Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad
ТУК НЕ СЕ ПРЕДЛАГАТ ХАКЕРСКИ УСЛУГИ ! ×

Avatara

Moderators
  • Content Count

    392
  • Joined

  • Last visited

  • Days Won

    72

Avatara last won the day on September 18

Avatara had the most liked content!

Community Reputation

224 Excellent

About Avatara

  • Rank
    Advanced

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Каква снимка? За JPEG се прави по един начин. За всички други формати е доста различно. Имай в предвид, че не можеш да криеш кой знае колко голям код, защото ще стане лесно за прохващане. Има и още. Какво ще криптираш? Ако е скрипт ... Каква е кодовата таблица? 7 bit? 8Bit? Или UTF? Шифроването е лесно, но дешифрирането .. може да се изненадаш доста неприятно. Пак казвам, че тук съм писал много по темата, а и има безплатна програма, в която има маса шифри и можеш да тестваш. Ето ти нещпо 100% free. Има мошен модул за тестване на различни решения за шфроване. Дерзай. https://www.microsoft.com/store/apps/9PKC8NPBKNBL Това е за Windows 10. Имаш всичко за шифроване по стандартните начини. Първо се запознай с тях. За стеганографията темата е доста серизона. Ще видя какво мога да направя.
  2. Все пак аз да си попитам: Искаме да криптираме? Искаме да скриеме? Искаме да криптираме и да скриеме? Защото това са си три различни неща. Възможно е да скриеме нещо, което е криптирано и като го изведем от контейнера, в който се крие да не става за нищо. D3k4z, това което обсъждаме тук има много общо с другото обсъждане. Пак опираме до контейнери, памет, въвеждане, извеждане и пр.. И защо младите все бела искат да направят? Защо не вземат да направят програмка за обмен на розоводупести амурчета, примерно?
  3. Николчев, Ти ако на приятелката си нямаш вяра, не знам на кого имаш. Ти тази, коятоо наричаш своя приятелка искаш да издъниш, а акакво ни дава гаранция, че утре или вдругиден нас, скромните труженици, няма да издъниш пред официалните институции (я виж с НАП какво стана). Ще ни посочиш с пръст и ще кажеш: Тези ме научиха как през рутера да вляза в компа на кифлата! Те са! Ще ни заклеймиш, значи, като един същий Юда Искариот и ще ни създадеш проблеми (не че и сега си нямаме). То по-добре вместо да се занимаваш с глупости вземи та попрочети какво е това рутер, как рутера работи, какво е TCP/IP и ползва ли го приятелката ти. Четене му е майката и тогава ще да получиш прозрение свише. A Windows-а, приятелю не е какъвто беше, Захитряха гадовете и направиха живота ни тежък. Има и едни отчети, дето казват кой кога къде е влизал и какво е търсил, а я си представи, че приятелката ти вземе та разбере за тях? Знаеш ли ти, млади момко, какво е семеен скандал и на какво е способна една жена, ако разбере, че се съмняваш в нея? С жена на глава се не излиза. Само не се занимавай с жени, защото жените, колите и парите само проблеми създават и от тях иде човешкото страдание. Послушай стареца и наблегни на учебниците.
