[mairo22]

Millega siis ikkagi oma passworde jms krüptida, md5, sha-1 jne?

md5 on juba ammuilma lahti häkitud, max variantide arv 2^64
sha-1 tehti lahti eelmine aasta, max variantide arv 2^80 ehk turvalisem kui md5 seda oli.

Seni suurima võtmete arvuga on praegu SHA-512 aga kui palju on üldse SHA-512 toetavaid rakendusi tehtud?

Võtame näiteks laialt kasutusel olevad andmebaasid kus kõiksugu veebikasutaja paroole hoitakse (mysql, postqres jm), kas neil üldse on võimalus turvalisemalt kui md5 või sha-1 paroole hoida?

[Ho Ho]

Kõigepealt peaks ikka alustama sellest et mida sa krüptid. Üldjuhul kui hoiad krüptitud andmete salasõna samas masinas kus andmeid endid ning mõlemad on kasutajale kättesaadavad võib igasuguse krüpto unustada, praktiliselt kõik on siis lahti häkitav


Nii palju kui mina tean siis andmebaasis ei ole eraldi andmetüüpi paroolide hoidmiseks. Valdavalt implementeeritakse need varchar'i põhiselt ning seal võid kasutada mida iganes soovid. Kui autentimist kontrolliv kood või programmijupp on samuti enda kontrolli all siis ei tohiks olla algoritmi valikul mitte mingisugust takistust.

[mairo22]

[HacaX]

Täpsustaks: see mida antud vallas loetakse "murdmiseks" pole tegelikult murdmine (s.t. parooli hashist parooli tuletamine on siiamaani võimatu) vaid hoopis kollisioonide leidmine (s.t. parooli genereerimine mis annaks õige parooliga sama hashi). Seega kõik mida praktikas teha tuleb on kasutajale selgeks teha et igas erinevas süsteemis tuleb erinevat parooli kasutada ning seda regulaarselt muuta
Aga kui oled piisavalt paranoiline siis võid ju kas RIPEMD-160 või WHIRLPOOLi poole vaadata - mõlemate puhul on praegu vaade positiivne (peaasjalikult kuna kumbagi pole väga puuritud, erinevalt MDx/SHAst).

[Ho Ho]

heh, vat sellest teisest postist oleks pidanudki alustama

Alati võid ju ka miski custom lahenduse välja mõtelda andmebe obfuskeerimiseks. Kui standartsete algoritmide jaoks on kõiksugu "lahendusi" välja uuritud siis vaevalt et keegi tahab hakata mõne üksikisiku andmeid nii väga kätte saada et viitsib välja uurida kuidas asjad tehtud on.

Kõvaketta krüptimise kohta paar lingikest:
http://www.anandtech.com/tradeshows/showdoc.aspx?i=2507&p=9
http://cooldrives.stores.yahoo.net/secure-disk-hardware-encryption.html

Viimasel lingil on eriti huvitav too IDE vahelulla mis peaks teostama reaalajas krüpteeringut.

Muidu nii palju ka veel et kui arvad et mõne teada oleva ja laialt levinud krüptosofti collisionite arv on liiga väike siis võid ju alati kasutada mitmekordset krüptimist. *nixi ja block devicedega peaks see ju suht lihtsalt teostatav olema ning minu loogika ütleb et turvalisus peaks tõepoolest märgatavalt tõusma võrreldes ühekordse krüpteeringuga. Ainus jama selle juures on lisa proseressursid mida vajatakse rohkema töö tegemiseks.

[mairo22]

RIPEMD kohta sellise asja leidsin:

[mairo22]

Väike täiustus veel mida vahepeal leidnud olen:

PHP-ga kasutamiseks on olemas mhash pakett, mis toetab krüptoalgoritme: SHA1, SHA160, SHA192, SHA224, SHA384, SHA512, HAVAL128, HAVAL160, HAVAL192, HAVAL224, HAVAL256, RIPEMD128, RIPEMD256, RIPEMD320, MD4, MD5, TIGER, TIGER128, TIGER160, ALDER32, CRC32, CRC32b, WHIRLPOOL, GOST, SNEFRU128, SNEFRU256

Neist ainult SHA512, WHIRLPOOL ja GOST on 512bitised.

