Szyfr RSA
podbudowy drogowe, chudy beton, budowa dróg, stabilizacja gr


3. Są algorytmy szyfrowania (RSA,DSA,AES, itp...), gdzie złamanie klucza jest niemożliwe
Tu się mylisz. Zawsze, w każdym z tych algorytmów można złamać klucz... Jeden sposób już znasz, drugi to metoda brute-force. Co prawda złamanie niektórych kluczy zajęłoby kilkaset lat najnowszym superkomputerom-klastrom, ale nie można stwierdzić, że jest to niemożliwe. Są projekty zrzeszające użytkowników domowych komputerów, w celu stworzenia gridu i wykorzystania ich mocy obliczeniowej do złamania kodu. Przykład to www.distributed.net/, gdzie przodują Polacy

Opłaca się pisać tylko te elementy, które uważa się, że w stanie obecnym nie pasują lub nie spełniają danych wymagań, lub nie zostały zaimplementowane w środowisku, w którym się tworzy...

ja nie znam do końca zasad szyfrowania RSA czy sygnałów menagera okien, ale też nie potrzebuję tego wiedzieć. Rozwijam tą funkcjonalność, nad którą pracuję... Czasem wystarczy znać ogólne założenia i interface. Oczywiście ma to mnóstwo wad... ale to jest kompromis, nie konsensus.

Dzięki Borek Teraz tylko pozostaje czekać aż ktoś zrobi to pod C++ ;> chyba że ja będę pierwszy muhaha już się biorę do nauki... Udało mi się dll'a do szyfrowania RSA napisać to chyba wywołanie dll'a w c++ nie będzie zbyt trudne, tak myśle


4) Sabistik
oczywiscie ktos wysnifuje twoje haslo i przechwyci np:
login: marcink
haslo: 0ikjn68jh6g7jk97m08k <- juz zakodowane haslo w np md5 (minimum sha1 zalecany)

twoj system otrzyma pare login+haslo i zacznie przetwarzac login + wynik md5(0ikjn68jh6g7jk97m08k)
w wyniku czego otrzymamy nowe haslo np. 8ujh7891nk1289kn1tr7
co nie odpowiada prawdziwej wartosci hasla wpisanego prze zuzytkownika w postaci jawnej, zatem podsluchiwacz ma teraz dwa wyjscia:
- 1 - odgadywac haslo zakodowane w md5 np prze brute force (odsylam wikipedia) co jest wysoce niemozliwe do zrobienia
- 2 - odgadnac inny wyraz ktory daje identyczna wynik po parsowaniu szyfrem md5

o ile pierwsza opcja jest niemozliwa z definicji o tyle druga jak najbardziej co udowodnil chinski wykladowca wykorzystujac birthday efekt poprzez szukanie powtorzen w parze wynikowej (wikipedia birthday effect)

podsumowujac takie rozwiazanie to nie bzdura to standard! w dzisiejszych czasach jelsi ktos nie stosuje kodowania ssl
jesli ktos ma wiecej pytan o bezpieczenstwie chetnie odpowiem

No i dalej pogrążasz się w bzdurze. Nie interesuje mnie co z tym robi twój system po stronie serwera. Ktoś podsłuchuje twoje dane wysłane POSTem/GETem:
login: marcink
haslo: 0ikjn68jh6g7jk97m08k
I w w celu fałszywego logowania wysyłam dokładnie takie dane i zostaje zalogowany bez problemu.

Takie hashowanie nic nie daje. Jeśli chcesz się jakoś zabezpieczyć to zainteresuje sie kryptografia asymetryczną np RSA.

Bezpieczne logowanie bez SSL


niestety nie mogę wykorzystać szyfrowania

... tak to tylko w Erze.

Piszesz że po zalogowaniu coś tam wpisujesz do bazy... tylko, że nie pomyślałeś, że to logowanie idzie niezaszyfrowane poprzez POSTa (lub GETa nie wiem jak u Ciebie). I w bardzo prostu spobób można to podsłuchać najprostszym sniferem.

Aby przed tym się zabezpieczyć proponuję zaszyfrować (przed wysłaniem w JavaScript) haslo (w sumie login też można) jakimś asynchronicznym algorytmem (np: RSA). i zdekodować to po stronie PHP potem dopiero zachaszować... i do bazy.

Cobyś nie wymyślił pamiętaj: Co jedna osoba zakręci, znajdzie się taka, która to potrafi odkręcić. Czyli, że nigdy nie da się stworzyć skryptu, który jest...

... odporny na wszystkie ataki

Po pomyśłnym zakończniu konkursu ogłoszonego przez RSA Security Inc. na łamanie szyfru RC5-64 w grudniu 2002 rozpoczął się nowy konkurs na złamanie RC5-72. Nagroda to 2000 $ dla zwycięzcy i świetna zabawa dla wszystkich. Chcesz się przyłączyć ?


Mogą w nim wziąść udział wszyscy, którzy dysponują komputerami wyposażonymi w CPU i systemy operacyjne wymienione na distributed.net. Jest tam oczywiście też Linux i Windows. O tym jakiego sprzętu i systemów używają uczestnicy możesz zobaczyć na stats.distributed.net

Wśród osób biorących udział w konkursie jest wielu uczestników z Polski - na razie zajmujemy 16 miejsce na świecie. Uczestnicy mogą jednoczyć się w zespoły. Obecnie najliczniejszym i zajmującym najwyższą pozycję wśród zespołów z Polski jest 'RC5 Polish Team' - obecnie miejsce 79 i pnie się do góry .

