如何解决PKCS#5盐的隐私?
| 在PKCS5 V2.0标准的官方文档中,我们可以读到“盐可以看作是从密码派生的一大堆密钥的索引,并且不必保密。” “不需要保密”部分很有趣。 由于使用盐来添加大量的密码可能性(或者如果两个用户使用相同的密码来创建两个不同的密钥),那么让盐不安全的目的是什么? 我了解到,通常情况下,攻击者无法使用该盐,因此,寻找正确的密码会使他的工作变得复杂。但是,如果攻击者知道了盐分,“魔法”在哪里?知道盐就像执行传统的字典攻击(如果我们排除迭代计数)! 有我不明白的东西吗?我知道知道盐不会破坏安全性,但是说“不需要保密”对我来说听起来很奇怪。解决方法
该段的其余部分(在标准中)似乎可以对其进行解释:
...虽然有可能
对手构造一张桌子
可能的密码(所谓的
“字典式攻击”),
可能的密钥表将是
困难,因为会有很多
每个密码的可能密钥。一个
因此,对手将仅限于
分别搜索密码
每一种盐。
关键是您不能只列出一个密码列表(比方说7,700万个密码)并在相同的表中运行它们。您将需要为每个密码和盐建立一个单独的表。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
