Ответы пользователя по тегу Криптография
  • Обеспечивает ли HTTPS полное шифрование и невозможность компрометации данных?

    @rPman
    Хочу напомнить, удостоверяющий центр, выдавший сертификат, способен полностью расшифровать и даже подделать ваш трафик (на сайты, чьи сертификаты он обслуживает). Думать, что удостоверяющие центры не отдают своему государству (а ведь еще есть межгосударственные договоренности, типа не отдашь ключи, 'отключим газ') все необходимые ключи, опрометчиво.
    При условии если приватник он сгенерировал а не пользователь самостоятельно.

    Владелец веб сервера (в т.ч. хостер VPS) так же при желании, способен получить доступ и к расшифрованному трафику, и к данным на диске и оперативной памяти, даже если это kvm/vmware виртуализация, даже если ты запускаешь полностью свою ОС со своим ядром... гипервизор все видит (на аппаратном уровне у intel и amd уже давно есть инструменты для защиты от некоторых атак, но вы уверены что они активированы в гипервизоре вашего хостера?).

    Разработчики программного обеспечения, запущенного на клиенте, при желании могут получить доступ к вашим данным (и это эксплуатируется, за той же майкрософт с самого старта телеметрии замечали и хранение и передачи всех нажатых клавиш, и отправку данных с видеокамеры и прочее прочее). Открытый софт? да, один из аргументов его появления был именно этот момент, но помним, что софт то ты открыл, а вот драйвера... напомнить что производитель материнской платы через efi биос имеет полный доступ к всему что у тебя в ОС происходит. И это я еще молчу про бэкдоры и не закрытые ошибки в легитимном и защищенном софте...

    И на засыпку, производители оборудования, начиная с клавиатуры с мышкой (точнее любой usb), и заканчивая любой pci-e переферией, имеют доступ к данным, с разной степенью полноты, например usb мышка способна подслушивать нажатия клавиш на клавиатуре, подключенной к тому же контроллеру, обычно на материнской плате порты от одного контроллера размещены парами или по 4, а вот pci-e устройства имеют полный доступ даже к оперативной памяти (под вопросом многоядерные сервера, там кажется доступ разделен на группы по физическим процессорам).

    p.s. в наших реалиях доверять приходится слишком многим, и скорее всего выбор у нас как пользователей, только в том, можем ли мы исключить из списка необходимости доверять только некоторых участников, собственно шифрование позволяет хоть немного исключить из этого круга местных провайдеров, оставляя информацию тем кто далеко...
    Ответ написан
    4 комментария
  • Возможно ли идеальное шифрование?

    @rPman
    Для гарантированной доставки сообщений с защитой от прочтения сейчас есть 'квантовое шифрование', которое шифрованием по факту не является, а суть использование особенностей основы нашей реальности (точнее нашего ее понимания через квантовую механику) с возможностью с гарантией детектировать факт подслушивания отсылаемой информации (она дойдет только при условии что никто не слушает и квант с информацией ни с чем не провзаимодействовал).

    На практике, в интернете, защищенным квантовым шифрованием, по этому квантовому каналу передается временный ключ шифрования (канал очень медленный) а сами данные передаются по обычному быстрому каналу, зашифрованные простым и надежным методом xor с этим ключом.
    Ответ написан
    4 комментария
  • Возможно ли на винде написать программу дешифровки?

    @rPman
    Для начала, именно такой функционал уже встроен в операционную систему - штатное шифрование ntfs, доступ к файлам открывается при авторизации пользователем (можно воспользоваться run as ...), из под которого было произведено шифрование. При этом дешифрация происходит исключительно на момент чтения и записи файлов, сами файлы на диске остаются зашифрованными, это происходит прозрачно и автоматически.

    Всю систему шифруют не на уровне файлов а на уровне диска, пароль будет запрошен при старте системы (точнее при монтировании диска) штатный инструментарий windows или сторонние типа veracrypt
    Ответ написан
    Комментировать
  • Лучше купить один асик с большим хешрейтом или несколько с небольшими хешрейтами?

