SaAnVi.Ruмузпародиифотоприколыбаннаяполитотакомпота вкладка меню  житотасцылкиблогдумырецензиипоржатьфотоотчёты
^
SaAnVi.Ru
Масяня
музыкальные приколы
фотоприколы / банная
политота / компота
житота / сцылки
блог / думы
рецензии на фильмы
тексты на поржать
фотоотчёты
Don't speak Russian?В избранноеПодписка РейтингАктивностьПоддержатьКЖП

последние запросы

Яндекс поискпоиск Яндекса по сайту

нафигатор
*Музыка
Приколы, пародии, переделкиПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMIDI
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Статьи
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиЯндекс.ДиректФинансыИстории моей жизниДомостроениеОт других авторовПолитотаКомпотаЖитотаСцылкиВопросы по компьютеруВопросы по звуку
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайтГорячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

21.10.2019 DNS, кошка

19.10.2019 Случай с кредиткой

17.10.2019 Предпусковой подогреватель

16.10.2019 ВРПВ: голос, хиты, директ

14.10.2019 андроид, PayPal, eBay

09.10.2019 Сила - в простоте

07.10.2019 TELE2, трейдмарк, дом.ру

03.10.2019 ВРПВ: свой дом

02.10.2019 Был клиент - и нет клиента

01.10.2019 родословная, TELE2, забор

весь блог >>

 

подпишизь

RSS новости RSS комментарии
ВКонтакте Facebook Яндекс.Дзен Канал YouTube Soundcloud

 

щотчики
Рейтинг@Mail.ru
Яндекс.Метрика
EC: 571

Поговорим о криптографии

В очередной раз позвонил человек и настойчиво просил "взломать RAR-архив". Это бывает, наверное, раз в три года - но бывает. Человек пояснил, что пароль содержал минимум девять символов, из которых все девять неизвестны. То есть, вообще непонятно - что содержал в себе ключ. Я отказался, а человек долго не мог понять: как это так - нельзя взломать?

Что интересно, сплетни и бредни про взлом распространяются не только малограмотными голливудскими боевичками, герои которых за пять секунд ломают все возможные защиты и дешифруют любые файлы. Какой-нибудь захудаленький программист, в годы учения в институте еле как написавший на дипломе программу "Hello, world", тоже может сказать эту заветную фразу: "Взломать можно всё". И будет неправ. Криптография - это наука, а не волшебство.

Дешифрация той или иной информации или "хакерский" вход в какую-то систему (несанкционированный доступ) не связаны ни с каким волшебством. Чаще всего, в обоих случаях используются несовершенство и ошибки программного обеспечения, "социальный инжиниринг" и их производные (метод "грубой силы", о котором будет говориться ниже, применяется сравнительно редко). Поговорим конкретно о шифровании (криптовании) информации.

Криптостойкость зашифрованной информации зависит только от того, каким способом она была зашифрована. Подавляющее большинство пользовательских программ зачастую не придают этому особого значения - например, пароли на документ в некоторых версиях MS Word существовали только "для галочки", никак особенно не препятствуя извлечению, собственно, содержимого документа. Подразумевалось, что среднестатистический пользователь безвольно опустит лапки сразу после появления окошка "введите пароль".

Но есть случаи и посложнее - например, тот же архиватор RAR. Расшифровать зашифрованную этой программой информацию можно только с помощью исходного ключа. Другое дело, что ключ этот, зачастую, не особенно сложный - когда пользователь выбирает что-то, отличное от "111" или "qwe"? Даже если ключ, на первый взгляд, не связан ни с чем логически, но содержит малое количество символов - его можно довольно быстро подобрать т.н. "брутфорсом" (bruteforce - метод "грубой силы"). Под "грубой силой" понимается перебор всех возможных комбинаций пароля; для ключа длиной до 4-5 символов их не так уж и много (впрочем, и немало, если речь идёт о комбинации строчных и прописных букв с цифрами). Но если задать пароль длиной 10 символов - вероятность взлома в ближайшее время резко падает, т.к. взломщику придётся ждать перебора довольно долго. А если применить ключ длиной, к примеру, 16 символов - можно с большой долей уверенности сказать, что на сегодняшний день любой злоумышленник "устанет" подбирать пароль брутфорсом - если только он не обладает солидным вычислительным комплексом. Последний, впрочем, тоже выдаст результат далеко не сразу.

Но это RAR - программа с, как ни крути, известным алгоритмом шифрования и с известным форматом данных. А что если пойти другим путём?

Во-первых, исходную информацию можно представить в каком-нибудь оригинальном формате. Не в привычных текстовых файлах, JPEG'ах и прочем подобном. Любой опытный программист это сможет - либо переделать заголовки, либо придумать что-нибудь и покруче. Открыть файл неизвестного формата - проблема сама по себе, даже без шифрования.

