Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad

Recommended Posts

FILE PROTECT SYSTEM

Logo150x150.png.aa42417b90c1f4e66a534304b8b5d84a.png

 

Малко приложение за шифроване на файлове и списъци с файлове.

Поддържа следните шифровъчни алгоритми:

Blowfish
Haval (256 bit, 5 passes)
CAST-128 (CAST-5)
CAST-256 (CAST-6)
Data Encryption Standard (DES)
Triple DES (3DES)
Information Concealment Engine (ICE)
Information Concealment Engine 2 (ICE-2)
International Data Encryption Algorithm (IDEA) – Утвърден европейски стандарт - ISO
MARS (IBM)
ICE Encrypt
MISTY-1 (Mitsubishi Improved Security Technology) - https://tools.ietf.org/html/rfc2994
Ron’s Code 2 or Rivest’s Cipher 2 (RC-2)
Ron’s Code 4 or Rivest’s Cipher 4 (RC-4)
Ron’s Code 5 or Rivest’s Cipher 5 (RC-5)
Ron’s Code 6 or Rivest’s Cipher 6 (RC-6)
Advanced Encryption Standard (AES or Rijndael)
Serpent
Tiny Encryption Algorithm (TEA)
Twofish

Виж:

http://www.iso-register.com/0002.pdf  

http://webarchive.loc.gov/all/20110608230908/http://domino.research.ibm.com/comm/research_projects.nsf/pages/security.mars.html )

 

Забележка: В безплатната версия са ограничени до 12, но най-силните са достъпни.

Поддържа следните хеш функции:

Message Digest 4 (MD-4)
Message Digest 5 (MD-5)
RACE Integrity Primitives Evaluation Message Digest (RIPEMD-128)
RACE Integrity Primitives Evaluation Message Digest (RIPEMD-160)
Secure Hash Algorithm 1 (SHA-1) - https://tools.ietf.org/html/rfc3174
SHA-256 (SHA-2 family) - https://tools.ietf.org/html/rfc4509   ;  https://tools.ietf.org/html/rfc5702 
SHA-256 (SHA-2 family)

 

Ако ползвате Windows 10 може да изтеглите инсталационен пакет от Microsoft Store (напълно безплатно е).

https://www.microsoft.com/en-us/p/file-protect-system/9pkc8npbknbl#

 

Ако обаче искате да го ползвате на по-стара версия на Windows или на флашка е по-добре да използвате този инсталационен пакет:

fps.exe

Този пакет за сега не е публично достъпен, защото не може да се контролира разпространението му. Публикувам го за тестове.

 

Вътре има специализиран панел за провеждане на сравнителни тестове.

Може да комбинирате различни шифри и хеш функции и да сравнявате производителността на алгоритмите.

Пак повтарям, че се предоставя само и единствено за провеждане на тестове.

 

Само да помоля да се ползва разумно. Все пак шифрова файловете.

Не е кой знае какво но може и да свърши някаква работа. Ако имате въпроси питайте.

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Здравей, искам да попитам за програма която да decrypting cipher  например този текст -->  zjii hfxj tfs mwkj qlwqejh nv vmj ywddzflh nd xfzvmjijwhjl  <--

Благодаря предварително !

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Криптоанализът е нещо различно. Преди всичко трябва да се познават алгоритмите, които се използват, а след това има различни подходи.

За всеки един алгоритъм се използва различен подход, но за някои алгоритми все още няма решение.

За да се разбере добре това е нужно да се запознаете с това как функционират едни от най-често използваните алгоритми.

 

Pic_008.png.43aeb3a7781a9efa62c210e9d4c7064d.png

 

Ако ползваш Windows 10 може да си изтеглиш инсталационен пакет от адрес:

https://www.microsoft.com/en-us/p/file-protect-system/9pkc8npbknbl?activetab=pivot:overviewtab#

За всички останали версии на Windows:

Запиши текста в текстови файл и си поиграй с възможните комбинации. Едва ли ще успееш да дешифрираш нещо, но поне ще добиеш представа как се случват нещата.

 

 

 

 

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Поздравления Аватаре, ;)

Хайде и версия следваща поне с PKCS 1.5 функций.

- генерация на рандъм елемент - с движение на мишката примерно да не се отплесваш в някое PRNG.

- генерация на RSA ключове.

- подписване на критираните данни.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Благодаря.

