Em Wed, Feb 06, 2002 at 04:02:23PM -0200, [EMAIL PROTECTED] escreveu: > Certo ? > > Eu imagino que essa seja a "base" da criptografia. Me corrija se eu estiver > enganado! =]
� isso que entendo tamb�m :) > Entao como se gera os HASHES sem existir uma CHAVE ?? Eh necessaria uma > CHAVE para se gerar a CIFRA, nao ?? Voc� faz um hash da pr�pria senha. > Vc poderia me explicar isso melhor, com um exemplo se fosse possivel ? :) Por exemplo: $ echo senha | md5sum 6fd720fb42d209f576ca23d5e437a7bb - A partir do n�mero n�o se obt�m "senha" (a n�o ser por for�a bruta, tentando todas as combina��es de caracteres, n�meros, s�mbolos, etc e calculando o md5). Mas, se eu pegar o que o usu�rio me passou, "hashear", e der aquele mesmo n�mero (que � o que eu guardei no arquivo, apenas o n�mero nesse exemplo), ent�o posso assumir que ele entrou com a senha correta. > Andreas:> ainda mais, de forma que a palavra "senha" tenha (se n�o me engano) > 65536 vers�es diferentes "hasheadas". > > VERS�ES diferentes ou POSSIBILIDADES diferentes ?? > > ps.: Ent�o existe a possibilidade da mesma senha ter dois ou mais hashes > ?? Isso acontece com o Message Digest 5 ? > > Isso eh uma falha nao ?? :) Sim e n�o. � claro que existe mais de uma entrada diferente que possa dar o mesmo hash, por isso que os hashes s�o de 128 bits para cima. Mas n�o � o que eu quis dizer ali. Se a senha for "bla", antes de fazer o hash, pega-se dois bytes aleat�rios, eles s�o acrescentados a "bla" e a� � feito o hash. Esses dois bytes aleat�rios s�o o salt. Se eu tiver um dicion�rio com a palavra "bla", n�o adianta eu simplesmente "hashe�-la" para comparar com o que tiver no /etc/shadow, tenho que acrescentar o salt correto. Esse salt t� no /etc/shadow, ent�o n�o tem muito problema. Agora, se eu quiser poupar tempo e montar um dicion�rio j� "hasheado", teria que pegar "bla" e "hashear" 64k vezes, prevendo todos os salts poss�veis. > Andreas:> Isso para evitar que algu�m construa um dicion�rio j� hasheado > (se bem que eu gostaria de refazer essas contas, talvez j� seja poss�vel > e vi�vel construir e usar um dicion�rio desses). > > Q tal recalcular ? As vezes essa MD5 ja era mesmo!! heheheh � bem poss�vel, gpg usa SHA-1 como hash, por exemplo :) > Dicionario ja hasheado que vc diz, o que seria ? Um arquivo de dicionario > com todas as possibilidades de hashs ?? �, para poupar tempo e acelerar o crack. Calcular um hash n�o � demorado, mas o crack vai ser bem mais r�pido se nem precisar fazer isso :) > Isso eh possivel ? O numero de possibilidades nao gira em volta dos caracteres > q a senha tem e em torno do numero de caracteres ?? :) Claro, mas normalmente usu�rios n�o usem senhas do tipo rUxhF2we1, por exemplo, que s�o muito dif�ceis de serem descobertas com for�a bruta, mas sim senhas simples, como palavras de dicion�rio. > Entao existem 65536 possibilidades de hash para a mesma palavra ?? Ou eu > entendi errado ? �. > com direito de leitura pra todos! > > Nessa epoca era facil ser "hacker" em! hehehe Tempos inocentes Assinantes em 07/02/2002: 2230 Mensagens recebidas desde 07/01/1999: 153947 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
