Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Быстрая хеш-функция, Минимум коллизий 
:(
    Опции темы
REZiaMIX
Дата 29.5.2008, 20:40 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 346
Регистрация: 3.11.2007

Репутация: нет
Всего: 4



По сети передается пара login/pass от клиента к серверу.
Сервер соответственно должен найти в списке login проверить pass (дальше по усмотрению).
Задумал реализовывать так :
На сервере хешировать пары login/pass.
Клиент посылает хеш , сервер сверяет из списка.

Будет ли это правильной реализацией?(Расчет идет на большое кол-во записей)

Если это в большей степени правильно,подскажите хеш-функцию с достаточной 
устойчивостью к коллизиям (поиск будет происходить по большой базе, немалую важность 
играет производительность).


--------------------
user posted image
PM MAIL   Вверх
ksili
Дата 30.5.2008, 07:54 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Завсегдатай
Сообщений: 2069
Регистрация: 3.11.2005
Где: Красноярск

Репутация: 2
Всего: 17



Насколько я знаю, самыми распространёнными являются хэш-функции SHA, MD4, MD5. Думаю все они удовлетворяют вашим требованиям


--------------------
Ничто так не развивает аналитическое мышление, как отладка сложной программы без возможности пошагового выполнения (с)
PM MAIL   Вверх
RockClimber
Дата 30.5.2008, 18:53 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 848
Регистрация: 5.5.2006
Где: планета 013 в тен туре

Репутация: нет
Всего: 15



"Хотя функция хэширования MD4 очень быстрая, она довольно легко взламывается [24], поэтому не стоит ее использовать."
Брюс Шнаер, Нильс Фергюсон, "Практичсекая криптография", ISBN 5-8459-0733-0, стр. 108.

[24] - это Dobbertin H. Cryptoanalysis of MD4 // J. Cryptology. - 1998. 11(4). - P. 253-271.

Пару лет назад в "Компьютерре" писали о найденной уязвимости MD5 на основе коллизий, но она на тот момент была далека от практического применения.


--------------------
Хорошо кинутый дятел далеко летит, крепко встревает, долго торчит.
PM MAIL GTalk   Вверх
mmvds
Дата 30.5.2008, 22:20 (ссылка) |    (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


Бывалый
*


Профиль
Группа: Участник
Сообщений: 230
Регистрация: 22.12.2007

Репутация: 1
Всего: 6



Цитата(RockClimber @  30.5.2008,  18:53 Найти цитируемый пост)
Пару лет назад в "Компьютерре" писали о найденной уязвимости MD5 на основе коллизий, но она на тот момент была далека от практического применения. 

Она и сейчас далека от применения, на ее основе вполне реально создать два бинарника с одним хэшем, но для строковых данных уязвимость не подходит http://forum.vingrad.ru/forum/topic-206366.html

Это сообщение отредактировал(а) mmvds - 30.5.2008, 22:23
PM MAIL ICQ   Вверх
Alexandr87
Дата 31.5.2008, 05:48 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


дыкий псых
***


Профиль
Группа: Завсегдатай
Сообщений: 1459
Регистрация: 27.11.2004
Где: Алматы, Казахстан

Репутация: 1
Всего: 39



судя из описанной ситуации  здесь вообще не нужен криптографический хэш: хэш применяется исключительно для ускорения поиска, и никаких функций безопасности не несет.
PM Jabber   Вверх
ksili
Дата 31.5.2008, 06:15 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Завсегдатай
Сообщений: 2069
Регистрация: 3.11.2005
Где: Красноярск

Репутация: 2
Всего: 17



Цитата(Alexandr87 @  31.5.2008,  09:48 Найти цитируемый пост)
судя из описанной ситуации  здесь вообще не нужен криптографический хэш: хэш применяется исключительно для ускорения поиска, и никаких функций безопасности не несет.

Как  раз в описанной ситуации (хэширование паролей) нужен именно криптографический хэш. 


--------------------
Ничто так не развивает аналитическое мышление, как отладка сложной программы без возможности пошагового выполнения (с)
PM MAIL   Вверх
Alexandr87
Дата 31.5.2008, 11:48 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


дыкий псых
***


Профиль
Группа: Завсегдатай
Сообщений: 1459
Регистрация: 27.11.2004
Где: Алматы, Казахстан

Репутация: 1
Всего: 39



ksili,
Цитата(REZiaMIX @  29.5.2008,  23:40 Найти цитируемый пост)

Задумал реализовывать так :
На сервере хешировать пары login/pass.
Клиент посылает хеш , сервер сверяет из списка.