Хората дори с това се оправят доста трудно. Сложно им е. На много не може да обясним а какво служи хеш функцията и защо въобще я има. 

По принцип в тази версия се ползват стандартни алгоритми. 

С генерация на уникални RSA ключове се справяме някак, но при ORE има какво да се прави. Там е доста сложно.

А за подписване си имаме съвсем друг модул. Мисля, че някъде тук бях публикувал нещо по темата. Трябва все пак да проверя дали беше тук или на друго място.

Там има супер мощни функции за JPEG. Трябва да видя къде съм го заровил.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Голяма благодарност за препоръките.

В следващата версия ще има подписване и автоматична генерация на ключове. Идеята е твоя и авторското право ти принадлежи. Много, много благодаря.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

 

Ако ми позволите ще пусна още малко информация за FPS.

Този път ще споделя за проблемите с версията на български език и най вече с това, което се нарича GDPR ...

 

Предполагам, че помните, че реално идеята за това приложение се зароди тук в този форум и (признавам съвсем чистосърдечно) много от участниците тук дадоха изключително ценни идеи. В един момент приложението започна да добива облик, но мисля, че все пак е нужно да се направят няколко уточнения.

File Protect System е локално, а не сървърно приложение и към момента се предлага само и единствено за OS Windows.

Повярвайте причините за това не са технически, а имат чисто юридически характер.

Моля да ме извините за това, че ще си позволя да пиша като адвокат, но темата наистина е важна и ми струва доста време и усилия да се справя с някои тезиси, които и до сега не разбирам достатъчно добре (но за това има адвокати, нали).

 

Нека започнем с основното ...

 

В Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) е обнародван в Официален вестник на Европейския съюз на 4 май 2016 г., са посочени и конкретни технически и организационни мерки за сигурност, като:

- Псевдонимизация;
- Криптиране;
- Гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
- Своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
- Редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки и др.

Забележка: Цитирал съм наименованието на GDPR, така както е записано официално. Съгласете се, че само изчитането на тази дефиниция може да предизвика главоболие.

 

Естествено възниква въпросът: Как технически да реализираме това?

Да добавим, че в Законът има ясно дефинирани изисквания заложени в чл. 32 и чл. 17 от Регламента.

Когато става дума за закони нещата добиват различни измерения. На практика трябваше да се съобразим са следните изисквания:

 

Псевдонимизация

Решението бе да се  използват идентификационни номера (User ID), което гарантира абсолютна анонимност, на крайните потребители. 

 

Криптиране на базата данни (чл. 32 параграф 1а)

Най-доброто решение бе да се предостави на потребителите възможност за избор на шифровъчен алгоритъм. Потребителите могат да направят избор в зависимост от конкретните нужди и изисквания за степента на защита на личните данни. Друг важен момент бе, че в голямата си чатс, счетоводните кантори ползват локални бази данни (понякога просто файлове), и нямат специализирани сървъри. Да не споменавам, че счетоводителите, ТРЗ и адвокатите не са криптоаналитици и техническите им познания са ограничени.

Всеки един от използваните в приложението стандартни шифровъчни алгоритми е утвърден в рамките на Cryptographic Module Validation Program (CMVP) на NIST. Все пак има редица нормативни актове, както и изисквания на ISO/IES 27000, които са действащи.

 

Своевременна техническа поддръжка с гарантирана устойчивост и наличност (чл. 32 параграф 1б)

Освен това имаме и гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване

Както при изпълнение на базовите функции, така и при съхраняване на системните настройки, приложението използва вътрешен протокол за сигурност и система за оперативен контрол на процесите в реално време. Решението бе оперативни отчети на процесите и вътрешни протоколи за сигурност в рамките на работната сесия.

 

Защитено архивиране и автоматично възстановяване на базата данни (чл. 32 параграф 1в)

Това означава, че се изисква своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент. Решихме да включим такава функция в пакетния режим. Не просто архивиране, а защитени архиви.

 

Процес по редовен GDPR одит на софтуера, съхраняващ лични данни (чл. 32 параграф 1г)

Това изисква редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки

Най-добре е потребителят да може да тества избраният алгоритъм и да прецени дали отговаря на изискванията му. Всеки има свои изисквания. Също така е добре одиторите е да могат да проверят дали наистина всичко работи така, както е документирано.

