- 1 名前:デフォルトの名無しさん mailto:sage [2007/05/28(月) 00:49:42 .net]
- 前スレ
■暗号技術【ROUND2】■
pc11.2ch.net/test/read.cgi/tech/1088530204/
擬似乱数
pc11.2ch.net/test/read.cgi/tech/1146071975/
暗号数学について語ろう。ROUND 3
science6.2ch.net/test/read.cgi/math/1170938965/
素数判定は「決定的」多項式時間で可能
science6.2ch.net/test/read.cgi/math/1028813059/
【疑似】乱数をつくる【本物】
science6.2ch.net/test/read.cgi/denki/1074867250/
RSA暗号 解読 助けてください!!
pc11.2ch.net/test/read.cgi/sec/1026903337/
お前らって本当に自分じゃ何もしないよな。
前スレ>>990->>994
罰としてスレタイで辱めてやる
- 357 名前:デフォルトの名無しさん mailto:sage [2012/02/27(月) 01:14:31.07 .net]
- awesome blackhole
だろ低能
- 358 名前:デフォルトの名無しさん [2012/02/28(火) 23:28:31.00 .net]
- nintendoのWEB入社試験問題だね
- 359 名前:デフォルトの名無しさん mailto:sage [2012/03/05(月) 01:47:43.33 .net]
- >>358
マジかよ・・・
検索エンジンに引っかからないし、難易度的に学校の課題とかかと思ったら
そういうことだったのか・・・
- 360 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 11:10:09.01 .net]
- 他者と通信する必要もなく個人で暗号化する場合って
公開鍵暗号方式って意味ある?
- 361 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 13:36:01.46 .net]
- 基本ないと思う。
何を暗号化するかによるけど有効な場合を示せるかも知れない。
- 362 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 13:52:47.75 .net]
- 電子「署名」だったらあるかも。
改竄される恐れがない秘密鍵を別媒体に持っていることが前提だけれど、
kernelとか好き勝手に入れ替えられると困るよね。
kernelに対して電子署名を検証できれば改竄されていないkernelって信用できる。
ううーん、、、
公開鍵「暗号」を使って『暗号化』が有効だと思える例は思いつかない。
ごめん。
うーん。
現在でも公開鍵暗号で『暗号化』するのって、
対象鍵暗号で使う「対象鍵」だもんね。
通信しないのであれば公開鍵暗号の旨味はないと思う。
電子[署名」なら考えれば良い例があるかもね。
- 363 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 14:09:05.96 .net]
- 個人でも暗号化するPCと複合化するPCを明確に分けれるとか。
- 364 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 15:26:19.71 .net]
- >>360
いちいちパスワードを入力しなくてすむ。
- 365 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 19:05:39.42 .net]
- 世界に自分ひとりしか存在しないなら、公開鍵暗号も秘密鍵暗号も無用の長物。
世界で自分以外の全てが敵なら、公開鍵暗号は無用の長物。秘密鍵暗号は有用。
世界に自分と、敵と、敵ではない誰かがいるなら、公開鍵暗号も有用。
「他者と通信する必要もなく個人で」という用途の中に家族とか友人とか
そういう緩めの第三者がいないなら、公開鍵暗号は意味ないだろうね。
- 366 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 19:22:02.21 .net]
- 味方でも見られたら恥ずかしいデータというのがあってだな。
- 367 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 19:27:34.55 .net]
- >>364
いや、公開鍵暗号でも公開鍵暗号の秘密鍵を守る必要があって、
そのために公開鍵暗号の秘密鍵を対象鍵暗号で暗号化して保存してるんだよ。
- 368 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 19:29:37.30 .net]
- その最後の対称鍵は暗号化しなくていいんですか?