    @rPman
    Помимо простых и явных зарактеристик оборудования для майнинга, таких как мощность и энергопотребление, есть другие, не менее важные но не заметные на первый взгляд - это сложность обслуживания, габариты/масса, шум, ремонтопригодность и т.п.

    Даже если мощность и энергопотребление у одного устройства будет такими же как у других в сумме, нужно представить что будет если железо сломается. Одно устройство после поломки прекратит выдавать всю 'приобретенную мощность' а вот несколько меньших будут ломаться не одновременно, а значит потеря мощности будет только частичной.
    Менее мощные железки имеют дешевле блоки питания, их проще найти (читай быстрее - а с майнерами время = деньги).
    Несколько дешевых железок проще продать по одной чем одну дорогую и большую железку - потенциальных покупателей больше.
    Несколько железок можно разнести по разным помещениям, это кстати тоже одна из форм защиты от рисков - отключат электроэнергию в одном месте, а в другом часть железа будет продолжать работать.

    p.s. текущий момент времени (цена и динамика курса и всей криптоэкономики в целом) наихудший для инвестиций в майнинг (да и вообще в покупку), лучший момент был когда курс биткоина и альтов падал, все пророчили очередную смерть сети и т.п.
    Ответ написан
    Комментировать
  • Как ускорить выборку из базы данных асимметрично зашифрованных данных?

    @rPman
    Так как у тебя сравнение строгое, не нужно дешифровать поле, нужно зашифровать сравниваемое значение. С точки зрения запроса это константа, шифрование пройдет однократно а на поиск будет использоваться индексы.

    Подход шифрования выбран неправильно, вместо шифрования значений, нужно шифровать всю базу данных средствами ос. При запуске базы данных будет требовать пароль, но вся работа будет как не шифрованной базой
    Ответ написан
  • Возможно ли реализовать одноранговый мультиплеер с защитой от жульничества?

    @rPman
    Проблема византийских генералов, решалась в криптовалютах, успешно только с помощью proof of work.

    Все должны следить за всеми. Это значит вычисления должны проводиться у всех участников. Участники должны получать наказание за мошенничество, это и решение и проблема. В игре должно быть некое состояние - множество параметров, описывающих мир и состояние его объектов (координаты, значения, статусы,..). Все участники передают друг другу свои действия, все промаркировано временными метками. Все алгоритмы рассчитаны на постоянную синхронизацию (т.е. все должны принимать решение о том что все участники получили очередную порцию информации и у всех она не противоречива - самая сложная часть в реализации, решая ее в лоб будут страшные лаги).

    Если обнаружено расхождение состояний при минимум двух частниках, то игра заканчивается, при трех и более участников можно считать истинными тех участников, количество одинаковых состояний у которых наибольшее, если это определить нельзя - игра заканчивается, иначе возможно исключение виновников
    Это позволит решить:
    * необходимость бороться с подтасовками (изменение своего баланса)
    * необходимость бороться с клеветой (изменение чужого баланса)

    Проблема слежки за секретными параметрами игроков красиво не решается, решив одну проблему получишь другу. т.е. если информация о координатах и жизни противника секретна, и не передавать ее всем участникам по каким то условиям, то игроки могут жульничать в тот момент, когда их 'не видят'. Это частично решается разработкой алгоритма, который смог бы в автоматическом режиме проверить по истории действий, не было ли жульничества, проведя симуляцию игры при раскрытии этой информации. Например все участники передают всю полноту информации но с задержкой в десятки секунд, таким образом участники все еще смогут сжульничать но в пределах ограничений системы проверки (т.е. игрок не сможет летать пока его никто не видит). Система проверки должна учитывать предельную скорость игрока или даже собранную заранее информацию по карте, в каких местах игрок принципиально может находиться.

