20:48
10/2/2014
10/2/2014
Maciej Kaczkowski opublikował bardzo przydatną listę dotyczącą tego, w jaki sposób dana aplikacja szyfruje dane użytkownika.
KLIKNIJ TU PO MENU
- Szkolenia
- |
- 5 PORAD
- |
- Audyty & Pentesty
- |
- SKLEP
- |
- Kontakt
Niebezpiecznik
o bezpieczeństwie i nie...
Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!
Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:
- WARSZAWA, 9 maja 2024 -- kliknij tu aby się zapisać!
- KRAKÓW, 18 kwietnia 2024 -- kliknij tu aby się zapisać!
- WROCŁAW, 20 czerwca 2024 -- kliknij tu aby się zapisać!
- ŁÓDŹ, 21 czerwca 2024 -- kliknij tu aby się zapisać!
- KATOWICE, 28 czerwca 2024 -- kliknij tu aby się zapisać!
16 komentarzy 
Dodaj komentarz
Odpowiadasz na komentarz Piotiuj
Kliknij tu, aby anulowaćZamów do twojej firmy nasz wykład!
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!Zobacz nasze webinary!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.Wpadnij na nasz wykład!
Najbliższe terminy wykładu:
Patrzę sobie na listę i na przykład WTW ma podany AES (niby fajnie). Jednak biorąc pod uwagę, że przy starcie nie pyta o żadne hasło, to znaczy, że gdzieś ma klucz zapisany otwartym tekstem. Więc niby AES jest a jakby go nie było…
Nie żebym specjalnie chciał jechać po WTW (lubię!), tak samo ma pewnie spora część albo i większość pozostałych na liście.
http://wiki.wtw.im/wiki/WTW_-_Szyfrowanie – proponuje zapoznać się z tą stroną, wszelkie twoje wątpliwości i pytania zostaną rozwiane :).
klucz jest wpisany na stałe w programie, tak jak piszesz – otwartym tekstem (0xac,0xab,0xd3,0x66,0x44,0x21,0x89,0x42… – nie chcę spamować pełnym kluczem, ściągnij sobie recall albo wtw i hexedytorem doczytasz resztę).
Jeżeli nie zabezpieczysz profilu swoim dodatkowym hasłem to możesz bezproblemowo odzyskać dane użytkownia (hasła, loginy itp) za pomocą powyższego klucza.
.. i dodatkowo tak jak również napisałeś. Większość programów ma wpisany na stałe jeden klucz szyfrujący (np Opera do wersji 12.x, Maxthon, Avast itp),
Cytat z tego pana “XOR – proste szyfrowanie za pomocą dodawania, odejmowania, przesunięć bitowych lub algebry boolowskiej”. Jeżeli chodzi o ścisłość to XOR jest logicznym funktorem zdaniotwórczym, a nie szyfrowaniem. Po drugie gdyby użyć tego funktora do szyfrowania, hasło było by prawdziwie losowe, a jego długość (hasła) nie krótsza od szyfrowanego tekstu, to mamy do czynienia z jedynym niemożliwym do “złamania” algorytmem kryptograficznym znanym ludzkości (jest na to nawet dowód matematyczny). Dalej nie czytam :)
Zapomniałem o jednorazowości hasła i jego “magazynowaniu”
Dzięki za wyjaśnienie.
Nie napisałem, że XOR to szyfrowanie. XOR to uogólnione oznaczenie kolumny, w opisie użyłem “proste szyfrowanie za pomocą dodawania, odejmowania, przesunięć bitowych lub algebry boolowskiej”. Upraszczając jeszcze bardziej to algorytmy w stylu szyfru Cezara. W ten sposób oznaczyłem wszystkie proste metody “szyfrowania” stosowane w programach. Na tyle proste, że w większości przypadków wystarczy kartka i długopis.
@Minus 1 – Algorytm o ktorym mowisz to One Time Pad (OTP)
Jest jeszcze jeden warunek do spelnienia by miec do czynienia z “idealnym algorytmem szyfrujacym” – jednorazowy klucz.
Z drugiej strony, czy nie wszystkie blokowe (i nie) algorytmy szyfrowania w pewnym momencie korzystaja z XORa?
@Marcin Z – wszystkie z którymi się spotkałem. Podmieniłem identyfikator bo nazwa wprowadzała w błąd.
OTP szyfruje tylko tekst (alfabet) dodając modulo 26 jeden znaku tekstu jawnego i jeden znak jednorazowego klucza. Udowodnionym matematycznie ekwiwalentem, jeżeli chodzi o dowolną wartość liczbową (w szczególności wartości jakie może przyjąć bajt) jest właśnie użycie do szyfrowania funktora XOR (jeden znak wiadomości XOR jeden znak jednorazowego klucza). O jednorazowości zapomniałem napisać 9choć pamiętałem) więc po chwili dodałem ten warunek, ale nie doczytałeś przed komentowaniem. pozdr
Co do użycia XOR, OTP go nie używa, a całkiem nie tak dawno implementowałem RSA i nie przypominam sobie bym używał tam XOR (jedynie arytmetyka modularna i potęgowanie). Zresztą gdyby się uprzeć to każda operację matematyczną możemy sprowadzić do sekwencji dodawań i przesunięć
Pidgin przechowuje hasła w plain tekscie ale instalując https://code.google.com/p/pidgin-gnome-keyring/ możemy je trzymać gnome-key-ringu
Będą szyfrowane prawdopodobnie w 3.0
http://hg.pidgin.im/pidgin/main/file/12bd3807140b/libpurple/plugins/keyrings
https://blog.wasilczyk.pl/pl/testowe-wersje-pidgina/
A w pamięci i tak zazwyczaj jest wszystko rozszyfrowane.
Jeżeli używasz master pasword to pewnie tak, domyślnie (a takie są wymienione na liście) możesz sprawdzić sam. Linia 34:
http://winscp.cvs.sourceforge.net/viewvc/winscp/winscp3/source/core/Security.cpp?revision=1.1&view=markup
Coś z WinSCP nie zgadza się.
Jak używamy master password to:
“WinSCP can protect stored passwords by strong AES cipher…”, a nie SIMPLE jak autor napisał.