Во-вторых, можно написать свой алгоритм шифрования, либо взяв за основу что-то, либо разработав самому. В случае с квалифицированным программистом это также не представляет проблемы.

В-третьих, информацию можно зашифровать два раза. Или три. Или сколько душе угодно. И каждый раз с разными "длинными" ключами.

Теперь представим себе задачу для дешифровщика. Ему надо сначала расшифровать что-то, зашифрованное неизвестным алгоритмом - до чего-то, что тоже зашифровано. То есть, получить из одного бессвязного набора данных другой - но ведь дешифровщику этот "другой набор" неизвестен! А затем дешифровать ещё и ещё (если шифрований было несколько) - и всё опять до непонятного результата, поскольку отталкиваться не от чего. Фактически, вероятность успешной дешифровки в таком случае нулевая. Дело не столько в компьютерных мощностях; дело в том, что каждый полученный результат надо будет проверить вручную, чтобы понять - представляет он из себя хоть что-то осмысленное, или нет?

Так что, взломать можно далеко не всё. И дело не в чудесах - нужно просто постараться при криптовании. Впрочем, для обычного применения хватит и того же RAR с криптостойким паролем и шифрованием заголовков - в тот день, когда вашу информацию расшифрует недруг, вряд ли для вас это будет особо важным событием.

 

©2013, Анатолий Савенков
опубликовано: 05.04.2013

комментариев: 20

 

 
просмотров:
510
глас народа:
+25 / -0
+зачёт    -незачёт

голос будет учтён
в рейтинге

список статей в категории

 

Комментарии

 

1  Marsel   свой человек05.04.2013 11:00
Отличная статья! Я бы ещё добавил рекомендации какие пароли нужно создавать.
Я всегда делаю длинные пароли, например 9*)pJ>#dWqQ496Lz0j]
2  SaAnVi   tzar05.04.2013 11:10
Хороший пароль. :) Ну а рекомендации простые - пароль должен быть как можно длиннее, содержать строчные+прописные буквы +цифры и не иметь ничего общего со словами из любых языков. Сам не знаю как запоминаю, но у меня именно такие пароли (исключая пароли к экаунтам на всяких ерундовых сервисах).
3  m0Ray   супер-линуксоид05.04.2013 11:14
Такие пароли относительно сложно запоминать. Я обычно беру кэмелкейсом какую-нибудь строчку из песни (например, "TheBallro0msOfVersailles") или какую-нибудь матерщину с литспиком ("XY!bamN@eb10"). И запоминается хорошо, и хрен подберёшь - песен в мире до фига, а уж мат и подавно неисчерпаем, особенно со спецсимволами. ;)
4  SaAnVi   tzar05.04.2013 11:20
В принципе, если подумать, можно для себя вычислить приемлемый и достаточно простой алгоритм генерации хорошозапоминающегося (и, при этом, криптоустойчивого) пароля. Но современный человек, как правило, думать о таких вещах не привык.
5  m0Ray   супер-линуксоид05.04.2013 11:29
Современный человек часто и другим болеет: придумает один пароль, и суёт его везде. Увели в одном месте - и привет из Гваделупы...
6  Flora   свой человек05.04.2013 11:37
а что такое кэмелкейс и литспик?
7  SaAnVi   tzar05.04.2013 13:43
Я - честно не знаю. :) Смотреть лень.
8  А.Д-С   свой человек05.04.2013 17:18
К п.6
Кэмелкейс — это НаписаниеСловБезПробеловСЗаглавныхБукв. Дословный перевод — "верблюжий регистр", потому что много горбов.
Литспик — з@мена бYк8 на п0хожNе (им8оль|, как-то так.
9  А.Д-С   свой человек05.04.2013 17:21
Кстати, история в тему: [ithappens.ru/story/4271]
Если вкратце — пароль для айтюнса был St1vJ0b5-mud@k!
10  SaAnVi   tzar05.04.2013 17:25
Кстати, эта параноидальность сервисов напрягает. По идее, юзер должен мочь выбрать пароль, какой хочет. Я у себя только количеством символов ограничиваю, чтоб совсем уж дерьмо не регали.
11  Flora   свой человек05.04.2013 18:08
Интересно. Спасибо за ликбез! :)
12  Генрих_Лиговский   tramvision.ru07.04.2013 13:32
> Расшифровать зашифрованную этой программой информацию можно только с помощью исходного ключа. Другое дело, что ключ этот, зачастую, не особенно сложный - когда пользователь выбирает что-то, отличное от "111" или "qwe"?