  4. Здравейте, Ако наистина искате да направите нещо сериозно е добре преди това да се запознаете със стеганографията и как тя функционира. Това, което познавате като Windows 10, няма нищо общо с професионалните версии, а още по-малко с това, което се тества в момента. Дори да направите едно сравнително добро решение, то ще има кратък живот. Това се нарича "процедура на обезсмисляне на атаката". Идеята е следната: Вие желаете да имплементирате зловреден софтуер. За да направите това е нужно да използвате времеви ресур, а също така ще имате и редица амортизационни и експлотационни разходи. Ако динамиката на една система е такава, че изисква ревърс инженерингът да се извършва през много кратки периоди от време, това ще струва по-скъпо от самата система. Яко, а? Съвсем друг въпрос е как системата разпознава дали един код е вирус или не е? Ако бяхте регистриран MIcrosoft разработчик и се бяхте запознали с документацията, кото се предосртавя напълно безплатно (повече от двадесет години Windows е с напълно отворен код, за разлика от Linux, който грижливо крие ядрото си), нямаше как да не знаете, че реално проверката се извършва въз основа на анализ на символни низове. Има и още нещо ... Всички съвременни вируси, които познавате са автоматично генерирани. Софтуерното решение за това бе разработено много отдавна от един колега, който е арменец, но успешно се прилага и до днес (за справка дори Duqu - https://en.wikipedia.org/wiki/Duqu ) бе направен по този начин, независимо от глупостите, които после бяха изписани. Блаженнио са невежите защото тях им се въздава с фурнаджийската лопата. Тази "машина за вируси" все още е достъпна в мрежата и с нейна помощ буквално се правят чудеса (не в Dark Net, a в светлата и изпълнена с ровозодупести херовимчета мрежа). Проблемът при нея (а и при всички вируси) е че те се правят от хора, а това предполага субективизъм (колко научно звучи само, а). Всеки прави нещата според собствените си познания и опит. Хубавото обаче е, че познанията и опита масово се свеждат до програмни езици, базирани на c логика и синтаксис, с всички произтичащи от това последствия (дано дълго да остане така, че конкуренцията е страшно нещо, а монопоът си е жива благодат). Още по-голяма грешкка е, когато някой реши, че ако направи нещо на assembler то ще е с пъти по-ефективно и незабележимо. Много млади програмисти са свършили професионалния си път, благодарение на тази велика заблуда. Когато някой иска да разбере "как да се промъкне по терлици в някоя ОС", е добре първо да се заеме със стеганографията или "прикриването на една информация в друга". Тук имаме различни подходи. Информацията обикновенно се крие в контейнер. Според един колега "контейнерите" биват 20, 40 и 50 футови, но той се занимава с логистика и не пие ракия. Има обаче и друго мнение, към което ние ще се придържаме. Контейнерите могат да бъдат аудио или видеофайлове, текстови файлове (текстова стеганография, която ми е любима, най-вече при т.н. "системи с отворен код", които никой не проверява), използване на цифрови изображения (не само в meta данните, а направо в пикселите на BMP, PNG, GIF и каквото там се сетиш ), пакетна стеганография (инжектиране на зловреден код в TCP/IP пакетите) и пр. и пр.. Хубаво, обаче тези, които противодействат на подобни "решения", не са глупаци и определено се радват на астрономически бюджети (само в САЩ има над три института, всеки един с бюджет, колкото този на България). А ние сме бедни и както се знае хлябът срува скъпо. Та колегите там знаят какво е анализ по празен контейнер, анализ на деформиран контейнер, сравнителен анализ и пр. и пр. и пр.. И една много интересна матиматика знаят гадовете, дето не се учи в университетите. И други неща знаят, то и за това им плащат заплати. Но ... Всеки един себеуважаващ се аналитик (така наричам хакерите) ползва собствена електронна поща, която когато получи цифрово изображение (примерно) не го отваря директно (както правят пощите на лузърите), а предвидливо го мащабира, ротира и пр, про запазване на качеството та да може де що е гадост вътре да бъде изцедена до капка. Това аналитиците са го възприели от онези в институтите. Това го нарича "да ручнеш контейнера". Тези гадове нямат вярва на дефендери, защити и антивирусни, което обаче не им пречи да ги ползват. Ние винаги трябва да се учим от онези, които знаят и могат пповече от нас самите. Ако проявяваш интерес по темата не е зле да се заемеш със задълбочено изучаване на Exchangeable Image File Format (EXIF) и какви прекраснио възможности предоставя това изчадие адово (родено от алчността на маркетолозите) на всеки, който иска да остане незабелязан. Благодарение на EXIF чудеса ще постигнеш по пътя, който си поел, но ... това е само началото. Все пак първо не е зле да се опоотърсиш от редица заблуди, като тази че JPEG е формат на графично изображение, а не начин за компресиране на графична информация, предоставящ ни огромни възможности да се надсмиваме на човешкото невежество. След като преминеш през това начално обучение е време да изучиш що е това аудио и как се ползва целесъобразно за пренос не само на звук. Там ще добиеш сили и самочувствие, но ... Най-важно е да се научиш как да имплементираш код в текстови файлове. Това вече е от сферата на черната магия. При имплементирането на текст в текст никога не бива да забравяш за размера на файла. Когато достигнеш до висините, да направиш проверка като набереш съобщението с обикновен текстови редактор и файла ти е със същата дължина като "обработения" може да ни се обадиш за да те приемем в групата на тези, които пият ракия и не се бръснат редовно. Там ще да те научим що е това пакетна обработка и колко е хубаво да се познават основите на информатиката и числените методи. И тогава ... Няма да има ОС, която да ти се опре. Нека силата бъде с теб. Дерзай и не забравяй, че никога не бива да правиш глупости, защото НПК е нещо сериозно и към него трябва да изпитваме боязън и преклонение.
