Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad
ТУК НЕ СЕ ПРЕДЛАГАТ ХАКЕРСКИ УСЛУГИ ! ×

Recommended Posts

Една малка идея...

Ако е толкова за мобилен телефон... Avatar-e вземи включи и генерация на QR код, може да се залепи на всякъде по програмата като автентикация. Всяка една съвременна камера на телефон си го има като екстра QR code Reader.

Link to post
Share on other sites

Само за ценители ... 

Мисля, че всякакви коментари са напълно излишни. Още ли има някой, който след тази "картинка" вярва, че има "непробиваеми"

 ОС и че VPN каналите са наистина защитени?

 

 

SSLBug.thumb.png.5b9093b10fa1689687ecbf426cb3fde0.png

 

 

 

Link to post
Share on other sites
Преди 1 час, memwarrior написа:

Една малка идея...

Ако е толкова за мобилен телефон... Avatar-e вземи включи и генерация на QR код, може да се залепи на всякъде по програмата като автентикация. Всяка една съвременна камера на телефон си го има като екстра QR code Reader.

Благодаря за идеята да се ползват бар-кодове. Определено ще бъде взета под внимание.

Към момента ние ползваме т.н. "медицински методи" за идентефикация (ушна раковина, термовизия, пулсова вълна и пр.).

Още веднъж много благодаря. Радвам се, че има интерес и че отделяте от времето си за темата. За мен наистина всяко предложение е ценно.

Link to post
Share on other sites
  • 1 month later...

Какво ново ... 

Новото всъщност не е толкова ново, но за сметка на това се оказа, че към него има най-сериозен интерес.

Реално в BeMail се премина към пълноценна обектно-релационна система за защита тялото на съобщенията. най-лесно това може да бъде установено, като се вкара изключително сложната парола за достъп "1111" и съобщението се шифрова. След като притежавате изходния текст и паролата може да се опитате да "счупите" шифровъчния механизъм. 

Моля да ме извините, но сами се убедихте, колко "силна" е защитата ня някои ресурси, масово използвани за обмен на защитени съобщения. По-добре да се учим от грешките на другите, отколкото да ги допускаме. :)

И така да видим как се прави ...

1. Написваме съобщение ... Пишем като обикновенни потребители в пълен разрез с изискванията за сигурност.

BM_001.png.b58af2078aadfb920d14a06ca860c5c8.png

 

2. Въвеждаме УЖАСНО СЛОЖНАТА ПАРОЛА ЗА ДОСТЪП 1111, за да е още по-гадно и шифроваме ... (със същият успех може да вуведем и парола 1) ... 

BM_002.png.56d72953a6cd5fdc5d7579c9a2f68a65.png

3. За наше учудване съобщениято се шифрова, но обърнете внимание как точно това се случва. Имаме два текста. Въпросът е КОЙ ТОЧНО Е ШИФРОВАНИЯ? На всичко отгоре може да ме убиете, но наистина нямам никаква предсава кой обект си е избрал тъпия механизъм. Ама съвсем никаква. както сами може да се убедите, резултатът от елементарно шифроване е изненадващо объркващ.

BM_003.png.d0dfa92e3c32bd3927b07408f7af02ec.png

Най-важното е, че тук нямате никакви секретни ключове (няма, наистина няма такива неща), няма хеш, няма подпис и пр и пр и пр, но само се опитайте да промените един бит в шифрования пакет и вижте какво ще се случи ... Ако не го получи който трябва или (да не дава Бог) някой е решил да го променя, може да стане наистина страшно. Нарича се "синергетичен механизъм за защита" и ... Май-това не се учи никъде ....

3. Използваме abv.bg, защото е един от най-популярните ресурси в България, но със същият успех може да ползваме GMail. Mail.bg, Yahoo, Mail.ru или каквото се сетите. Настройките позволяват всякакви магии с SSL/TLS, проксита и пр.. Ние обаче тези неща не ги ползваме, защото ни е все тая. Просо гледаме да ги има за да не се делим от колектива. Така, де.

Ето какво получаваме ...

BM_004.png.eb2e48ae5c44550fc7b03dad379cdde1.png

А ето какво ще види всеки, който реши да види кога с комшията ще пием ракия ...

BM_005.png.2c2e6ecc17f852dd81325693140fbc97.png

Та какво направихме реално?

Преди да изпратим каквото и да било то вече бе шифровано по начин, който определено е леко сбъркан и дори аз не го разбирам.

Ползваме abv.bg, съобщението си е в HTML, че и с вложена картинка, че и форматирано, че и в UTF 8 (ама пробвахме и с де що е кодова таблица и пак си работи), и си го получихме в зашифован вид. Дешифрирахме го, като използвахме УЖАСНО СЛОЖНАТА ПАРОЛА ЗА ДОСТЪП 1111 и си го четем като слънчице.

 

В новите версии, вече има реални системи за защитен пренос на цифрови данни, базирани на диференциран метод за защита.

Това определено е мнооого по-интересно от електронната поща. Много прилича на архивите, ама не е  архив. Много различно е. Ето как изглежда.

BM_006.png.e62a51d771618ceb36a4145a1d65a399.png

Разгледайте внимателно картинката. какво точно виждате? Записи с номера 4 и 7 са шифровани НО КАК?

Полето Наименование (FileName) е по един начин. Полето Тип (FileType) - по друг. Полето Размер )FileSize) пе трети и т.н и т.н..