- 369 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 19:33:23.29 .net]
- 暗号化って、通信中の解析が難しいってだけでしょ
わかってる人は、途中からやろうなんて考えないでしょう
- 370 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 19:47:41.88 .net]
- >>368
key = sha1(password)
decrypt(cipher, key)
みたいなことをして復号するから対象鍵(=key)暗号化しなくて大丈夫。
passwordが分からないと正しいkeyを生成できない。
- 371 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 20:19:08.99 .net]
- >>370
仮にそれを364が言った「いちいちパスワードを入力しなくてすむ」方法の中身だとして、
果たしてそれは秘密鍵暗号では不可能で公開鍵暗号でのみ特有な何かがあるのかな?
って言おうとしたら突っ込むべきところが違ってた。SHA-1は公開鍵暗号じゃねーよw
メッセージダイジェストとかハッシュ関数とかそういうカテゴリだ
- 372 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 20:24:40.29 .net]
- PCの盗難も考えると、最後の鍵はパスワードとして暗記するしかないと思う。
パスワードは強度を増そうと複雑にすると覚えらないし、
頻繁に変更すると忘れやすいし、ほんと困るね。
- 373 名前:デフォルトの名無しさん mailto:sage [2012/03/16(金) 20:28:31.72 .net]
- >>371
- 374 名前:デフォルトの名無しさん mailto:sage [2012/03/17(土) 01:20:20.30 .net]
- >>371
何を言ってるの…?
- 375 名前:デフォルトの名無しさん mailto:sage [2012/03/17(土) 02:03:43.64 .net]
- >>371
>>371
>>371
- 376 名前:デフォルトの名無しさん mailto:sage [2012/03/23(金) 15:35:58.49 .net]
- 酔っ払って書き込んだのかな
- 377 名前:デフォルトの名無しさん mailto:sage [2012/03/24(土) 00:28:54.15 .net]
- 公開鍵暗号でゲームのデータの一部をエンコードしているよ。
データを吸い出すことは出来ても、チートデータは作りにくいはず。
- 378 名前:デフォルトの名無しさん mailto:sage [2012/03/24(土) 01:10:17.59 .net]
- 通信対戦じゃなかったら意味なくね?
対象鍵暗号でも一緒じゃん。
公開鍵暗号である意味がない。
- 379 名前:デフォルトの名無しさん mailto:sage [2012/03/24(土) 07:57:29.87 .net]
- >>378
対象鍵暗号じゃデコードルーチンと秘密鍵をユーザーがいくらでも
覗けるから、エンコードルーチンを簡単に作れてしまう。
これでは容易に改造可能。
目的はデータ秘匿ではなく改ざん防止。
- 380 名前:デフォルトの名無しさん mailto:sage [2012/03/24(土) 07:59:23.78 .net]
- ちなみに対称ね
- 381 名前:デフォルトの名無しさん mailto:sage [2012/03/24(土) 10:04:44.76 .net]
- 少なくともデータ比較での解析は無理で、アセンブラと暗号化の知識が必要となる。
- 382 名前:デフォルトの名無しさん mailto:sage [2012/03/24(土) 10:31:56.89 .net]
- 数学的なお話しでは、
暗号化・復号の際の非対称性をうまく利用してるって話ね。
納得。ありがとう。
crackしようかと思った場合は暗号化方法を判断しないといけないわけですが、
これは各暗号化方法に固有の定数を見つけ出して当たりを付けてるんでしょうか?
もしそうなら、定数を適当に0xff辺りでxorして守っておいた方がいいのかなー?
