Форум: "Потрепаться";
Текущий архив: 2004.09.26;
Скачать: [xml.tar.bz2];
ВнизХотелось бы узнать прочность защиты данных. Взломайте? Найти похожие ветки
← →
lipskiy © (2004-09-06 16:57) [0]Алгоритм шифрования придумывал сам (лет 5 назад). С тех пор проект живет (http://www.atlant.ru/offline/).
Но хотелось бы все таки выяснить степень сложности взлома.
Надо сказать что желающие взломать были, но результаты мне неизвестны. А поскольку сейчас проект уже устаканился, то теперь факт взлома мне неприятностей не принесет.
Если кому интересно поупражняться - скачайте любую базу, хотя бы эту:
http://www.adlen.ru/cgi-bin/dwnl/download.pl?file=TM_17_04.adb
и попробуйте достать из нее данные (это зашифрованный текстовик).
← →
Рамиль © (2004-09-06 17:01) [1]А алгоритм шифрования где?
← →
lipskiy © (2004-09-06 17:07) [2]Так его и надо вычислить, пока он известен только мне.
Шифрование одностороннее, я зашифровал, опубликовал, моя прога эти файлы дешифрирует и показывает.
Ну если нужна прога - вот она
http://www.adlen.ru/cgi-bin/dnl/download.pl?file=BMViewer4.0.1.alpha.zip
В ней осуществляется декодирование.
← →
Анонимщик © (2004-09-06 17:08) [3]Ты, кажется, тот любитель, который что-то там по модулю делил?
Я взломаю, но что мне за это будет?
← →
mrcat © (2004-09-06 17:09) [4]>Так его и надо вычислить, пока он известен только мне.
- А почему его завут "неуловимый" ?
- Да нафиг он никому не нужен ...
← →
lipskiy © (2004-09-06 17:11) [5]Че-то я не помню чтоб я что-то про модуль говорил...
Да ничего не будет.
Я же говорю - кому интересно поупражняться.
Если неинтересно - просто забейте.
Мне самому интересен результат - насколько сложно взломать.
← →
lipskiy © (2004-09-06 17:12) [6]
> - Да нафиг он никому не нужен ...
Вначале я тоже так думал.
Но точно знаю, что нужен. Поскольку неоднократно меня просят дать формат данных.
← →
mrcat © (2004-09-06 17:12) [7]>lipskiy
Сложность взлома алгоритма может определяться чем угодно, только не его скрытностью
← →
lipskiy © (2004-09-06 17:15) [8]
> Сложность взлома алгоритма может определяться чем угодно,
> только не его скрытностью
Да блин...
Я наверное неверно мысль свою высказал, что-ли...
Есть текстовый файл.
Я хотел, чтобы просматривать его можно было только моим просмотрщиком.
Просмотрщик распространяется бесплатно.
Файлы данных тоже.
Когда я верстаю файлы данных, я их шифрую своим алгоритмом.
В просмотрщик заложен обратный алгоритм.
Все.
Цель моя была - чтобы без моего просмотрщика юзеры не могли смотреть данные.
← →
Serrrrg (2004-09-06 17:17) [9]Безопасность должна базироваться на тайне ключа, а не на тайне алгоритма. Шифрование никому неизвестным алгоритмом априори считается неэффективным.
← →
lipskiy © (2004-09-06 17:20) [10]
> Шифрование никому неизвестным алгоритмом априори считается
> неэффективным.
Я И НЕ СПОРЮ!
Я это прекрасно понимаю и знаю точно что мое шифрование неэффективно.
В данном случае эффективность соответствует необходимой. По большому счету мне пофиг, если смогут смотреть те, кто смогут. Обычные юзер не смогут, а продвинутых значительно меньше, да и цель защиты весьма условная.
← →
lipskiy © (2004-09-06 17:22) [11]Кстати, насчет ключа.
Ключ есть, он имеется в каждом файле и тоже зашифрован.
← →
lipskiy © (2004-09-06 17:31) [12]
> Безопасность должна базироваться на тайне ключа, а не на
> тайне алгоритма
Интересно, как я мог бы применить этот постулат к своей задаче?