Подарявам базата на всеки, който иска да си поиграе с нея. Само където не е СУБД, а е PDC (Protected Data Case). Много удобен инструмент, когато ползваме флашки или външни дискове. И няма нужда от никакви BAT-файлове за да се разтовари, като при това може или да запази структурата или ... да я преобразува във вид, който на нас ни харесва ...

Добавихме и много елементарна (от гледна точка на потребителя) система за създаване на защитени виртуални дискове. 

Виртуализация за масите. С един бутон да се прави, но и от него много да не зависи ... 

BM_007.thumb.png.423733d24c14afc0e61bba722fce335e.png

Това е малка част от "хубавините". Който иска да се обади. Винаги може да издействаме пакет за тестване. Така, де. Не ни се свиди, а и нали трябва да се равива хайванчето.

Link to post
Share on other sites

И понеже многократно съм писал за това какво е SSL и TLS и защо трябва да имаме едно наум, когато ползваме подобни механизми е време да покажа, как се извършват настройките на електронна поща в учебната (дори не е базова) версия на BeMail:

BM_008A.thumb.png.67f067f8fe038d66c74ef28fc9dfa590.png

 

BM_008B.thumb.png.70896de8dd3f3b9f29c16a59b1fb7b0a.png

 

BM_008C.thumb.png.4c97f36e07d074ef186e9006428f3e7a.png

 

BM_009.thumb.png.4ee92f2714ed3c0981231bdb96472ef2.png

 

BM_010.thumb.png.7e9ff3eda8be1d27305af83eed866c84.png

 

BM_011.thumb.png.a18c9274f35841bc08e3acfa0b07c03f.png

 

Има и още нещо, което е добре да се знае.

За разлика от друг вид приложения при BeMail не се използват външни dll библиотеки като  libeay32.dll и ssleay32.dll. Ако някой Ви каже, че без тях не може ... просто го помолете учитиво първо да се запознае с документацията на Open SSL. Там всичко е много ясно написано.

Съвсем друг е въпросът, че SSL и TLS са ориентирани към защитата на HTML. Хубавоо, но при електронната поща се използва POP3, SMTP, ISAPI протоколи.

Вие сами може да си направите съответните изводи.

И сега най-важното.

В учебната версия се допуска използване на двуканална електронна поща.

Какво означава това?

Имате възможност едновременно да ползвате два независими пощенски адреса. Да кажем, че единият е в GMail, а другият е в Yahoo mail.

От единия изпращате съобщения, а на другия получавате. Ако кореспондента, с който водите служебна кореспонденция разполага с BeMail, може да се синхронизирате перфектно.

Има и още ...

Имате възможност за BeMail "пощенска" кутия.

Този вид електронна поща в стандартните си версии е 4 каналма (минимум четири канала).

Друг важен момент е, че при BеMail не се ползват електронни адреси (като mymail@host.com) , а се работи с уникални севдоними (Aliace).

При работните версии на  BеMail в тялото на писмото може да влагате не само видео, но и много други неща като OELObjects (електронни таблици, специализирани документи и пр.), както и да създавате свои скриптови решения. Но ... мисля да спирам.

Както вече писах на един колега ... РАЗЛИЧНА КОНЦЕПЦИЯ НА ИЗГРАЖДАНЕ НА ПРИЛОЖЕНИЕТО, ПРИ ИЗПОЛЗВАНЕ НА ЧИСТО ГЕЙМЪРСИ ИНТЕРФЕЙС.

 

Link to post
Share on other sites

Още малко информация, защото от две седмици има доста въпроси.

1. Обектно-релационното шифроване е процес, който се различава съществено от описаните в ISO 10116; ISO 9797; ISO 9798-2; ISO-11770-2 и други подобни стандарти.

2. При обектно-релационното шифроване НЯМАМЕ ЕДИН СЕКРЕТЕН КЛЮЧ С ФИКСИРАНА ДЪЛЖИНА. При тази форма на криптиране имаме N на брой секретни ключа (които се наричат "шифровъчни обекти"), като дължината на тези ключове може да бъде както четно, така и нечетно число и не е фиксирана. Тя може да варива от два байта до 2 TByte.

3. При обектно-релационното шифроване дължината на шифровъчните обекти се измерва в боя БИТОВЕ, а не в БРОЙ БАЙТОВЕ. На практика един секретен обект може да се състои от 3, 7 или 11 бита. В този случай дължината е нечетна и не е кратна на 2.

4. В обектно релационното шифроване НЯМАМЕ СИМЕТРИЧНИ И АСИМЕТРИЧНИ МЕТОДИ. Имаме ШИФРОВЪЧЕН МЕХАНИЗЪМ.

5. Шифровъчният механизъм изпълнява следните функции:

    а) Определя параметрите на процеса на синхронизация и контролира изпълнението на отделните етапи на криптиране и обмен;

   б) Разбира данните, които подлежат на шифроване на кванти. Всеки един от тези кванти (Ti) е с променлива дължина. Всеки един квант се състои от четен или НЕЧЕТЕН брой битове.

   в) Формира набор от уникални секретни ключове (K1, K2, K3 ... Kn) за всяка една сесия. Всеки един секретен ключ се състои от четен или нечетен брой битове като за всеки Ki е изпълнено условиято:

length (Ki) > length (Ti)

Това условие е обвързано с теоремата на Клод Шенон.

  6. Шифровъчният механизъм определя по какъв начин ще се извърши криптирането в рамклите на всяка една сесия.

  7. Шифровъчният механизъм отговаря за унищожаването на секретните ключове, след приключване на сесията.

