question about time attack

Alexandros Kosiaris alex at noc.ntua.gr
Fri Oct 14 09:42:17 EEST 2005


Symeonidis Alexandros wrote:
> bori kanis na voithisi ke na mu eksigisi giati o kwdikas:
> 
> int password-check( char *inp, char *pwd){
> oklen = 1;
> if (strlen(inp) != strlen(pwd)) oklen=0;
> for( ok=1, i=0; i < strlen(pwd); ++i)
> if ( inp[i] != pwd[i] )
> ok = ok & 0;
> else
> ok = ok & 1;
> return ok & oklen;
> }
> 
> den dexete time attack, se antithesi me ton:
>
> int password-check( char *inp, char *pwd) {
> if (strlen(inp) != strlen(pwd)) 
		return 0;
/* !!!!!!!!!!!!! ^^^^^^^ !!!!!!!!!!!!!!!!!!!
> for( i=0; i < strlen(pwd); ++i)
> if ( inp[i] != pwd[i] )
> return 0;
> return 1;
> }
> 
> efxaristw ek ton proterwn
> 
> 

Λόγου του παραπάνω στατεμεντ που έχου υπογραμμίσει. Αυτό συμβαίνει εάν
το inp είναι διαφορετικού μεγέθους από το pwd άρα επιστρέφει αμέσως η
συναρτηση. Το αποτέλεσμα είναι οτι εαν τελικά το inp είναι ίδιου
μεγέθους με το pwd η συνάρτηση θα καθυστερήσει λίγο να επιστρέψει που
σου επιτρέπει να μαντέψεις το μέγεθος του pwd. Τώρα πόσο μεγάλη θα είναι
η διαφορά σε ένα συνηθισμένο μηχάνημα των ημερών μας ... θα έλεγα της
τάξης των usec

-- 
Alexandros Kosiaris 	Network Management Center , NTUA
e-mail : alex at noc.ntua.gr
Public Key Fingerprint :
D6B1 0634 BE65 719C 6C95  7492 8201 4B46 C478 F074
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 3166 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20051014/02268c7c/attachment.bin>


More information about the Linux-greek-users mailing list