  5. Само да вметна, Така посочената методика обективно погледнато е "измама", а не процес,при който се постига контрол над профила, в резултат на задълбочено познаване на internet технологиите. Този метод залага на първосигнална реакция. Потребителят САМ предоставя нужната информация, защото е подвведен. Тук става дума по-скоро за психологическа реакция, отколкото за техническо решение.
  6. Само ако ми позволите да вметна. Напълно подкрепям freeman987 за това, което е написал. Ако достъпваш структурата на базата е без значение дали е пълна или празна. Пак повтарям, че тези приложения реализират достъпа на физическо, а не на логическо ниво. Различно е. Ако някой не вярва в това, което пиша да пробва какво се случва когато се ползва FDPhusOracleLink и стандартен Connection на FD. Колкото и да е защитена ORACLE базата, всички записи (records) и полета (fields) стават напълно достъпни за всякакъв род манипулации и дори не се налага да се пише SQL. FDBachMove и всичко отива където му се посочи без един ред код. Забавното e в друг интересен аспект ... Масовата практика е да се използва Apach и естествено Linux, с всички произтичащи от това последици. Когато някой е направил нещо не се знае какво и как точно го е направил. Пример: Де що е Python програмист масово ползва cached-property. Да, но cached-property е изключително опасен код, който може да нанесе щети съизмерими само и единствено с вирус.. Причината за това е, че на практика този код е в състояние да унищожи вътрешното състояние на обекта. Приемам, че @reif позволява да се създаде кеш и че така написаният код изглежда "елегантно", но не го препоръчвам. Ако държите чак толкова да ползвате Python е по-добре да създавате кеш, по добре познатия начин, като използвате dict или друг доказан способ. Истината е, че проблемите с @reif са много стари. Те се знаеха още от времето на проекта Pyramid, но тогава си го знаехме като reify. Трие бази данни на случаен принцип като ламя. Знам, че някой ще каже, че примера няма нищо общо с SQL. Истината е, че има. Има защото и в Linux и в Apach и в SQL и в HTML има куп проблеми и те се дължат на това, че всички те са просто копирани елементи на много по-големи проекти. Да, но едно парче от счупена чаша не прави цяла чаша. Та тези приложения работят само защото има такъв вид слабост, която в програмирането се нарича "политическа грешка". Но .. да се върнем на темата. Подобен род програми (за копиране на съдържание) са безсилни срещу стандартно IntraWeb приложение. Когато се сблъскат с нещо подобно, резултатът е нулев. IntaWeb има своя логика. Тези приложения работят тогава и само тогава, когато web-ресурсите и съпътстващите ги скрипрове са изнесени файлове. Ако обаче този, който е разработвал сървърното решение е решил, че е много по-добре да използва PageProducer или TableProduser, те са неизползваеми. Можете да направите много елементарен експеримент, ако се опитате да свалите нещо от REST-сървър, който ползва PageProducer за всичко, което се достъпва по HTML. На практика ще свали резултатната странница, която няма нищо общо с реалния код. Няма да може и да свали базата, защото просто няма как да получи физически достъп. Проверено. Съвсем друг е проблемът, когато за достъп до СУБД се ползва NetBEUI или SPX. Направих проверка и за двата протокола. Получиха се доста забавни резултати. Между впрочем това дава интересни теми за размисъл.
