مطبات رمز التشفير
https://stackoverflow.com/questions/497156
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أنا تعديل القائمة رمز الحماية.المواصفات واضحة جدا ، هناك رمز المثال, ولكن أنا لا التشفير الخبراء.في الواقع, على سبيل المثال رمز إخلاء قائلا: في الواقع "لا تستخدم هذا الرمز الحرفي."
في حين التدقيق مدونة أنا من أجل تعديل (التي يفترض ميزة كاملة) مررت عبر هذا جوهره القليل الذي يستخدم في توليد التحدي:
static uint16 randomSeed;
...
uint16 GetRandomValue(void)
{
return randomSeed++;/* This is not a good example of very random generation :o) */
}
طبعا أول شيء أنا على الفور هل كان مرره المكتب حتى نتمكن من الحصول على كل الضحك.
المبرمج الذي أنتج هذا الرمز أعرف أنه لم يكن خوارزمية جيدة (كما هو مبين في التعليق), ولكن لا أعتقد أنهم فهموا الآثار الأمنية.حتى أنهم لم يكلف نفسه عناء الاتصال في حلقة الرئيسية لذلك سيكون على الأقل تتحول إلى الحرة تشغيل العداد - لا تزال غير مثالية ، ولكن عوالم أبعد من ذلك.
ومع ذلك أعرف أن القانون لا تنتج سوف وبالمثل السبب الحقيقي الأمن المعلم إلى مكتومة أو الزلزال.
- ما هي الأكثر شيوعا المشاكل الأمنية الخاصة التشفير, أنني بحاجة إلى تفهم ؟
- ما هي بعض الموارد التي سوف تعطيني مناسبة من المعرفة حول ما يجب أن تعرف ما وراء الأخطاء الشائعة ؟
-آدم
المحلول
تطبيق التشفير هو كتاب ممتاز لمساعدتك على فهم التشفير و رمز.هذا ينطبق على الكثير من الأساسيات مثل كتلة الأصفار العمل ، والسبب في اختيار الفقراء وضع الشفرات سوف تجعل الكود الخاص بك عديمة الفائدة حتى إذا كنت تستخدم نفذت تماما نسخة من AES.
بعض الأشياء لمشاهدة:
- مصادر الفقيرة العشوائية
- محاولة تصميم خوارزمية الخاصة بك أو البروتوكول - لا تفعل ذلك أبدا.
- لا على أنه رمز استعراضها.ويفضل أن يكون ذلك قبل نشرها على الانترنت.
- لا تستخدم راسخة مكتبة محاولة كتابة ذلك بنفسك.
- التشفير باعتبارها الدواء الشافي - تشفير البيانات لا تجعل سحرية آمنة
- الإدارة الرئيسية.في هذه الأيام فإنه غالبا ما يكون من الأسهل إلى سرقة المفتاح مع الجانب-قناة الهجوم من أجل الهجوم التشفير.
نصائح أخرى
لا تحاول لفة الخاص بك - استخدام المكتبة القياسية إذا كان ذلك ممكنا.التغييرات الطفيفة إلى رمز الأمان يمكن أن يكون لها تأثير كبير التي ليست من السهل على الفور ، ولكن يمكن فتح الثغرات الأمنية.على سبيل المثال ، اثنين تعديل الخطوط إلى مكتبة واحدة فتحت حفرة التي لم تكن واضحة لبعض الوقت.
سؤالك يدل على واحد من أكثر شيوعا منها:الفقراء مصادر العشوائية.لا يهم إذا كنت تستخدم مفتاح 256 بت إذا كانت بت ليست عشوائية بما فيه الكفاية.
رقم 2 هو على الارجح على افتراض أن يمكنك تصميم نظام أفضل من الخبراء.هذا هو أحد المجالات حيث جودة تنفيذ معيار يكاد يكون من المؤكد سوف يكون أفضل من الابتكار.تذكر أنه استغرق 3 الإصدارات الرئيسية من قبل SSL كان حقا آمنة.نعتقد.
