Comments 34
Спасибо, отличные статьи, видимо надо лучше осваивать поиск.
Но даже не знаю, у меня больше упор на использовании в аутентификации, родился из претензии к eJabberd и его хранению паролей в открытом виде. Вы к сожалению не описали своей точки зрения — думаете топик лишний?
Но даже не знаю, у меня больше упор на использовании в аутентификации, родился из претензии к eJabberd и его хранению паролей в открытом виде. Вы к сожалению не описали своей точки зрения — думаете топик лишний?
Сумбурно как-то, и поверхностно, как по мне, мало информации. Лучше бы более подробно расписали как работает kerberos.
А насчет хранения паролей в открытом виде — никто, кроме администратора сервера при нормальной настройке эти пароли не посмотрит, и с другой стороны, если администратор сервера захочет, он так или иначе сможет эти пароли получить.
А насчет хранения паролей в открытом виде — никто, кроме администратора сервера при нормальной настройке эти пароли не посмотрит, и с другой стороны, если администратор сервера захочет, он так или иначе сможет эти пароли получить.
Мне, человеку далёкому от криптографии, понравился топик.
Некоторый оффтоп не ради рекламы, а во имя просвещения всех заинтересовавшихся: есть замечательная книжка «Практическая криптография», написанная Нильсом Фергюсоном и Брюсом Шнайером, людьми более чем компетентными в вопросах безопасности информации. Книжка не самая простая для понимания, но очень интересная. Крайне рекомендую к прочтению, ибо даже в самых толстых статьях всего не рассмотреть.
Ссылки на магазины давать не буду, те, кто заинтересуется сами легко их нагуглят.
Ссылки на магазины давать не буду, те, кто заинтересуется сами легко их нагуглят.
Не вижу ничего оффтопного — очень любезно с вашей стороны прибавит к ликбезу отсыл к самообразованию, для заинтересовавшихся.
UFO just landed and posted this here
Советую ещё книгу того же Брюса Шнайера «Прикладная криптография».
Немного комментариев.
«Подобрать входные данные, которые дадут такой же результат… абсолютно не соответствует CRC.»
Разве CRC когда-нибудь использовался в криптографии? По моим сведениям — только для проверки целостности данных.
«Это лучше чем даже хеш — пароль по сети не бегает вообще, сервер так же не получает ваш секрет — вы проводите с сервером взаимную аутентификацию».
Как хеш может быть лучше самого себя? Ведь вы дальше пишете про то, что в Kerberos используется хеширование.
«Подобрать входные данные, которые дадут такой же результат… абсолютно не соответствует CRC.»
Разве CRC когда-нибудь использовался в криптографии? По моим сведениям — только для проверки целостности данных.
«Это лучше чем даже хеш — пароль по сети не бегает вообще, сервер так же не получает ваш секрет — вы проводите с сервером взаимную аутентификацию».
Как хеш может быть лучше самого себя? Ведь вы дальше пишете про то, что в Kerberos используется хеширование.
CRC относится к криптографии. Ну как же, если CRC не сходится — это ж сразу возникает мысль «А не изменил кто данные по пути нарошно?»
CRC используется в телекоммуникациях. Но только для того чтобы понять, не был ли поврежден пакет при доставке. Даже если такой пакет подменить, то протоколы высшего уровня (например, SSL, TLS, etc) обязательно это заметят.
Поэтому CRC не несет криптографической нагрузки. Насколько меня учили в университете, он даже не является хеш-функцией в привычном понимании.
Поэтому CRC не несет криптографической нагрузки. Насколько меня учили в университете, он даже не является хеш-функцией в привычном понимании.
Есть такой тип билета в Kerberos des-cbc-crc. Как видим используется, печально только, что в некоторых местах другого типа и нет. К примеру реализация nfsv4 в Linux — не знаю как сейчас, а год назад никаких других типов билетов использовать было нельзя.
www.freesoft.org/CIE/RFC/1510/74.htm
www.freesoft.org/CIE/RFC/1510/74.htm
CRC использует PGP, когда надо передать информацию в ASCII. Но это я из памяти беру, может ошибаюсь. Но вообще странно как то спорить к чему относится алгоритм — он есть и использоваться может везде где пригодится.
Отчасти корректное утверждение. PGP использует 24-битный CRC код, преобразованный в radix-64 кодировку, для, так называемой, Armor Checksum, сегмента, который помещается перед закрыващим «тегом» зашифрованного сегмента при передаче в ASCII формате.
Все это делается исключительно для защиты от ошибок передачи, никакого отношения к криптографии и PGP в данном случае CRC не имеет.
Все это делается исключительно для защиты от ошибок передачи, никакого отношения к криптографии и PGP в данном случае CRC не имеет.
CRC относится к кодированию информации, к кодам с возможностью обнаружения (но не исправления ни в коей мере) ошибок.
И ноги его растут в телекоммуникациях, как верно было замеченно чуть выше. К криптографии он не имеет никакого отношения.
У связистов, например, когда CRC не сходится, возникает мысль, что в канале возникли ошибки передачи :)
И ноги его растут в телекоммуникациях, как верно было замеченно чуть выше. К криптографии он не имеет никакого отношения.
У связистов, например, когда CRC не сходится, возникает мысль, что в канале возникли ошибки передачи :)
Согласен, написано немного некорректно, переправлю — лучше метода проверки хеша, имелось ввиду.
« выделен отдельный сервер — Key Distribution Server », а почему тогда дальше по тексту «KDC»? я пропустил где-то что-то?
Для тех, кто хочет криптографию потрогать руками, могу посоветовать jcryptool.sourceforge.net/
С помощью этой замечательной программки можно понять, как все это работает.
Требует Java, работает на Windows, Mac, Linux.
С помощью этой замечательной программки можно понять, как все это работает.
Требует Java, работает на Windows, Mac, Linux.
Все таки процесс установления личности — это _идентификация_. Аутентификация — процесс проверки подлинности представленных идентификацонных данных. Но, возможно, Вы правильно выбросили идентиикацию, чтобы не загромождать текст «идентификацией и аутентификацией».
А что, мд5 уже стал обратим?
Там не говорилось об обратимости, но все таки убрал про MD5 и CRC. — действительно неверная информация, спасибо habrahabr.ru/blogs/infosecurity/50434/
спасибо, вспомнил свои пары по защите информации
сколько можно учебник переписывать сюда?
Sign up to leave a comment.
Ликбез по основам безопасности и криптографии