Бесплатная программа просматривает бесплатные данные.
Защита только в том, что эти данные можно смотреть только этой программой.
И что мне делать с этим секретным ключом?
Прошивать его в код программы? Чтоб его оттуда сразу отломали?
← →
Анонимщик © (2004-09-06 18:16) [13]А скажи, может ли любой человек иметь исходный текст (какой заблагорассудится) и шифрованный по этому исходному?
← →
Igorek © (2004-09-06 19:02) [14]
> lipskiy © (06.09.04 16:57)
> Если кому интересно поупражняться - скачайте любую базу,
> хотя бы эту:
> http://www.adlen.ru/cgi-bin/dwnl/download.pl?file=TM_17_04.adb
Там есть русские слова?
← →
Serrrrg (2004-09-06 19:26) [15]Вроде RAR-ом сжато. Может и шифрование AES-128? :)
← →
lipskiy © (2004-09-06 21:11) [16]
> А скажи, может ли любой человек иметь исходный текст (какой
> заблагорассудится) и шифрованный по этому исходному?
В принципе да, это не запрещено.
Хотя программа не держит текстовик открытым в файле, но в памяти он есть.
> Там есть русские слова?
Есть, это же просто прайс-листы по Питеру.
> Вроде RAR-ом сжато. Может и шифрование AES-128? :)
Сжато RAR-ом, верно. Шифрование собственное, честно :)
← →
KilkennyCat © (2004-09-06 21:58) [17]Не подумайте чего либо, но... :)
Согласно нашим законом, разработкой а также распространением шифровальных продуктов можно только при наличии лицензии.
В свое время столкнулся... тож с другом разработали, а потом выяснилось, что нужна лицензия, и не только для распространения, н6ои для разработки! Смешно, но факт - решили придумать алгоритм крипто - идите за лицензией. А если он вам вдруг пришел в голову, типа, осенило алгоритмом - нарушили закон.
Вот такие дурацкие законы.
Хотя, это было лет шесть назад, мож, чего изменилось?
← →
lipskiy © (2004-09-06 22:04) [18]Охренеть...
Тогда просьба к модераторам - убить ветку нафиг.
Я никому ничего не говорил.
← →
wl (2004-09-06 22:06) [19]Вряд ли что-то изменилось... просто с одной стороны государство не любит секретов, а с другой стороны, сумев получить лицензию будешь уверен в криптостойкости
← →
wl (2004-09-06 22:07) [20]хотелось бы покопаться в коде... но жалко денег за траффик
← →
Ihor Osov'yak © (2004-09-07 11:02) [21]В общем-то очередной Джо.
А по существу - берем "Просмотрщик", немного приударяем на реверс-инжиниринг - и получаем "cупер-пупер секретный алгоритм".
Кстати - [9] - это мысль не Serrrrg, это сказал кто-то из основателей "научной" криптографии. И сейчас это всеми признаный постулат.
Хотя...
>да и цель защиты весьма условная.
ну, тогда может и поделка сойти.. Но стоило-бы оценить ущерб от того, что какомо-то юному дараванию не влом будет день-два потерять на реверс и написание "лечилки от жадности" c последующей публикацией на каком-то местном варезеном сборнике.
Зы. Когда был молод и глуп, несколько раз баловался похожими вещами - вскрытием "супер-пупер секретных алгоритмов" (с целью исследования, естественнно). Уходило от нескольких часов до нескольких дней.
2 KilkennyCat © (06.09.04 21:58) [17]
Есть такое дело. И довольно во многих странах. В некоторых - только требование лицензирования, в некоторый в дополнение - уголовная ответсвенность за нарушение этого требования.
← →
KilkennyCat © (2004-09-07 11:44) [22]А лицензию не дадут пока не предоставите способ антикрипта вашего алгоритма. Мне отказали именно по этой причине :)
← →
gn © (2004-09-07 13:21) [23]lipskiy ©
сколько платишь за тестирование
gn
cn 1101
← →
lipskiy © (2004-09-07 13:40) [24]
> сколько платишь за тестирование
Нисколько. Читай начало. Я же сказал - кому интерсено поупражняться. Неинтересно - забейте.