と思ったので聞いてみました。
- 383 名前:デフォルトの名無しさん mailto:sage [2012/03/24(土) 11:14:33.71 .net]
- >>382
暗号化方法が何かはコードを読むしか無いよね。
自分はオリジナルの式を使ってるから、文献をそのまま当てはめても、まず見つからないし。固有の定数も無い。
クラッカーがマシンコードを読めるのは当たり前として、秘密鍵(形式も秘密)とエンコードルーチンは
自分しか知らないから、データだけの改竄はまず無理。
とは言えマシンコードそのものを変えられて、改造データを暗号化することなく読み込んで
しまうようなクラックをされたらどうにもならないげどね。
その場合はプログラムに署名してOSや認証局に頼るしかない。
- 384 名前:デフォルトの名無しさん mailto:sage [2012/03/24(土) 14:25:26.95 .net]
- もっと凄腕だと思って質問したんだけど、
もーいーや。
- 385 名前: ◆QZaw55cn4c mailto:sage [2012/03/24(土) 15:38:16.22 .net]
- >>384
お前 ◆QZaw55cn4cか?toro.2ch.net/test/read.cgi/tech/1180280982/330
- 386 名前:デフォルトの名無しさん mailto:sage [2012/03/24(土) 16:34:12.84 .net]
- いや違う
- 387 名前:デフォルトの名無しさん mailto:sage [2012/03/24(土) 23:03:49.37 .net]
- ノートPCが盗まれたとき、ログインパスワードの強度が重要だと思うんだけど、
WindwosのNTLMv2認証って信用できるの?
- 388 名前:デフォルトの名無しさん mailto:sage [2012/03/24(土) 23:12:51.13 .net]
- 盗まれる前提ならパスワードだけで防御するのが間違ってる
- 389 名前:デフォルトの名無しさん mailto:sage [2012/03/24(土) 23:18:08.70 .net]
- 盗まれない前提ってアホかw
- 390 名前:デフォルトの名無しさん mailto:sage [2012/03/25(日) 01:19:01.76 .net]
- NTLMv2認証の説明をざっと読んだ限りでは、ノートが盗まれたときのダメージを
左右する種類のものではないように思うんだけど。サーバからのチャレンジデータをどうこうらしいし。
WindowsならUltimateにしてBitlocker使うのが一番手っ取り早いんですかね?
- 391 名前:デフォルトの名無しさん mailto:sage [2012/03/25(日) 08:21:37.54 .net]
- Windowsの暗号化ファイルシステムは、XPで、AES256+RSA1024。
しかし、ログインされると丸見え。
- 392 名前:デフォルトの名無しさん mailto:sage [2012/03/25(日) 09:23:48.32 .net]
- なるほど、レスありがとうございます。。
つまりXP+暗号化ファイルシステムのノートが盗まれた場合、
犯人のPCにノートPCから取り出したHDDを変換ケーブル等で繋いでもAES256+RSA1024が
破られない限りは大丈夫。
しかし、そのままノートをネットワークで犯人のPCで繋いでネットワークログオン(ここでNTLMv2?)が
成功するとファイルが丸見えになるということですね。それなら左右しまくりますね。
- 393 名前:デフォルトの名無しさん mailto:sage [2012/03/25(日) 13:45:34.73 .net]
- ログインを成功させられるならネットワークいらねえよ
- 394 名前:デフォルトの名無しさん mailto:sage [2012/03/25(日) 14:34:56.77 .net]
- いや、だからNTLMv2の安全性がどうこうの話になったんでしょ。
まあチャレンジレスポンスならヒントにはならなそうだけど。
パスワードがわかればネットワーク必要ないとかいうのは的外れ。
- 395 名前:デフォルトの名無しさん mailto:sage [2012/03/25(日) 17:40:07.97 .net]
- ローカルログオンでもNTLMv2認証。
- 396 名前:デフォルトの名無しさん mailto:sage [2012/03/26(月) 21:47:22.06 .net]
- NTLMv2はMD5だからもうダメだろう。
- 397 名前:デフォルトの名無しさん mailto:sage [2012/03/28(水) 23:41:27.37 .net]
- >まあチャレンジレスポンスならヒントにはならなそうだけど。
チャレンジレスポンスは、これを使用したネットワーク認証の通信部分は強くなるが、他の面では弱くなるぜ?