IMHO ، هناك أربعة مستويات من الهجمات يجب أن تكون على علم:
هجمات الهندسة الاجتماعية.يجب تدريب المستخدمين لا تفعل أشياء غبية و كتابة مثل هذه البرامج التي من الصعب على المستخدمين أن تفعل أشياء غبية.أنا لا أعرف من أي إشارة جيدة عن هذه الأشياء.
لا تنفيذ تعليمات برمجية عشوائية (عازلة الفيضانات ، xss يستغل, حقن sql كلها مجمعة هنا).الحد الأدنى الشيء القيام به من أجل معرفة المزيد عن هذا هو قراءة كتابة رمز الأمان من شخص في مرض التصلب العصبي المتعدد و مشاهدة كيفية كسر برامج ويب google tech talk.وهذا أيضا ينبغي أن يعلمك قليلا عن الدفاع في العمق.
المنطقي الهجمات.إذا كان الرمز هو التلاعب في نص عادي, شهادات, تواقيع, الشفرات-النصوص العامة مفاتيح أو غيرها من التشفير الأشياء, يجب عليك أن تدرك أن التعامل معها بطرق سيئة يمكن أن تؤدي إلى أشياء سيئة.الحد الأدنى من الأشياء التي يجب أن تكون على علم حول تشمل حاليا&القاموس على الانترنت هجمات تكرار الهجمات رجل في داخل المتوسطة الهجمات.نقطة البداية لتعلم هذا و عموما إشارة جيدة جدا بالنسبة لك هو http://www.soe.ucsc.edu/~العبادي/أوراق/gep-ieee.ps
التشفير الهجمات.التشفير الضعف ما يلي:
- الأشياء التي يمكنك تجنب:سيئة توليد رقم عشوائي استخدام كسر وظيفة تجزئة ، كسر تنفيذ الأمن البدائية (مثلا ، مهندس ينسى -1 في مكان ما في رمز ، مما يجعل وظيفة تشفير عكسها)
- أشياء لا يمكنك تجنب عدا كونها ما يصل إلى تاريخ ممكن:هجوم جديد ضد تجزئة الوظيفة أو وظيفة التشفير (انظر على سبيل المثالالأخيرة MD5 الحديث) ، هجوم جديد التقنية (انظر على سبيل المثالالهجمات الأخيرة ضد البروتوكولات التي ترسل تشفير الصوت عبر الشبكة)
إشارة جيدة بشكل عام ينبغي تطبيق التشفير.
كما انه أمر مقلق جدا بالنسبة لي أن أشياء تحدث في الجهاز المحمول الذي هو على الارجح مؤمن و من الصعب تحديث هو مكتوب من قبل شخص يسأل عن الأمن على ستاكوفيرفلوو.أعتقد أن حالة واحدة من الحالات القليلة حيث كنت في حاجة خارجي (جيد) استشاري التي تساعدك على الحصول على التفاصيل بشكل صحيح.حتى إذا كنت استئجار مستشار الأمن التي أنصح لك أن تفعل ، يرجى أيضا قراءة أعلاه (في أضيق الحدود) مراجع.
ما هي الأكثر شيوعا المشاكل الأمنية الخاصة التشفير, أنني بحاجة إلى تفهم ؟
سهلة - (1) ليست ذكية بما فيه الكفاية أن تأتي مع الخوارزمية الخاصة بك.
(1) و من قبل كنت أقصد أنا و أنت و الجميع قراءة هذا الموقع...ماعدا آلان كاي و جون السكيت.
أنا لست التشفير الرجل أيضا ولكن S-مربعات يمكن أن تكون مزعجة عندما تعبث مع (ويفعلون فرقا).تحتاج أيضا مصدرا حقيقيا الكون ، ليس فقط PRNG (مهما كانت عشوائية يبدو).PRNGs هي عديمة الفائدة.بعد ذلك يجب التأكد من الكون مصدر ليس القطعية وأنه لا يمكن العبث بها.
نصيحتي المتواضعة هو:العصا مع المعروف خوارزميات التشفير, إلا إذا كنت خبير وفهم المخاطر.يمكنك أن تكوني أفضل حالا باستخدام بعض اختبار المتاحة للجمهور مفتوحة المصدر / المجال العام البرمجية.