  7. Цитирам: " ... Интересно ми е как се предобива root достъп през Linux/ADB без да имам директен достъп до телефона." Ако правилно съм те разбрал искаш да получиш административен достъп до ФАЙЛОВАТА СИСТЕМА НА мобилен апарат, но без той да е достъпен физически. Повече от ясно е, че това, което искаш е да получиш ПЪЛЕН ДОСТЪП до МОБИЛЕН ТЕЛЕФОН, като използваш БЕЗЖИЧНИ СРЕДСТВА ЗА КОМУНИКАЦИЯ. При това предполагам, че искаш ДА ИЗБЕГНЕШ ИНСТАЛИРАНЕТО НА КРАЙНО ПРИЛОЖЕНИЕ НА АПАРАТА. Въпросът е как ще се реализира свързването? През 3 или 4 G мрежа? През 5 G мрежа? През WiFi? През Bluetooth (PAN). Това са три различни технологии и съответно програмната реализация се извършва по три различни начина. Да не говорим че при последните две имаме ограничения в дестанцията и екраниращите прегради. Признавам, чистосърдечно, че нямам и най-малка представа как това се прави в Linux. Сигурно има решения, но лично аз не ги познавам. Аз съм стар параноик и не искам да имам проблеми от правно естество. За Windows има три варианта както следва: - Ползваш OneNet или Indy в комбинация с IOUtils (горещо препоръчвам второто решение) за 3G, 4G и 5G технологиите. Нали знаеш как функционира SMS? - За WiFi се ползва модифициран BaaS (да не се бърка с BASS, защото ще стане забавно), а там нямаш никакви проблеми не само за Android, но и за iOS. - За Bluetooth се работи с Tethering, но все пак е добре да знаеш, че ще трябва да си поне на десет метра от телефона и да имаш пряка видимост, макар ... като се замисля, ако знаеш кое как същото решение може да ползваш и за 4G мрежите, но там има специфика. Пак повтарям, че нямам и най-малка представа кое приложение какво прави, но знам кое как се прави. По принцип Android не е нищо повече от деформиран Linux, с всички произтичащи от това последици. Не случайно всеки ден текат актуализации към нещастните потребители. Root базираните OS са си като холандско сирене (лично мнение, но за справка попитай някой от колегите, които ще плащат солени глоби по GDPR). И ... не ми се сърди, но подобни решения някой рядко прави за личния си телефон. Прието е да се включва през USB към работната станция. Това е кабелна връзка. Лично аз така си правя приложенията за Android. Много по-евтино ми излиза, отколкото да минавам през A1, за да ги компилирам и да си правя тестовете. Да не споменавам, че е доста по-бързо. Виж, ако искаш да печелиш пари от Android, като ползваш безжични комуникации, на това мога да те науча. Като начало можeш да се запознаеш с това, което се нарича ТЕХНИЧЕСКА ДОКУМЕНТАЦИЯ: https://developer.android.com/reference/android/net/wifi/package-summary.html Техническата документация е, била е и ще си остане най-полезното четиво. Та в този ред на мисли, предполагам, че знаеш какво е ВЪНЩЕН ДИСК. Представи си, че ВЪНШНИЯТ ДИСК, го включваме не посредством кабел, а посредством WiFi. Ако си включвал мобилен апарат към работна станция на Windows (което може и да не изисква кабел), операционната система най-учитово те пита: "Алооооо. Този. На теб говоря. Да, бе. Ти дето си зада клавиатурата. Това дето го включи за какво ще го ползваш, бе? Снимки ли ще точиш, файлове ли ще обменяш или ще да ръчкаш вътре, заради спорта?" В Windows си пита. За Linux, може и да си мълчи злобно и да се подсмихва. Но по-хубаво е да си направиш нещо твое си. Лично. Добре е като начало да ползва WiFi, за да си го тестваш от съседната стая и да не си зависим от разни оператори, а най-забавно е да видиш как работи като извадиш SIM-картата. Та като пуснеш някое свое приложения използващо WiFi (примерно) и го направиш в пазарен вид (може да добавиш някоя благина), ще те науча как да го продаваш в GooglePlay. Така вместо да се занимаваш с неща, които могат да създадат само проблеми ще се научиш да припечелваш. Много е различно. Съжелявам, че не мога да помогна, но искам много да ти благодаря. Във въпроса си си описал една много интересна идея, която е свързана с реализация на internet радио, но на съвсем различен принцип. Не знам дали си даваш сметка, до какво си се докоснал , но въпросът не е в това да се получи достъп до файловата система. Много по-интересно е да накараме спикера да възпроизвежда audio без да ползваме браузъри или клиентски приложения, като при това апаратът може и да не е включен, но акумулаторната му батерия да е заредена (да си гледал последния филм за Борн). На практика телефонът на клиентите се превръща в радиоприемник, който възпроизвежда това, което искаме. Не, което иска клиента, а това, което на нас лично ни харесва! Това се нарича "система за ранно оповестяване" и повярвай е повече от златна мина. Диамантена е. Е, ... ако се направи за аудио, колко му е за видео. Така де.
