Автор Тема: Криптография  (Прочетена 2503 пъти)

0 Потребители и 1 Гост преглежда(т) тази тема.

gat3way

  • Newbie
  • *
  • Благодарности
  • -Казани: 0
  • -Получени: 0
  • Публикации: 11
Криптография
« -: 12 Октомври 2011, 00:54:57 »
Преди време ме насочиха към този форум във връзка с крипто-проблеми възникнали в него. Преди малко попаднах на форума във връзка с едно търсене в гугъл свързано с server-side уеб неща. Трябва да има някакъв зъл умисъл в това.

С оглед на това, че форумът е посветен предимно на разработването на уеб-базирани неща, мисля че криптографията е нещо силно свързано с темата, макар доста хора да го игнорират. Аз не съм уеб-девелопър и нямам и намерение да ставам, но криптографията и сигурността (включително на уеб приложения) са неща, които ме вълнуват. Та виждал съм доста забавни решения, включително и made in BG. Както и да е, защо вярвам, че уеб-нещата са доста свързани с крипто-нещата:

* Почти всяка една система за автентикация ползва някакъв еднопосочен хеш алгоритъм. Хората, които я имплементират обикновено нямат много добра идея какво правят. Нещата далеч не опират до "не ползвай md5 щото не е сигурен". Това е нещото, което ви купува времето от компрометирането на базата с хешираните пароли и разбиването им. За това всеки би трябвало да има поне елементарна идея - в последно време има доста разработки по въпроса, примерно ползване на GPU-та за hash cracking цели. Някои алгоритми са далеч по-сложни за разбиване от други. Дори елементарни неща, като вдигане на дължината на salt-а може да окаже радикално влияние върху изчислителната сложност на чупенето.

* Симетричната криптография е нещо ползвано често в уеб-приложенията, които се занимават с картови транзакции, примерно онлайн магазини, които приемат разплащания с кредитни карти и ги пазят в база. Аз лично съм виждал  доста малоумни решения, като например reuse-ване на един и същ "таен" RC4 ключ за криптирането на номерата на картите - ако се сдобиеш с достъп до базата, нещата опират дотам да си регистрираш кредитна карта с произволен номер, да се сдобиеш с key-stream-а и да декриптираш всичките останали номера в базата, без да знаеш ключа, доста тъпо.

* PRNG-тата използвани в PHP приложенията, които обикновено са слаби. Разни хора имат навика да разчитат на това по неправилен начин за captcha-и, anti-CSRF token-и или reset линкове. Едно време си бях играл да демонстрирам примерно колко е лесно да ресетнеш администраторската парола на PunBB при положение че на същият сървър се хоства phpnuke: http://www.youtube.com/watch?v=NMhO00bnRzM

* Всички SSL-свързани проблематики, като например какви са ми рисковете ако си подкарам сайта със самоподписан сертификат. Колко сигурен става ако ползвам автентикация на клиентски сертификати и така нататък.


И ей такива неща, които са доста важни поне според мен. Защо не отворите някаква подтема за такива въпроси и дискусии или не спретнете някакви уроци. Мога да помогна с каквото мога. Мисля, че това е достатъчно важно, за да бъде най-малкото обсъдено и за да не се повтарят едни и същи грешки.

Raicho

  • Гост
Re: Криптография
« Отговор #1 -: 12 Октомври 2011, 06:39:21 »
Ми темата вече, е тук .Уроци може да качваш.Желание има ли давай.Ще се радвам да науча нещо ново, и интересно  ;).

SocialEvil

  • Sr. Member
  • ****
  • Благодарности
  • -Казани: 3
  • -Получени: 4
  • Публикации: 463
Re: Криптография
« Отговор #2 -: 12 Октомври 2011, 08:46:41 »
Супер го подкара. Дано се продължи тази тема. Обаче за линка, който си дал, получавам " This video contains content from EMI, who has blocked it in your country on copyright grounds.
Sorry about that."
Please allow me to introduce myself
I'm a man of wealth and taste
I've been around for a long, long year
Stole many a man's soul and faith

wuser

  • Administrator
  • Hero Member
  • *****
  • Благодарности
  • -Казани: 85
  • -Получени: 49
  • Публикации: 2761
Re: Криптография
« Отговор #3 -: 12 Октомври 2011, 11:07:08 »
Имаш раздела и ще е напълно твой, ако поискаш. Поне трима ще сме напълно за, а останалите, ако не те знаят, след нашето обяснение ще се навият. Тази тема е вече маркирана като важна. За мен е изключителна чест да пишеш в този форум.
« Последна редакция: 12 Октомври 2011, 11:26:32 от wuser »
Мъдростта на патилото
Perl Monks: PHP - it's "training wheels without the bike" -- Randal L. Schwartz


Дееба... чувствам се все едно обяснявам на майка ми как да си отвори пощата
"не работи"
WTF?!?!? к'во значи че не работи?
Не ти се компилира, дава ти грешка, вади ти грешни резултати, компютърът ти се изключва като го напишеш или на целия квартал му спира тока?
Stilgar

SocialEvil

  • Sr. Member
  • ****
  • Благодарности
  • -Казани: 3
  • -Получени: 4
  • Публикации: 463
Re: Криптография
« Отговор #4 -: 12 Октомври 2011, 11:40:37 »
Само ако може обаче да се почне от А, щото преди малко 2та поста със Stilgar, които писаха, не разбрах абсолютно нищо.
Please allow me to introduce myself
I'm a man of wealth and taste
I've been around for a long, long year
Stole many a man's soul and faith

jazzman

  • Hero Member
  • *****
  • Благодарности
  • -Казани: 25
  • -Получени: 190
  • Публикации: 3624
Re: Криптография
« Отговор #5 -: 12 Октомври 2011, 15:04:30 »
Темата е интересна и е свързана със сигурноста (непрестанна битка, предварително обречена на гибел) и лично аз, ще се радвам да пишеш по нея  ;)
Java is to Javascript as fun is to funeral.

http://nau4i.me/forum/index.php/topic,15129.0.html

gat3way

  • Newbie
  • *
  • Благодарности
  • -Казани: 0
  • -Получени: 0
  • Публикации: 11
Re: Криптография
« Отговор #6 -: 14 Октомври 2011, 00:35:29 »
Интересно, аз обаче не го виждам като непрестанна битка обречена на гибел. Според мен това си е въпрос на risk management и има съвсем прагматични измерения. Мисля, че не мога да го кажа по-точно от гуруто на въпросното му изказване:

http://www.youtube.com/watch?v=IoXoHlI86rQ

Цялото интервю е доста полезно, но 2:50-3:50 е точно по темата. Напълно споделям това виждане. Човекът между другото е икона в тази област и има защо.