И за да ме разберете ... :)

Всяко едно изречение се състои от думи, разделени с интервали или знаци.

Всяка една дума в изречението може да се разглежда като квант. По дефиниция квантите са най-малката неделима частица.

При обектно релационното шифроване за всяка една дума от изречението шифровъчният механизъм формира УНИКАЛЕН СЕКРЕТЕН КЛЮЧ (шифровъчен обект), като дължината на този ключ в БИТОВЕ ЗАДЪЛЖИТЕЛНО Е ПО-ГОЛЯМА ОТ ДЪЛЖИНАТА НА ШИФРОВАНАТА ДУМА (КВАНТА) В БИТОВЕ.

В рамките на едно изречение може да имате точно толкова различни форми на шифроване, колкото са думите в него.

Ето как изглежда това:

T:= T 1 + T2 + T3 + ... + Tn  - Tова е изречение в което T1 е първата дума, T2 - втората и т.н.)

😄 = T1 xor K1 - Шифроваме първата дума със секретен ключ, за който е изпълено условието K1 > T1, като използваме сума по модул две (изключващо ИЛИ);

С2: = Т2 + К2 - Тук вместо XOR се използва  +  (побитово събиране);

C3:= T3 - K3  - Тук използваме изваждамне.

. . . 

C:= C1 + C2 + C3 + ... + Cn

Ето го нашето шифровано (криптирано) изречение.

 

ВАЖНО!

В РЕАЛНИЯ ЖИВОТ НЕ ПОЛЗВАМЕ ПРОСТО XOR (ИЗКЛЮЧВАЩО ИЛИ, ИЛИ СУМА ПО МОДУЛ ДВЕ), СЪБИРАНЕ ИЛИ ДРУГА ДИВОТИЯ, А СЕ ИЗПОЛЗВА ДОСТА ПО РАЗЛИЧВН МЕХАНИЗЪМ, КОЙТО НЯМА НИЩО ОБЩО С МАТЕМАТИКАТА, А ОЩЕ ПО-МАЛКО С ФИЗИКАТА. ТОЗИ МЕХАНИЗЪМ Е ДЕТАЙЛНО ОПИСАН В ДОКУМЕНТАЦИЯТА НА  ПАТЕНТ 20170034131 - United States Patent and Trademark Office (USPO). ТАЗИ ИНФОРМАЦИЯ НЕ Е СЕКРЕТНА (ЗА РАЗЛИКА ОТ ОБЕМНО МАТРИЧНОТО ШИФРОВАНЕ) И ВСЕКИ ЕДИН МОЖЕ СПОКОЙНО ДА СЕ ЗАПОЗНАЕ С НЕЯ.

 

Сега още нещо, което много държа да бъде правилно разбрано.

 

В обектно-релационното шифроване НЯМА ПУБЛИЧЕН И ЧАСТЕН КЛЮЧ!

НЯМА И ПРЕДВАНЕ, ОБМЕН ИЛИ КАКВОТО ТАМ СЕ СЕТИТЕ НА КАКВИТО И ДА БИЛО КЛЮЧЕВЕ!

Причината за това е много елементарна.

На практика при ПОДАТЕЛЯ и при РЕЦИПИЕНТА (ПОЛУЧАТЕЛЯ) ШИФРОВЪЧНИЯТ МЕХАНИЗМ ФОРМИРА ОГЛЕДАЛНИ КЛЮЧОВЕ В РАМКИТЕ НА РАБОТНАТА СЕСИЯ!

Това много просто решение позволява да се елиминира ВСЯКАКВА ФОРМА НА ОБМЕН НА СЕКРЕТНИ КЛЮЧОВЕ!

Скоростта на обработка дори в най-елементарната форма на шифроване, която се използва при обектно релационното шифроване без значение дали шифроваме файлове, поточна информация или текст (при, който имаме малък информационен излишък) винаги ще е по-голяма от най-бързите познати към момента алгоритми ПРИ РАВНИ ДРУГИ УСЛОВИЯ!

Що се отнася до степента на надеждност ... :)

 

НА ПРАКТИКА ОБЕКТНО-РЕЛАЦИОННОТО ШИФРОВАНЕ НЕ Е НИЩО ПОВЕЧЕ ОТ ДО БОЛКА ПОЗНАТОТО НА ВСИЧКИ   ONE-TIME PAD (OTP) ФОРМА НА ШИФРОВАНЕ, ПРИ КОЯТО СМЕ УСПЕЛИ ДА ГЕНЕРИРАМЕ БЕЗКРАЕН НАБОР ОТ СЕКРЕТНИ КЛЮЧОВЕ И ДА ГИ ГЕНЕРИРАМЕ ДВУСТРАННО БЕЗ ДА СЕ НАЛАГА ДА ИЗВЪРШВАМЕ ОБМЕН ИЛИ ПРЕНОС!   

 

Ако някой не знае какво е One-Time Pad алгоритъм нека да прочете написаното във всеки един учебник по криптоанализ.

ТОВА Е ЕДИНСТВЕНИЯТ АЛГОРИТЪМ, СПРЯМО КОЙТО НЕ МОЖЕ ДА БЪДЕ ПРИЛОЖЕНА СТАТИСТИЧЕСКА АТАКА, АКО ЩЕ ДА ИЗПОЛЗВАТЕ И МЕГА КВАНТОВ КОМПЮТЪР. 

Обектно-релационното шифроване е БЪЛГАРСКА РАЗРАБОТКА И ВИНАГИ ЩЕ СИ ОСТАНЕ ТАКАВА (и по патенти и по авторски права и по каквото се сетите).