    Никакими средствами надежно нельзя будет решить проблему автоматизации. Ее решают статистически (т.е. с некоторой вероятностью ошибки в обе стороны), собирая информацию о типовом поведении игроков, ботов можно выявить по не типичному поведению (есть алгоритмы на основе нейросетей и не только). Дико дорогая операция, эту проблему не могут нормально решить крупные компании, теряя миллионы на читерах.
    Ответ написан
    Комментировать
  • Как правильно получить ЭЦП в ФНС с точки зрения безопасности?

    @rPman
    Это 'беда' во всем мире, власть, даже там где это не нужно стремится сохранить контроль, в т.ч. и сохраняет у себя выданные ключи.

    Не важно, как там дальше работа устроена, систему можно было бы построить таковой, чтобы приватные ключи шифрования никогда не покидали устройство конечного пользователя, но реализовали именно так - ключи шифрования генерирует удостоверяющий центр, хранит их и выдает пользователям. С точки зрения доверия - в этой схеме приходится доверять сотрудникам этого центра.

    p.s. вот увидите, когда наши доблестные разработчики 'государственной криптовалюты' запилят свою систему, они умудрятся сделать бред точно такого же уровня.
    Ответ написан
    3 комментария
  • Реально ПОЛНОдисковое шифрование реализуемо?

    @rPman
    На windows да veracrypt, bitlocker, truecrypt

    на linux с помощью loop-aes, truecrypt или dm-crypt-luks
    Ответ написан
  • Проблема с доступом к интернету при впн?

    @rPman
    Алексей Тутубалин, а без впн-а эти сайты которые надо работают?
    отключив шлюз в настройках vpn твоя машина должна иметь доступ одновременно как к твоей сети (и сети твоего интернета) так и к локальной сети vpn, но! если та сеть требует наличие шлюза чтобы работать с сервисами, доступными только изнутри, то тогда решение будет другим - нужно будет командами route add добавить нужные ip адреса с указанием шлюза организации (и делать это каждый раз после подключения vpn, есть возможность сохранить настройки, но тогда ты к этим сайтам без vpn не пробьешься)

    встречал я такую система авторизации, когда сервис дает доступ организации не по логину и паролю а по подсетям,.. какое то время я ковырялся с роутами но так как сервисы из года в год эти меняли свою структуру (ip адреса туда ксюда гуляли) а сидеть с vpn по дефолту было грустно (ее интернет был ужасным), то я из лени поднимал vpn не на самой своей машине а в виртуалке, в ней поднимал socks-прокси сервер (ssh сервер внутри виртуалки и с локальной машины в ключах ssh подключения -D1080, поднимет сокс прокси локально на порту 1080), настроив его в специальном профиле своего локального браузера (т.е. для работы с нужными сайтами открывал второй браузер с моей окальной прокси к моей же машне где поднят vpn), так проще и удобнее чем ковырять роуты или iptables
    Ответ написан
    6 комментариев
  • Двойная шифровка файла?

    @rPman
    антивирус распознает вирус по сигнатурам, в т.ч. после распаковки/расшифровки, которая так или иначе произойдет перед его выполнением (не уверен на сколько качественно это делают современные антивирусы)

    так что нет, это нисколько не повысит сложность распознавания вируса

    а если это не вирус то причем тут антивирус?
    Ответ написан
    7 комментариев
  • Как создаётся курс биткоина?

    @rPman
    стоимость - вещь абстрактная
    попытка определить какую то формулу в общем случае (для любого товара и времени) заведомо обречено на провал но в частных случаях применяя разные формулы, иногда 'получается'
    так происходит не только с ценой но и многими параметрами, используемыми в экономике, целую наука вокруг этого создана, в которой пытаются с разной степенью безуспешности всем этим рулить.