 

Функционалност за заличаване на лични данни при поискване (съгласно чл. 17 „Право да бъдеш забравен”)

при локалните данни е доста специфична. Все пак дори след форматиране информацията може да бъде възстановена. Да не говорим, че техническите средства могат да бъдат конфискувани или откраднати. Съвсем друг е въпросът, че потребителят може да унищожи данни по невнимание. Решението бе два различни начина на изтриване.

 

Да се направи приложение не е трудно. Много по-сериозно предизвикателство е да се създаде нужната техническа документация и тя да е разбираема а потребителите. Тук става страшно. В крайна сметка решихме  помощната информация да бъде във формат html и да може да се чете добре и на мобилно устройство.

Както виждате до тук нито дума за програмиране (а знаете, че точно програмирането ми е любима тема).  

Въпросът с електронната поща се оказа още по-труден за решаване, но това е друга тема.

Проблемът е, че шифроването (криптирането) на файлове, шифроването на текст и шифроването на поточна информация са три различни процеса и се реализират по различен начин. Всеки процес има специфика и ако не се съобразим с това може да се допусне сериозна грешка.

 

Крайният резултата от всичко до тук може да се види на следния адрес: http://g-92.com/FPS/BG/

 

Моля да не ме съдите строго, но пък ще се радвам на всяка препоръка.

Приложението е със седем дневен тестови период. Ако все пак ви е интересно и ви върши някаква работа просто ме информирайте, като ми кажете първите шест символа на потребителския номер, за да мога да ви изпратя активиращ ключ. все пак не забравяйте да ми изпратите заявка.

Оригиналната версия е на английски език. Все пак всеки има различни предпочитания.

Признавам чистосърдечно, че нормативните и юридически въпроси се оказаха доста сериозно препятствие. В много от текстовете има неясноти и противоречия, но пък има и такива които са кристално ясни.

Ще се радвам ако съм бил полезен. Просто исках да спомена опит.

Ако имате някакви въпроси ще се радвам да отговоря. 

Пак повтарям, че това не е най-доброто, но върши някаква работа. Ако не друго може да си шифровате файлове и папки и ли да видите с кой алгоритъм става най-бързо.

 

 

 

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Здравейте,

Сега малко информация как да използваме FPS за обмен на шифровани съобщения. 

Ако трябва да бъда искрен, в тази му версия (LE-3.1.1.4.) не предлага много добри възможности. В тази версия се ползва публичен mail-сървър, което си има както предимства така и недостатъци.

Реално модулът ползва някаква алтернатива на BeMail. Много е орязана като функционалност, но върши работа.

 

Mobile_008.thumb.png.bbf71c5f81c7a1aef06209645b2604e0.png

 

Пощенският клиент си е локален и шифроването се извършва на работната станция. Ако имате няколко прикачени файла всеки може да е шифрован с различен алгоритъм и парола (или без парола) и да е подписан с различен хеш. Вие си решавате. 

Що се отнася до самото текстово съобщение там е различно. В тази версия шифроването е калпаво (признавам си чистосърдечно). Въпреки това се оказа доста добро за стандартен криптоанализ. Но в крайна сметка идеята на версия LE е обмен на шифровани файлове, а не месенджъри и супер защитени текстови съобщения, а и не е нужно.

Ако някой има желание може да се пробва. В горното изображение е шифрования текст, а в това долу е дешифрирания текст. Повече от очевидно е, че е в UTF-8, а се знае, че това се избягва, когато се шифрова текст, но все пак реших да опитам с нещо просто но различно .

 

Mobile_007.thumb.png.1a7b653701b53fac8cde5b2595cd3af5.png

 

Настройките на пощата (онези, които би следвало да гарантират защитен обемен, визирам сървъра) са си въведени. Просто трябва да си регистрирате акаунт в Outlook (безплатен е) и да укажете, че искате да ползвате външен клиент (вижте системните настройки, а и е доста добре описано в помощната информация на outlook). Ако някой иска за GMail, Yahoo, abv.bg, Mail.ru или друга поща нека ми пише. Има за всички. Лично аз обаче предпочитам да ползвам многоканалните анонимни пощи, но това е друга тема.

Mobile_003.thumb.png.cb4ea8962e2b5f2e0ee8212224ff9b0f.png

 

Ако имате въпроси, не се притеснявайте да питате. Ако имате предложения, ще се радвам да ги обсъдим. Пак повтарям, че много от нещата, които са направени се дължат на съвети, получени в този форум.