この辺分かってないやつが多いが。
チャレンジレスポンスに対応してるってことは、盗まれた場合の強度は逆に弱くなっているということ。
なぜならパスワードデータベースにソルトが使えなくなるから。
- 398 名前:デフォルトの名無しさん mailto:sage [2012/03/28(水) 23:45:45.71 .net]
- >パスワードがわかればネットワーク必要ないとかいうのは的外れ。
どういう意味か分からんが、盗まれたらオフラインでパスワードデータベースをクラックできる。
ネットワークは関係ないな。
で、このパスワードデータベースのクラックは、チャレンジレスポンスに対応してるせいで逆に楽になってるわけだよ、
- 399 名前:デフォルトの名無しさん mailto:sage [2012/03/28(水) 23:59:55.79 .net]
- そこで生体認証ですよ。
- 400 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/03/29(木) 14:31:30.65 .net]
- MD5ハッシュって破られてるんだっけ?
- 401 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/03/29(木) 19:24:25.04 .net]
- 強衝突耐性については、だいぶ弱いとわかっている
- 402 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/03(火) 00:18:29.10 .net]
- 新規に採用するのは非推奨、というあたりではないのん?
いや知らんけど
- 403 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/03(火) 08:02:20.07 .net]
- 新規に採用するのにSHA2以外はありえんだろ。暗号学的強度が必要なら。
とは言え、ひところ危惧されたほどSHA1は弱くなかったということなので、
既にあるものまでなにがなんでもSHA2にしろ、というほどでもないかな。
- 404 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/03(火) 11:40:54.97 .net]
- 使い所による。
署名のダイジェストとかに使うなら避けるべき。
パスワードハッシュとかなら別に好きにしろ。
まあパスワードハッシュなら本当はPBKDF2使うべきだが。
PBKDF2ならベースハッシュが多少弱くてもあんまり実害無い。
- 405 名前:営利利用に関するLR審議中@詳細は自治スレへ [2012/04/03(火) 15:48:13.58 .net]
- 一様かつ予測不能な乱数を生成したいので、メルセンヌ・ツイスタを使おうと思いました。
しかし、メルセンヌ・ツイスタは、一様な乱数を生成するものの、乱数の履歴から、
2^19937-1 のどこの地点から乱数を取ってきてるのか分かったら、次の乱数を予測
されてしまうので安全ではない、暗号学的ハッシュ関数を通す必要がある、らしいですね。
なるほどそういうものかと思って、SHA256 で切り刻むコードを書きました。
www.sourcepod.com/vupewt10-7054
しかし、これは安全なのですか?
ハッシュ操作してるとバレてるなら、攻撃者も同じように、メルセンヌツイスタの周期まるごと
SHA256でハッシュ化したデータを抱えて、いままでの数値の履歴から、結局、次の数値が
分かってしまうと思うのですが。
(ちなみに、本筋とは関係ないですが、単なる sfmt のコードはこれです。www.sourcepod.com/uhhyen53-7055 )
- 406 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/03(火) 15:57:27.78 .net]
- 僕は素人だけど、 2^19937-1 個のハッシュ値を丸ごと抱えるってなかなかできないと思うよ
- 407 名前:営利利用に関するLR審議中@詳細は自治スレへ [2012/04/03(火) 16:39:49.02 .net]
- >>405
しかし、それなら、同じ理由で素の 2^19937-1 の値使うことには問題なさそうに見えます
ja.wikipedia.org/wiki/%E3%83%A1%E3%83%AB%E3%82%BB%E3%83%B3%E3%83%8C%E3%83%BB%E3%83%84%E3%82%A4%E3%82%B9%E3%82%BF
> メルセンヌ・ツイスタは線形漸化式によって生成されるため、予測可能である
線形漸化式では暗号に使えないなら、どうすればいいんだろうか
- 408 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/03(火) 19:02:41.11 .net]
- 予測可能の意味を、たぶん取りそこなってるのかな。
MTのナイーブな実装の場合、内部ビットの個数分(19937ビット)の出力列があれば、
その後の出力列が予測可能でしょ?
たとえば線形合同法 X(n+1) = (a*X(n)+b) mod p で、X(n) の情報があれば、
X(n+1) を予測可能であるように、全体の空間に比べてごくわずかな情報から、
次の数が予測可能である、ということを、この場合に「予測可能」と言うわけ。
- 409 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/03(火) 19:14:41.71 .net]
- 生成した乱数列の羅列があればステータスを確定出来るんだろ?
