Пользователь пока ничего не рассказал о себе

Достижения

Все достижения (1)

Наибольший вклад в теги

Все теги (11)

Лучшие ответы пользователя

Все ответы (10)
  • Криптографический алгоритм шифрования по мастер-паролю

    Carcharodon
    @Carcharodon
    люблю криптографию
    Чем хорош RSA, например, то с ним можно использовать любой «мастер-ключ», так как там открытый и закрытый ключ взаимозависимые, а не как, например, в протоколе Эль-Гамаля.

    Но тут будет проблема. Для программы, которая сама хранит пароли, хранить еще информацию о ключе шифрования ключей (мастер-ключе) — как-то небезопасно.
    Лучше использовать другой подход. А именно стойкую (!) криптографическую хэш-функцию (так проще и информации о мастер-ключе почти не будет в программе) и симметричный алгоритм шифрования (3DES, AES, любой другой, который будет понятен для реализации. Даже ГОСТ28147-89 подойдет. Для всех них в сети много максимально разжеванных алгоритмов).

    Теперь собственно протокол работы программы.

    Шифрование:
    Есть сообщение M, содержащее пользовательский пароль, который необходимо хранить в программе.
    Шифруется оно случайно созданным ключом шифрования K.
    К в свою очередь шифруется ключом шифрования ключей (мастер-ключом).
    Ключ шифрования ключей — пусть будет результат воздействия стойкой криптографической хэш-функции H() на фразу-пароль P.

    Расшифрование:
    Я беру фразу-пароль P.
    Беру от нее хэш H(P).
    Расшифровываю разовый ключ шифрования данных K с помощью H(P) в качестве ключа.
    Расшифровываю с помощью K хранимое сообщение М, содержащее пароль.

    Возможные проблемы:
    стойкость хэш-функции
    равномерное распределение ГПСЧ

    В остальном, будет очень даже увлекательное занятие. Для меня бы точно было таким =)
    А если для хранения данных использовать списки и деревья, то преподаватели будут довольны)))
    Ответ написан
    1 комментарий
  • Какой есть анонимный блокнот для андроид?

    Carcharodon
    @Carcharodon
    люблю криптографию
    "Также хотелось бы получить советы по информационной безопасности при использовании смартфона"


    Минимальное требование - всегда обращайте внимание на требования приложений (к чему они хотят получить доступ): получить приложению того же блокнота доступ к камере - как минимум, подозрительно. Я бы таким приложением не пользовался.

    А вывод пока один: сейчас нет безопасных смартфонов, потому что нет доверия к коду и производителям мобильных ОС и приложений. Хранить конфиденциалку в мобильнике - только на свой страх и риск.
    Шифрование в смартфонах тоже такое шифрование. Гарантии секретности ключа никто дать не может. И чтобы проверить его секретность - тоже либо много ресурсов нужно, либо попросту нельзя (закрытые исходники).
    Вот так вот печально сейчас с информационной безопасностью при использовании смартфонов -_-.
    Ответ написан
    Комментировать
  • Забытый пароль присылают на почту открытым текстом

    Carcharodon
    @Carcharodon
    люблю криптографию
    Если этот сайт еще и не шифрует трафик между собой и Вами, то я бы держался от таких сайтов подальше. В свете всего вышеописанного, даже если применяется шифрование на сервере базы с паролями, а Вам его шлют в открытом виде, ничто не мешает просто получить Ваш новый пароль по пути к Вам.
    Ответ написан
    Комментировать
  • Какие есть крипт сервисы?

    Carcharodon
    @Carcharodon
    люблю криптографию
    Хорошее антивирусное ПО на наличие криптограммы (блока случайных данных) в PE-файле будет ругаться в любом случае. Хотя бы как на "подозрительное" ПО.
    Сокрытие вредоносной нагрузки в исполнительном файле - процесс творческий.
    Сервиса под это дело, признаться, не знаю. И не думаю, что такой в действительности имеется. А если создастся, то антивирусные компании наверняка быстро подготовят сигнатуры на его методику сокрытия и она перестанет быть эффективной.
    Ответ написан
    Комментировать
  • Способы защиты пользовательских данных?

    Carcharodon
    @Carcharodon
    люблю криптографию
    То, что не нужно — не хранить. То, что нужно хранить:
    — шифровать. (как вариант, можно использовать прозрачное шифрование, как в Oracle или MS-SQL — для приложений ничего не изменится).
    — хранить хэши.
    — хранить токены (ссылки) (отдельные таблицы для соответствия (токен-данные), данные которых будут шифроваться).
    Ответ написан
    Комментировать

Лучшие вопросы пользователя

Все вопросы (1)