Điểm:3

Chia sẻ "Mật khẩu" bằng cách sử dụng Chia sẻ bí mật Shamir an toàn đến mức nào để xác minh xem mật khẩu có đúng không?

lá cờ us

Hãy nói rằng bạn có một đơn đặt hàng $n$ trường hữu hạn mà bạn đang sử dụng để tạo $k$ chia sẻ mật khẩu bằng cách sử dụng Shamir Secret Sharing. Giả sử rằng kẻ tấn công nhận được $k-1$ cổ phiếu.

Có khả năng kẻ tấn công có thể thực hiện vũ phu và tìm mật khẩu nếu có cách kiểm tra xem mật khẩu đã đoán có đúng hay không (như sử dụng thông tin đăng nhập trên trang web nhiều lần cho đến khi bạn vào được)?

Liệu đơn đặt hàng $n$ của vật chất trường hữu hạn trong một cuộc tấn công vũ phu như vậy? Sẽ làm tăng giá trị của $n$ cung cấp bảo mật bổ sung trong một kịch bản như vậy?

Điểm:2
lá cờ in

để cho Chia sẻ bí mật của Shamir (SSS) được xây dựng từ trường hữu hạn $K = \mathbb F_{p^m}$, I E. $K$ là một phần mở rộng trường hữu hạn với $p^m$ yếu tố, $order(K) = p^m$.

Khi kẻ tấn công truy cập vào $k-1$ sau đó $k$ cổ phiếu của SSS, còn lại tất cả các giá trị từ $K$ có cùng xác suất trở thành ứng cử viên của cổ phiếu cuối cùng. Điều này là do tài sản của SSS; nó có một kế hoạch chia sẻ bí mật hoàn hảo (tức là nó có bí mật hoàn hảo ). Vì vậy; kẻ tấn công không học được gì trừ khi họ nắm giữ tất cả các cổ phần.

Kẻ tấn công, trong khi giữ $k-1$ chia sẻ, có $p^m$ các ứng cử viên có thể bằng nhau cho phần cuối cùng. Khả năng duy nhất đối với họ là cố gắng phân biệt tất cả chúng với hàng thật, không có gì hơn.

Chà, thay vì trả tiền (hoặc ăn cắp) cho $k-1$ chia sẻ họ chỉ có thể thử tất cả các $p^m$ các phần tử của trường. Bởi vì;

  • Họ không có lợi thế là có $k-1$ cổ phiếu hoặc $1$ cổ phiếu Tất cả đều giống nhau, SSS có bí mật hoàn hảo.

Bây giờ, vì mật khẩu được tạo từ bí mật chung, nên có giới hạn về số lượng mật khẩu có thể có; $p^m$. Giả sử rằng một phương pháp băm mật khẩu sai được sử dụng, chẳng hạn như SHA-256 thuần túy, thì kích thước của trường phải lớn hơn $2^{93}$ vì những người khai thác Bitcoin có thể đạt được lượng SHA-256D này trong một năm. Do đó, nên có một trường có thứ tự lớn hơn $2^{128}$.

Người ta cần một thuật toán băm mật khẩu tốt hơn như Argon2id để hạn chế khả năng của kẻ tấn công. Ví dụ: nếu bạn sử dụng PBKDF2 với số lần lặp là 1M ( Argon2 cũng có số lần lặp), thì bạn sẽ giảm khả năng tìm kiếm của kẻ tấn công bằng $\xấp xỉ 2^{20}$. Nếu bạn sử dụng bộ nhớ cứng và số luồng hỗ trợ các chức năng băm mật khẩu như Argon2, thì bạn sẽ giảm khả năng song song hóa của kẻ tấn công, đặc biệt là trong các trường hợp ASIC/GPU. Quyết định rủi ro của bạn và bảo mật mục tiêu, sau đó điều chỉnh các tham số của hàm băm mật khẩu. Và đừng quên thêm một muối ngẫu nhiên để băm mật khẩu.

Nếu chia sẻ cũng được sử dụng để tạo khóa mã hóa, phần chia sẻ phải bằng hoặc lớn hơn kích thước khóa. Lý do đơn giản là đây người ta không thể tăng entropy bằng cách băm.

Có khả năng kẻ tấn công có thể thực hiện vũ phu và tìm mật khẩu nếu có cách kiểm tra xem mật khẩu đã đoán có đúng hay không (như sử dụng thông tin đăng nhập trên trang web nhiều lần cho đến khi bạn vào được)?

Chà, hầu hết các trang web/hệ thống tốt đều bảo vệ chống lại các cuộc tấn công này bằng cách hạn chế số lần thử mật khẩu hoặc có xác thực 2 yếu tố. Tuy nhiên, chúng tôi có thể cho rằng kẻ tấn công truy cập DB để lấy hàm băm của (các) mật khẩu. Đây là mô hình tấn công thường thấy trong bảo mật mật khẩu. Vì vậy, hãy tăng thứ tự trường.