Ако някой Ви каже нещо друго ще му се наложи да се запознае с аргументите на две адвокатски кантори. 

Според мен тези с химикалките са по-страшни от тези с бухалките. :)

Всички продукти ползващи обектно-релационно шифроване се разпространяват само и единствено с изключителен лиценз по смисъла на чл.31, ал.3 от ЗПРПМ.

Ако обаче хората са симпатични ТЕ ГО ПОЛУЧАВАТ БЕЗПЛАТНО, ЗА ДА МОГАТ ДА ГО ТЕСТВАТ.

И за да има база за сравнение има тестови модул и възможност за използване на де що е шифровъчен алгоритъм и хеш функция. 

Важно е всички да са доволни и ако има въпроси те да са правилните.

Надявам се да съм бил максимално изчерпателен. :)

 

 

 

 

Link to post
Share on other sites
  • 4 months later...

Още веднъж огромни благодарности на всички за направените препоръки.

Сами може да се убедите, че всички те бяха взети под внимание. От виртуалните контейнери до възможностите за използване на различни публични e-mail ресурси.

Последният (но не по-важност) елемент, който бе добавен в резултат на направените препоръки, касае механизмите за шифроване и генерирането на секретни ключове.

 

FPS_001.thumb.png.caf4592c7f8b7149460f35714ab77186.png

 

Като начало това, което е достъпно в модула за настройки на стандартните форми на шифроване са cipher mode, възможността за въвеждане и генериране на псевдослучайни hash salt и Cipher IV (или казано простично - инициализиращ вектор, initial Vector), както и възможността за въвеждане на произволни secret key (w t.`. i awtomati`no generirani ot modulite na ОРЕ).

Какво ни дава това?

Като начало отпада необходимостта от използване на hash, а това автоматически елиминира каквато и да било възможност за възникване на колизии.

Може да използвате сесийни секретни ключове, които след сесията автоматично ще бъдат унищожени, но най-хубавото е, че може да "обменяте" (на практика те се генерират автоматично, в рамките на една работна сесия), ключове през "сивата зона" (например като използвате публични сайтове).

 

FPS_002.thumb.png.3071e53fe829f4e93db83125f57d0db9.png

 

Допълнително предимство и изчисляването на ентропията и информационният излишък. Това е важно, когато работим с текстови файлове и искаме гаранция за тяхната сигурност.

В този случай обаче има и една малка подробност, на която бих желал да обърна специално внимание.

Много от постулатите на криптоанализа са от началото на XIX век, когато не е имало компютри и цифрови технологии. Тук е мястото да благодаря на колега от ДАНС, който спомена нещо важно, касаещо обследването.

масово се приема, че изчисляването на ентропията би следвало да се извършва спрямо символите. Да, но при компютрите имаме двоичен запис (единици и мули), при това групирани в байтове (групи по осем). Това важи и за шестнадесетичния код.

Ако един текст бъде преобразуван в двоичен вид (това важи и за файловете) и преизчислим ентропията може да получим различна от очакваната средна стойност, при огромен информационен излишък.

Това важи с пълна сила и за паролите, за които ще поговорим малко по-късно.

FPS_003.thumb.png.ef9777881aca0537dca02f3f31b30a14.png

 

Генерацията на ссийни секретни ключове е лесна за реализация. Нужен ви е произволно избран сайт или някакво цифрово изображения (може да ползвате и видео в YouTube, снимка от мобилния телефон или аудио файл). На практика един елементарен сайт позволява генерацията на над 1500 уникални секретни ключа в рамките на секунди.

Това, което е важно е, че тези секретни ключове не е нужно да се предават, защото те се генерират двустранно. Това важи както за едноключевите системи за шифроване така и за двуключовите (асиметричните) шифровъчни системи.

И ако трябва да обобшим ... Имаме виртуални контейнери, имаме генератори на секретни ключове, може да избираме механизмът на шифроване, може да избираме начина на шифроване (блокове, поточни шифри и др.) и като цяло имаме доста сносни възможности за защита на локални данни и обмен на защитена кореспонденция.

Сега трябва да напраим следващата стъпка.

Още веднъж благодаря на всички в този форум, които дадоха много ценни съвети и направиха изключително конструктивни забележки.

 

P.S. Забравих да спомена, че се изчислява средна стойност за ентропията. Това е важно. Друг момент е, че секретните ключове имат псевдослучаен характер, защото са генерирани на обикновен компютър с ограничена разрядност. Независимо от това по груби изчисления за статистическа атака при използване на суперкомпютри ще са нужни над 14 000 000 години (допълнително ще опиша методите за оценка, които са използвани) за разбиването на някои от тях. Мисля, че това е доста голям времеви период, а и едва ли някой ще изпада чак в такива крайности. Пак повтарям, че това е система за генериране на сесийни секретни ключове, с всички произтичащи от това последствия и ограничения.

 

 

  • Thanks 2
Link to post
Share on other sites

Avatara,  Вашата признателност към колегите е неповторима. 

Поздравявам Ви!  Разработвате нова функционалност, преди да съм успял да разуча предишната...  

Ще чакам с интерес следващата стъпка.

Link to post
Share on other sites

Здравейте,

 

Функционалността не е нова. Тя е на повече от десет години. Налага се да направим огромна крачка назада, защото се оказва, че в момента има огромен проблем, който не касае само България.

Не знам откъде да започна, но първопричината е използването на английски език. Английският език използван в криптографията е много специфичен. Всички термини са превод от френски и арабски, а от там става ужасна каша. Съвсем друг е въпросът с преводите на български език. Там е направо страшно.