    Во первых, стоимость состоит как минимум из двух основ - base объект котировки (биткоин) и quote (например usd) - в каких единицах оценивается эта стоимость,и уже на этом этапе начинаются 'проблемы'... например великий пу окончательно съежает с катушек и отдает приказ на прямое (а не просто обстрел на окраинах) наступление на украину, и в результате...., через некоторое время, ценность рубля как денежная единица начинает стремительно падать. Что произойдет с курсом btcrub? правильно оно начнет расти, даже если в btcusd этого роста не будет намечаться (хотя в описанной ситуации думаю отреагируют все, такой граничный пример привел исключительно для демонстрации). Курс какой то одной валюты это совокупное движение сразу всех экономик мира и биткоин уже несколько лет неплохо реагирует на внешнеэкономическую ситуацию в мире (понятно все происходит потому что трейдеры так делают)

    И на этапе определения какой то основы, некой виртуальной валюты, в которой можно было бы оценивать другие валюты, можно уже обломать зубы (а попытки были и продолжаются)

    Во вторых, привычные фиатные валюты, контролируемые центробанками стран, не свободны, их стоимость косвенно, частично и временно, контролируется и манипулируется для и с помощью различных экономических показателей и налогообложение не-/и просто резидентов, которые побегут на рынок покупать/продавать валюту для оплаты налогов.

    Да у биткоин нет центробанка, но есть крупнейшие биржи (что главное их мало) таковыми на текущий момент являются coinbase и binance, оценить кстати их влияние не просто, сами они не отчитываются а по косвенными признакам - это гадание. Тот факт что крупные биржи манипулируют курсом - не подвергается сомнению. Возможно это происходит не постоянно но точно есть. Например крупнейшие сливы или неоправданный кратковременный рост - это как раз манипуляции самими биржами с помощью депозитов их клиентов, которые играют с маржинальной торговлей и бесконечными фьючерсами (тот еще лохотрон), с высокой вероятностью этот процесс - не разовый а непрерывный, и происходит в меньших формах постоянно.

    Тупой пример - вы единственная биржа, к вам пришли клиенты, завели депозиты, открыли позиции купли/продажи и ждут. Каждая позиция клиента это как минимум один стоп ордер (принудительное закрытие маржинальной позиции - маржинкол) а еще сами клиенты по глупости выставляют свои стоп ордера (take profit/stop loss), обозначая свои риск уровни. Биржа имеет полную картину, сколько и какие клиенты, какие объемы на депозитах (а так же историю сделок, по которой можно обучить ИИ для предсказания поведения) и может со 100% точностью сказать, что произойдет если некий крупный клиент пойдет и совершит сделку по купле продаже, какие стоп ордера сработают при изменении курса и может по простой формуле просчитать, сколько заработает или потеряет какой клиент (как изменится депозит когда их сделки исполнятся)... простая математика, биржа берет депозиты клиентов (читай беспроцентный кредит), на эти деньги (они же виртуальные циферки на счетах биржи) совершает сделки для сдвига курса в нужную сторону до нужных уровней таким образом чтобы клиенты в общем потеряли а биржа как трейдер - заработала.

    При необходимости сюда добавляется контроль над пополнениями депозитов (можно придержать deposit и withdraw), плюс фейковый ddos - помогите, нас ддосят, и 100500 клиентов не могут совершать оперативно сделки в самый нужный момент (а минуты тут решают очень многое).

    Ну а самых 'умных' клиентов можно просто вышвырнуть с биржи, закрыв их депозиты (есть такой пример по bitstamp одно времч считал 'самой честной' в сравнени биржей, так нет, тупо у трейдеров отменили сделки, продали купленную ими криптовалюту и вернули оставшиеся деньги в фиате на банковские депозиты, как раз в праздники чтобы официальные разбирательства затянулись на недели, а крипторынок в это время убежит далеко далеко)
    Ответ написан
    2 комментария
  • Как расшифровать шифр Веженера?

    @rPman
    4 символа в ключе - очень мало, это 34 в степени 4 вариантов перебора

    т.е. достаточно написать быструю функцию определения корректности текста (например проверять наличие существующего слова или его части, слоги, предлоги, корни) и прогнать тупым перебором весь диапазон, вызывая эту функцию для каждой комбинации.