 

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Здравейте,

Имам молба. Колегите (които са много по млади от мен и са много по-симпатични) се опитват да направят помощна информация към приложението.

На мен лично много ми харесва, как се справят, но повярвайте ще се радвам ако чуя и различно мнение. Признавам, чистосърдечно, че web-програмирането не е моя силна страна.

Ето върху какво работят. 

http://g-92.com/FPS-LE/BG/Help/help_001a.html

 

Ще се радвам на всяка препоръка. Благодаря ви предварително.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

При мейловете може да помислиш и за една уникална функция:

- Юзера да си подържа листа с TRUSTED лист с контакти

- И Уникалното е да може да се слага "FOR YOUR EYES ONLY" флаг на майла. (Да се избягва изпращането на  грешни адреси или не от листа или не за всички от листа).

- SELF DESTRUCT TIMER също може да се сложи.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Искам да направя само малка забележка. Мисля, че ще е добре някъде да се напише, че **Опцията за шифроване на папки и файлове шифрова файловете в папките, не самите папки**. По-незапознатите кат мен ще си помислят, че могат да криптират цели папки :D

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Огромни благодарности за направените препоръки.

Задължително ще бъдат използвани. 

Memwarrior, не знам как да ти се отблагодаря. Идеите ти не са апросто "добри" те са повече от "МНОГО, АМА МНОГО ДОБРИ". Наистина към момента не съм срещал нещо, като това, което предлагаш. В момента в който се реализира (надявам се това да бъе максимално бързо, ще може да го тестваш.

Не знам как ще се отблагодарявам. Наистина съм Ви безкрайно благодарен.

 

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Здравейте,

Когато кажа, че всички направени предложения в този форум се взимат под внимание, можете да бъдете убедени, че това наистина е така. Ето въ първите елементи от новият работен проект, в който се вижда реализация на две от направените приложения.

 

I. FOR YOUR EYES ONLY (благодарности на memwarrior)

Само за лица, които имат право на достъп до определена информация. Работният екип нарича това Daka Case (Чанти за данни). Нали сте виждали къфарчетата със защитни ключалки?

 

Pic_003.png.ce9da9e5002cc6fd2bc19b0c1ccf0afa.png

 

II. SELF DESTRUCT TIMER (още веднъж благодарности на memwarrior)

Малко го разширихме. А защо да не направим така, че всеки един процес да може да бъде стартиран след определено време или циклично изпълняван, Да кажем на всеки 15 минути автоматично да се генерират резервни копия, а през определени интервали да с извършва премахване на зададена информация. Все пак каквото и да си говорим FPS може да работи и като типичен шейдър на файлове.

 

Pic_004.png.b61e6cacebfe352ff87599c0cd7934a0.png

 

Повярвайте, че ако обединим усилия и има конструктивна критика, чудеса може да направим.

Още веднъж благодаря за всяко едно предложение.

Забравих най-важното ...

Има сериозни промени в документацията. Ясно се описва, че се шифроват файловете в папките (благодарности на scotrod).

При шифроване на папка (реално) имаме промени само в пътя, но не и в съдържанието, а FPS си е Strong Encryption System. За справка позиция 17 ...

https://www.geckoandfly.com/4594/free-windows-xp-password-protect-folder-software/

 

 

 

 

 

 

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Идея за Corporate Version:

- Проблема при корпорацийте е опазването на паролите при симетричните алгоритми. Още повече паролите не са работа на счетоводството например да ги помнят, и ако ги помнят същия отдел от съседния град има друга парола и мазалото е на лице.

-На AES-а може да се направи WHITEBOX container. Потребителя да може да шифрира и дешифрира без да знае паролата.

за инфо; https://eprint.iacr.org/2013/104.pdf

 

... а и между другото не видях MIME Encode/Decode или BASE64. 

 

 

Редактирано от memwarrior

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Текстовите съобщения си имат автоматично шифроване. Там има нещо, което може да се нарече модифицирана версия на Encode/Decode Base64. 

Освен него се ползват още и UEE и XXE Encode/Decode, но това са "тихи" (скрити) за потребителя процеси. Но са си там. Не сме ги пренебрегнали.

Абсолютно си прав за счетоводителите. Наистина е добре да се ползват много пароли, но хората не могат да помнят всичко. В този случай се ползва система за генериране на пароли. Тук напълно те подкрепям.

