Perché crittografare male con password semplici come chiave di crittografia?

4

È a mia conoscenza che l'utilizzo di password "normali", come una frase facile da ricordare, sia una cattiva pratica. È perché una tale stringa non sarà abbastanza casuale, o qualcos'altro?

Da Documentazione OpenSSL

There are a lot of ways to create insecure keys, the most notable is to simply take a password as the key without processing the password further.

    
posta user50849 08.03.2014 - 22:18
fonte

1 risposta

2

È necessario fare una distinzione tra la password che fornisci uno strumento di crittografia e la chiave interna effettivamente utilizzata.

Non c'è nulla di intrinsecamente sbagliato nell'usare una password in chiaro, purché sia abbastanza lunga da non poter essere utilizzata entro un ragionevole tempo elettronico . Il livello di non idoneità è generalmente considerato il livello di entropia nell'insieme di dati; anche se i test statistici molto sofisticati possono solo formulare ipotesi sull'effettiva invalidità (ad esempio, una stringa veramente casuale è interamente ipotizzabile se tutti gli utenti del mondo l'hanno memorizzata).

La maggior parte degli algoritmi di crittografia richiede una quantità fissa di entropia interna per funzionare. La tua password conterrà una certa quantità di entropia, solitamente inferiore a quella utilizzata dal cipher. Di conseguenza, la password viene solitamente convertita in bit entropici puri che vengono "stirati" attraverso lo spazio della chiave interna in un modo appropriato al codice.

Lo stretching (o restringimento) è anche richiesto per assicurare che somiglianza semantica attraverso, per esempio, le password in linguaggio naturale, non non deformare la possibile gamma di output di testo cifrato. Non si desidera che le password delle lingue naturali (ad esempio la maggior parte delle password) producano solo testo cifrato di frazione prevedibile di tutti i possibili risultati; come si potrebbe inferire il tipo e anche la lunghezza della password utilizzata.

In qualità di utente finale di qualsiasi strumento di crittografia competente, non devi preoccuparti di ciò perché si verifica dietro le quinte. Ma dovrai sapere se usi direttamente queste librerie.

    
risposta data 09.03.2014 - 02:17
fonte

Leggi altre domande sui tag