Re: [ml] Idea di algoritmo di autenticazione

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Gennaio 2006 ml@sikurezza.org
Soggetto: Re: [ml] Idea di algoritmo di autenticazione
Mittente: Alessio
Data: Sun, 29 Jan 2006 02:05:11 +0100 (CET)

On Fri, Jan 27, 2006 at 06:53:12PM +0100, billiejoex wrote:
> >Se vuoi rimanere su uno schema del genere (che ha il vantaggio di essere
> >molto rapido) si puo' scegliere metodi piu' semplici e sicuri solo
> >"nella pratica" per perturbare l'hash quali one time passwords o
> >generatori di numeri casuali allineati su uno stesso valore di partenza.
> 
> Potresti spiegarti meglio? Lo schema quale sarebbe?

Mi rendo conto che l'assenza di punteggiatura non rende molto leggibile
il mio messaggio, scusate :)

Parlo della tua proposta: utilizzare una password segreta e conosciuta
a entrambe le parti, perturbata con un altro valore che pero' varia da
invio all'altro: md5(password+time()), come dicevi tu nella tua
mail, piuttosto che md5(password+OTP) o altri fratellini.
Ovviamente sono schemi che funzionano "cosi' cosi'", in quanto non ci
sono conferme di ricezione. 
Ad esempio, supponiamo di concatenare una one time password (la n. 3) 
alla password per generare l'input dell'hash; se il pacchetto contenente
tale hash viene perduto e non arriva a destinazione, la volta successiva
il server sara' un passo indietro al client e tutto va a ramengo..
Insomma, cose del genere possono funzionare ma bisogna stare molto
attenti a prenderle con le pinze e a considerare tutte le supposizioni
del caso e/o relativi workaround.

> Mi andrebbe bene anche una sorta di "certificato digitale" da far portare 
> sempre dietro al sysadmin ma anche qui avrei bisogno di qualche input dato 
> che le mia conoscenze di cirttografia sono, ahim?, abbastanza limitate. :-\

Un certificato digitale solitamente non e' che una delle due parti
di una chiave RSA "arricchita" con una firma digitale di qualcun altro.
Comunque, se vuoi chiariti un pochino come funzionano la maggior
parte degli schemi conosciuti, un paio di libri sono
Applied Cryptography (di Bruce Schneier) e Cryptography and network
security (di William Stallings - ma non lasciarti ingannare eccessivamente
dal nome)
Su wikipedia si trova del discreto materiale, ovviamente quella inglese.

Spero di essere stato d'aiuto.

Alessio

In risposta a:
- [ml] Idea di algoritmo di autenticazione, billiejoex
- Re: [ml] Idea di algoritmo di autenticazione, matteo
- Re: [ml] Idea di algoritmo di autenticazione, Alessio
- Re: [ml] Idea di algoritmo di autenticazione, billiejoex

Data:
- precedente: Re: [ml] hard-disk esterno o chiave usb sicura, Marco
- successivo: R: [ml] VPN tramite Proxy e HTTP, Massimo Baschieri
- indice

Argomento:
- precedente: Re: [ml] Idea di algoritmo di autenticazione, billiejoex
- successivo: Re: [ml] Idea di algoritmo di autenticazione, matteo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005