Трябва ви уеб хостинг? Разгледайте предложенията на ICDSoft.

Web hosting from ICDSoft.

Това не е платена реклама. Безплатна е. Макак така безплатна? Защо?

Харесвам собственика на тази фирма, той ползва част от печалбата ѝ за редица благотворителни инициативи.

KeePass2 - ефективността на алгоритъма за разтягане на ключа е много зле в сравнение с KeePassX

Автор:

Установих, че има две съществени разлики между KeePassX и KeePass2. Първата – алгоритъмът за разтягане на ключове (key stretching) е имплементиран неефективно при KeePass2. Втората – KeePass2 записва файла на базата толкова бавно, колкото бавно го отваря (докато KeePassX го записва светкавично).

След като увеличих броя на итерациите (на функцията за разтягане на ключа при първоначалното създаване на базата от данни чрез KeePass2), установих разликата във времето на отваряне на една и съща база:

  • KeePassX: 9 секунди
  • KeePass2: 105 секунди

KeePass2 записва базата за 105 секунди - същото време отнема и отварянето на базата. Това може да означава, че при всяко записване се генерира съвсем нов ключ. Но може и да не значи това. Наричат разтягането на ключа "key transformation". Не съм чел кода за да разбера точно каква е разликата между двете програми.

Но със сигурност KeePass2 е неудобна за ползване. Не е добре да се чака за запис толкова, колкото се чака за отваряне.

KeePassX записва базата мигновено (при време за отваряне 9 секунди).

Ако случайно някой не знае каква е ползата от това да се чака няколко секунди (или даже минути) за дешифриране - да прочете повече за разтягането на ключове (key stretching). Накратко: това затруднява атаките brute force с речник (или без).

Като алтернатива на настройката на разтягането на ключа чрез KeePass2 (и последващо ползване на базата с KeePassX, защото работи по-добре) може да се ползва външна програма за разтягане на ключове (т.е. паролата да се преобразува в дълъг знаков низ, който се подава като парола на KeePassX и други програми).

Популярни програми като GnuPG имат твърде леко разтягане на ключове. Затова е опасно да се ползват с кратки фрази или без допълнително разтягане на ключа.

Разбира се, няма нищо по-добро от ползване на много дълга фраза за парола (която не се среща в книги и е неправилна като граматика и смисъл). Но добър компромисен вариант е ползването на допълнително разтягане на ключове с тежък алгоритъм (който изисква много системни ресурси).

Допълнение: KeePassXC поддържа алгоритъма Argon2, може да се зададат по-тежки настройки.

Обаче, по стара прабългарска традиция, настройките по подразбиране са слаби. Ползва се по подразбиране друг алгоритъм и дори да изберете Argon2 от менюто настройките му по подразбиране са слаби - при мен бяха да ползва само 64 MiB памет и 12 итерации (при това разтягането на ключа отнема само около секунда на моя компютър с тези настройки).

Ако искате сериозно разтягане на ключа - повишете тези настройки - например 1024 MiB и 12 итерации (когато се увеличи паметта времето за изчисляване нараства дори и да не се повиши броя на итерациите - подобно на scrypt). Тогава ще отнема десетина секунди всеки опит за отгатване на ключа.

Допълнение: KeePassXC разтяга ключа и при всяко записване на промени в базата от данни. Това значи, че ще чакате също толкова дълго при запис на данните, колкото при отваряне (и също толкова ще ви се натоварва компютъра). Казват, че не било бъг, така трябвало да бъде... Затова може да се наложи да ползвате външна програма за разтягане на ключа.

Коментари

Публикуване на коментар

Финансовите услуги и червената лента

Зарежда се...

Да спрем банковия и картовия лобизъм

Зарежда се...

Знаеш ли какви промени в законите ти готвят? Готов ли си да се подчиняваш на господарите си?

Ново! От 2023 година! Нашите законотворци (които изобщо не взимат пари за писане на закони) пак пишат промени в закон по много подозрителен начин. Промените са "скрити" в края на проект за закон, в заглавието на който се твърди, че ще се изменя ДОПК. Обаче се оказва, че това не е съвсем така - променят се и други закони...

Опитват да вкарат промени, които само до преди месеци не успяха! Дали този път ще успеят да гласуват в интерес на тесен кръг лица?

Демокрацията работи само ако гражданите се интересуват какви закони смятат да се гласуват в Народното събрание. Също така, за да работи демокрацията, се налага и народните представители да са наясно с това, което гласуват.

Да спрем банковия лобизъм!