ハッシュを通せば元の乱数列は不明だからステータスを確定出来ないだろ。
元の乱数が分からんと言うことは、周期分順に試していかないと、
どの部分か見つけられないって事。
全然違う。
- 410 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/03(火) 19:21:35.46 .net]
- 極端に言うと例えば、
1から順の整数列が有るとする。
この整数列のあるところから開始する。
例えば123456789123456789だったとする。
当たり前だが予測できる。
ハッシュを取ってみる。
もう予測出来ないだろ。
元の値が123456789123456789だってことが分からないから。
これを調べるには、例えば1から順に全部ハッシュを取っていって、同じになるまで探さなきゃいけない。
- 411 名前:営利利用に関するLR審議中@詳細は自治スレへ [2012/04/03(火) 20:05:37.02 .net]
- >>408
ワタシは SFMT の内部構造は全く知らず、複雑でわからないんですが、ともかく、
内部ビットの個数分の出力さえあれば、総当りとかじゃなく、なにか逆算とかすれば、
内部ステータスが分かって、その後の出力も予測できるってことでしょうか。
コードで書いたとおり、256bit分の乱数を、sha256ダイジェスト生成API通して受け取った別物の256bitを乱数として
使えばよさそうですね。
- 412 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/03(火) 21:38:07.61 .net]
- まあそういうこったね。
内部ビット数と同じとは限らず、周期よりずっと短いデータで内部状態を逆算できる場合も同じだね。
もっと直観的な説明でいくと、内部状態が結果列から逆算できる→予測できるってこと。
つまり一方向にしか導けない条件が必要であり、これってつまるところ暗号ハッシュと同等の性質をもつものしかダメってこと。
単なる乱数生成期で暗号ハッシュと同等の一方向性を持てるわけないよね。
- 413 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/03(火) 23:59:11.83 .net]
- >>412
>>412
- 414 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/04(水) 01:48:22.01 .net]
- 使う側が互換する共通のアルゴリズムで使用すれば確率的に破られる運命だろ。
アルゴリズムを検証できる環境そのものが複製できちゃえばいつかは解析される。
合理的な共通規格そのものが暗号が破られる原因である。非合理で他に類似性が
なければ非常に単純であってもそれを推測することすらできない。
手品とか種がばれれば非常に簡単なのに、分からない場合は絶対に解明できな
かったりする。
- 415 名前: ◆QZaw55cn4c mailto:sage [2012/04/04(水) 01:54:44.62 .net]
- >>414
それは現代の暗号の考え方に反する。アルゴリズムを公開してもなお安全であることを追求する、のがポイントだ。
いいかえると、暗号の安全性が鍵の秘密にのみ依存するのが理想の暗号だ。
- 416 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/04(水) 03:18:50.66 .net]
- 全てのセキュリティは鍵のみに宿る。
って一言で言えないのかしら。
- 417 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/04(水) 06:12:49.46 .net]
- そうなったのは、暗号については過去2000年ぐらいの歴史のうち、たかだか最近100年のことだからな。
- 418 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/04(水) 11:13:56.70 .net]
- だから何?
