volta dos caracteres q a senha tem e em torno do numero de caracteres ?? :) Andreas:>Com o salt, ele teria que calcular 65536 hashes para cada palavra (se n�o me engano � isso, 2 bytes de salt no md5). O que sao salt's ?? Pra q serve isso ?? Como funciona ? Salt tem tamanho ?? Um de 2bytes eh grande ? Entao existem 65536 possibilidades de hash para a mesma palavra ?? Ou eu entendi errado ? Andreas:>Basta capturar o que o usu�rio est� digitando. Um passwd com "trojaned" poderia fazer isso, por exemplo. Isso nao eh "everdropping"! Keylogger ou sniffers (trojans). Capturam direto o output do teclado ou o trafego da rede. Os everdropping sao falhas no algoritimo de criptografia que permitem (fazer alguns calculos) para diminuir a possibilidade de tentativas para gerar um hash! Sao falhas no algoritimo! Eu vi uma vez pela google sem querer um site so falando de everdropping! Mas como nao sei quase nada de C e de crypt, fiquei na mesma! hehehehe :P Andreas:>Que eu saiba, n�o interfere. Ele apenas move as senhas hashes) para um arquivo que apenas o root pode ler. � que � necess�rio que os programas possam ler coisas do /etc/passwd. Saquei!! :) Eu nao sabia que antigamente ficava no passwd as hashes mas com direito de leitura pra todos! Nessa epoca era facil ser "hacker" em! hehehe Andreas:>Sim, n�o se "descriptografa" a senha, se pega o que o usu�rio digitou, usa o salt correto e aplica o hash. Se der a mesma coisa, sup�e-se que o usu�rio digitou a mesma senha. � assim que funciona a verifica��o da senha. Putzz.. la vem esse tal de salt denovo! :P O que vc quer dizer com aplicar o hash ? Andreas:>Se fosse criptografia, o programa usaria uma chave para "descriptografar" o texto. Ehh, esse eu sei como eh! =] Andreas:>Ele dificulta ter acesso aos hashes, visto que precisa ser root para ler este arquivo. Legal, desde quando eu come�a a fu�a com Linux ja vinha com shadow! Nao sou da epoca q era no passwd com direito de leitura pra todos :) Mas valeu do esclarecimento! Andreas:>Mas a� entram exploits locais e tal :) Ainda bem que existem os sistemas Anti Buffer Overfflow! :) Muito Obrigado pelos esclarecimentos. [ ]'s ------------------------------------------ Use o melhor sistema de busca da Internet Radar UOL - http://www.radaruol.com.br Assinantes em 06/02/2002: 2233 Mensagens recebidas desde 07/01/1999: 153828 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