    Более умно - воспользоваться знанием количества символов в ключе, т.е. достаточно перебирать по одному символу и рассматривать только 33 варианта но когда от исходного текста видно только каждый 4-тый символ. Т.е. необходимо улучшить функцию определению корректности текста, чтобы она смогла хотя бы дать вероятность того, что вот именно этот символ дает похожий на правду текст (например частоты появления той или иной буквы на определенной позиции плюс длины слов через пробел и т.п.) тогда вместо перебора значений ключа от 1 до 33 нужно определить эти значения в порядок через вероятность быть именно этим символом верным, и начинать перебор со значений с большей вероятностью а значит ответ с высокой вероятностью будет найден в начале перебора а не 33,33,33,33.

    Любые улучшения алгоритма крутятся вокруг каких то знаниях об зашифрованном сообщении.
    Ответ написан
  • Как использовать Linux CryptoAPI из user space без использования libkcapi?

    @rPman
    попробуйте порыться в открытых исходниках
    например github если вас не устраивают готовые исходники модуля ядра

    https://github.com/search?l=C%2B%2B&q=gcm+aes&type...

    (это для c++, выбирайте ниже фильтр по языку)
    Ответ написан
  • Обезопасить свой андроид.7. (стабильность, контрразведка, надежность). Софт?

    @rPman
    Шифрование раздела, если штатно это не поддерживается (ищите в настройках) значит путь вам долгий и тернистый в сторону перепрошивки на что то типа lineageos (лучшая на текущий момент из открытых прошивок)

    Шифрование - это защита от прочтения данных, если незашифрованное устройство попало в руки злоумышленнику (он сможет используя сервисное меню запустить какой-нибудь twrp и скопировать все ваши файлы).

    Так же при включении шифрования от вас потребуется код блокировки (пин, рисунок или пароль) - он обязателен и не должен быть простым, иначе даже полный ламер сможет разблокировать каким нибудь 1111 пином и все прочитать.

    Есть еще куча советов, но они касаются ситуаций вне дефолта, типа вы разрешили отладку по usb (открывает полный доступ к телефону) или по сети без запроса разрешения (сохранили разрешение на доступ с рабочего компа по сети) и т.п.

    Эти очень простые действия значительно усложнят жизнь взломщику, на столько что стоимость доступа к данным может взлететь к небесам, а тут уже работает защита неуловимого джо.
    Ответ написан
    7 комментариев
  • Как обезопасить бухгалтерию работающую с разными банковскими счетами и криптоплагинами?

    @rPman
    Соглашусь со всеми отписавшимися в ответах и комментариях, но все же отвечу одним советом, который возможно в вашем случае может сильно помочь.

    Разделяйте и стандартизируйте все и как можно сильнее. Т.е. буквально, каждая подзадача должна решаться в независимом окружении, в идеале разделять по железу, но это дорого (т.е. грубо говоря ставить по компьютеру на задачу) - работа с банками, работа с почтой, работа с интернетом, работа с клиентом, работа аналитика, работа с отчетами, работа по настройке и администрированию окружения, обеды, туалеты, планерки,.. сядьте и запишите все это на бумажке, вдумчиво, зачем, когда, почему, как.

    Избегайте сборной солянки, не должно быть такого чтобы разные работники у вас работали с разными продуктами, если можно делать в одном. Т.е. если почта то пусть у всех будет один продукт а не десять (потому что каждый привык к своему). Ни в коем случае не должно смешиваться личное и рабочие задачи, я не говорю о запрете, я говорю об разделении и изоляции.

    Самое простое и дешевое решение для изоляции, это виртуализация и сервера терминалов. Поверьте, если вы посадите пользователей лазить в абстрактном интернете на отдельной машине, подключаясь к ней по терминалу (rdp/vnc/..), которое не имеет никакого доступа к вашей локальной сети и машине, то это станет почти непреодолимым препятствием для вирусов любого толка (есть свои ньюансы), причем эти машины могут штатными средствами средств виртуализации автоматически очищаться (сбрасываться на дефолтное состояние, с автоматическими обновлениями по ночам), это будет наилучшим противовирусным и достаточно просто с настройкой.

