发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标  题: 网络安全(19)
发信站: cs3 BBS (Mon Jun 16 13:51:02 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出  处: cs3.xmu.edu.cn

  (9)遗留的安全问题
      尽管使用su不能破坏DES鉴别系统,但仍有几种方法可做到这点.为了通过
  鉴别,你的密钥必须存放在工作站中,这通常在登录时发生,login程序用你的
  口令对你的密钥解码,并存放起来以备使用,由于别人不能对你的密钥解码,因
  而任何人用su命令冒充你都不可能.编辑/etc/passwd文件也不可能对他有什
  么帮助,因为他必须修改存放在YP中的被编码后的密钥.如果你用你的口令登
  录到别人的工作站中,你的密钥就会存放在该工作站中,他们就能用su命令冒
  充你,由于你不可能将你的口令泄露给你不信任的机器,因而这是不可能发生
  的.但在其它机器上的人可以修改login程序将所有口令存放在他能看到的文
  件中.
      由于使用su命令不能破坏DES鉴别系统,也许最容易的方式就是猜出口令,
  因此选择安全的口令对用户是至关重要的.
      另一个最方便的方法就是试图重新执行.因此服务器的放置应在安全的地
  方.
      还有其他打破DES的方法,但都非常困难,需要花费巨型计算机几个月的时
  间来计算.
      还存在有另一个DES不曾考虑的安全问题,就是网络偷听,即使有了DES,也
  不能阻止任何人偷听网络传输的内容.大多数情况下这不是一个大的问题,因
  为网络中传送的大多数内容虽不是不可读的,但要搞清网络中传送的二进制的
  含义却不是一件轻松的工作.对登录来说,由于你希望别人不能通过网络获得
  你的口令,故你传送的是编码后的口令,正如前面所提到的一样,鉴定系统是信
  息交换的关键,网络传输内容被偷听的问题可以在每个具体应用中获得解决.

  (10)性能
      众所周知公共关键字系统的速度是很慢的,但在SUN系统中公共关键字编
  码很少发生,它仅仅发生在每个服务的第一次事务处理时,即使如此,还有缓冲
  区加速编码的进行.当client第一次与服务器接触时,client和服务器都必须
  计算出普通密钥,计算普通密钥的时间主要是计算幂关于M的模,在SUN3系统中
  使用192位模,这需花1秒钟计算普通密钥,也就是说总共需要2秒.因为client
  和服务器都必须计算普通密钥.因此,在client与服务器第一次接触时,必须等
  待这个时间,而且关键字服务器将保存计算的结果,以后就用不着每次都计算
  幂了.
      DES系统最重要的网络服务就是快速安全的NFS,DES鉴别系统,相对于UNIX
  鉴别系统多花的时间就是编码的时间.时间标记和DES块都是64位,在一次RPC
  中平均要进行四次编码操作:client对请求时间标记编码,服务器对它进行解
  码,服务器对时间标记编码,client对它解码.在SUN3系列中对一个块进行编码
  的硬件执行需1毫秒,软件执行需1.2毫秒.这样进行一次RPC调用,若由硬件执
  行需多花2毫秒,若由软件执行需多花5毫秒.进行一次NFS请求大约需20秒,这
  样由DES鉴别会使NFS请求的性能降低10%(假如有编码硬件),25%(假如没有编
  码硬件).这就是DES对网络性能的冲击,事实上并不是所有的文件操作都需通
  过网络,因而DES对系统性能的影响要低得多.另外是否采用DES鉴别系统是任
  选的,因此在需要高速的环境时可以不采用DES鉴别系统.

--
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]