  8. Мдаааа .... През "далечната" 2004 година издателство Sams Publishing издава двутомно издание, написано от Хавиер Пачеко и Стийв Тиксейра. През следващата 2005 година София ПРЕС превежда изданието на български език.Та в тази книга има един много интересен абзац, написан от Браян Лонг. Той не просто обяснява какво е това асембли, как се ползва и за какво служи, но и дава един доста интересен пример. В този пример директно е показано какс е дизасемблира ... C# и не само. Разбирате ли за какво говоря? Годината е 2004. Говори се за дизасемблиране на C# (мноооого модерен в момента език). Но там има къде, къде по-забавни текстове, които определено няма да намерите в internet. И ако някой е забравил пак по онова време Windows XP се използваш активно а .NET (мнооооого модерна в момента) си беше нещо съвсем обичайно.
  9. WebCruiser е прекрасен инструмент за анализ на уязвимости. Ако позволите две думи как функционира. Това е типичен web-crowler. Първо "сканира URL адреса и установява къде физически са разположени отделните странници на web-ресурса. Напълно възможно е отделните компоненти да са разположени на различни физически устройства (сървъри с различни IP-адреси). Следващата стъпка е анализ на HTML кодовете (ах, тези браузъри) и извличане на всички препратки към скриптовете. Тук искам да направя малко отклонение. Дори да сте написали index.php (или ASP или нещо подобно) спасение няма, защото скриптовете са ТЕКСТОВИ ФАЙЛОВЕ и като такива могат да бъдат разчетени. След като сте получили съдържанието на скриптовете няма как да не получите и скрипт, посредством който се извършва свързване (connection) със СУБД (базата данни. Всички connection string символни низове следват ЕДИН ОБЩ МОДЕЛ, което ги прави много лесни за анализ (някъде бях аписал, че ще се наричаме "анализатори"). Лично аз горещо ви препоръчвам да се запознаете със техническата документация. Повярвайте тя е невероятен инструмент. Ето ви нагледен пример, колко много може да научите за connection string от напълно ОФИЦИАЛЕН ИЗТОЧНИК (компанията зас тази информация е ORACLE): https://www.connectionstrings.com/mysql/ След като знаете кое какво е имате два варианта: 1. Варианта на начинаещият - проникване в базата посредством използване на SQL 2. Копиране на базата на локално устройство или друг сървър при използване на TCP. Кой от двата варианта е по-добър не мога да кажа. Ако имате голяма СУБД ще трябва да сваляте с месеци, при това следвайки определени процедури за сигурност. Предимството обаче е, че в този случай няма да ви се налага да "хаквате" базата. Трабва ви просто бай-обикновен ТЕКСТОВИ РЕДАКТОР, защото както скриптовете, така и масово използваните бази данни не са нищо повече от ТЕКСТОВИ ФАЙЛОВЕ. За вас е важно съдържанието им, а то се достъпва с обикновен PE2 редактор и може да го четете като роман. Но ... Да видим какво правим, когато имаме голяма база данни. Там е важно да се получи т.н. СХЕМА. И тук може да видите ролята на WebCruiser. На практика той иззема функциите на т.н. "бизнес слой" и анализира структурата на СУБД. От там насетне вие реално виждате всички записи и полета в отделните таблици, от които е изградена базата. Така функционира WebCruiser. Механизмът е изключително ефективен, най-вече поради своята простота. Срещу какво е безсилен? Безсилен е ако позлвате SSQL или други подобни решения. Тогава POST или GET заявките са напълно безполезни. Реално една псевдо SQL заявка ще има вида: "table_name = query1, query2; ... ueryN", а това няма как да се използва за SQL injection. За да ме разберете, ето едно и също нещо записано с SQL и със SSQL: SQL заявка SELECT customer_name FROM customers WHERE (first_name LIKE 'A%') AND (last_name LIKE 'B%') SSQL заявка customer_name: first name = A..; last_name = B.. И при двете заявки искаме от таблицата customer_name да получим списък с лица, чието първо име започва с A, а фамилията започва с B. При SSQL ; e AND, a , e OR. Разликата е очевидна, но във вторият случай SQL инжекциите са невъзможни. Тогава ще се налага да се свали цялата база под форма на архивно копие, но ... Това вече е друга тема. Мисля, че WebCruiser e много силен инструмент за анализ на уязвимостите, при стандартни решения. Въпросът е колко експерти по "индустриално разузнаване" (моля да не се бърка със "икономически шпионаж", защото са много различни) биха използвали SQL инжекция, когато могат да достъпят директно текстовите файлове (достъп на физическо ниво), които на практика са СУБД и да извлекат информация директно без да разполагат с административни привилегии. В този случай е добре да се контролира трафика (входящи и изходящи пакети) за да се установи дали докато ние пазим портите на замъка, информацията не "изтича" през прозорците или директно не се изхвърля от главната кула. Но пак повтарям, че лично на мен WebCruiser ми е много симпатичен. Знаете ли защо ми е симптична? ЗАЩОТО Е WebCruiser ТИПИЧЕН OUT OF BROWSER ПРОДУКТ! Това на мнозина никак няма да се понрави, но е факт. Локално приложение, което е създадено да върши работа, а не web ресурс, който не се знае как работи и какво върши. А ето и как в Русия използват WebCruiser. Мисля, че статията е написана много добре. https://lolzteam.net/threads/153417/
  10. Имам един доста забавен въпрос: Какво знаете за декомпилаторите? Кой е основният програмен език, за разработка на декомпилатори? Кой е програмистът допринесъл най-много за развитието на декомпилиращите програми и кое е най-великото му произведение?
  11. Да възможно е. Тук има цяла тема по въпроса. Просто прегледай форума в раздела "Инструменти". Но не забравяй, че в криптиран вид, кодът е неизползваем. Истинското предизвикателство идва при декриптирането. Съвсем друг е въпросът с т.н. стеганография. Практически към момента подобни неща не се криптират, а се имплементират в TCP пакетите. За съжаление само и единствено един колега от Полша се занимава с този много сериозен проблем. За да ме разбереш масово се използва технология, която силно наподобява до болка познатият ти торент. Файлът се разбива на много малки парченца. Всяко едно от парченцата се изпраща където трябва, а там на место отново се сглобява цялото. Съвсем друг е въпросът с размера както и с преодоляване на спецификата на използваната ОС. В Windows 10 има доста интересни нововъведения и определено много от старите "трикове" не само няма да сработят, но и източникът на подобни неща ще бъде локализиран до 15 минути (визирам сървъра, който ги изпраща). Но, както ти написа Pentester - Всеки код е уникален. Няма решения, което да е актуално за всеки един случай.
  12. Да. Абсолютно си прав. Мисля, че статията е добра за тези, които сега се учат. Те трябва да избягват грешките, които други са допуснали.
  13. За тези, които ползват руски език препоръчвам интересна статия (всъщност са повече от една) по темата: https://habr.com/en/post/148151/ Там има чист PHP код. Лично за мен това е много актуална тема. Защитата от SQL инжекции е сериозен проблем и считам че се нуждае от широко обсъждане.