[HacaX]

Too SHA ja RIPEMDi võrdlus on kohatu - nad pole midagi "võrdväärsed" turvalisuselt (mida ei saagi võrrelda - ühel on kollisioone leitud, teisel ei ole), vaid hoopis kiiruselt. Su väljatoodud tsitaat ütleb seda et turvalisuse kohast pole erilist vahet kas tegu on 320 või 160 bitise versiooniga, mitte et 160bitine oleks nõrk.

Kui tõesti tahad kindel olla: kasuta näiteks kahekordset hashi erinevaid algoritme kasutades (paroolist genereerid näiteks SHA-1ga hashi ning hashist omakorda RIPEMDiga uue hashi mida andmebaasis hoiad).

Ehkki puhtpraktiliselt on taas tegu ülepingutamisega: kollisioonide leidmine eedab et on ligipääs sõnumile (antud juhtumil paroolile) kui hashile. Viimase ligipääsu keelad sa ju ise ära (turvates oma masinat ning välistades et antud info välja lekib) ning esimese saladuseshoidmise eest peab kasutaja hoolitsema (kui ta ei hoolitse siis on kogu ettevõtmine niikuinii mõttetu). Mis praktikas annab järgmise olukorra: kurjam ei tea ei parooli ega ka hashi... ehk kõik mis ta saab teha on järkjärgult suvalisi paroole proovida (tegevus mida tuntakse ka brute force'i nime all). Seega isiklikult leian et kui kogu asi on võrgupõhine siis piisab sellest kui lubada ainult mingi hulk valesi paroole (a'la 3) mille järel näiteks järgnevad 5 minutit antud IPd ignoreeritakse (põhimõtteliselt tehes brute force vidinad külmaks, edasi tuleb vaid kindel olla et veebi vahendusel ei ole näiteks sql injectioni vahendusel otse võimalik hashe sisestada).

[EP|hull]

hm, kahekordne hash ei ole eriti hea mõte, kuna ainult kiirendab ju lõpphashi leidmist

[HacaX]

Miks ta kiirendab? Minu teada ei ole olemas otseteed ühendamaks erinevaid hashialgoritme (stiilis HASH_A(HASH_B(parool))=OTSETEE(parool)). Mõte selles ongi, et kui ühte algoritmi õnnestubki murda siis "murtud" andmehulk tuleb veelkord murda et teise algoritmi väljund kätte saada. Antud juhul peaks ta andma vähemalt genereerimisaja pikenemise (mis on iseenesest paras pluss kuna läbiproovimine ise võtab kauem aega).

[mairo22]

See br-force vastane automaatne IP blokeerimine oleks jälle üks nö elementaarne turvalisuse nõue.

Kogu selle asjaga on mõned probleemid kuna erinevaid passworde on kümnete viisi ning ilma selleta ei pääse ma isegi sõbra juure maili vaatama kuna olen paroolid piisavalt keeruliseks ajanud et neid meelde jätta. Sellepärast oleks vaja et passwordid oleks krüptitud kujul USB stickil olemas.
Kõige olulisem, et ma ei peaks seda memory sticki suvalisse arvutisse torgates hakkama mingeid programme installima kuna seda on vaja kasutada nii Win, Linuxi, Solarise ning täiesti suvaliste serverite peal kuhu mingite programmide installimine pole võimalik.
Ühes taolises teemas soovitati TrueCrypti kasutada millele linuxi port ka olemas aga kuna see nõuab esimesel pealevaatamisel programmi installeerimist igasuguse tegevuse puhul siis pole parim lahendus.

Tundub et Linuxi all on gpg standardiks saanud aga kas ta ka Solarise jm all defauldina installitakse?

