App di crittografia che memorizza la password

Naviga le tue risposte
1

L'app di crittografia che stiamo utilizzando sembra generare lo stesso output per lo stesso input. Questo è male vero? Non sono abbastanza intelligente per capire lo schema in uso però.

L'intestazione di ogni file crittografato ha una stringa chiamata "hexIdentifier" che apparentemente è come l'app memorizza la password (hash?) per i file crittografati generati dall'app. Se utilizziamo la stessa password per file diversi, viene utilizzata la stessa stringa HexIdentifier. Significa che la password è memorizzata nel file in un modo banale che sarebbe facile da ri

L'app è qui: link

    
posta bpqaoozhoohjfpn 02.10.2012 - 22:12
fonte

2 risposte

1

Blowfish ... Mi sento più giovane. Questo è un algoritmo di oltre 15 anni fa, che non è male di per sé, ma l'autore di Blowfish stesso (Bruce Schneier) ha proposto una versione avanzata chiamata Twofish , nel 1998, per la competizione AES. Che il prodotto afferma di essere "l'ultima soluzione di database" ma trascura gli ultimi 15 anni di scienza e tecnologia, tra cui la AES , non è un buon segno.

Se si utilizza la stessa password per file distinti si ottiene lo stesso "identificatore", ma una password diversa produce un identificatore diverso, quindi questo "identificatore" può essere usato per attaccare la password con la condivisione dei costi - in altre parole, un < a href="http://en.wikipedia.org/wiki/Rainbow_table"> tabella arcobaleno . Un utente malintenzionato potrebbe passare attraverso la spesa di creazione del tavolo una volta, poiché potrebbe quindi applicarlo a ogni istanza di un file proveniente da quel prodotto. Questo non è un brutto segno, questo è un segno peggiore.

Niente di tutto ciò significa che la password potrebbe essere estratta banalmente dai file (nessuno di questi esclude neanche questa possibilità), ma è sufficiente raccomandare non utilizzando questo prodotto.

    
risposta data 03.10.2012 - 03:51
fonte
0

Sembra che questo "hexidentifier" sia un semplice hash della password, ed è almeno un punto debole che puoi determinare se diversi file sono stati crittografati con la stessa password. Questo non è necessariamente fatale. La maggior parte degli schemi di crittografia include un "salt" che fa effettivamente parte della password, per impedire la generazione dello stesso file. Anche questo è un punto debole.

In generale, i sistemi di crittografia ad hoc sviluppati da ben intenzionati dilettanti (come me) sono afflitti da questo tipo di debolezze sistemiche. Affermare "1 miliardo di pesci blow bit" sta soffiando fumo. D'altra parte, a meno che non stiate memorizzando segreti nazionali, i vostri dati criptati non saranno mai soggetti al tipo di attacco professionale che potrebbe sfruttare queste debolezze.

    
risposta data 02.10.2012 - 22:20
fonte

Leggi altre domande sui tag

Database di exploit per le vulnerabilità di NVD [chiuso] Come vengono utilizzate le chiavi pubbliche / private nel codice? [chiuso]