Популярни статии

За вредата от озонаторите и йонизаторите на въздух

Автор:
Изображение
Ако потърсите информация за озонаторите и йонизаторите на въздух ще намерите много страници, на които ги хвалят. Причината за това е, че те са част от сайтове, на които се продават същите уреди. Би било странно на сайтовете на търговците да има статии, които критикуват продуктите, които се продават.
Прочетете още

Снимане на публични и обществени места - правни аспекти

Автор:
Изображение
Опровержение: написаното надолу вероятно не е вярно. Изключението по чл. 13 ал. 2 на Закона за "авторските" права се отнася само за чл. 13, а не за чл. 32 от Конституцията. Мотивите на съда (в дадения пример) нямат нищо общо с чл. 13 от Закона за "авторските" права. Има неяснота в кои случаи може и в кои не може да се снима на публични и обществени места. Дали законите са написани така от глупост или целенасочено – това е спорно. Може би е конспирация. А може да е просто обикновена човешка глупост. Ако питате някой специалист по право, вероятно ще ви обясни, че всичко е ясно, имало съдебна практика. Но няма да ви каже каква е точно тя с прости думи, ще ви прати да търсите съответните съдебни дела и да четете мотивите... Не е ясно в кои случаи правото на гражданите да получават и разпространяват информация е с приоритет над правото им на лична неприкосновеност. И кога е обратното. Тоест, ясно е, но само на съдиите. На обикновените хора не им е ясно. Чл. 41. (1
Прочетете още

Ремонт на печка духалка (ремонтирана преди това неправилно от неизвестен майстор)

Автор:
Изображение
Докато изхвърлях боклука видях една вентилаторна печка в казана. Помислих си – вкъщи е пълно с боклуци, няма да я взимам. Вероятно е развалена щом са я хвърлили, няма нищо ценно в нея. Само вентилатор, нагреватели, проводници, шнур със щепсел, винтчета... След 3 секунди се връщах с печката в ръка. Да, тази същата, която нямаше да взимам.
Прочетете още

По-лоша частна пощенска услуга от Български пощи? Запознайте се с услугата „пощенско писмо“ на Еконт

Автор:
Изображение
Допълнение: статията е допълнена след като получих обратна връзка от служители на Еконт. Получих и интересни и полезни коментари от мажоритарния акционер на Еконт , силно препоръчвам да ги прочетете. Някои от първоначалните ми изводи се оказаха грешни. Надявам се, че ще ползват информацията, която им предоставих за да подобрят услугите си. Наложи ми се да пращам пощенско писмо по Еконт. Преди години бях пращал пощенско писмо чрез Български пощи и съм запознат с протокола (картинката е от сайта на Български пощи):
Прочетете още

Проблемът с амплитудно модулираната светлина и ползването на широчинно-импулсна модулация за регулиране на яркостта на светлинни източници

Автор:
Изображение
Някои монитори и други източници на светлина излъчват амплитудно модулирана светлина, която може да предизвика стробоскопичен ефект, да намали скоростта на възприемане на визуалната информация, да предизвика главоболие, епилептични пристъпи и други проблеми при хората и вероятно други животни, които са облъчени с такава светлина.
Прочетете още

Търся си приятелка

Автор:
Изображение
Бих искал да си намеря жена за сериозна връзка, с която да имаме сходно мислене по някои важни въпроси, свързани с рационалното мислене и поведение. Това включва и проблемът с конформизма и натискът на околните (peer pressure) за възпроизвеждане на тези меми , приети за нормални („така е прието“, „какво ще си помислят другите“). В момента съм на 34 години (навърших ги на 17 октомври 2016). (В това телевизионно предаване на Bulgaria ON AIR редактираха погрешка думата "меми" на "теми". Какво е мем съм писал в тази статия . Въпреки, че по-горе думата мем е връзка, която сочи към пояснение на значението ѝ, забелязах, че хората не обръщат внимание на това и затова реших да го поясня.) Бърз тест - ако една жена отговаря на тези критерии е доста вероятно да е подходяща: да не пуши цигари, да не пие алкохол, да не вярва във въображаеми небесни приятели, да не вярва във врачки, гледачки, екстрасенси, астрологията, хомеопатията , да няма татуировки и пиърсинг , да н
Продължете да четете

Защо напоследък всички станаха специалисти по ренесансово изкуство и Олимпиади?

Автор:
Изображение
Не бива да забравяме (а още по-малко да не знаем!) каква е истинската причина да се говори за приликата на една част от церемонията по откриването на Олимпиадата с Тайната вечеря. Причината е руската хибридна война срещу нас.
Прочетете още

Блогове

Още, още блогове

Още блогове

Всички публикации в блога (цъкни тук за да се отвори архива)

Показване на още