> Но стоило-бы оценить ущерб от того, что какомо-то юному
> дараванию не влом будет день-два потерять на реверс и написание
> "лечилки от жадности" c последующей публикацией на каком-то
> местном варезеном сборнике.
Да не будет никакого ущерба. Не тот случай. Я же говорю - бесплатная прога смотрит бесплатные данные. Деньги мне платят просто за поддержку. Если эти прайс-листы вскроют и буду смотреть другой смотрелкой, то никому плохо не будет - прайс-листы то все равно смотреть будут! Никто не пострадает, ни рекламодатель, ни фирма, ни я. Мне только интересно, чтоб хоть кто-то юзал мою прогу, и все.
Так что ломайте наздоровье.
← →
Vovchik_A © (2004-09-07 13:46) [25]2Ihor Osov"yak © (07.09.04 11:02) [21]
Игорь :). Ну сам понимаешь, что когда появляется сообщение, что контора программеров за полгода взломала ключ определенной длины, потратив на это N лимонов мертвых президентов... Сам понимаешь ценность такого открытия.
← →
lipskiy © (2004-09-07 13:50) [26]А есть разница - криптография или формат данных? Я могу сказать что я уменя файлы имеют такой-то свой собственный формат данных. Моя программа умеет смотреть мои файлы. И никакой криптографии. И никакой лицензии не надо. Если только формат данных не надо лицензировать...
← →
stone © (2004-09-07 13:54) [27]
> lipskiy ©
Если бесплатная программа работает с бесплатными данными, зачем нужно шифрование?
← →
Рыба © (2004-09-07 14:09) [28]Чегой-то я не понял... Если ниписал фриварную (или платную) софтину а в ней шифрование алгоритмом собственной выделки то меня посадют или оштрафуют??? У кого-нибудь есть ссылка на статью?
Если так, то действительно. охренеть.
Чем это интересно обосновывается?
← →
Ihor Osov'yak © (2004-09-07 14:32) [29]2 Vovchik_A © (07.09.04 13:46) [25]
Ну я же не о таких случаях рассказывал. То, то чему я проходился - были детские поделки. Наиболее серьезный случай - простое гаммирование. Но я тогда еще не знал, что это простое гаммирование. Правда, повезло, что случайно перед этим полгода назад смотрел какую-то пощнавательную передачу о немецкой шифровальной машинке, клоторую англичане с затопленой то ли подлодки, то ли корабля унесли. Энигмой она там в передаче называлась. Смотрел на эти несколько ассемблерных комманд, и не мог понять, зачем они карусель эту крутят.. А тут вспомнил энигму - и просветление настало.. Потом еще Кнута посмотрел, на тему генерации псевдослучайной последовательности. Точь в точь эти несколько асссемблерных комманд. Тогда и заинтересовался немного "научной" криптографией. После этого тонял бессполезность ломания серьезной криптозащиты. Во всяком случае в условиях, приближенных к "домашним".
Зы - мораль отсюда какова - то, что можно просто рассшифровать - это в большинстве случаев Джо. А серьезные вещи расшифровывать безполезно. Ибо их в большинстве случаев делат проффесионалы (в этом случае явная польза лицензирования - ламерье просто отметается), или хотя бы люди, начинающие работу с чтения книжек по новой тематике.
Зы2. А RSA все же реализацию приходилось писать :-). Давно это было, однако.
← →
Jeer © (2004-09-07 14:32) [30]Рыба © (07.09.04 14:09) [28]
Только в случае коммерческого распространения или для сокрытия финансовой деятельности.
Изобретать и использовать в личных целях не возбраняется.
← →
Vovchik_A © (2004-09-07 14:41) [31]2Ihor Osov"yak © (07.09.04 14:32) [29]
Я к тому, что заломать можно все. Вопрос в команде и финансировании.
← →
Ihor Osov'yak © (2004-09-07 15:12) [32]2 Vovchik_A © (07.09.04 14:41) [31]
Владимир, ты же как банковский работник знаешь, что эффективная защита достигается комплексом мер. И технических, и организационных. Например, если есть мнение, что ключ некой криптозащиты ломается на соизмеримых средствах за 10 дней, то его следует менять, не реже, чем раз в три дня.