- 419 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/04(水) 12:04:24.71 .net]
- 今世の中に存在するもので、100年以上昔に進歩が終わった技術で出来てるものなんてなかなか無いぜ。
- 420 名前: ◆QZaw55cn4c mailto:sage [2012/04/04(水) 12:13:38.36 .net]
- >>417
過去の考え方や >>414 は安全を追求していない。内部造反者等も考慮しなければならない。
>>416
ナイスですね。
- 421 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/04(水) 12:23:59.15 .net]
- www.math.sci.hiroshima-u.ac.jp/~m-mat/MT/faq.html
> 出力列を8ワードごとに切って、ハッシュ関数で 1ワードに圧縮して使う
というようなこと書かれてはいますが、sha256 をアルゴリズムとして使うぶんには
MTが生成した乱数 256bit をハッシュ化して出力した 256bit
これを予測できない乱数として使っていいですよね
コード -> pastebin.com/Qjuwy7r3
- 422 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/04(水) 13:08:33.86 .net]
- 念のために元乱数列を多めにしといた方がベターだとは思うけど、悪くはないでしょ。
あと用途によってはストレッチングも検討。
- 423 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/04(水) 14:25:33.89 .net]
- 別に圧縮は必要ない。
なんとなく、暗号ハッシュ自体の目的のイメージから、なんとなく圧縮って言ってしまっただけに見える。
まあどっちでも別に問題はない。
- 424 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/08(日) 17:41:48.19 .net]
- PKCS#5って何のメリットがあるの?
これ使えばパスワードクラックに対して強くなるの?
- 425 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/08(日) 21:19:51.19 .net]
- うん。
ブルーとフォースや辞書攻撃などをオフラインで実行された場合に、圧倒的に強くできる。
パスワードハッシュにも使える、これを使うとパスワードデータベースの耐性も簡単に上げられる。
よくパスワードハッシュで、MD5やSHA1は危ないからSHA2を使わないとダメダメとか分かった風なことを言ってるのを見るが、
パスワードハッシュの用途ではSHA2使ってもそれほどは耐性は上がらないことを理解してない。
耐性を上げるにはPBKDF2を使う、これで比較にならないほど上げることが出来る。
- 426 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/08(日) 23:45:33.20 .net]
- 計算回数増やせば強くなるが、saltは飾りです。
- 427 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/09(月) 00:19:22.84 .net]
- saltはテーブル化を防げればそれで十分役に立ってる。
- 428 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/09(月) 19:45:50.80 .net]
- ていうか、それ単に最初からストレッチングを前提に設計されてんじゃん。
比較対象としてなんか違う。
- 429 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/09(月) 22:45:58.07 .net]
- そりゃ耐パスワードクラックにはストレッチングこそ必要って話なんだから。
何が違うのかようわからん。
- 430 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/09(月) 22:49:02.23 .net]
- おかしいのは、パスワードハッシュの耐性とか、やたらうるさくこだわりながら、
単にハッシュを一回かけるだけとかで、やたら気にしてるのはハッシュ関数の種類だけ
みたいなの。
突っ込みたくもなるわ。
- 431 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/10(火) 20:27:41.23 .net]
- saltの意義はいくら調べても分かりません。
どの説明もバレない前提の説明ばかり。
しかし、実装レベルの説明ではバレてもいいみたいこと書いてる。
- 432 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/10(火) 20:38:34.17 .net]
- > バレない前提の説明
それが原理的に考えておかしい。
あらかじめ時間をかけて、大量にハッシュ値を計算しておく、という攻撃への対策として、
塩を混ぜてからハッシュ値を計算することで、情報を知ってからハッシュ値を計算しなければ
ならなくする、というのが目的なんだから、塩の秘匿(ないし公開)は、ハッシュ値の秘匿(ないし公開)と
同じ扱いでよい。
- 433 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/10(火) 20:49:27.42 .net]
- そういう理由なら反復回数の秘匿でハッシュ値の秘匿も達成されるじゃん。
- 434 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 05:33:30.00 .net]
- saltはランダム値を使ってこそ意味がある。
平文aを1というsaltで暗号文bをつくり、bと1を送る。
しかし、また同じ平文aを送りたいとき、bと1を送れば、
盗聴されてる場合は解読はされてないが、同じ平文を送ったことがバレる。
しかし、平文aを2というsaltで暗号文cを作れば、同じ文を送ったかどうかはバレない。
- 435 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 09:40:48.58 .net]
- >>434
それは確率的暗号方式
(鍵生成だけではなく、暗号化アルゴリズムも確率的アルゴリズムになっていて
たとえ同じ平文を暗号化しても毎回異なる暗号文になる)
の暗号化処理で使うランダムネスの話ですね
そういう目的で暗号化アルゴリズムへ入力する・アルゴリズム内で生成する
乱数やランダムネスをソルトと呼ぶことはあまりないと思う
てかパスワードハッシュのソルトの目的って>>472以外の何物でもないのに
バレない前提(ソルトがバレない限り安全ということ?)ってどういうこと?
