BSDPORTAL.RU

Уважаемые ГуРу объясните мне пожалуйста следующую цитату с Хендбука.

К сожалению, единственный способ шифрования пароля при появлении UNIX был основан на DES, Data Encryption Standard. Это не было проблемой для пользователей, живущих в США, но поскольку исходный код DES нельзя было экспортировать из США, FreeBSD нашла способ одновременно не нарушать законов США и сохранить совместимость со всеми другими вариантами UNIX, где все еще использовался DES.

Решение было в разделении библиотек шифрования, чтобы пользователи в США могли устанавливать и использовать библиотеки DES, а у остальных пользователей был метод шифрования, разрешенный к экспорту. Так FreeBSD пришла к использованию MD5 в качестве метода шифрования по умолчанию. MD5 считается более безопасным, чем DES, поэтому установка DES рекомендуется в основном из соображений совместимости.

Мне уважаемый препод сказал что MD5 это реализация хеш функции и к шифрованию пароля она не относится. Я блин уже голову сломал. Вопрос: как происходит шифрование пароля (с ДЕС все вроде понятно... кодируем +солт и все) а MD5 как себя ведет в FreeBSD ...??? Если можно ссылочку на подробную документацию(Только ненадо меня отправлять к стандарту RFC 1321 был я там ... ВЫ по русски на пальцах).


И еще где-бы больше информации по Реализации криптографии в FreeBSD достать...???

DES, MD5
TCP Wrappers
KerberosIV
Kerberos5
OpenSSL
VPN через IPsec
OpenSSH

Что в FreeBDS еще есть...???

На пальцах -
когда ты задаешь пользователю пароль, то при помощи md5 (или blowfish, например) создается его хэш, который и хранится в /etc/master.passwd. Когда ты вводишь пароль при входе, то точно также создается хэш, который сравнивается с уже имеющимся.

Спасибо. А про остальные фичи с криптографией поподробнее можно. Какие средцтва криптозащиты можно и использует FreeBSD...??

Информации в Инете по криптографии очень много.
Но видимо есть необходимость несколько расставить все на свои места, ибо в список в первом сообщении напихано все, что, как показалось автору касается криптографии.

Не относится к криптографии вообще ни как - TCP Wrappers. Это просто прослойка между сетевыми сервисами, которые запускаются при помощи inetd. Они могут производить простой контроль доступа на основе хостов (файлы /etc/hosts.allow и /etc/hosts.deny) и писать записи в syslog о запуске соотв. сервиса (или отказе от запуска). Это реализация того, что не реализовано в класическом inetd.
Можно отказаться от inetd и tcpwrappers в пользу более продвинутого xinetd, в потором реализованы эти все функции.

Kerberos - тоже не связан на прямую с криптографией. Это сервер (IV и 5 - это номера не совместимых между собой версий), который служит для аутентификации и авторизации пользователей для использования определенных сервисов. Основан на выдаче т.н. тикетов. После определенной процедуры проверок: является ли пользователь тем, за кого себя выдает (аутентификация) и разрешено ли ему пользоваться данным сервисом (авторизация), процессу выдается тикет, который он "предъявляет" при каждом использовании этого сервиса.

SSL/TLS - крипто прослойки для разных протоколов (наиболее известный - https).
SSH - позволяет прокладывать криптованые тунели для различых сервисов.
(stunnel установит тунелнь при помощи SSL)
IPSec - спецификация security IP. добавляет так называемый ESP (Encapsulating Security Payload) к IP пакетам.

И теперь непосредственно криптография, которую в той или иной степени используют выше назвыные технологии.
Отдельно стоят так называетмые хэш функции. Они используются в криптографических алгоритмах. И позволяют однозначно идентифицировать определенную порцию данных (ну например пароль). Особенность их в том, что по значению этой функции не возможно определить оригинал. Т.е. расшифровка не возможна (так называемое one-way crypting). Благодаря этому MD5 например широко используется для получения контрольной суммы файлов.
По мимо MD5 существуют и другие хэш функции:
MD2
MD4
SHA-1
SHA-224/256/384/512
TIGER-192
RIPE-MD 128/160
WHIRLPOOL

Теперь, сами алгоритмы шифрования бывают симметричные (использзуют один ключ для шифрования/расшифровки) и алгоритмы с открытым ключем.
Симметричные:
DES - устарел абсолютно.
AES (aka Rijndael) - новый стандарт, пришедший на замену DES
Bluefish
IDEA
TripleDES
Twofish
RC2/RC6
Mars, Safer и много много других. Я перечислил только наиболее известные.

Алгоритмов с открытым ключем намного меньше - RSA, DSA и ElGamal. Суть их работы состоит в том, что пользователь имеет два ключа. Одим, секретным, он шифрует свои сообщения. Второй ключ, открытый, он раздает всем, кто хочет прочитать его сообщение для расшифровки. Секретный ключ пользователь хранит в тайне, таким образом никто кроме него не может зашифровать сообщение так, что бы открытый ключ подошел для расшифровки. Это позволяет открытым ключем однозначно идентифицировать автора послания. На последнем факте основана технология электронной подписи.

Большая часть написанного не имеет никакого отношения к FreeBSD, но возможно у людей будет меньше вопросов по этому поводу.
Тому же, кто хочет более детально разобраться именно с криптографией - найдите в Инете FAQ по криптографии.