Един елементарен пример.

Шифровъчният механизъм е най-важният елемент във всяка шифро-система, но тук в България липсва сериозна литература по този въпрос. Да не споменавам какви глупости са изписани в Wikipedia (и не само там). Това е много тревожна тенденция, защото реално се създава огромна заплаха за сигурността на данните.

A сега по същество.

Има термин, който се нарича "Хамилтоново отстояние".

Кажете ми колко експерти по киберсигурност знаят какво може да ни даде това, за какво и как се използва?

Аз също не бях запознат, докато един колега от Грузия не ми разясни всичко в детайли.

Не знам дали сте обърнали внимание, че при FPS, имаме анализ на процеса на милисекунда. Във високите версии на продукта се работи на микро и мили секунда. В най-високите имаме и съпоставка с всеки един такт на процесора. Задавали ли сте си въпроса: Защо по дяволите е нужно това, като реално то допълнително натоварва интерфейса и затруднява процеса на разработка?

Проблемът на цифровите технологии е техният дискретен характер. Това е най-слабото им място и няма как да бъде защитено.

Ако съчетаете Хамилтовите отстояния с времевия анализ на практика всеки един компютър и всяко едно цифров устройство ( в т.ч. мрежово активно оборудваме, промишлени контролери, защитени системи за управление и пр.) стават напълно прозрачни за несанкциониран достъп, при това НЯМА НУЖДА ДА СА СВЪРЗАНИ С INTERNET!

Но да не навлизаме в толкова "сложна материя". 

Да поговорим за делтите и защо са важни?

Ами просто е. При хеш-функциите имаме колизии. Два различни файла могат да имат абсолютно еднакви хеш функции. 

Причината за този феномен е много проста и е обвързана с начина по който се изчислява checksum на файловете. 

За да се поправи този проблем се използват различни прийоми  (вектор на инициализация, посоляване и др.).  Делтите са основен елемент за противодействие на колизиите.

Да, но и делтите са уязвими.

Една от основните заплахи при използване на Random Delta (RD) e ако криптоанализаторът е предварително запознат с формата на информационните масиви.

В този случай атаката се провежда като в определени точки се извършват случайни преобразувания. За да бъде предотвратена подобна възможност се използва хеширане, което позволява контрол на последователността.

И какво следва?

Делтите и хеширането са взаимнозависими от гледна точка на криптоанализа. Забавно, нали?

В крайна сметка стандартните методи на шифроване са уязвими в много направление, което изисква сериозни базови познания по темата.

Най-добре е ако наистина искате да навлезете в материята да използвате NIST Special Publication 800-38A и това само като начало. База без която не може.
За всички термини и въпроси, свързани с Message Authentication Codes (MACs) би следвало да се ползва ISO/IEC 9797-1:2011. Повярвайте, това са много ценни документи при това достъпни и написани просто и разбираемо.

Без фундаментални познания (в т.ч. и математика) е невъзможно. Аз не съм толкова добър математик, но се уча и възприемам. Това, което знам е, че чуждото мнение е една различна гледна точка, която може да бъде много полезна и да ни спести време.

В този ред на мисли ...

КАКВО ЩЕ КАЖЕТЕ АКО С КОЛЕГИТЕ НАПРАВИМ ЕДИN БЕЗПЛАТЕН ON-LINE КУРС ПО ТЕМАТА?

Link to post
Share on other sites

КАКВО ЩЕ КАЖЕТЕ АКО С КОЛЕГИТЕ НАПРАВИМ ЕДИN БЕЗПЛАТЕН ON-LINE КУРС ПО ТЕМАТА?

Аз не бих могъл да дам обобщаващ отговор за всички колеги,  но идеята за достъпен курс ми звучи много добре.

Проблема е че, по отношението на криптографията аз нямам дори основни познания. Страхувам се, че ще се опитаме да строим сграда без основи.

Аз чета с интерес почти всичко тук. Ако започне курс, ще се опитам да наваксвам с познанията доколкото мога. Не бива да обезсмисляме отделеното от Вас време.

Link to post
Share on other sites

Уффф... одавна несъм се включвал... да давам извратен акъл... :) хе хе ... шегувам се...

При генерация на PASSWORD, SALT или IV може да се включи и подръжка на RFC2898 стандарт. Така нареченото PBKDF (Password Based Key Derivation Function) като задължително да има избор при настройката 

- избор на хешираща функция, защо не и симетрично кодиране. В .NET фреймуърка е що годе универсално направена.

- Брой итерации

 

а, и между другото в "Cipher mode" не видях GCM (Galois/Counter Mode) - доста е модерно. :)

Edited by memwarrior
  • Thanks 1
Link to post
Share on other sites

Здравей и много благодаря за препоръките.

Password Based Key Derivation Function е включен. Има го във всички версии. Използва се при т.н. "контролни низове" (Control String). Има го в системните настройки. Ползва леко изменен алгоритъм но по принцип си е едно и също. 

Ето как изглежда на практика:

 

БЕЗ ПАРОЛА:

R_01.png.472064ecd25301fadef993fc62933415.png

 

С АВТОМАТИЧНО ГЕНЕРИРАНА ПАРОЛА (НО МОЖЕ И РЪЧНО ДА СЕ ВЪВЕДЕ 1111, ПРИМЕРНО)

 

R_02.png.a88f2c9672543373102c5161daf01fb8.png

 

Разликите са в Hash Digest, Secret key, Salt Data и Cipher IV. Но все пак key derivation function си зависи от избраната хеш-функция. Това няма как да се избегне при този примитив. 

