Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
493.doc
Скачиваний:
18
Добавлен:
30.04.2022
Размер:
8.68 Mб
Скачать
►Содержание►

1.4.3 Требования к генерации паролей

Для противодействия атаки типа подбор паролей, необходимо генерировать пароль который сможет оказать сопротивление попыткам его подбора. Сгенерированный пароль должен состоять из букв разного регистра, цифр и спецсимволов. Выбор символов при генерации пароля должен осуществляется произвольно, без использования какой бы то ни было системы. Однако необходимо учитывать и вопросы практического использования пароля.

Очень длинные пароли сложно запоминаемые, и не представляется возможным осуществление быстро ввода длинного пароля.

При генерации пароля число различных вариантов пароля должно быть не меньше числа различных ключей. Чтобы стойкость защиты была не ниже стойкости ГОСТа, при шифровании файла с помощью алгоритма ГОСТ, и при использовании для пароля только строчные английские буквы, длина пароля должна быть не меньше, чем log262256 = 54,46298970967, где 2256- число различных ключей ГОСТ, а 26 - число различных английских букв. В данном случае пароль будет состоять из 55 букв.

При использовании в качестве пароля не хаотичную последовательность букв, а осмысленную фразу, то необходимо сделать поправку на избыточность языка. Если в пароль входят не только строчные буквы, но и заглавные, то для обеспечения необходимого числа ключей ГОСТ достаточно 51 символа. Некоторые программы шифрования, получив пароль, преобразуют все его буквы к одному регистру. Например, программа Diskreet делает все английские буквы, входящие в пароль, заглавными. Также, не все программы шифрования корректно работают с русскими паролями.

В таблице 1.4 приведена сравнительная оценка требуемой длины сгенерированного пароля в различных ситуациях.

Таблица 1.4. Сравнительная оценка требуемой длины сгенерированного пароля в различных ситуациях

Алфавит

Мощность алфавита

Количество вариантов 6-символьного пароля

Длина пароля для

достижения

стойкости DES

стойкости ГОСТ

строчные английские буквы

26

12

55

строчные русские буквы

33

12

51

строчные и заглавные английские буквы

52

10

45

строчные и заглавные английские буквы и цифры

62

10

43

строчные и заглавные русские буквы

66

10

43

строчные и заглавные русские буквы и цифры

76

9

41

строчные и заглавные английские буквы, цифры и знаки препинания

94

9

40

строчные и заглавные русские буквы, цифры и знаки препинания

108

9

38

все алфавитно-цифровые символы русифицированной клавиатуры

160

8

35

В данной таблице, в качестве пароля берется сгенерированная равномерно распределенная случайная последовательность символов. При использовании в качестве пароля только осмысленные слова и фразы, количество возможных вариантов пароля будет гораздо меньше. Если в качестве пароля используется длинная фраза русского языка, то при приближенной оценки количество возможных вариантов будет равно не 33n , где n - число символов во фразе, а 2n. В данном случае для достижения стойкости DES необходимо генерировать пароль длиной 56 символов, а для достижения стойкости ГОСТ - 256 символов.

Для создания паролей используются специальные генераторы паролей, которые создают случайным образом легко запоминающиеся и трудноподбираемые пароли.

Одна из таких программ Advanced Password Generator позволяет создавать пароли с помощью генератора случайных чисел либо по задаваемому пользователем ключевому слову, а также содержит алгоритм создания слов, наиболее близких к естественному языку (русскому или английскому). Сложный алгоритм генерации запоминаемых паролей в APG использует многие варианты по многочисленным правилам. Программ позволяет генерировать не имеющие смысла благозвучные комбинации символов, например PV24*KK4.

Уникальность сгенерированного подобного рода программами пароля напрямую зависит от степени случайности используемого для этих целей генератора.

Генератор паролей криптографически небезопасен, если пароли оказались недостаточно случайными. По-настоящему случайную последовательность можно получить только лишь с применением дорогостоящих аппаратных средств (шумящих диодов и т.д.). Всякая программа есть конечный автомат, которая не может воспроизвести случайную последовательность. Однако, с практической точки зрения для генерации паролей достаточно применения генератора псевдослучайной последовательности, то есть детерминированной последовательности, очень похожей на случайную.

Качественный генератор псевдослучайной последовательности, ориентированный на использование в системах защиты информации, должен удовлетворять следующим требованиям:

- криптографическая стойкость;

- хорошие статистические свойства, псевдослучайная последовательность по своим статистическим свойствам не должна существенно отличаться от истинно случайной последовательности;

- большой период формируемой последовательности: например, при шифровании для преобразования каждого элемента входной последовательности необходимо использовать свой элемент псевдослучайной гаммы;

- эффективная аппаратная и программная реализация.

Под криптографической стойкостью понимается отсутствие у злоумышленника возможности предсказать следующий бит на основе известных ему предыдущих с вероятностью, отличающейся от 0,5.

В настоящее время неизвестно, существует ли криптографически стойкий генератор. Имеются лишь претенденты на это звание, например, генератор, названный по фамилиям его создателей BBS (Блюма-Блюма-Шуба).

Практически криптостойкость оценивается статистическими методами. Национальный Институт Стандартов и Технологий (НИСТ) США разработал Руководство по проведению статистических испытаний генераторов псевдослучайных последовательностей, ориентированных на использование в задачах криптографической защиты информации.

Статистически безопасный генератор псевдослучайных последовательностей должен удовлетворять следующим требованиям:

- ни один статистический тест не обнаруживает в псевдослучайной последовательности каких-либо закономерностей, то есть, не отличает эту последовательность от истинно случайной;

- при инициализации случайными значениями генератор порождает статистически независимые псевдослучайные последовательности.

Проведения статистических тестов помогает выяснить отличается или нет исследуемая последовательность по своим свойствам от свойств последовательности, полученной в результате подбрасывания монеты, со сторонами, помеченными как "0" и "1" при этом результаты исходов независимы друг от друга: результат предыдущего не влияет на результат последующего. Все элементы последовательности генерируются независимо друг от друга, и значение следующего элемента в последовательности не может быть предсказано, независимо от того, сколько элементов уже было произведено.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности