^
SaAnVi.Ru музыкальные пародии / смешное
фотоприколы / банная / фотообои
мои минусовки: HiFi / LoFi
политота / компота / житота / сцылки
блог / думы
рецензии на фильмы
избранные минусовки
фотоотчёты
Don't speak Russian?В избранноеПодпискаРейтингАктивностьПоддержатьКЖП

последние запросы

Яндекс поискпоиск Яндекса по сайту

  
нафигатор
*Главная
*Музыка
Приколы, пародии, ремиксыПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMIDI
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
*Чтиво
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиФинансыИстории моей жизниОт других авторовПолитотаКомпотаЖитотаСцылки
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
*Рингтоны
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайт

 

блогЪ
одномоментные думы
последняя трансляция

15.01.2018 призраки, СОСАГО

12.01.2018 ВРПВ: форекс, клички

08.01.2018 кины, вайбер, сбер

05.01.2018 Телевизор через WiFi и 802.11n

25.12.2017 видео, гномик, ложечка

24.12.2017 Трёхтарифный счётчик: разводилово

20.12.2017 Windows 7 vs XP

19.12.2017 ВРПВ: трейдинг, ЗВ

18.12.2017 ЖЖ, Яндекс.Каталог, масло

15.12.2017 Подменили Путина

весь блог >>

 

подпишизь

RSS новости RSS комментарии
LiveJournal ВКонтакте Facebook Канал YouTube

 

щотчики
Рейтинг@Mail.ru Яндекс.Метрика EC: 861

Поговорим о криптографии

В очередной раз позвонил человек и настойчиво просил "взломать RAR-архив". Это бывает, наверное, раз в три года - но бывает. Человек пояснил, что пароль содержал минимум девять символов, из которых все девять неизвестны. То есть, вообще непонятно - что содержал в себе ключ. Я отказался, а человек долго не мог понять: как это так - нельзя взломать?

Что интересно, сплетни и бредни про взлом распространяются не только малограмотными голливудскими боевичками, герои которых за пять секунд ломают все возможные защиты и дешифруют любые файлы. Какой-нибудь захудаленький программист, в годы учения в институте еле как написавший на дипломе программу "Hello, world", тоже может сказать эту заветную фразу: "Взломать можно всё". И будет неправ. Криптография - это наука, а не волшебство.

Дешифрация той или иной информации или "хакерский" вход в какую-то систему (несанкционированный доступ) не связаны ни с каким волшебством. Чаще всего, в обоих случаях используются несовершенство и ошибки программного обеспечения, "социальный инжиниринг" и их производные (метод "грубой силы", о котором будет говориться ниже, применяется сравнительно редко). Поговорим конкретно о шифровании (криптовании) информации.

Криптостойкость зашифрованной информации зависит только от того, каким способом она была зашифрована. Подавляющее большинство пользовательских программ зачастую не придают этому особого значения - например, пароли на документ в некоторых версиях MS Word существовали только "для галочки", никак особенно не препятствуя извлечению, собственно, содержимого документа. Подразумевалось, что среднестатистический пользователь безвольно опустит лапки сразу после появления окошка "введите пароль".

Но есть случаи и посложнее - например, тот же архиватор RAR. Расшифровать зашифрованную этой программой информацию можно только с помощью исходного ключа. Другое дело, что ключ этот, зачастую, не особенно сложный - когда пользователь выбирает что-то, отличное от "111" или "qwe"? Даже если ключ, на первый взгляд, не связан ни с чем логически, но содержит малое количество символов - его можно довольно быстро подобрать т.н. "брутфорсом" (bruteforce - метод "грубой силы"). Под "грубой силой" понимается перебор всех возможных комбинаций пароля; для ключа длиной до 4-5 символов их не так уж и много (впрочем, и немало, если речь идёт о комбинации строчных и прописных букв с цифрами). Но если задать пароль длиной 10 символов - вероятность взлома в ближайшее время резко падает, т.к. взломщику придётся ждать перебора довольно долго. А если применить ключ длиной, к примеру, 16 символов - можно с большой долей уверенности сказать, что на сегодняшний день любой злоумышленник "устанет" подбирать пароль брутфорсом - если только он не обладает солидным вычислительным комплексом. Последний, впрочем, тоже выдаст результат далеко не сразу.

Но это RAR - программа с, как ни крути, известным алгоритмом шифрования и с известным форматом данных. А что если пойти другим путём?