  14. Още малко информация, защото от две седмици има доста въпроси. 1. Обектно-релационното шифроване е процес, който се различава съществено от описаните в ISO 10116; ISO 9797; ISO 9798-2; ISO-11770-2 и други подобни стандарти. 2. При обектно-релационното шифроване НЯМАМЕ ЕДИН СЕКРЕТЕН КЛЮЧ С ФИКСИРАНА ДЪЛЖИНА. При тази форма на криптиране имаме N на брой секретни ключа (които се наричат "шифровъчни обекти"), като дължината на тези ключове може да бъде както четно, така и нечетно число и не е фиксирана. Тя може да варива от два байта до 2 TByte. 3. При обектно-релационното шифроване дължината на шифровъчните обекти се измерва в боя БИТОВЕ, а не в БРОЙ БАЙТОВЕ. На практика един секретен обект може да се състои от 3, 7 или 11 бита. В този случай дължината е нечетна и не е кратна на 2. 4. В обектно релационното шифроване НЯМАМЕ СИМЕТРИЧНИ И АСИМЕТРИЧНИ МЕТОДИ. Имаме ШИФРОВЪЧЕН МЕХАНИЗЪМ. 5. Шифровъчният механизъм изпълнява следните функции: а) Определя параметрите на процеса на синхронизация и контролира изпълнението на отделните етапи на криптиране и обмен; б) Разбира данните, които подлежат на шифроване на кванти. Всеки един от тези кванти (Ti) е с променлива дължина. Всеки един квант се състои от четен или НЕЧЕТЕН брой битове. в) Формира набор от уникални секретни ключове (K1, K2, K3 ... Kn) за всяка една сесия. Всеки един секретен ключ се състои от четен или нечетен брой битове като за всеки Ki е изпълнено условиято: length (Ki) > length (Ti) Това условие е обвързано с теоремата на Клод Шенон. 6. Шифровъчният механизъм определя по какъв начин ще се извърши криптирането в рамклите на всяка една сесия. 7. Шифровъчният механизъм отговаря за унищожаването на секретните ключове, след приключване на сесията. И за да ме разберете ... Всяко едно изречение се състои от думи, разделени с интервали или знаци. Всяка една дума в изречението може да се разглежда като квант. По дефиниция квантите са най-малката неделима частица. При обектно релационното шифроване за всяка една дума от изречението шифровъчният механизъм формира УНИКАЛЕН СЕКРЕТЕН КЛЮЧ (шифровъчен обект), като дължината на този ключ в БИТОВЕ ЗАДЪЛЖИТЕЛНО Е ПО-ГОЛЯМА ОТ ДЪЛЖИНАТА НА ШИФРОВАНАТА ДУМА (КВАНТА) В БИТОВЕ. В рамките на едно изречение може да имате точно толкова различни форми на шифроване, колкото са думите в него. Ето как изглежда това: T:= T 1 + T2 + T3 + ... + Tn - Tова е изречение в което T1 е първата дума, T2 - втората и т.н.) 😄 = T1 xor K1 - Шифроваме първата дума със секретен ключ, за който е изпълено условието K1 > T1, като използваме сума по модул две (изключващо ИЛИ); С2: = Т2 + К2 - Тук вместо XOR се използва + (побитово събиране); C3:= T3 - K3 - Тук използваме изваждамне. . . . C:= C1 + C2 + C3 + ... + Cn Ето го нашето шифровано (криптирано) изречение. ВАЖНО! В РЕАЛНИЯ ЖИВОТ НЕ ПОЛЗВАМЕ ПРОСТО XOR (ИЗКЛЮЧВАЩО ИЛИ, ИЛИ СУМА ПО МОДУЛ ДВЕ), СЪБИРАНЕ ИЛИ ДРУГА ДИВОТИЯ, А СЕ ИЗПОЛЗВА ДОСТА ПО РАЗЛИЧВН МЕХАНИЗЪМ, КОЙТО НЯМА НИЩО ОБЩО С МАТЕМАТИКАТА, А ОЩЕ ПО-МАЛКО С ФИЗИКАТА. ТОЗИ МЕХАНИЗЪМ Е ДЕТАЙЛНО ОПИСАН В ДОКУМЕНТАЦИЯТА НА ПАТЕНТ 20170034131 - United States Patent and Trademark Office (USPO). ТАЗИ ИНФОРМАЦИЯ НЕ Е СЕКРЕТНА (ЗА РАЗЛИКА ОТ ОБЕМНО МАТРИЧНОТО ШИФРОВАНЕ) И ВСЕКИ ЕДИН МОЖЕ СПОКОЙНО ДА СЕ ЗАПОЗНАЕ С НЕЯ. Сега още нещо, което много държа да бъде правилно разбрано. В обектно-релационното шифроване НЯМА ПУБЛИЧЕН И ЧАСТЕН КЛЮЧ! НЯМА И ПРЕДВАНЕ, ОБМЕН ИЛИ КАКВОТО ТАМ СЕ СЕТИТЕ НА КАКВИТО И ДА БИЛО КЛЮЧЕВЕ! Причината за това е много елементарна. На практика при ПОДАТЕЛЯ и при РЕЦИПИЕНТА (ПОЛУЧАТЕЛЯ) ШИФРОВЪЧНИЯТ МЕХАНИЗМ ФОРМИРА ОГЛЕДАЛНИ КЛЮЧОВЕ В РАМКИТЕ НА РАБОТНАТА СЕСИЯ! Това много просто решение позволява да се елиминира ВСЯКАКВА ФОРМА НА ОБМЕН НА СЕКРЕТНИ КЛЮЧОВЕ! Скоростта на обработка дори в най-елементарната форма на шифроване, която се използва при обектно релационното шифроване без значение дали шифроваме файлове, поточна информация или текст (при, който имаме малък информационен излишък) винаги ще е по-голяма от най-бързите познати към момента алгоритми ПРИ РАВНИ ДРУГИ УСЛОВИЯ! Що се отнася до степента на надеждност ... НА ПРАКТИКА ОБЕКТНО-РЕЛАЦИОННОТО ШИФРОВАНЕ НЕ Е НИЩО ПОВЕЧЕ ОТ ДО БОЛКА ПОЗНАТОТО НА ВСИЧКИ ONE-TIME PAD (OTP) ФОРМА НА ШИФРОВАНЕ, ПРИ КОЯТО СМЕ УСПЕЛИ ДА ГЕНЕРИРАМЕ БЕЗКРАЕН НАБОР ОТ СЕКРЕТНИ КЛЮЧОВЕ И ДА ГИ ГЕНЕРИРАМЕ ДВУСТРАННО БЕЗ ДА СЕ НАЛАГА ДА ИЗВЪРШВАМЕ ОБМЕН ИЛИ ПРЕНОС! Ако някой не знае какво е One-Time Pad алгоритъм нека да прочете написаното във всеки един учебник по криптоанализ. ТОВА Е ЕДИНСТВЕНИЯТ АЛГОРИТЪМ, СПРЯМО КОЙТО НЕ МОЖЕ ДА БЪДЕ ПРИЛОЖЕНА СТАТИСТИЧЕСКА АТАКА, АКО ЩЕ ДА ИЗПОЛЗВАТЕ И МЕГА КВАНТОВ КОМПЮТЪР. Обектно-релационното шифроване е БЪЛГАРСКА РАЗРАБОТКА И ВИНАГИ ЩЕ СИ ОСТАНЕ ТАКАВА (и по патенти и по авторски права и по каквото се сетите). Ако някой Ви каже нещо друго ще му се наложи да се запознае с аргументите на две адвокатски кантори. Според мен тези с химикалките са по-страшни от тези с бухалките. Всички продукти ползващи обектно-релационно шифроване се разпространяват само и единствено с изключителен лиценз по смисъла на чл.31, ал.3 от ЗПРПМ. Ако обаче хората са симпатични ТЕ ГО ПОЛУЧАВАТ БЕЗПЛАТНО, ЗА ДА МОГАТ ДА ГО ТЕСТВАТ. И за да има база за сравнение има тестови модул и възможност за използване на де що е шифровъчен алгоритъм и хеш функция. Важно е всички да са доволни и ако има въпроси те да са правилните. Надявам се да съм бил максимално изчерпателен.
  15. Здравейте, За съжаление е така. Но да не дава Господ, да ги попитате дали са чували за Кнут, Вирт или за Форсайт. Вероятно ще помислят, че това са хип-хоп изпълнители или участници в реалити шоу. Мдааааааа .... живеем в интересни времена, но както е казал Маркс ( който както Vси4ки 3наем е основател на сайта DasKapital.com ). "Програмисти от всички страни .... забавлявайте се." Това важи за системни администратори и не само. Най-често това е за сметка на потребителите, но това вече е сериозна тема.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.