entropia dell'autenticazione a due fattori

3

Ho due metodi di autenticazione indipendenti A e B con entropia a e b rispettivamente. diciamo che il compromesso di A non fornisce alcuna informazione su B. L'entropia dell'autenticazione a due fattori di A e B è a + b?

    
posta Prabhendu Pandey 21.09.2014 - 04:43
fonte

2 risposte

3

Dipende. Se indovini A correttamente ma ottieni B errato, il sistema ti dice che A è corretto? Se sì, allora è A + B e il numero medio di ipotesi è pari a (A + B) / 2 . Se non vedi quale è stato sbagliato, l'entropia è A * B e il numero medio di ipotesi è A * B / 2 .

Per mostrare il motivo, considera questo esempio: A = 4, B = 2. Se proviamo le opzioni in sequenza e sappiamo che è corretto, andrebbe in questo modo:

A=0, B=0 A ERR; B ERR
A=1, B=1 A ERR; B ERR
A=2, B=2 A ERR; B OK
A=3, B=2 A ERR; B OK
A=4, B=2 A OK; B OK
(5 attempts)

Se non sappiamo quale sia corretta, andrebbe in questo modo:

A=0, B=0 ERR
A=1, B=0 ERR
A=2, B=0 ERR
A=3, B=0 ERR
A=4, B=0 ERR
A=5, B=0 ERR
A=6, B=0 ERR
A=7, B=0 ERR
A=8, B=0 ERR
A=9, B=0 ERR
A=0, B=1 ERR
A=1, B=1 ERR
A=2, B=1 ERR
A=3, B=1 ERR
A=4, B=1 ERR
A=5, B=1 ERR
A=6, B=1 ERR
A=7, B=1 ERR
A=8, B=1 ERR
A=9, B=1 ERR
A=0, B=2 ERR
A=1, B=2 ERR
A=2, B=2 ERR
A=3, B=2 ERR
A=4, B=2 OK
(24 attempts)
    
risposta data 21.09.2014 - 16:44
fonte
2

Misuriamo l'entropia del sistema di autenticazione in bit. Se l'entropia di un sistema S è s bit, questo significa che dopo aver esplorato le possibilità di 2 ^ s il sistema è sicuramente rotto.

Supponiamo che l'entropia del metodo A sia a = 30 bit e l'entropia del metodo B sia b = 40 bit. Supponiamo inoltre che il metodo di autenticazione A sia seguito dal metodo B (l'ordine non ha importanza). Se il sistema notifica all'utente che l'errore è dovuto al metodo A o al metodo B, allora l'entropia del sistema è max (a, b) = max (30,40) = 40 bit. Questo perché l'autore dell'attacco può interrompere il metodo A per primo, che richiede 2 ^ 30 prove. Dopo aver infranto A, l'attaccante può provare a spezzare B esplorando 2 ^ 40 possibilità (o viceversa). Dal 2 ^ 40 > > 2 ^ 30, l'entropia dell'intero sistema è 2 ^ 40.

Tuttavia, se l'errore di autenticazione dovuto al metodo A o al metodo B non viene notificato all'attaccante, allora l'entropia totale del sistema è a + b = 30 + 40 = 70 bit. Questo perché per ogni possibilità del metodo A, l'attaccante deve provare tutte le possibilità del metodo B, cioè 2 ^ 30 * 2 ^ 40 = 2 ^ 70 possibilità.

    
risposta data 22.09.2014 - 06:05
fonte

Leggi altre domande sui tag