    Пусть почта и чаты у вас будут в одной песочнице, а открытие вебстраничек и документов, пришедших снаружи, в другой, с закрытым доступом друг к другу не только по файлам но и сеть (одна из причин почему софт должен быть унифицирован, настраивать эти ограничения проще).

    На самом деле вам действительно может понадобиться передача информации между этими зонами, в большинстве случаев с этим может справиться обычный буфер clipboard вашего рабочего места (с оговорками) но всеравно какие то пути передачи информации настраивать придется, так вот, что и куда передавать должно контролироваться, в идеале отделом безопасников, или хотя бы специлизированным софтом (если боитесь утечек секретной информации например), но хотя бы здравым смыслом. Например вам пришла pdf-ка или docx- документ, по почте,.. это уже вектор атаки, и открывать такие документы нужно в изолированной песочнице, но вам же с ними нужно работать, так вот обычно это копирование конкретной информации и вставка в ваши рабочие документы, реже - загрузка этих документов в ваш софт или сохранение, так вот пусть эти файлы копируются управляемо снаружи песочниц (гипервизор обычно имеет доступ к песочницам) таким образом чтобы не создавать общую папку доступную на запись из нескольких.

    То же самое делайте и с другими задачами, пусть они будут максимально разнесены. Я знаю, люди привыкли делать общую файлопомойку, доступную во всей локальной сети без какого то ни было разделения прав, но это первый вектор атаки и огромная дыра для утечки информации. Каждому должно быть доступно ровно столько сколько ему требуется. Не ленитесь, настраивайте и разграничивайте, причем нет ничего постоянного, не получится один раз настроить и потом к этому вопросу не возвращаться, думать и перенастраивать придется (хоть и значительно меньше чем в первый раз), и речь не о знаниях администрирования компьютера, речь об умении формулировать свои задачи, так как если у вас будет администратор, вы точно так же должны все это делать только человеческими словами, общаясь с ним.

    p.s. меня сейчас тут запопсуют, но я повторяю, изоляция песочницами (на базе виртуальных машин и нескольких независимых сегментов сети) не самое верное, но самое простое и дешевое решение, доступное мелким организациям, не готовым платить за готовые ЕРП решения.
    Ответ написан
  • Не удается зайти на сайт госзакупок. В чём причина?

    @rPman
    в сервере/сертификате самого сайта госзакупок
    Ответ написан
    Комментировать
  • Где почитать статьи про безопасную работу/передачу/обмен информацией в интернете?

    @rPman
    Первое и самое главное - для начала определите для себя что такое 'безопасность'! Это комплексное понятие включает в себя не только сетевые протоколы и интерфейс пользователя но и набор правил, которым должны следовать пользователи (та же присловутая бумажка с паролем на мониторе).

    Чтобы передать сообщение от одного пользователя другому, необходимо:
    * первоначальная аутентификация
    Вам нужно как то буковки на экране ассоциировать с конкретным человеком, и это мега проблема, потому как универсального решения не существует, точнее существует - это телефонный номер, именно поэтому современные менеджеры привязывают аккаунт пользователя к номеру телефона. Их нельзя генерировать бесконечно для спама (это стоит какие то деньги для пользователя) и при этом он уже есть почти у каждого человека на планете (кроме совсем уж бедные страны но даже там инфраструктура хоть какая то да есть)

    Соответственно вам нужна инфраструктура (договоры с провайдером, софт и физические сервера либо оплаченные облачные услуги) которая будет обеспечивать аутентификацию по тому же sms. При наличии приложения для телефона некоторые этапы можно пустить но это ненадежно, ибо приложение взламывается. Первоначальную sms выслать придется так или иначе.

    Альтернатива - необходимо чтобы был какой то центр регистрации аккаунтов (если у вас организация - это самый логичный вариант) где кто то самый главный сможет сказать - 'вот этот человек и есть вот эти буковки на экране, я гарантирую'.