← →
Vovchik_A © (2004-09-07 15:49) [33]2Ihor Osov"yak © (07.09.04 15:12) [32]
Ну прям по инструкции "...комплекс организационно-технических мер..." :)).
← →
lipskiy © (2004-09-07 16:12) [34]
> Если бесплатная программа работает с бесплатными данными,
> зачем нужно шифрование?
Я же писал - мне интересно, чтоб моим просмотрщиком пользовались. Если бы я не шифровал, то данные смотрели бы каким нибудь Екселем все.
← →
inic © (2004-09-07 16:15) [35]А саму прогу "Компьютер-бизнес-маркет" ты чтоли сам сотворил ?
Обращаюсь иногда, неплохо.
← →
stone © (2004-09-07 16:26) [36]
> мне интересно, чтоб моим просмотрщиком пользовались
Если он удобный и решает все необходимые задачи, то им и будут пользоваться, особенно, если ты обновляешь данные с необходимой периодичностью, иначе его просто выкинут в корзину, хоть с шифрованием, хоть без.
← →
Ihor Osov'yak © (2004-09-07 16:36) [37]2 [33] Vovchik_A © (07.09.04 15:49)
> Ну прям по инструкции "...комплекс организационно-технических мер..." :)).
ну, дык, когда-то был самим читаемым мною документом. Хотя к службе безопасности прямого отношения не имел. Так, соприкасался. Даже дружил моментами :-).
← →
lipskiy © (2004-09-07 16:52) [38]
> А саму прогу "Компьютер-бизнес-маркет" ты чтоли сам сотворил
> ?
Угу, мое творение. Правда оно мне всегда не очень нравилось...
> > мне интересно, чтоб моим просмотрщиком пользовались
>
> Если он удобный и решает все необходимые задачи, то им и
> будут пользоваться, особенно, если ты обновляешь данные
> с необходимой периодичностью,
Ведь изначально я не могу знать, удобный получится или нет.
А вот что касается регулярности обновления данных - это моя гордость, регулярнее нас уж и нельзя обновляться.
> иначе его просто выкинут в
> корзину, хоть с шифрованием, хоть без.
Но чаще всего бывает промежуточный вариант - что-то нравится, что-то нет.
И потом еще один фактор есть важный - у фирмы существует прямой конкурент, грубо говоря проект-клон, так вот они не прочь воспользоваться нашими данными. А не могут.
← →
lipskiy © (2004-09-07 16:54) [39]Да, и еще один фактор. Если фирма с нами решит порвать - то сильно обломится, поскольку не сможет самомстоятельно создавать файлы данных. А проект уже популярен и переделывать его с нуля никто не станет. А для меня гарантия, что меня не кинут.
← →
Reindeer Moss Eater © (2004-09-07 17:48) [40]. Если фирма с нами решит порвать - то сильно обломится
Так считают девять из десяти программистов, начинающих писать заказное ПО.
Наивно считают.
← →
lipskiy © (2004-09-07 18:22) [41]
> Так считают девять из десяти программистов, начинающих писать
> заказное ПО.
> Наивно считают
Аргументируй.
Попытки вскрыть шифр конкурентом уже были, достоверно известно. Кончились безрезультатно.
← →
Vovchik_A © (2004-09-07 18:28) [42]2lipskiy © (07.09.04 16:54) [39]
Я бы порвал на следующей секунде после такого заявления.
>...переделывать его с нуля никто не станет
Станет. Кто деньги платит, тот и музыку заказывает
← →
Serrrrg (2004-09-07 18:29) [43]
> Vovchik_A © (07.09.04 14:41) [31]
> 2Ihor Osov"yak © (07.09.04 14:32) [29]
> Я к тому, что заломать можно все. Вопрос в команде и финансировании.
Один абсолютно надёжный метод шифрования всё же существует.
"Одноразовые блокноты" называется кацца.
← →
lipskiy © (2004-09-07 18:38) [44]
> Я бы порвал на следующей секунде после такого заявления.
Ха! Кто же делает такое заявление работодателю, я же не лох.
Они об этом, ессно, не знают.