Описание на това как това се случва във версия LE може да намериш раздел "Шифроване" на ръководството.

 

http://g-92.com/FPS-LE/BG/Help/encryption.html

 

Това е един от многото методи за автоматично генериране на пароли. От версия SE нагоре за всеки един файл се генерират уникален ключ, уникален стринг за "посоляване" и уникална парола. Това е тествано и работи доста надеждно. 

Има и още нещо. Когато използваме "нестандартно шифроване" няма XOR (сума по модул две). Използваме "права" и "обратна" функция. 

Опазването е много, много сериозен проблем. Тук идеята е различна. Пароли и секретни ключове, хешове и пр. се пазят трудно, а и е доста скъпо. А ако пазим механизми? Механизмът позволява връщане в изходно положение.

Ако имаме машина, която може да произведе болт M4x1,5 защо трябва да държим на склад 10000 болта M4x1,5?

Ами ак машината може да изработва различни болтове?

МНОГО ТИ БЛАГОДАРЯ ЗА ПРЕДЛОЖЕНИЯТА? 

Нямаш и най-малка представа колко се радваме аз и колегите на всяко от тях. Дано само не ти досаждаме, но наистина сме много благодарни.

Практическата реализация обаче изисква време и ресурс. За съжаление и двете са ни силно ограничени, но ... ще се справим 🙂

ОЩЕ ВЕДНЪЖ МНОГО. МНОГО БЛАГОДАРЯ.

Забравих ...

Корпоративните ни версии започват с PE (Profesional Edition), EE (Enterprice Edition). Там има и за шифроване на бази от данни. 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Здравейте,

Ако позволите малко отклонение. Предлагам да обсъдим темата 

 

КАК ДА ЗАЩИТИМ ОТВОРЕН КОД?

 

Ако някой е работил по web-проект, не може да не се е сблъсквал с некоректни възложители или работодатели. Наскоро мой приятел имаше твърде неприятен случай с "възложител". В този ред на мисли е добре да помогнем с каквото можем.

Като начало добавихме във FPS текстови редактор. 

 

Pic_001.png.cb5e8257112ecd48fa845a23ed5ab366.png

Редакторът позволява да се обработват както отделни файлове така и нещо, което условно може да наречем web-проект. Всеки един "проект" се състои от четири файла: Java Script, CSS, HTML и TXT, като последния служи за водене на бележки.

Във всеки един момент може да визуализираме какво сме направили.

Pic_002.thumb.png.c77604d692f7efc9f4bcf975eb155381.png

До тук няма нещо кой знае какво. Интересно е как се съхраняват файловете. В този случай файловете се съхраняват в шифрован вид и на практика разработчика може да ги дешифрира само и единствено ако той желае това. По този начин се гарантира, че съдържанието няма да бъде достъпно за възложителя на проекта, ако той не си заплати за вложения труд. Подобно решение има възпитаващ ефект. 🙂

Pic_003.png.acd4435edce8943bf319ca535835197e.png

 

Възможностите за шифроване са както следва: шифроваме само това, което сме решили ( в горния пример това са Java Script-овете); шифроваме целият проект.

Ако шифроваме отделни елементи (например CSS, i JS файловете), но оставим нешифрован HTML кода, възложителят ще вижда част от проекта, но няма да има пълнофункционален достъп докато не изпълни своята част от договора.

Въпросът, който обаче искам да задам е следният: Считате ли, че трябва да добавим PHP, Python, Ruby, Java и друг вид редактори?

Въпросът е, че засветката при различните видове код е различна, така както и автоматичните корекции. Не е проблем да се направи, но дали на този етап е нужно.

Още веднъж благодаря на всички колеги тук за въпросите и препоръките. Без този форум едва ли бихме постигнали и половината от това, което имаме днес.

 

 

 

 

 

 

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

А ето как работи защитата на код в приложението:

 

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Моля да ме извините, ако въпроса ми е некоректен и да не отговаряте на него.

На мен ми е интересно по-надълбоко как работи програмата с операционната система.  

След като прочете информацията и я обработи FPS върху същите клетки  памет ли я записва? 

Разсъждавах как би било по-добре да се прави. Просто да се изтрие шифрована информация или да се използва програма за изтриване с последващ запис на нули.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Отговорете в темата...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×
×
  • Създай нов...

Important Information

За да посещавате този уебсайт е необходимо да се съгласите с Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.