Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re[2]: Авторизация

To: "Pavel V." <nginx-ru@xxxxxxxxx>
Subject: Re[2]: Авторизация
From: Михаил Монашёв <postmaster@xxxxxxxxxxxxx>
Date: Fri, 24 Jan 2014 12:36:43 +0400
Dkim-signature: v=1; a=rsa-sha1; c=relaxed; d=softsearch.ru; h=date:from :reply-to:message-id:to:subject:in-reply-to:references :mime-version:content-type:content-transfer-encoding; s=main; i= postmaster@xxxxxxxxxxxxx; bh=cNpbbFcC8Shy7X7iICizHnwQJCQ=; b=OGX Pb/U0zTh6sACR53jM9hiMcIhJc1w/Yf/kg5b8PBuZ0usMB3jXZMF/awwFRbu4yp0 dLiWP4gwwv7DuxM+u5v2Tm6y0cF+Np3uEoQ7PjI839CTpyz4DAWwdvMFeyaZYmrR eobqAjsvEsDMPbp4JM5+fXEI2yKq0vlnC9+BNqcs=
Domainkey-signature: a=rsa-sha1; c=nofws; d=softsearch.ru; h=date:from :reply-to:message-id:to:subject:in-reply-to:references :mime-version:content-type:content-transfer-encoding; q=dns; s= main; b=pTKjXLJpA5r+W5uhhQ/E4N/fjUZXoOMlWRvtOsMfPJgemVJJIs9ksy5T YeyO9HsUnerEI2JEBXmylr74WuR/vTh0G2mWTPQXzPkJYE0/tFuiLhoqUIjoJpSu SLJK6vojLBeFYhyezpU0PNhPqUFE76IBuD6LZmLFSwXj3hC+8PQ=
In-reply-to: <1157052269.20140124150807@ngs.ru>
References: <88eec546842d3bee9a82e83857dccd78.NginxMailingListRussian@forum.nginx.org> <1149969710.20140121004026@softsearch.ru> <52DD8D17.5060706@citrin.ru> <437911983.20140123152119@ngs.ru> <CAKaHDOEcKSpMbgpcGLqChja0MifNiJnVBATOAYNZjApajtvHxw@mail.gmail.com> <1157052269.20140124150807@ngs.ru>

Здравствуйте, Pavel.

>>> Кто-нибудь  может  кинуть  ссылку  на более наглядные объяснения с
>>> более  человекопонятной  схемой, как это ломается? Либо может быть
>>> кто-то  разъяснит  "на  пальцах", как злоумышленник, имея одну или
>>> несколько  пар  "userId  +  keyedhash"  сможет  сгенерировать пару
>>> "admin_userId + valid_keyedhash"?
>> Полным перебором это ломается. Просто процессоры стали сильно быстрые
>> и многоядерные. SHA1 считается слишком быстро.

> Почему тогда нет проблемы если использовать HMAC-SHA1 ?

> Из-за того, что считается sha1 от вычисленного в sha1,
> что  дает "сброс внутреннего состояния" хеширующей функции?

Нет.  Вместо конкатенации данных и секретного ключа HMAC размазывает и
перемешивает биты ключа по всему хэшу.

Двойной  sha1  видимо  так  же  ломается. Иначе применяли бы его, а не
изобретали HMAC.

-- 
С уважением,
 Михаил                          mailto:postmaster@xxxxxxxxxxxxx

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: Авторизация
  - From: Pavel V.

References:
- Авторизация
  - From: oklas
- Re: Авторизация
  - From: Михаил Монашёв
- Re: Авторизация
  - From: Anton Yuzhaninov
- Re: Авторизация
  - From: Pavel V.
- Re: Авторизация
  - From: Daniel Podolsky
- Re: Авторизация
  - From: Pavel V.

Prev by Date: Nginx и десятки тысяч виртуальных хостов
Next by Date: Re: Nginx и десятки тысяч виртуальных хостов
Previous by thread: Re: Авторизация
Next by thread: Re: Авторизация
Index(es):
- Date
- Thread