ssh1 (was: cerv adore)

Čtvrtek Únor 28 20:19:31 CET 2002

On Thu, 28 Feb 2002, Jan Houstek wrote:

> Zaslechl jsem, ze existuje zpusob, jak overit proti sobe uzivatele i
> server. Je to zalozene na tom, ze jen opravneny uzivatel a spravny server
> zna heslo. Pritom z te komunikace neni mozne ani hrubou silou to heslo
> zjistit. Nevite nekdo o tom neco blizsiho, jsou nejake implementace?

SRP? Tedy lepe receno, kdyby uzivatel i server znali heslo, tak by meli
"shared secret" a nebyla by v tom zadna velka veda, ale vtip je v tom, jak
dosahnout toho, ze server zna neco, pomoci cehoz muze overit uzivatelovu
identitu, ale neni to "plaintext equivalent" (*) -- cili ten, kdo serveru
ukradne tuto informaci, nemuze vystupovat jako uzivatel, ale pouze jako
server (ve vztahu k danemu uzivateli).

(*) Hashe ve Woknech jsou p.e., takze kdyz je nekomu ukradnete, tak je
nemusite lamat za ucelem zjisteni puvodniho hesla, protoze k uspesnemu
prihlaseni staci znalost toho hashe.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."