[HacaX]

Sellisel juhul kasutaks ise tõenäoliselt mõnda käigupealt jooksutatavat lahendust: pulgal on krüptitud fail ja lahtipakkimist teostav proge (ideaaljuhul isegi mitu erinevat porti, nii Winni, Linuxi kui mõne muu jaoks). Skript pakib faili otse pulgale lahti, avab (kas siis käivitab faili laiendiga seotud rakenduse või kuvab kasvõi konsoolis) ning peale sulgemist wipe'ib dešifreeritud faili.
GPG ise oleks antud juhul ideaalseim oma laia pordituse pärast ning kuna ta IMO omas ka wipeimise tuge (või oli see võimalus PGPs?).

[Ho Ho]

Kas USB pulgale vajalike programmide integreerimine on väljapool valikuvariante?

[mairo22]

Jään praegu GNUPG juurde mis pakub päris palju erinevaid variante ja kuni 2048bit votmeid.

Siiani läbiproovitud masinates oli õnneks kõigil Linuxitel gpg installitud aga SunOS-l seda polnud. Kuna enamasti kasutatakse seda masinat niikuinii üle SSH siis väga suurt probleemi ei tohiks sellest olla.

Aga äki keegi on leidnud/teab mõnda Windowsi frontendi, mida ei peaks installima aga suudaks mälupulgalt ilma installimata käima minna.

EDIT: windowsi commandline client tundub töötavad pulga pealt aga linuxi omaga vist keerulisem kuna nõuab ka mõningate libraryte olemasolu.

[marqs]

[Tomek]

Windows Privacy Tray (WinPT) on win-is kasutatav front-end.

http://www.stud.uni-hannover.de/~twoaday/winpt.html

[vulcan]

Mida sa mees mässad .

Võta üks turvaline server, millele ligipääs on ainult sinul ja isikutel keda sa usaldad (sinu jutust järeldan, et haldad mitmeid selliseid servereid). Kirjuta enda paroolid "/root/passssss.xxx" faili ja jäta selle serveri "root" parool meelde - asi ants. Alati kui midagi teha tahad logid SSH-ga sellesse serverisse sisse ning no problemos. Kui soovid võid Putty klienti mälupulga peal kaasas kanda.

Ükski mälupulgakeemia mida sa aretada suudad ei pane sellisele lihtsale lahendusele vastu. Kusjuures probleem seadme usaldatavusest jääb sul alati - st. kas su sõbra arvut ikka on "keylogeritest" prii ?

Ainuke variant tõeliselt usaldusväärseks parooli hoidmiseks, oleks mingi sümmeetrilisel krüptograafial põhinev spetsiaalne parooliseadeldis (nagu panga PIN kalkulaator). St. seadeldis mille turvalisust võid ise 100% iga kell usaldada mis kuvaks sulle paroole.

[mairo22]

See ssh kaudu passwordi asi võib ju turvaline olla aga sellise asja pärast pole mõtet dubleeritud netiühendusi tegema hakata juhuks kui üks teenusepakkuja peaks pillid kotti panema kasvõi ajutiselt. Lisaks, iga võrgusolev aparaat on mingil moel häkitav. Kel huvi, võin jagada ka SSH sessiooni "ärandamise" õpetust.
Sed enam kui sõbra arvutis keylogger on, jääb jälg ssh sessiooni paroolist järgi aga kui kasutada memory sticki, saadakse teada ainult su nö main password millega sa oma krüpteeritud paroolifaili lahti kodeerid. Kuna kõik paroolid on erinevad ja seda main parooli sa mujal ei kasuta, siis pole neil sellega ikka midagi teha.

Aga PIN kalkulaator on vist tõesti parim variant üldse. Et seda nüüd taga ajama hakkaks aga huvitav palju sellise seadme valmistamine enda tarbeks võiks maksma minna ja kuidas seal krüpteerimine üldse lahendatud on.

[vulcan]

Kindlasti mõni eksootiline ettevõte teeb parooliseadet, mis kaitstud ise krüptograafia, biomeetria jm. vahenditega. Kujutan ette, et neid müüakse üldjuhul hulgi (pankadele, turvafirmadele jm.). Kuid usun siiski, et kuskilt peaks olema võimalik ka neti teel ühekaupa ikka osta.

Kui sul muidugi TTÜ-s magistrikraadi soov on võid elektroonikalaboris ka ise ühe sellise seadeldise disainida .