Vlákno názorů k článku Hesla SSH klíčů jsou špatně hashovaná, lze je prolomit velmi rychle od Jenda - > šifruje pomocí 256bitového AES s blokovým režimem...
-
Jenda (neregistrovaný)
> šifruje pomocí 256bitového AES s blokovým režimem CTR
Hodilo by se dodat, jakým způsobem chrání proti změnám útočníkem, protože u samotného CTR lze flipnout libovolné bity a nikdo nic nepozná. A už úplně vidím jak někdo vymyslí, jak překlopit nějaký bit v klíči tak, aby podpis vyleakoval jedno z prvočísel. Jednoduchý experiment mi neukázal že by se to nějak kontrolovalo a zdrojáky se mi zkoumat nechce.
-
Ondřej CaletkaZlatý podporovatelŘekl bych, že MAC tam žádný není, takže takovému útoku asi nic nebrání. Nicméně úplně si to praktické provedení nedokážu představit.
-
Dnes už ale není moc důvodů, proč GCM mód nepoužít. Resp. je velmi málo důvodů použít CTR nebo CBC v nových formátech/protokolech.
Jeden útok, který sice neni praktický, ale když už hledáme něco teoretického - možnost bitflipu v klíči by mohla vygenerovat špatné podpisy, které jsou jednodušeji prolomitelné (něco jako invalid curve attacks). Možnost flipnutí bitu na disku většinou značí mnohem větší problém, proto čisto teoretické (ale v nějaké šílené kombinaci např. s rowhammer by to velmi teoreticky šlo).
