Шифрование паролей в СУБД Oracle

       

Источники и литература


1.обратноJoshua Wright, Carlos Cid (18. Oct. 2005) An Assessment of the Oracle Password Hashing Algorithm
2.обратноБрюс Шнайер, Прикладная криптография, Издательство «Триумф» 2003 г.
3.обратноR. Morris, K. Thompson "Password security: A case history", Communications of ACM, v.22, n. 11, Nov. 1979., pp. 594-597.
4.обратноЛ. Дж. Хоффман "Современные методы защиты информации"(М.: Сов. радио, 1980).
5.обратноЭ. Танненбаум. «Современные операционные системы». М. СПб, Питер, 2002.

На этом можно было бы и закончить, но у этой истории появилось .

1(обратно к тексту)Хеш-функция - это преобразование, вычисляющее из данных произвольной длины некое значение (свертку) фиксированной длины, обычно от 64 до 256 бит. Простейшими примерами хеш-функций являются контрольные суммы, например, CRC32. Хеш-функции бывают криптографические и программистские. Криптографический хеш отличается от программистского двумя свойствами: необратимостью и свободностью от коллизий.

Хеш-функции должны удовлетворять следующим требованиям:

  • Аргумент хеш-функции может быть строкой бит произвольной длины;
  • Значение H(M) должно быть строкой бит фиксированной длины;
  • Хеш-функция должна быть необратимой. Необратимость означает, что если известно хеш-значение X, то вычислительно сложно подобрать M такое, что H(M) = X, т.е. это требование означает, что сложно подобрать пароль по его хеш-значению.
  • Свободность от коллизий означает, что вычислительно сложно подобрать такие m1 m2, что H(m1) = H(m2), т.е. когда для разных паролей получается одно и то же хеш-значение.
  • 2(обратно к тексту)Изначально именно так и было сделано в ОС Unix. Когда пользователь подключается к серверу по telnet, то пароль передается открытым текстом на сервер, на сервере пароль складывается с солью, и от этого значения считается хеш, который сравнивается с значением хеша, хранящимся в сервере.




    1.обратноJoshua Wright, Carlos Cid (18. Oct. 2005) An Assessment of the Oracle Password Hashing Algorithm
    2.обратноБрюс Шнайер, Прикладная криптография, Издательство «Триумф» 2003 г.
    3.обратноR. Morris, K. Thompson "Password security: A case history", Communications of ACM, v.22, n. 11, Nov. 1979., pp. 594-597.
    4.обратноЛ. Дж. Хоффман "Современные методы защиты информации"(М.: Сов. радио, 1980).
    5.обратноМарлен Терьо, Аарон Ньюмен «Oracle. Руководство по безопасности», Издательство Лори, 2004 г.
    6.обратноBob Baldwin. (1993, July 9). , Usenet Newsgroup comp.databases.oracle
    7.обратноЖурналы «Конфидент» № 6/97, 3/98.

    1(обратно к тексту)Системы защиты обычно имеют недружественный характер, поэтому здесь следует соблюдать компромисс между строгостью системы и удобством пользователей. Если например, повысить минимальную длину пароля до 20 знаков, следует ожидать, то мониторы пользователей будут увешаны списками паролей, а техподдержка будет перегружена звонками типа "не могу войти в …". В результате, в серьезной и строгой системе информационной безопасности самым слабым звеном окажется человеческий фактор.



    Содержание раздела