Там не совсем так. Сам ключ все равно будет сложным, т.к. RAR считывает не сам пароль, а его хэш. Именно поэтому так трудно разобрать файл ручками в отладчике. А в целом статья верная.
13  JhaoDa   свой человек08.04.2013 07:27
<зануда_mode_on>
Взломать можно всё, тут захудаленький программист прав. Но да — для этого могут потребоваться вычислительные мощности всех «обитателей» TOP500 на пару тысячелетий. И миллион криптоаналитиков в помощь им для анализа структуры и поиска алгоритма шифрования :)
</зануда_mode_off>
14  SaAnVi   tzar08.04.2013 08:23
> Взломать можно всё

Ну да, если миллион (или сколько там) обезьян за печатные машинки посадить, они "Войну и мир" напишут. ;)
15  ZlydenGL   знаток08.04.2013 11:43
/me все это время ностальгировал по временам, когда ZIP архивы шифровались путем дописывания пароля в конец файла. Никакого брутфорса, никакого эвристического механизма - тупо выкусывай последние n байт, обратно преобразуй (естественно алгоритм не был асинхронным - хотя на эту тему могу ошибаться) и пользуй :)
16  SaAnVi   tzar08.04.2013 12:01
Я вспоминаю PWL-файлы в 95-х виндах. :) Как-то с их помощью поломал админский доступ "супер-админа" в универе. Взломав, не нашёл ничего умнее, чем покласть ему на рабочий стол картинку МПХ, нарисованную тут же, с терминала, в MS Paint'е. Реакцию не видел.
17  ZlydenGL   знаток08.04.2013 12:02
Ну это-то вообще классика была :) Настоящее пиратство времен диал-апа :) А особенно забавно было наблюдать в дашборде своего @Гвардейца, как с этой же целью - совершенно безуспешно, естественно - ломятся к тебе самому :)
18  Motorton   гость06.02.2018 12:25
Странная статья. Ессно можно защифровать всё так, что сам не расшифруешь. Но обычно шифруют для того, чтобы другой человек смог расшифровать. И одно это уже даёт возможность расшифровать любому. В начале статьи говорится о РАРе с 9ью символами пароля (нельзя вломать), в середине - РАР с 15 просто долго перебирает.
19  SaAnVi   tzar06.02.2018 12:29
> Ессно можно защифровать всё так, что сам не расшифруешь

А где я об этом говорю, и зачем это надо?

> одно это уже даёт возможность расшифровать любому

Не даёт.

> В начале статьи говорится о РАРе с 9ью символами пароля (нельзя вломать)

Нет в статье такого.
20  Садисто   свой человек12.02.2018 01:20
С паролями отдельная песня) Мне пришлось идти от обратного, т.к. в силу паранойи первые пароли были вообще не человекозапоминаемыми (и хранились в файлике:) ). По итогам пришёл к тому, что такие пароли теперь только на нужных мне сайтах, на остальных- "универсальный" пароль на все случаи жизни- правда, длинный и сложный.

 

↑ к началу комментариев    ↑↑ к началу страницы

 

 

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 2048 символов)
введите две первые цифры из четырёх: 3828 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  
новостя
14.10.2019
обзор: Метеостанция Buro H146G: бесполезное приобретение
05.10.2019
статья: Отключение обновлений в Windows 10
01.10.2019
фотоприкол: отличное техническое состояние
26.09.2019
банная: том ям и Пхукет
24.09.2019
фотоприкол: манты
16.09.2019
рассказ: Powerbank: страшилка
12.09.2019
раздел: Домостроение
11.09.2019
фотоприкол: конь педальный
10.09.2019
статья: Windows 10: чёрный экран и курсор
29.08.2019
статья: Какой канал WiFi выбрать
все новости >>

 

популярЪ

1. статья: Тёплый ламповый звук и сферический винил в вакууме

2. статья: Метеостанция Buro H146G: бесполезное приобретение

3. статья: Файл подкачки на SSD

4. статья: Как я клиенту компьютер собирал

5. статья: Насосная станция

6. статья: Смерть Windows 7

7. статья: Ускорение Windows

8. музыкальная пародия: Винда

9. Конь педальный. Фото: ed.

10. статья: Очистка компьютера

весь TOP >>

 

последния каменты

1. блог: DNS, кошка

2. статья: RUCELF UPI-400-12-EL: лучше, чем ничего

3. блог: Предпусковой подогреватель

4. статья: Метеостанция Buro H146G: бесполезное приобретение

5. музыкальная пародия: Ничего на свете лучше нету

6. блог: ВРПВ: голос, хиты, директ

7. блог: андроид, PayPal, eBay

8. блог: Бойкот одноклассников

9. статья: Очистка компьютера

10. статья: Аналог vs Цифра: бой, которого не было

 

нынче на сайте
Домовой (1)

гости: 5

статистика за 10 минут
юзеры >>
изображениезакрыть
dummy