>>431の読んだ参考書や解説が知りたい
- 436 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 09:47:17.77 .net]
- >>435のレスアンカー間違えた
472じゃなくて>>427だ
そういやずっと前に
共通鍵メッセージ認証の鍵(当然送信者と受信者以外に明かしてはいけない)を
ソルトって呼んでたブログや技術文書がどっかにあったような・・・
- 437 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 11:35:24.53 .net]
- >>435
暗号化処理で暗号化毎に使うランダム値もまあソルトって言う気がするけどな。
パスワードハッシュやパスワードベースの暗号化の場合とは目的は違ったりしても。
- 438 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 15:01:25.17 .net]
- ストレッチングでテーブル化は防げるんだからsaltは不必要でしょ。
- 439 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 15:05:02.47 .net]
- ストレッチングは計算量をかせぐ目的のものであって、あらかじめ計算されてしまう、
という問題への対策ではない。
- 440 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 15:18:06.14 .net]
- 不必要である、なくてもいいという反論になってないな。
残ってるのは、歴史的理由でしょう。
元々 鍵+塩 で後から ストレッチングが追加されただけ。
- 441 名前:営利利用に関するLR審議中@詳細は自治スレへ [2012/04/11(水) 16:19:57.11 .net]
- >>437
そうなの?
暗号理論の論文ではまず見ないから知らんかった
実装ではそういうもんなのか
>>438
反復回数ってどれぐらいの幅をもたせられるもんなのかね
あと>>439にもあるけど、ユーザーごとに異なるソルトを使わずに反復回数だけを変化させた場合
流出したパスワードハッシュに何回かハッシュ値をかけて
全部のパスワードのハッシュ関数反復適用回数を、たとえば10万回に揃えれば
一度計算した「反復回数10万回のハッシュ値」が全部のパスワードとの比較に利用できるから
やっぱり反復回数を変えただけじゃソルトの代わりにはならないんじゃないかな
- 442 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 16:32:44.92 .net]
- >>440 目的が違う、という結論に対して、同じもんなんだから要らない、という
論理が生き残れると思える発想がわからないな。
- 443 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 17:14:39.81 .net]
- 昔、ワープロ派とPC派がいてだな。
ワープロ派は目的が違うからとずっと言っていた。
- 444 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 17:33:20.29 .net]
- 今、ケータイ派とスマフォ派がいてだな。
ケータイ派は目的が違うと言っている。
- 445 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 17:40:27.20 .net]
- ストレッチング回数なんていう、変に制約を気にしなければならない方式をわざわざ採用するメリットがない。
簡単に制約なくソルトで対応出来るのに、わざわざ制約をかけたがる意味が分からない。
ストレッチング回数なんていまでも多分10万回くらいだろう。
場合によっては幅が1万回もいかない。
それだとバースデーパラドックスで100人に一人くらいは一致する可能性が高くなる。
しかもソルトと違って途中経過も保存可能、こういうのは何らか攻撃手段を与えるきっかけになる。
こんなデメリットばかりなのにあえて使う意味が分からない。
- 446 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 18:06:50.54 .net]
- >多分10万回くらいだろう。
ふつう1000回ぐらいだよ。
>途中経過も保存可能
不可能だよ。どんだけ容量いるんだよ。
md5の128bitで1000回で、16000バイト。
大小英文字、数字8文字のパスワードのパターンだけで、62^8 * 16000 ≒ 3エクサバイト
実装したことない人?
