20:48
10/2/2014

Maciej Kaczkowski opublikował bardzo przydatną listę dotyczącą tego, w jaki sposób dana aplikacja szyfruje dane użytkownika.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.


16 komentarzy

Dodaj komentarz
  1. Patrzę sobie na listę i na przykład WTW ma podany AES (niby fajnie). Jednak biorąc pod uwagę, że przy starcie nie pyta o żadne hasło, to znaczy, że gdzieś ma klucz zapisany otwartym tekstem. Więc niby AES jest a jakby go nie było…
    Nie żebym specjalnie chciał jechać po WTW (lubię!), tak samo ma pewnie spora część albo i większość pozostałych na liście.

    • http://wiki.wtw.im/wiki/WTW_-_Szyfrowanie – proponuje zapoznać się z tą stroną, wszelkie twoje wątpliwości i pytania zostaną rozwiane :).

    • klucz jest wpisany na stałe w programie, tak jak piszesz – otwartym tekstem (0xac,0xab,0xd3,0x66,0x44,0x21,0x89,0x42… – nie chcę spamować pełnym kluczem, ściągnij sobie recall albo wtw i hexedytorem doczytasz resztę).

      Jeżeli nie zabezpieczysz profilu swoim dodatkowym hasłem to możesz bezproblemowo odzyskać dane użytkownia (hasła, loginy itp) za pomocą powyższego klucza.

    • .. i dodatkowo tak jak również napisałeś. Większość programów ma wpisany na stałe jeden klucz szyfrujący (np Opera do wersji 12.x, Maxthon, Avast itp),

  2. Cytat z tego pana “XOR – proste szyfrowanie za pomocą dodawania, odejmowania, przesunięć bitowych lub algebry boolowskiej”. Jeżeli chodzi o ścisłość to XOR jest logicznym funktorem zdaniotwórczym, a nie szyfrowaniem. Po drugie gdyby użyć tego funktora do szyfrowania, hasło było by prawdziwie losowe, a jego długość (hasła) nie krótsza od szyfrowanego tekstu, to mamy do czynienia z jedynym niemożliwym do “złamania” algorytmem kryptograficznym znanym ludzkości (jest na to nawet dowód matematyczny). Dalej nie czytam :)

    • Zapomniałem o jednorazowości hasła i jego “magazynowaniu”

    • Dzięki za wyjaśnienie.

      Nie napisałem, że XOR to szyfrowanie. XOR to uogólnione oznaczenie kolumny, w opisie użyłem “proste szyfrowanie za pomocą dodawania, odejmowania, przesunięć bitowych lub algebry boolowskiej”. Upraszczając jeszcze bardziej to algorytmy w stylu szyfru Cezara. W ten sposób oznaczyłem wszystkie proste metody “szyfrowania” stosowane w programach. Na tyle proste, że w większości przypadków wystarczy kartka i długopis.

    • @Minus 1 – Algorytm o ktorym mowisz to One Time Pad (OTP)
      Jest jeszcze jeden warunek do spelnienia by miec do czynienia z “idealnym algorytmem szyfrujacym” – jednorazowy klucz.

      Z drugiej strony, czy nie wszystkie blokowe (i nie) algorytmy szyfrowania w pewnym momencie korzystaja z XORa?

    • @Marcin Z – wszystkie z którymi się spotkałem. Podmieniłem identyfikator bo nazwa wprowadzała w błąd.

    • OTP szyfruje tylko tekst (alfabet) dodając modulo 26 jeden znaku tekstu jawnego i jeden znak jednorazowego klucza. Udowodnionym matematycznie ekwiwalentem, jeżeli chodzi o dowolną wartość liczbową (w szczególności wartości jakie może przyjąć bajt) jest właśnie użycie do szyfrowania funktora XOR (jeden znak wiadomości XOR jeden znak jednorazowego klucza). O jednorazowości zapomniałem napisać 9choć pamiętałem) więc po chwili dodałem ten warunek, ale nie doczytałeś przed komentowaniem. pozdr

    • Co do użycia XOR, OTP go nie używa, a całkiem nie tak dawno implementowałem RSA i nie przypominam sobie bym używał tam XOR (jedynie arytmetyka modularna i potęgowanie). Zresztą gdyby się uprzeć to każda operację matematyczną możemy sprowadzić do sekwencji dodawań i przesunięć

  3. Pidgin przechowuje hasła w plain tekscie ale instalując https://code.google.com/p/pidgin-gnome-keyring/ możemy je trzymać gnome-key-ringu

  4. A w pamięci i tak zazwyczaj jest wszystko rozszyfrowane.

  5. Coś z WinSCP nie zgadza się.

    Jak używamy master password to:
    “WinSCP can protect stored passwords by strong AES cipher…”, a nie SIMPLE jak autor napisał.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: