id: Гость   вход   регистрация
текущее время 22:32 11/12/2019
создать
просмотр
ссылки

Атака на IMAP протокол через SSL


Ребята, задачка не лёгкая, как всегда нужно срочно. Помогите идеями, на вас вся надежда:


Скриншот


Заранее очень благодарна.


Оригинал english:


filehttp://freepdfhosting.com/3489166dd9.pdf


Оригинал русский:


filehttp://freepdfhosting.com/70e65c4987.pdf


 
На страницу: 1, 2 След.
Комментарии
— Лампампулечка (05/01/2011 18:44, исправлен 05/01/2011 18:46)   профиль/связь   <#>
комментариев: 19   документов: 2   редакций: 3

Технион, я там некоторые материалы беру для учёбы, интерфейс сайта на котором всё выкладывают, сделан на четырёх языках. Но только сайт, и не более :-)


Исследовательский Институт Вайцмана, вот там действительно гуру криптографии. Слышала, что они криптографический асимметричный протокол хотели запатентавать в Штатах, так им служба безопасности USA не разобравшись угрозы начали присылать. Оказалось, что его давно использует Пентагон. Был скандал. Но разобравшись, что дело собственно в ключе, извинились.:-)

— unknown (05/01/2011 18:58)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

В каком смысле "дело собственно в ключе"?
— Лампампулечка (05/01/2011 19:30)   профиль/связь   <#>
комментариев: 19   документов: 2   редакций: 3
Эту историю нам рассказывали на вводной лекции по криптографии, что протокол давно считается открытым,и что дело всё в ключах. А точнее в закрытом (секретном) ключе. Может я ошибаюсь, поправьте.
— Migel (05/01/2011 19:39, исправлен 05/01/2011 19:42)   профиль/связь   <#>
комментариев: 90   документов: 0   редакций: 0

Танцы с бубном...


При атаке человек по середине, никакое СВС вам не поможет, и всевозможные добавления амулетов в виде pad тоже.
Другими словами, проще говоря:
допустим есть два адресата, которые никогда не видели друг друга, и которые связываются через канал, который полностью контролируется противником. Тогда чтобы установить связь: нужно обменяться открытыми ключами... вот тут и беда :)


Двойное СВС с одним и тем же ВИ это вообще хит сезона :)


П.с.: терминология ужасает... сами придумывают термины, задачи, далее сами их же и решают? И на этом еще и зарабатывают ?
Воистину... :)

— Лампампулечка (05/01/2011 20:46)   профиль/связь   <#>
комментариев: 19   документов: 2   редакций: 3


Наверное так и есть, дискутировать не могу, только учусь :) Вы практик, вам виднее.
Но я думаю, что-то в этом есть. Bот например по выше найденой мною ссылке http://osvdb.org/3945 Чисто практическая проблема по потере конфеденциальности в SSL при Vaudenay Timing Attack, очень схожа с моей задачкой (судя по техническому описанию). Так там "фиксят" софт "OpenSSL" чтоб решить проблему и делают upgrade.
И тоже всё сопровождается той же ужасной терминологией. В которой я сама пока не очень :) Голова взрывается от всего этого. Хорошо хоть есть этот замечательный форум :-) Спасибо ещё раз.
— Гость (05/01/2011 21:04)   <#>
[off]
Фактически вместо экзамена — личное собеседование с преподавателем, где нужно будет убедить, что решение придумали сами. Всё очень субъективно, но увлечённого и оригинально мыслящего человека можно отличить сразу. Зато человек учится для себя, а не для диплома. Ну а пользу от него будут оценивать по публикациям, а не по оценкам с курсов. Поскольку, это в большей степени будущий теоретик, а не врач или инженер.
Напомнило НМУ.
[/off]

Кстати, использование чужой наработки/идеи с последующем удалением упоминания термина в надежде "не раскопают" считается очень дурным тоном. В научной работе за такое можно получить пожизненный бан в журнале. Это к тому, что в постановке задачи не сказано про "Vaudenay Timing Attack".

P.S.: сложность задач не обязана коррелировать с качеством обучения. Часто бывает обратный эффект: уровень профессуры постыдно низок, а показать "уровень" хочется. Вот тогда они и извращаются: находят чужие сложные задачи, статьи и дают их студентам, а сами лекции по бумажке читают. Могу сказать про свой опыт, правда не в криптографии: нам давали научные статьи с топовых журналов по изучаемой теме и просили предоставить их полный развёрнутый пересказ с детальным воспроизведением матвыкладок. Однако ж это не означало, что квалификация профессуры такова, что она могла читать любую статью и всё там понимать, скорей наоборот: из части изрекаемых перлов на докладах и лекциях было ясно, что плавают в основах. Судя по своему опыту могу ещё добавить, что чем круче (на самом деле) преп, тем проще у него учиться и легче усваивать материал — он умеет объяснять сложные вещи так, что они становятся простыми, лузеры же наоборот объясняют простое через сложное, чтобы хоть как-то прикрыть своё невежество.
— Лампампулечка (05/01/2011 21:07)   профиль/связь   <#>
комментариев: 19   документов: 2   редакций: 3
Вот нашла, протокол из той страшной истории про преследование криптографов, называется RSA. Все вкурсе :-)
http://ru.wikipedia.org/wiki/RSA
А один из его создателей: http://ru.wikipedia.org/wiki/Шамир,_Ади
Главный криптограф Вайцмана. :-)
— Лампампулечка (05/01/2011 21:23)   профиль/связь   <#>
комментариев: 19   документов: 2   редакций: 3



Точно, абсолютно согласна. Надо преподам об этом рассказать :-) :-)
Хотя курс у нас всё равно не детский, переплетающийся с курсом "сложность вычислений".
— unknown (05/01/2011 22:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Совершенно верно. Задачи университета Калифорнии адекватны курсу. Просто кажущийся сложным синтаксис и аппарат представления в заданиях сбивает с толку. А на самом деле этот синтаксис и методы представления придуманы не для запутывания, а для эффективного и простого решения сложных задач. Доказуемая безопасность вся вообще построена на достаточно грубых упрощениях.
— Observer (30/01/2011 16:11)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
Вот reference подбросила, для тех кто плохо вникает :-)

B. Canvel, A. Hiltgen, S. Vaudenay, and M. Vuagnoux. Password interception in a SSL/TLS channel. Advances in Cryptology-
CRYPTO 2003, pages 583–599, 2003.

В нете поискала, есть только статья такая. Может кто знает где взять такую книжку?
Пользуйтесь Яндексом...
filehttp://www.iacr.org/archive/cr.....7290581/27290581.pdf
http://www.mics.org/getDoc.php?docid=449&docnum=1
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3