Знаеш ли, че ти си първия, който засяга темата?

Генерацията на секретни ключове и механизмът на шифроване са си цяла наука, а не сме го обсъждали. А е добре да го правим

Що се отнася GCM и това го има, но е само за системите, които ползват AED.

Да, но е добре да се ползва и за шифровъчни системи, които ползват блокове с размер различен от размер 128 bit. 

При FPS изглежда ето така (това е междинно решение):

 

БЛОКОВ ШИФЪР С РАЗМЕР НА БЛОКА 128 BIT (IDEA PGP)

R_03.png.83741eb6b3da5d29a2a8d4b2e1ce0edd.png

 

БЛОКОВ ШИФЪР С РАЗМЕР НА БЛОКА 512 BIT (RC-4)

R_04.png.b033f3a94567e36131ea7ffd14b2e84c.png

 

Това е малко по-добро решение, защото на практика отпада ограничението с размера на блока.

Просто в полето Cipher mode се задава класческото CTR, а другото ще се случи автоматично.

Има и още нещо ...

FPS не е шифровъчна система.

На практика може използвайки криптографски примитиви (шифровъчни алгоритми, хеш-функции, делти, инициализиращи вектори, генератори а случайни числа и пр.) може да се създават всякакви шифровъчни системи

Да го кажем просто ...

FPS е конструктор на шифровъчни системи. 

Ползваш примитивите. Комбинираш. Тестваш. Настройки. Параметри. Контрол на процесите. Ентропия. Дифузия. Информационен излишък. Ефективност и пр. 

Ако всичко е както трябва имаме шифровъчната система която ни трябва. Записваме и ползваме.

Това си е направо цял нов раздел. Много благодаря, че повдигна тези въпроси.

Има и още ... 

Външните обекти. Там вече е много забавно.

 

R_05.thumb.png.753d05f9342ff5a48d6fcf26a82b8218.png

 

Това е съвсем различен криптограяфски примитив и тук определено аутентефикацията се извършва по много различна логика. При това имаме не един а цял списък секретни ключове, при това уникални не само в рамките на сесията.

А тук генерираме делти.

На практика от една цифрова фотография, ако прилагаме различни филтри можем да генерираме неограничен брой уникални делти, а това дава допълнителна надеждност.

 

R_06.thumb.png.0e39e092ce85ef4026ab1851c74717b3.png

 

Идеята е тези неща да не се правят ръчно, а колкото е възможно да ги автоматизираме. 

Както казваше един познат: "На Assembler може да направим всичко, но живота е кратък.". 

Още веднъж много благодаря за препоръките и за отношението по темата.

Определено има какво да дискутираме.

 

 

 

 

 

 

  • Thanks 1
Link to post
Share on other sites

Здравейте,

Днес ще поговорим за нещо, което би могло да представлява интерес за мнозина, а именно:

FPS и Linux

Независимо,. че FPS е приложение за работа в средата на Windows, то прекрасно работи и под Linux.

Как се случва това?

За да може да работив в средата на Linux e нужно първоначално да се запознаем с Windows Subsystem for Linux или WSL.

МОже да намерите целия проект на следния адрес:

https://github.com/microsoft/WSL2-Linux-Kernel

По подразбиране може да ползвате:

  • kali-linux
  • Ubuntu
  • SLES-15
  • ubuntu2
  • Ubuntu-18.04

но ако имате желание и прочетете внимателно техническата документация на практика няма да имате ограничения. 

Най-важно е обаче да чекирате Windows Subsystem for Linux (да включите) в списъка с компоненти, които Windows 10 използва. По подразбиране той е изключен.

Има и още една особенност.

Тези които са работили с BS Ping, знаят че там има модул за работа с конзолни команди. Във всички версии на FPS по-високи от FE, също има такъв модул. В различните версии той е с различна функционалност, но базовите функции са общи.

Когато работите с Linux се ползва командата BASH.  

Дистрибутивa по подразбиране може да променяте посредством командата wsl или wslconfig (например wslconfig /setdefault ubuntu).

Но конзолата предоставя и редица други предимства. 

След като NSA се намесиха и Microsoft внесоха корекциите в Crypto API (за този проблем писах и цитирах официалния бюлетин на NSA) можете спокойно да използвате и този примитив.

 

Pic_001.thumb.png.b8c8f68b96ca0a549a0a7940b6f30b0f.png

 

Тук обаче са нужни сериозни познания и опит, защото на практика процесите не са автоматизирани.

В този ред на мисли, преди време споменах, че не е зле да се направи on-line курс за защита на информацията. Нискя, че в момента това е по-актуално от когато и да било.

Какво ми дава основание да мисля така?

Преди всичко това е липсата на конкретика. За съжаление, често потребителите не правят разлика между шифър, криптиране и защита на информацията.

За да ме разберете:

  • Шифърът е алгоритъм или по дефиниция "криптопримитив";
  • Криптирането е процес. При този процес се използват шифровъчни агрегати, които са изградени от ктиптопримитиви (шифър, хеш-функция, шифровъчен механизъм, делти, инициализиращ вектор и пр.);
  • Защитата на информацията е комплексно мероприятие, което включва и криптиране на данни.

 

И точно тук идва най-забавния момент, който е свързан с използването на английски език.