Во-первых, исходную информацию можно представить в каком-нибудь оригинальном формате. Не в привычных текстовых файлах, JPEG'ах и прочем подобном. Любой опытный программист это сможет - либо переделать заголовки, либо придумать что-нибудь и покруче. Открыть файл неизвестного формата - проблема сама по себе, даже без шифрования.

Во-вторых, можно написать свой алгоритм шифрования, либо взяв за основу что-то, либо разработав самому. В случае с квалифицированным программистом это также не представляет проблемы.

В-третьих, информацию можно зашифровать два раза. Или три. Или сколько душе угодно. И каждый раз с разными "длинными" ключами.

Теперь представим себе задачу для дешифровщика. Ему надо сначала расшифровать что-то, зашифрованное неизвестным алгоритмом - до чего-то, что тоже зашифровано. То есть, получить из одного бессвязного набора данных другой - но ведь дешифровщику этот "другой набор" неизвестен! А затем дешифровать ещё и ещё (если шифрований было несколько) - и всё опять до непонятного результата, поскольку отталкиваться не от чего. Фактически, вероятность успешной дешифровки в таком случае нулевая. Дело не столько в компьютерных мощностях; дело в том, что каждый полученный результат надо будет проверить вручную, чтобы понять - представляет он из себя хоть что-то осмысленное, или нет?

Так что, взломать можно далеко не всё. И дело не в чудесах - нужно просто постараться при криптовании. Впрочем, для обычного применения хватит и того же RAR с криптостойким паролем и шифрованием заголовков - в тот день, когда вашу информацию расшифрует недруг, вряд ли для вас это будет особо важным событием.

 

©2013, Анатолий Савенков
опубликовано: 05.04.2013

комментариев: 17

 

 
dummy
просмотров:
432
глас народа:
+23 / -0
+зачёт    -незачёт

голос будет учтён
в рейтинге

список статей в категории

 

Комментарии

 

1  Marsel   свой человек05.04.2013 11:00
Отличная статья! Я бы ещё добавил рекомендации какие пароли нужно создавать.
Я всегда делаю длинные пароли, например 9*)pJ>#dWqQ496Lz0j]
2  SaAnVi   tzar05.04.2013 11:10
Хороший пароль. :) Ну а рекомендации простые - пароль должен быть как можно длиннее, содержать строчные+прописные буквы +цифры и не иметь ничего общего со словами из любых языков. Сам не знаю как запоминаю, но у меня именно такие пароли (исключая пароли к экаунтам на всяких ерундовых сервисах).
3  m0Ray   супер-линуксоид05.04.2013 11:14
Такие пароли относительно сложно запоминать. Я обычно беру кэмелкейсом какую-нибудь строчку из песни (например, "TheBallro0msOfVersailles") или какую-нибудь матерщину с литспиком ("XY!bamN@eb10"). И запоминается хорошо, и хрен подберёшь - песен в мире до фига, а уж мат и подавно неисчерпаем, особенно со спецсимволами. ;)
4  SaAnVi   tzar05.04.2013 11:20
В принципе, если подумать, можно для себя вычислить приемлемый и достаточно простой алгоритм генерации хорошозапоминающегося (и, при этом, криптоустойчивого) пароля. Но современный человек, как правило, думать о таких вещах не привык.
5  m0Ray   супер-линуксоид05.04.2013 11:29
Современный человек часто и другим болеет: придумает один пароль, и суёт его везде. Увели в одном месте - и привет из Гваделупы...
6  Flora   свой человек05.04.2013 11:37
а что такое кэмелкейс и литспик?
7  SaAnVi   tzar05.04.2013 13:43
Я - честно не знаю. :) Смотреть лень.
8  А.Д-С   свой человек05.04.2013 17:18
К п.6
Кэмелкейс — это НаписаниеСловБезПробеловСЗаглавныхБукв. Дословный перевод — "верблюжий регистр", потому что много горбов.
Литспик — з@мена бYк8 на п0хожNе (им8оль|, как-то так.
9  А.Д-С   свой человек05.04.2013 17:21
Кстати, история в тему: [ссылка, ithappens.ru]
Если вкратце — пароль для айтюнса был St1vJ0b5-mud@k!
10  SaAnVi   tzar05.04.2013 17:25
Кстати, эта параноидальность сервисов напрягает. По идее, юзер должен мочь выбрать пароль, какой хочет. Я у себя только количеством символов ограничиваю, чтоб совсем уж дерьмо не регали.
11  Flora   свой человек05.04.2013 18:08
Интересно. Спасибо за ликбез! :)
12  Генрих_Лиговский   tramvision.ru07.04.2013 13:32
> Расшифровать зашифрованную этой программой информацию можно только с помощью исходного ключа. Другое дело, что ключ этот, зачастую, не особенно сложный - когда пользователь выбирает что-то, отличное от "111" или "qwe"?