и чтоже нам даст криптографический хэш в данной ситуации.
PM Jabber   Вверх
v2v
Дата 31.5.2008, 11:53 (ссылка) |    (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1620
Регистрация: 20.9.2006
Где: Киев

Репутация: нет
Всего: 56



в данной ситуации на скорость больше повлияет перебор/поиск по базе нужных логина / пароля чем сама операция хеширования.

Цитата(REZiaMIX @  29.5.2008,  20:40 Найти цитируемый пост)
Задумал реализовывать так :
На сервере хешировать пары login/pass.
Клиент посылает хеш , сервер сверяет из списка.

а вообще ты плохо придумал. 
почитай темы из раздела "Технология защиты".
твой протокол обмена очень легко взламывается...



--------------------
PM   Вверх
REZiaMIX
Дата 31.5.2008, 17:46 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 346
Регистрация: 3.11.2007

Репутация: нет
Всего: 4



Спасибо за ответы


--------------------
user posted image
PM MAIL   Вверх
ksili
Дата 2.6.2008, 07:40 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Завсегдатай
Сообщений: 2069
Регистрация: 3.11.2005
Где: Красноярск

Репутация: 2
Всего: 17



Цитата(Alexandr87 @  31.5.2008,  15:48 Найти цитируемый пост)
и чтоже нам даст криптографический хэш в данной ситуации.

Ну я думаю он помешает сбрутить перехваченный хэш.


--------------------
Ничто так не развивает аналитическое мышление, как отладка сложной программы без возможности пошагового выполнения (с)
PM MAIL   Вверх
Alexandr87
Дата 2.6.2008, 07:53 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


дыкий псых
***


Профиль
Группа: Завсегдатай
Сообщений: 1459
Регистрация: 27.11.2004
Где: Алматы, Казахстан

Репутация: 1
Всего: 39



Цитата(ksili @  2.6.2008,  10:40 Найти цитируемый пост)
Ну я думаю он помешает сбрутить перехваченный хэш. 

а зачем его брутить, когда им (непосредственно дайджестом) можно воспользоваться для аутентификации на сервисе.

ЗЫ. Вероятнее всего, что хэш подразумевалось использовать не для защиты (потому как защитных функций он не предоставляет), а для уменьшения требуемого машинного времени на сервере при аутентификации.
Как проходит поиска по бд: данные хэшируются и на основе их хэша производится быстрый поиск по БД. В данном случае не нужно производить хэш на сервере. В теории это позволяет несущественно уменьшить нагрузку на сервер, в чем по-моему и заключась суть этих манипуляций.

Это сообщение отредактировал(а) Alexandr87 - 2.6.2008, 07:59
PM Jabber   Вверх
ksili
Дата 2.6.2008, 09:06 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Завсегдатай
Сообщений: 2069
Регистрация: 3.11.2005
Где: Красноярск

Репутация: 2
Всего: 17



Цитата(Alexandr87 @  2.6.2008,  11:53 Найти цитируемый пост)
а зачем его брутить

в некоторых случаях нужен и сам пароль (когда его будет использовать человек, например, чтобы зайти под чужим логином)

С остальным согласен


--------------------
Ничто так не развивает аналитическое мышление, как отладка сложной программы без возможности пошагового выполнения (с)
PM MAIL   Вверх
REZiaMIX
Дата 8.6.2008, 17:35 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 346
Регистрация: 3.11.2007

Репутация: нет
Всего: 4



Мне нужен был хеш ,
1) Для ускорения поиска
2) Чтобы логин/пасс не передавались "голышом".

На данный моммент выбрал MD5

Цитата

ЗЫ. Вероятнее всего, что хэш подразумевалось использовать не для защиты (потому как защитных функций он не предоставляет), а для уменьшения требуемого машинного времени на сервере при аутентификации.
Как проходит поиска по бд: данные хэшируются и на основе их хэша производится быстрый поиск по БД. В данном случае не нужно производить хэш на сервере. В теории это позволяет несущественно уменьшить нагрузку на сервер, в чем по-моему и заключась суть этих манипуляций.


В точку)

Это сообщение отредактировал(а) REZiaMIX - 8.6.2008, 17:37


--------------------
user posted image
PM MAIL   Вверх
  
Ответ в темуСоздание новой темы Создание опроса
Правила форума "Алгоритмы"

maxim1000

Форум "Алгоритмы" предназначен для обсуждения вопросов, связанных только с алгоритмами и структурами данных, без привязки к конкретному языку программирования и/или программному продукту.


Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, maxim1000.

 
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Алгоритмы | Следующая тема »


 




[ Время генерации скрипта: 0.0976 ]   [ Использовано запросов: 21 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.