Ако спазваме стандартите и утвърдените правила за криптоанализ трябва да бъдем много внимателни как използваме английските термини. В редица случаи дословният превод ще доведе до деформиране на информацията. Ето един показателен пример:

 

Пример:

Cryptographic Key - Секретен ключ

ENU - Дефиниция в съответствие с NIST Special Publication 800-38A и ISO/IEC 9797-1:2011

A parameter used in the block cipher algorithm that determines the forward cipher operation and the inverse cipher operation.

 

BG - Превод в съответствие с NIST Special Publication 800-38A и ISO/IEC 9797-1:2011

Секретна информация, използвана в криптографските алгоритми в процесите на криптиране и декриптиране на информацията.

Криптографския ключ може да бъде използван и като елемент от проверката на електронния подпис, както и в случаите на използване на Мessage Аuthentication Code (MAC). При използване на един и същи шифровъчен алгоритъм, който може да бъде достъпен от криптоанализатора, резултатът ще зависи основно от секретния ключ.
 

Защо избрах точно този пример?

Защото в английският текст липсва информация за Мessage Аuthentication Code (MAC), тъй като тя се подразбира.

В българският текст обаче тази информация е изискуема и има задължителен характер. 

Както сами може да се убедите от легалните дефиниции Мessage Аuthentication Code (MAC) и Cryptographic Key са различни неща, Но още по важно е да се разбере, че Мessage Аuthentication Code (MAC) се използва при текстови съобщения.

Когато обаче става дума за бинари данни, където информацията не е записана в текстови вид, нещата са доста различни.

Това е само един от хилядите подобни примери.

Лично за мен е много важно да се познават стандартите. Те са тези в които се съдържа достоверна информация и е добре да ги ползваме.

Но наистине е време да помислим за малък курс по защита на информацията.

  • Thanks 1
Link to post
Share on other sites

Аватара,  бихте ли описали идеята си за курс по-подробно. Аз проявявам интерес. Ако е чрез постове под формата на лекции и практически упражнения  аз бих се включил. За конферентни разговори се съмнявам, че ще успея да организирам време..

  • Thanks 1
Link to post
Share on other sites

Категорично лекции и дискусия по тях. Така както това се прави в много големите специализирани форуми.

Идеята е да обсъждаме нещата в детайли. Какво е криптопримитив? Защо шифърът не е криптиране? Какво е колизия и как да се борим с нея? какави са спецификите на блоковите и поточните шифри? Защо ако използваме само XOR системата ще бъде слабо защитена и пр. и пр.

Във форума има такъв раздел. Идеята е да се придържаме в максимална степен към действащите стандарти и реално доказалите се решения.

Темата е доста деликатана и повярвайте много от нещата написани в internet трябва да се четат и осмислят критично.

А сега мисля, че ще трябва да зарадвам memwarrior.

Ако си помняш преди време той предложи FPS да се реализира за мобилни приложения (iOS, Android). Ценя всеки съвет, а неговите определено повече от всички други (до момента никога не е давал нещо, което да не е влязло в употреба). Хубавото е, че от вчера такова приложение се тества. Скоро ще има информация и за него. Не знам какво трябва да го черпя. Просто цял живот ще съм му задължен.

 

 

Link to post
Share on other sites

Първи наброски на идеята на memwarrior:

 

R_001A.png.9076c2f5983e8a2841b43c66ef60c97c.png

 

Tествано на Windows, iOS, Android и Linux. Работи тихо и кротко. Като малка отверка е. 

Чекира се какво искаме да обработим (да шифроваме или да затрием безвъзмездно) и всичко друго е автоматично.

Може да си избираме Cipher и Hash, но salt и Cipher IV системата си генерира сама. 

Приложение за семейни, за да не вижда жената какви са ги вършили. :D

Още веднъж благодарности на memwarrior.

  • Thanks 1
Link to post
Share on other sites

Само да спомена нещо ...

  • FPS - криптиране на файлове и дискове.
  • BeMail - Криптирана електронна поща, SMS, гласопренос и пр...
  • NSA-I (BS Ping) - Експлотационен контрол.

Това са три независими системи, които могат да се обединяват при нужда.

Всички приложения имат версии за Windows, iOS, Android и Linux, но ...

Има регионални рестрикции. Има и друго. При разработка се ползва ОС Windows. Просто е по-удобно и се пести време.

В Windows 10  (32 и 64 bit) мога да работя с Linux и то не само с един дистрибутив, но обратното няма как да се случи.

Това важи и за iOS (има много мощни iOS симулатори) и за Android. 

Имайте в предвид, че тези приложения са разработвани основно за Microsoft Duo. Там се ползва както Windows така и Android, а има и промишлени решения, но там са Intel.

 

 

 

 

Link to post
Share on other sites
  • 2 weeks later...

Какво се случва през последните дни.

Една интересна идея на колега, който работи като freelancer. Той сподели твърде горчив личен опит, когато цели проекти са му били буквално открадвани.

Последният път му откраднаха доста скъп лаптоп, в който съхраняваше работата си. Само след три дни получи отказ от "работодателя", а след пет дни с учудване забеляза, че неговият проект, без никакви изменения се ползва от същия работодател.  

За да му помогнем се обърнахме към Шефа (той не е от нашия пол но е Шеф) с молба да ни отпусне малко модули от други направления. 

Шефът е разуме и благ (за разлика от мен и други колеги) и каза: "Може, ама ще ви струва една вечеря.". 

Скъпичко ни се стори, но нали е за благородна кауза приехме. 

И ето какво се случи. Има един паралелен проект iEditor. Към момента изглежда така и ако не греша не се намира в internet.