    Существует gpg стандарт когда пользователи могут обмениваясь gpg ключами (при личной встрече например, через qr-код) подтверждаю что этот пользователе является тем о чем заявляет. Но как вы понимаете личная встреча все равно нужна. Я не видел ни одного менеджера, где бы этот процесс был как то социализирован, грубо гворя вы бы видели все подтверждения от других пользователей (в виде дерева доверия и подтверждения). Но догадываюсь это было бы слишком сложно для классического пользователя, хотя наиболее верно для децентрализованного месседженера.

    Существуют плагины для различных jabber и почтовых клиентов. Вроде бы был плагин для браузера, который не только управлял этими подписями но и позволял налету расшифровывать сообщения на странице.

    * авторизация
    Это проблема напрямую вытекает из способа первоначальной аутентификации и хранения ее результатов
    Самое простое - парольная, сервер хранит все необходимое для работы, по вводу пароля выдается временный токен приложению и все довольны, приложение по какому то условию удаляет токен и требует повторного ввода пароля. Если вы ратуете за безопасность, вы не должны пользоваться какими то третьими лицами в качестве посредника авторизации (googl/facebook/вася пупкин) это должен быть ваш сервис.
    Если вы храните все необходимые данные (ключи gpg например) локально, вы должны всеравно как то защитить и от доступа третьим лицам, пароль, биометрическая аутентификация (отпечатки пальцев) и т.п. но ц каждого решения есть свой уровень защищенности (стоимость взлома)...

    * Коммуникация и хранение данных
    Все сообщения должны быть как то доставлены. Они должны где то храниться, пока участники не онлайн.
    Если правильно - все должно быть организовано по той же схеме gpg, у пользователей хранятся ключи, а сервер тупо труба для данных и хранит все зашифрованным.

    НО клиенты не хотят заморачиваться с хранениме ключей, они хотят кнопочку нажать и чтобы было хорошо, а значит сервер занимается хранением этих ключей и все шифрование становится абсолютно бессмысленным (кроме собственно низкого уровня, но там ключи шифрования можно выдавать временно как это происходит с https и совсем незаметно для пользователя)

    * Программное обеспечение должно быть адекватным системе безопасности
    Тут очень много нюансов. От кого вы защищаете информацию. Классическая ошибка например - важную информацию нельзя отправлять в сервисы, которые эту информацию могту подглядеть (помнится мастерключ криптовалютного аккаунта какой то мобильный кошелек по привычке отправлял как и любое текстовое сообщение, на сервер гугла по проверке правописания, со всеми вытекающими от сюда последствиями, кто то потерял порядка 80к денег).
    Ответ написан
    Комментировать
  • Как взломать ГПСЧ с числами: 21 ;10; 49; 32...?

    @rPman
    Вам дана последовательность, начните собирать по ней информацию, постройте распределение (может оно не равномерное), вычислите вероятности выше ниже числа, попробуйте доказать гипотезу о зависимости одного числа от предыдущего (на выбор от вашей задачи) и прочее прочее.

    Теория вероятности дает для этого кучу инструментов.
    Ответ написан
    Комментировать
  • Можно ли придумать новый алгоритм более быстрого нахождения нулей в "соли" блока?

    @rPman

    Такое было бы возможно, если бы алгоритм хеширования не был криптостойким (это значит при изменении хотя бы одного бита в исходных данных меняется случайное число битов в хеше, независимо от того, какие именно данные были изменены). Т.е. при разработке криптостойкого алгоритма специально разрабатывают алгоритм, который невозможно вот так 'оптимизировать'.

    Ответ написан
    Комментировать
  • Подскажите крипточат/мессенджер с веб-интерфейсом

    @rPman
    Надежность таких сервисов онлайн под большим вопросом, ведь сам сервис может аудиту выдавать один код а избранным клиентам выдавать код со своими троянами.

    Тут можно говорить только о проверенном десктопном приложении (или даже о сохраненном локально html приложении). Или хотя бы расширение к браузеру.
    Ответ написан