HOME»基本情報技術者試験掲示板»平成30年春期午後問1の設問3に関して
投稿する

平成30年春期午後問1の設問3に関して [2946]

 生物系院卒新入社員さん(No.1) 
https://www.fe-siken.com/kakomon/30_haru/pm01.html

総当たり攻撃の対策でストレッチングを行なっている話ですが、攻撃者が行なっていることはパスワードを総当たりで入力しているだけで、ハッシュ化しているのは被攻撃側という認識でよろしいでしょうか?
つまり、ストレッチングを行うことで単純にハッシュ化を繰り返すため、一つのパスワードを調べるのに時間がかかるという認識であっていますでしょうか。

気にしているのは攻撃者がハッシュ化関数を知っているが、回数がわからない場合を想定しているかどうかです。わかりにくくてごめんなさい、宜しくお願いいたします。
2021.02.26 12:26
関数従属さん(No.2) 
FE ゴールドマイスター
ストレッチングあり、なしどちらでも、ハッシュ化しているのは攻撃者となります。
また、ストレッチングありの場合でも問題文よりパスワードファイルには
ソルトや繰返し回数が入っており、繰返し回数もわかっている感じになるかと思います。

攻撃者のオフライン総当たり攻撃手法はストレッチングあり、なしで
それぞれ以下の感じになるかと思います。
2-1.に時間がかかるようになるイメージです。

[ストレッチングなし(ソルトもなし)]
1.攻撃者がパスワードファイルを入手
2.攻撃者がパスワードの候補に対して以下を繰り返す
  2-1.パスワードの候補をハッシュ化
  2-2.得られたハッシュ値がパスワードファイルに保存されているハッシュ値と一致するか確認

[ストレッチングあり(ソルトもあり)]
1.攻撃者がパスワードファイルを入手
2.攻撃者がパスワードの候補に対して以下を繰り返す
  2-1.パスワードの候補に対して以下を繰返し回数分繰り返す
          1回目はソルトとパスワードを連結した文字列をハッシュ化する
          2回目以降は得られたハッシュ値の後にソルトとパスワードを連結し、その連結結果をハッシュ化する
  2-2.得られたハッシュ値がパスワードファイルに保存されているハッシュ値と一致するか確認
2021.02.28 11:58

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2010-2024 基本情報技術者試験ドットコム All Rights Reserved.

Pagetop