 

Pic_002.thumb.png.04d029b3ba1146a610d106be796e01fb.png

 

От този проект взехме текстови редактор и го свързахме към FPS-SE. В резултат на това се получи следното:

 

Pic_003.png.6dfdcc26ecbc02cd5feb975ff837941e.png

 

Това е простичък текстови редактор за web-разработчици. Поддържа HTML5, CSS4, Java Script, а ако се налага и други формати, но това, което е различно е, че позволява отделни елементи или проектът като цяло да бъдат шифровани. Така дори да ви откраднат компютъра и всичко, което сте направили може да останат неприятно изненадани. Но пък Вие ще може да си работите без проблем.

 

Pic_004.png.09b6e2f7bfc23e1739b90787564a3df7.png

 

Ако някой иска да си направи персонален, авторски сайт и да споделя опит, може да използва вградените шаблони.

Ето как може да си направите собствен сайт.

От менюто Tools на FPS-SE избирате Text editor или натискате [ Ctrl+T ].

След това от меню File на Теьт едитор, избирате Create New Project -> New Template Project -> Author ... и след това приложението ще ви позволи да си изберете папка, в която да запуишете проекта (той се състои от няколко файла и не е наш, но може да се ползва ако се споменат с добра дума авторите).

 

Pic_005.png.23a73f6138d61877977f80602f375d3b.png

 

След като се зареди проекта, натискате F2 или кликвате на бутона за визуализация (този, чиято икона е като на Google, но е сива) и виждате резултата.

 

Pic_006.png.4917b8f57a20d16866f94ede45ceda1c.png

 

Това е, Не е кой знае колко, но може да е от полза и на други. Лично на мен много ми харесва как се правят плеъри и как се пишат формули (това за сериозни публикации), но това е друга тема.

За сега мога само да ви покажа един от многото примери.

 

SteemPunk Project ( Black Pumas - Color )

 

Link to post
Share on other sites
  • 2 months later...

Една малка идея:

Crypt през cred-a на windows *DPAPI). Общо взето си е черна кутия. Вързано е с UID/SID и си е само за текущия логнат юзер.

Може да се създаде функционалност в случая когато компа се ползува от повече от един юзер - например офис....

Функциите са отворени от гледна точка на параметри. Има си ентропия. 

... приложил съм и едно юнитче дето ще свърши работа.

DPAPI.pas

  • Thanks 1
Link to post
Share on other sites
  • 4 weeks later...

:) забравих да кажа една малка подробност. С тази функция крипти RDP (Remote Desktop) паролата.  След декрипт излиза SHA256 хеш за последващ брут.

Link to post
Share on other sites
  • 2 months later...

Още веднъж благодарности.

В момента има нова тестова версия на продукта, както и закрита за потребители версия за Android (мобилно приложение, с вградем крипто месенджър).

ТЕСТОВА ВЕРСИЯ ЗА WINDOWS 10

https://www.microsoft.com/store/apps/9P5SXJ8BL4GM

Разширен набор от криптопримитиви, добавен модул System Protection и много допълнения.

Pic_006.thumb.png.3c5b545e48b936c44c8e7b5ddd0b03c7.png

 

За тези, които имат слабост към работата на конзола ...

 

Pic_007.thumb.png.91d4870d8c8c09a8d99b4e911faf9f25.png

 

Ако някой иска лиценз, нека ми изпрати съобщение на лични, за да мога да му върна Promo Key за безплатна активация. 

 

 

 

Link to post
Share on other sites

И малко от "кухнята" ... :P

Как изглеждат някои от модулите за Android (в момента се тестват за апартна съвместимост).

 

Pic_003.thumb.png.bbce7556be62861a183f3c754db56ac9.png

 

 

Pic_001.thumb.png.f275fbce7b97610dcb5fddf9c83074ff.png

 

Забележка: Търговското наименование ще бъде Net One, но няма да се разпространява през Google Play.

Мисля, че е излишно да споменавам, че след като го има за Android го има и за Linux.

 

Link to post
Share on other sites
  • 4 weeks later...

Надявам се да не се разсърдите, но държа да спроделя първите екрани на мобилна версия на технологията FPS.

Благодаря на всички за съветите.

 

Pic_002.png.f9ed4a2ed5f5d4d47b418a48c41bb167.png

Мобилната версия позволява на потребителите да създават групи от контакти. Всеки един контакт, може да бъде член на повече от една група (по това много наподобява социалните мрежи, но това е само външна прилика).

Pic_003.png.ffaa3013b8e4d394c4c9ba280397fa8e.png

Отделните групи могат да бъдат разделяни по функционалност.

Pic_005.png.ea5928c9d9679e01daa15f4bc8005076.png

Няма да споменавам, че е възможно да правите висококачествени фотографии, които да разпращате на членовете на групата (мисля, че не е нужно да споменавам, че фотографиите се криптират).

 

Pic_006.png.7708de42cedc7b8365820656e191dfb9.png

Може да правите и не толкова качествени фотографии, ако се налага.

Pic_009.png.d9c7baa98a10a5ca91d4edc93c32ce60.png

Мисля, че този екран не се нуждае от коментар. Това е до болка ознатият екран на FPS-C, no w edno mnogo po dobro izpylnenie.

Pic_008.png.4c95a62fd2bcf981b7c1a4c0eb9ff72f.png

Може да шифровате както разговори, така и аудиозапис (ако се налага).

 

Има още много, но нека оставим това за по-късно.

 

 

 

 

 

 

  • Thanks 2
Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.