Liệu đơn đặt hàng $n$ của vật chất trường hữu hạn trong một cuộc tấn công vũ phu như vậy? Sẽ làm tăng giá trị của $n$ cung cấp bảo mật bổ sung trong một kịch bản như vậy?

Yes và Yes như trên.

Makky 56 avatar
lá cờ us
Cảm ơn, vì vậy kích thước của trường hữu hạn càng lớn càng tốt phải không? Tuy nhiên, tôi thấy rất nhiều triển khai SSS sử dụng GF(2^32) hoặc GF(2^64). Đó không phải là một mối đe dọa an ninh? .. Nhưng một lần nữa, tần suất kẻ tấn công nắm giữ k-1 cổ phiếu :)
kelalaka avatar
lá cờ in
Nó thực sự phụ thuộc vào rủi ro bảo mật của bạn. Bạn thấy loại triển khai nào? Sản phẩm thật hay trình diễn? Như tôi đã đề cập, kẻ tấn công không cần cổ phiếu $k-1$ vì SSS có tính bảo mật hoàn hảo. Có $k-1$ hoặc không có gì bằng nhau. Nó sẽ là một câu hỏi hay hơn với những liên kết đó và nơi chúng được sử dụng.
Điểm:2
lá cờ ar

Với điều kiện là chia sẻ bí mật của Shamir được thực hiện chính xác, kẻ tấn công không đạt được lợi thế từ biết đến $k-1$ cổ phiếu và kích thước của trường không quan trọng.

Có, kẻ tấn công có thể thực hiện một cuộc tấn công đoán mò để (có thể, nếu có đủ thời gian) tìm ra mật khẩu. Nhưng họ có thể làm điều đó ngay cả khi mật khẩu không phải được chia sẻ và biết đến $k-1$ cổ phiếu không làm cho cuộc tấn công này dễ dàng hơn.

Đó là, với một loại báo trước rõ ràng: biết quy mô của (các) cổ phần mang lại một giới hạn trên về độ dài của mật khẩu, mà kẻ tấn công có khả năng có thể khai thác để tiết kiệm thời gian, đặc biệt nếu mật khẩu quá ngắn. Nhưng miễn là chúng tôi cho rằng độ dài của mật khẩu là kiến ​​thức công khai hoặc mật khẩu đã được thêm vào một độ dài cố định trước khi chia sẻ nó, thì ngay cả điều này cũng không cung cấp cho kẻ tấn công thông tin nào mà họ không có. Và, trong mọi trường hợp, kẻ tấn công không cần thực sự biết bất kỳ lượt chia sẻ nào để có được thông tin này — tất cả những gì chúng cần biết là thời lượng của các lượt chia sẻ.


Tất nhiên, nếu mật khẩu quá dài để vừa với một phần tử trường hữu hạn, thì nó phải bằng cách nào đó được chia thành nhiều mảnh, và những phần đó được chia sẻ riêng. Nhưng điều này không ảnh hưởng đến thuộc tính bảo mật lý thuyết thông tin cơ bản của lược đồ Shamir, vốn nói rằng kiến ​​thức ít hơn $k$ chia sẻ không cung cấp thông tin về bí mật. Không khó để thấy rằng, với một bí mật bao gồm nhiều phần tử trường hữu hạn riêng biệt, mỗi phần tử được chia sẻ độc lập bằng cách sử dụng lược đồ Shamir với ngưỡng $k$, biết đến $k-1$ cổ phiếu cho mỗi yếu tố bí mật không cung cấp thông tin về không tí nào của họ. (Cũng không khó để chỉ ra rằng điều này đúng ngay cả khi các tham số công khai giống nhau, bao gồm cả tỷ lệ chia sẻ $x$ tọa độ, được sử dụng để chia sẻ tất cả chúng.)

Daniel avatar
lá cờ ru
Câu trả lời này sẽ nhận được nhiều sự chú ý hơn. Điểm chia sẻ bí mật của Shamir là ngay cả khi bạn có nhiều cổ phần, miễn là bạn không có số lượng phù hợp, bạn sẽ không học được *theo nghĩa đen bất cứ điều gì* mà bạn chưa biết trước khi nắm giữ cổ phần.
kelalaka avatar
lá cờ in
@Daniel thực ra, tôi đã đề cập đến điều đó, tuy nhiên, bây giờ tôi đã để mắt đến nó nhiều hơn.
nick012000 avatar
lá cờ tr
"Với điều kiện là chia sẻ bí mật của Shamir được triển khai chính xác, kẻ tấn công sẽ không có lợi thế gì khi biết tới k1 cổ phiếu và kích thước của trường không thành vấn đề." Liệu họ có thể thực hiện một cuộc tấn công đoán và kiểm tra thô bạo để tìm ra phần chia cuối cùng không?
lá cờ ar
@nick012000: Có, nhưng không hiệu quả hơn là chỉ thực hiện một cuộc tấn công đoán và kiểm tra thô bạo để tìm ra bí mật trực tiếp mà không cần bất kỳ chia sẻ nào.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.