Więcej informacji na polskiej stronie projektu
rc5.kernelpanic.pl

Zrodlo: hacking.pl




---------------


Zapiszcie sie zarabista zabawa =] Nie da sie tego tak na sztywno wytlumaczyc poczytajcie troche o tym i moze sie zdecydujecie zapisac =] W kazdym razie naprawde swietnie jest sprawdzac codzien rano statystyki swojego teamu i rywalizowac z innymi probojac je wyprzedzic =] Pozatym co ja bede owijal poczytajcie o tym i moze sie zainteresujecie projektem : )


widac gdzies jest jakis blad w sprawdzaniu.. no nic... dobrze ze dziala juz
znalazlem jak narazie jedna prawidlowosc, otoz jak wysylam komus klucz publiczny to w momencie gdy mam wlaczone szyfrowanie owy klucz pojawia sie u rozmowcy jako normalny kod RSA, nie ma roznicy czy rozmowca ma juz moj klucz czy nie. a tak to dziala dobrze

Witam,

mam takie pytanie, w jaki sposób napisać wtyczkę, która (jeśli jest włączona [a właczać ją bedziemy dodatkowym przyciskiem w oknie rozmowy]) szyfruje wiadomość (np z "ala" na <BEGIN_RSA>zaszyfrowana wiadomosc<END_RSA>) i dopiero ją wysyła. Jeśli otrzymamy wiadomość w której są znaczniki <BEGIN_RSA><END_RSA> to czy jest wlaczona czy nie to ja deszyfruje i nam wyświetla, jako odebraną wiadomość. Wtyczka ma działać na protokole GG. Samo szyfrowanie i generowanie kluczy zrobie sam, pytanie jak zrobić resztę. Interesuje mnie napisanie wtyczki w delphi wg SDK dla dephi ;]

Pozdrawiam

Hej,

sklep raczej kiepsko wyszedl bo nie ma nawet porządnego logo i jakiegoś hasełka a to raczej podstawa - "milo by było gdyby się coś świeciło"

co do bezpieczeństwa:
ja akurat kupuje mase rzeczy ... przez internet
i powiem tak ... teoretycznie to w sumie zależy czy potrzebny jest https, ale w praktyce to ufam tylko swojemu bankowi (i jego ssl) sklepy są np bardzo zadowolone z płatności przy odbiorze ... przecież ryzyko płatności elektronicznej występuje i po ich stronie !

a tak z ciekawosci ??? bo to jest dla mnie najbardziej interesujące:
jak chcesz rejestrować użytkowników ??? - nieszyfrowanym mailem w którym wyślesz komuś hasło tymczasowe ???? czy jawnie w .txt ???
czy jednak podpis elektroniczny i szyfrowanie RSA ... 99% internautów nie będzie w stanie technicznie tego dokonać ... poza tym kto w domu posiada czytnik kart z kluczem prywatnym ??? :/ poważnie, jakoś tego nie widzę :/

czyli, albo chcesz obslugiwac 1% potencjalnych klienów albo ich olać i zająć się resztą

pozdrawiam
kshysieq


a czy czasem szyfrowanie wieksze niz 128 lub 256bit (bo nie pamietam ktore, ale chyba 256) nie jest juz od dawna zakazane? 512 i 1024 to juz chyba tylko dla wojska itp ;p
choc sa sajty ktore na tym staly ;]

Szyfrowanie symetryczne >256 bitowe jest po prostu niepotrzebne, złamanie szyfru 128-bitowego jest bardzo czasochłonne i kosztowne (chociaż wykonalne), a złamanie szyfru 256-bitowego jest 2^128 razy trudniejsze.
Co innego szyfrowanie RSA, w tym przypadku chodzi o ilość bitów klucza publicznego będącego iloczynem dwóch liczb pierwszych, uważa się że dopiero klucz 1024-bitowy jest bezpieczny, a można używać nawet 4096 bitowego.

Zakazanie szyfrowania w sieciach komputerowych uniemożliwiłoby korzystanie z bankowości internetowej, robienie bezpiecznych zakupów, tworzenie wirtualnych sieci prywatnych, zdalny dostęp do baz danych etc. , nie tylko przesyłanie tajnych maili i prowadzenie niemożliwych do podsłuchania rozmów (np. przez Skype który wykorzystuje RSA do wymiany jednorazowych kluczy).
Także korzystanie z firmowych laptopów mogłoby być niemożliwe poza firmą, gdyby zakazać szyfrowania danych zawartych na ich dyskach.

Trzeba zwrócić uwagę że USA podsłuchuje całą komunikację przesyłaną kablami podmorskimi przez Atlantyk i wykorzystuje zgromadzone dane dla własnych korzyści finansowych (walka konkurencyjna amerykańskich firm), nie tylko do "wojny z terroryzmem".
Podobno następnym etapem po wygraniu wojny z terroryzmem ma być wojna z tyranią, czyli krajami które wprawdzie nie wspierają terrorystów, ale nie chcą się podporządkować hegemonii USA.



© podbudowy drogowe, chudy beton, budowa dróg, stabilizacja gr design by e-nordstrom