- 447 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 18:10:25.12 .net]
- そういうこと言ってんじゃないの。
継続計算できるって性質そのものが何らかの弱点を作り出すきっかけになりかねないって言ってんの。
暗号関連の経験あるなら、こういうのはできる限り避けるのは当たり前の感覚だろがよ。
- 448 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 18:24:06.15 .net]
- だから実装上ありえないって言ってるの。総当りも実装上は継続計算。
暗号化、複合化が公開されてる暗号化手法で継続計算できない暗号手法なんて存在しない。
どの手法も常にコンピュータの計算力のリスクに晒されてる。
- 449 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 20:01:43.16 .net]
- 継続計算って何?
「なりかねない」って何。暗号理論で「なりかねない」なんて言葉、
あまり使わないと思うのが当たり前の感覚だと思うが。
>>443-444
木槌の代わりに金槌を使って痛い目に遭ったりしたことがないんだろうなw
多分、死ぬような目に遭わなきゃわからないんだろうなw
死んじゃったらわかりようもないけどw
- 450 名前:営利利用に関するLR審議中@詳細は自治スレへ mailto:sage [2012/04/11(水) 20:09:42.25 .net]
- きちがい
- 451 名前:デフォルトの名無しさん mailto:sage [2012/04/11(水) 21:18:59.05 .net]
- おまえ実は暗号関係素人だろ。
計算量のみに依存してる話と、何らかの問題によってその計算量が減らされる事象とは全く違う。
計算量を想定より減らされる危険があればそれは立派な弱点だよ。
それが暗号の世界だ。
じゃなきゃ例えば中間一致攻撃なんて弱点は存在しない。
実装上ありえないって、中間一致攻撃なんて実装上もっとあり得ない。
今回の話では、例えば繰り返し回数1000回程度の場合に、例えば1から1000回まで幅を持たせたら、
たまたま回数が低い場合に単純に耐性が1000分の一とかになる。
いくらなんでもこれは意味ないから例えば1000から2000回にしたとする。
ここで1000回目の値があれば、そこから1001回目の計算は1回分の計算でできる、これが継続計算できるの意味。
例えばレインボーテーブルの一種として1000回目の値を保持しておけば、
0回から1000回の計算で値が計算できる。つまり繰り返し1000回分の耐性が削られるわけだよ。
暗号の世界じゃこんなものは脆弱性以外の何物でもない。
そしてこんな不合理な方法使わなくても単純にソルトで安全に制約なく目的を達成できるんだ。
こんなバカなことをする奴はいない。
- 452 名前:デフォルトの名無しさん mailto:sage [2012/04/11(水) 21:22:02.64 .net]
- そもそも現在不可能なこと以上を気にする必要ないなら、
128ビット暗号化とか無駄なものを作るやつは実装経験のないバカなのか?
今の暗号の仕組みなんて今現実じゃ実装不可能なレベルの耐性を考慮してるものばかりだよ。
- 453 名前:デフォルトの名無しさん mailto:sage [2012/04/11(水) 21:23:25.00 .net]
- MD5やSHA1の脆弱性だって現実実装上、やぶれる環境なんて存在しない。
じゃあこれを気にするのは実装したことがないバカなのか?
笑わすなっつうの。
- 454 名前:デフォルトの名無しさん mailto:sage [2012/04/11(水) 21:27:55.19 .net]
- >>453
ネゴかかるところから送信受信の全データ捕獲すれば、解けないことはないでしょ
リアルタイムに解析ってのは無理かもしれんけど
- 455 名前:デフォルトの名無しさん mailto:sage [2012/04/11(水) 21:32:47.27 .net]
- >>454
一応、今言ってんのは単純にMD5自体を破る話な。
パスワードとか関係なく、あくまで暗号関連の脆弱性話の例として出しただけ。
- 456 名前:デフォルトの名無しさん mailto:sage [2012/04/11(水) 21:35:44.87 .net]
- アルゴリズムわかってるのを暗号というのはどうなんかね?
ネタバレしたら手品にならんような
- 457 名前: ◆QZaw55cn4c mailto:sage [2012/04/11(水) 21:44:26.35 .net]
- >>456
>>415
|
 |