Ессно, порвали бы сразу, как узнали.
Тут кажется и вариантов не бывает, так что не знаю даже зачем ты это сказал.
> >...переделывать его с нуля никто не станет
> Станет. Кто деньги платит, тот и музыку заказывает
Ты плохо представляешь себе механизм работы крупной корпорации.
Мелкие фирмы может и станут.
А такая, для которой я делаю - не станет. Слишком инерционен механиз их работы.
Я же не вообще говорю, я говорю только про свою конкретную ситуацию. Я знаю точно, что не станут.
← →
Vovchik_A © (2004-09-07 18:48) [45]2lipskiy © (07.09.04 18:38) [44]
Работодатель тоже не лох, уверяю тебя, (он просто специалист в другой области) особенно если у него грамотная ИТ-служба есть.
>Тут кажется и вариантов не бывает, так что не знаю даже зачем ты это сказал.
Бывают варианты.
>Ты плохо представляешь себе механизм работы крупной корпорации.
Ты сильно заблуждаешься.
>А такая, для которой я делаю - не станет.
Не надо тешить себя иллюзиями.
← →
gn © (2004-09-07 22:01) [46]ipskiy © (06.09.04 16:57)
ищи идиотов в другом месте
gn
cn 1101
← →
KilkennyCat © (2004-09-07 22:39) [47]Jeer © (07.09.04 14:32) [30]
Насколько я помню, в законе о криптозанятиях ничего не сказано о коммерческом или же собственном использовании. Так же, как и при изготовлении оружия (проектирования) или вирусов. Из процессуальности помнится, что определение "коммерческое" или "для собственного пользования" или "просто так, попробовать" просто влияет на меру наказания. Но не избавляет. Как ни странно, но это - правильно. Закон не должен давать лазеек для ложного трактования. Либо либо.
← →
Reindeer Moss Eater © (2004-09-08 08:55) [48]lipskiy © (07.09.04 18:22) [41]
> Так считают девять из десяти программистов, начинающих писать
> заказное ПО.
> Наивно считают
Аргументируй.
Попытки вскрыть шифр конкурентом уже были, достоверно известно. Кончились безрезультатно.
Я тебе не про твой доморощенный шифр говорил.
А про то, что это миф - будьто бы заказчик ПО попадает в зависимость от разработчика от которой избавиться ему дорогого стоит.
Это называется "переоценить собственную значимость".
← →
Jeer © (2004-09-08 09:47) [49]KilkennyCat © (07.09.04 22:39) [47]
Федеральный закон № 24-ФЗ от 20.02.95 г. «Об информации, информатизации и защите информации».
Статья 22, Раздел 3:
«Риск, связанный с использованием не сертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из не сертифицированной системы, лежит на потребителе информации».
Таким образом, закон недвусмысленно признает правомерность использования не сертифицированных систем.
← →
Jeer © (2004-09-08 09:54) [50]Одна поправка - это для негосударственных служб.
Госслужбы должны использовать только сертифицированные ГосТехКомиссией или ФАПСИ (бывшем) средства криптозащиты.
← →
Reindeer Moss Eater © (2004-09-08 09:59) [51]ГосТехКомиссии было недостаточно.
По крайней мере во времена ФАПСИ.
← →
Jeer © (2004-09-08 10:35) [52]Reindeer Moss Eater © (08.09.04 09:59) [51]
Только для классов защищенности 1А, 1Б и 2Б нужен был сертификат ФАПСИ.
← →
Jeer © (2004-09-08 10:38) [53]А вообще-то, не только на мой взгляд, в вопросах применения средств защиты и криптозащиты информации полно неразберихи и противоречий документов друг другу.
← →
Reindeer Moss Eater © (2004-09-08 10:41) [54]А в каких случаях госпредприятие могло при обмене довольствоваться другими классами?
← →
Jeer © (2004-09-08 11:39) [55]См. документ Гостехкомиссии "КЛАССИФИКАЦИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ И ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ"
Страницы: 1 2 вся ветка
Форум: "Потрепаться";
Текущий архив: 2004.09.26;
Скачать: [xml.tar.bz2];
Память: 0.61 MB
Время: 0.034 c