Как шифровать данные на локальной машине пользователя?

Question

[Akionka]

У меня есть:

• Опенсорс луа скрипт, который выполняется локально на машине пользователя и работает с чувствительными данными (пароли, логины от игровых аккаунтов)
  
• Недавний слив одного из разработчиков скриптов под ту же платформу, что я. (он просто слил jsonы юзеров с паролями в сеть)
  

Как шифровать пароли юзеров так, чтобы их потом можно было расшифровать в исходную строку?
Соль могут украсть (поскольку скрипт опенсорс), динамически как генерировать, а главное - хранить, соль тоже не вариант, алгоритм украдут.

Один из вариантов это шифрование на стороне (сервере), но тут есть две проблемы:

• Скрипт себя никак не окупает и полностью бесплатный, денег на сервер нет
  
• Пользователи вряд-ли доверят шифрованию на стороне.
  

Answer 1

[xmoonlight]

Никак (при такой постановке задачи)

Comments

[Akionka]

А если будет сервер?

[sim3x]

Akionka, Пока у вас возникают такого типа вопросы - вам не нужно писать ничего, что будут использовать реальные люди

Когда у вас будут ответы на все такие вопросы - вы можете предлагать людям свой софт, после того как его отревьювили с десяток известных спецов в области криптографии

[xmoonlight]

Akionka, если будет сервер - у Вас не будут вставать подобного рода вопросы.
Там можно и API сделать, и хеши проверять, и токены выписывать и ещё много чего.

Answer 2

[Довольный Айтишникъ]

Как шифровать пароли юзеров так, чтобы их потом можно было расшифровать в исходную строку?

Пароли не должны расшифровываться, вы должны хранить хеш пароля и от пользователя получать только хеш. Если хеши равны - пароль пользователь ввел верно.

Comments

[Akionka]

Пароли используются для передачи на сервер аутентификации, их нужно передавать именно в виде строчки.

[Довольный Айтишникъ]

Akionka, тогда нигде пароль не хранить, пользователь ввел - вы им авторизовались где надо и забыли этот пароль

[Akionka]

Довольный Жизнью, суть как раз в том, чтобы его запоминать и автоматически вводить при каждом логине.

[Довольный Айтишникъ]

Akionka, ну... тогда хранить зашифрованным на машине пользователя, а в качестве шифра выбрать какой либо параметр привязанный к конкретному железу, к примеру мак адрес или еще чего.

[Akionka]

Довольный Жизнью, в этом и проблема, алгоритм украдут, т.к опенсорс, а другой скрипт-стиллер расшифрует и стянет к себе

[Довольный Айтишникъ]

Akionka, алгоритм утянут, а мак адрес моего компа на котором шифровался пароль как узнают? А для каждой сетевой карты он (теоретически) уникален.

[Akionka]

Довольный Жизнью, на одном компьютере оба скрипта работают, так же как я узнаю мак, так и стиллер его узнает

[Довольный Айтишникъ]

Akionka, в таком случае решения нет, либо закрывать исходник, либо нужен свой сервер для хранения нужных данных

Answer 3

[sim3x]

0. Изучите основы. Для начала вики хотя б
ето позволит не писать вот такую ерунду

Соль могут украсть (поскольку скрипт опенсорс), динамически как генерировать, а главное - хранить, соль тоже не вариант, алгоритм украдут.

1. Найдите признанных лидеров сферы. Они все имеют открытый код btw
2. Почитайте их код
3. Пройдите пару тройку курсов по крипте

Comments

[Akionka]

Может у вас есть стоящие предложения? И в каком конкретно месте в нулевом пункте мною был написан бред?

[sim3x]

Akionka,
Какие вам известны признаки криптостойкой системы?

[Akionka]

sim3x, это тут причем?

[sim3x]

Akionka, Базовая теория. Проходится на 1-2 занятии

[Akionka]

sim3x, и зачем мне эта информация? Хоть криптостойкоя, хоть криптонестойкая, пока вычисления на стороне юзера все украдут

[sim3x]

Akionka,
Без минимальной базы вы не сможете понять советы, которые вам будут давать

Answer 4

[АртемЪ]

Скрипт себя никак не окупает и полностью бесплатный, денег на сервер нет

Нет денег на сервер? Это что так дорого? Или для вас сервер это некая стоечная железка от вендора за 5тыс долларов? В качестве сервера можно использовать старый роутер D-link купленный по случаю на барахолке за 200рублей.

Пользователи вряд-ли доверят шифрованию на стороне.

А пользователям какая печаль? Они вообще каким боком к этому? Они вам сообщили пароль - а уж что вы там с ним делаете они вообще не знают.