Там не совсем так. Сам ключ все равно будет сложным, т.к. RAR считывает не сам пароль, а его хэш. Именно поэтому так трудно разобрать файл ручками в отладчике. А в целом статья верная.
13  JhaoDa   свой человек08.04.2013 07:27
<зануда_mode_on>
Взломать можно всё, тут захудаленький программист прав. Но да — для этого могут потребоваться вычислительные мощности всех «обитателей» TOP500 на пару тысячелетий. И миллион криптоаналитиков в помощь им для анализа структуры и поиска алгоритма шифрования :)
</зануда_mode_off>
14  SaAnVi   tzar08.04.2013 08:23
> Взломать можно всё

Ну да, если миллион (или сколько там) обезьян за печатные машинки посадить, они "Войну и мир" напишут. ;)
15  ZlydenGL   знаток08.04.2013 11:43
/me все это время ностальгировал по временам, когда ZIP архивы шифровались путем дописывания пароля в конец файла. Никакого брутфорса, никакого эвристического механизма - тупо выкусывай последние n байт, обратно преобразуй (естественно алгоритм не был асинхронным - хотя на эту тему могу ошибаться) и пользуй :)
16  SaAnVi   tzar08.04.2013 12:01
Я вспоминаю PWL-файлы в 95-х виндах. :) Как-то с их помощью поломал админский доступ "супер-админа" в универе. Взломав, не нашёл ничего умнее, чем покласть ему на рабочий стол картинку МПХ, нарисованную тут же, с терминала, в MS Paint'е. Реакцию не видел.
17  ZlydenGL   знаток08.04.2013 12:02
Ну это-то вообще классика была :) Настоящее пиратство времен диал-апа :) А особенно забавно было наблюдать в дашборде своего @Гвардейца, как с этой же целью - совершенно безуспешно, естественно - ломятся к тебе самому :)

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 1024 символов)
введите две первые цифры из четырёх: 8080 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

новостя
17.01.2018
банная: текнигуе
14.01.2018
фотоприкол: крик неудовлетворённой души
10.01.2018
ZX music: Sokoban
27.12.2017
статья: Как очистить Андроид
22.12.2017
фотоприкол: птица яйцами гордится
13.12.2017
банная: Euvropa
11.12.2017
песенка-чудесенка: Печенье
07.12.2017
фотоприкол: NUSUKI
04.12.2017
статья: Skype ворует телефоны
01.12.2017
ZX music: License to kill
все новости >>

 

популярЪ

1. чтиво: Тёплый ламповый звук и сферический винил в вакууме

2. Текнигуе, не иначе - фром харт

3. музыкальная пародия: Винда

4. чтиво: RUCELF UPI-400-12-EL: лучше, чем ничего

5. фотосессия: Озеро-парк "Емельяновское" (Семирадское)

6. музыкальная пародия: Барак Обама

7. чтиво: Отключение ненужных служб Windows

8. чтиво: Как удалить "Интернет Цензор" с паролем

9. чтиво: Как очистить Андроид

10. чтиво: Как уменьшить шум компьютера

весь TOP >>

 

последния каменты

1. чтиво: Моя электронная почта

2. Текнигуе, не иначе - фром харт

3. блог: призраки, СОСАГО

4. блог: кины, вайбер, сбер

5. блог: Кто травит Красноярск?

6. Спасение зелёным горошком. Прислал ed.

7. блог: безразличие, провизия, ТРИЗ

8. блог: ЧПУ

9. чтиво: Одномоментные думы

10. блог: Сплав по Мане "от гостиницы Турист"

 

голо-сувание
Голосование "Президент 2018"
Голосовать или смотреть результаты на сайте KrasOpros.Ru
все опросы >>

 

сейчас на сайте
гости: 1

статистика за 10 минут
юзеры >>