SaAnVi.Ruпародиифотоприколыбаннаяполитотакомпота вкладка меню  житотасцылкиблогдумырецензиипоржатьфотоотчёты
^
SaAnVi.Ru
ёжик в тумане
музыкальные приколы
фотоприколы / банная
политота / компота
житота / сцылки
блог / думы
рецензии на фильмы
тексты на поржать
фотоотчёты
Don't speak Russian?В избранноеПодписка РейтингАктивностьПоддержать

последние запросы

Яндекс поискпоиск Яндекса по сайту

нафигатор
*Музыка
Приколы, пародии, переделкиПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMODsMIDI
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Статьи
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиЯндекс.ДиректФинансыИстории моей жизниДомостроениеОт других авторовПолитотаКомпотаЖитотаСцылкиВопросы по компьютеруВопросы по звуку
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайтГорячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

21.05.2020 ВРПВ: куропатки, порядочность, Palast Orchester, умные

18.05.2020 яйцо, мотылёк, Директ

14.05.2020 Здравствуйте. Вы проживаете в Московской области?..

13.05.2020 Как ВКонтакте меня за авторские права шпынял, да треки мои блочил

12.05.2020 ВРПВ: Лэйн, чипирование, предстояние

11.05.2020 морковка, WiFi, вопрос

09.05.2020 День Победы

08.05.2020 Заимствования треков в российской музыке

07.05.2020 День Радио, или спорадическое Е-прохождение

06.05.2020 ВРПВ: Яндекс.Толока, разоблачения, спам

весь блог >>

 

подпишизь

RSS новости RSS комментарии

Поговорим о криптографии

В очередной раз позвонил человек и настойчиво просил "взломать RAR-архив". Это бывает, наверное, раз в три года - но бывает. Человек пояснил, что пароль содержал минимум девять символов, из которых все девять неизвестны. То есть, вообще непонятно - что содержал в себе ключ. Я отказался, а человек долго не мог понять: как это так - нельзя взломать?

Что интересно, сплетни и бредни про взлом распространяются не только малограмотными голливудскими боевичками, герои которых за пять секунд ломают все возможные защиты и дешифруют любые файлы. Какой-нибудь захудаленький программист, в годы учения в институте еле как написавший на дипломе программу "Hello, world", тоже может сказать эту заветную фразу: "Взломать можно всё". И будет неправ. Криптография - это наука, а не волшебство.

Дешифрация той или иной информации или "хакерский" вход в какую-то систему (несанкционированный доступ) не связаны ни с каким волшебством. Чаще всего, в обоих случаях используются несовершенство и ошибки программного обеспечения, "социальный инжиниринг" и их производные (метод "грубой силы", о котором будет говориться ниже, применяется сравнительно редко). Поговорим конкретно о шифровании (криптовании) информации.

Криптостойкость зашифрованной информации зависит только от того, каким способом она была зашифрована. Подавляющее большинство пользовательских программ зачастую не придают этому особого значения - например, пароли на документ в некоторых версиях MS Word существовали только "для галочки", никак особенно не препятствуя извлечению, собственно, содержимого документа. Подразумевалось, что среднестатистический пользователь безвольно опустит лапки сразу после появления окошка "введите пароль".

Но есть случаи и посложнее - например, тот же архиватор RAR. Расшифровать зашифрованную этой программой информацию можно только с помощью исходного ключа. Другое дело, что ключ этот, зачастую, не особенно сложный - когда пользователь выбирает что-то, отличное от "111" или "qwe"? Даже если ключ, на первый взгляд, не связан ни с чем логически, но содержит малое количество символов - его можно довольно быстро подобрать т.н. "брутфорсом" (bruteforce - метод "грубой силы"). Под "грубой силой" понимается перебор всех возможных комбинаций пароля; для ключа длиной до 4-5 символов их не так уж и много (впрочем, и немало, если речь идёт о комбинации строчных и прописных букв с цифрами). Но если задать пароль длиной 10 символов - вероятность взлома в ближайшее время резко падает, т.к. взломщику придётся ждать перебора довольно долго. А если применить ключ длиной, к примеру, 16 символов - можно с большой долей уверенности сказать, что на сегодняшний день любой злоумышленник "устанет" подбирать пароль брутфорсом - если только он не обладает солидным вычислительным комплексом. Последний, впрочем, тоже выдаст результат далеко не сразу.

Но это RAR - программа с, как ни крути, известным алгоритмом шифрования и с известным форматом данных. А что если пойти другим путём?

Во-первых, исходную информацию можно представить в каком-нибудь оригинальном формате. Не в привычных текстовых файлах, JPEG'ах и прочем подобном. Любой опытный программист это сможет - либо переделать заголовки, либо придумать что-нибудь и покруче. Открыть файл неизвестного формата - проблема сама по себе, даже без шифрования.

Во-вторых, можно написать свой алгоритм шифрования, либо взяв за основу что-то, либо разработав самому. В случае с квалифицированным программистом это также не представляет проблемы.

В-третьих, информацию можно зашифровать два раза. Или три. Или сколько душе угодно. И каждый раз с разными "длинными" ключами.

Теперь представим себе задачу для дешифровщика. Ему надо сначала расшифровать что-то, зашифрованное неизвестным алгоритмом - до чего-то, что тоже зашифровано. То есть, получить из одного бессвязного набора данных другой - но ведь дешифровщику этот "другой набор" неизвестен! А затем дешифровать ещё и ещё (если шифрований было несколько) - и всё опять до непонятного результата, поскольку отталкиваться не от чего. Фактически, вероятность успешной дешифровки в таком случае нулевая. Дело не столько в компьютерных мощностях; дело в том, что каждый полученный результат надо будет проверить вручную, чтобы понять - представляет он из себя хоть что-то осмысленное, или нет?

Так что, взломать можно далеко не всё. И дело не в чудесах - нужно просто постараться при криптовании. Впрочем, для обычного применения хватит и того же RAR с криптостойким паролем и шифрованием заголовков - в тот день, когда вашу информацию расшифрует недруг, вряд ли для вас это будет особо важным событием.

 

©2013, Анатолий Савенков
опубликовано: 05.04.2013

комментариев: 20

 

 
просмотров:
525
глас народа:
+26 / -0
+зачёт    незачёт

голос будет учтён
в рейтинге

▶ Понравилось? Поддержи! ◀

список статей в категории

 

Комментарии

 

1  Marsel
свой человек
05.04.2013 11:00
Отличная статья! Я бы ещё добавил рекомендации какие пароли нужно создавать.
Я всегда делаю длинные пароли, например 9*)pJ>#dWqQ496Lz0j]
2  SaAnVi
tzar
05.04.2013 11:10
Хороший пароль. :) Ну а рекомендации простые - пароль должен быть как можно длиннее, содержать строчные+прописные буквы +цифры и не иметь ничего общего со словами из любых языков. Сам не знаю как запоминаю, но у меня именно такие пароли (исключая пароли к экаунтам на всяких ерундовых сервисах).
3  m0Ray
супер-линуксоид
05.04.2013 11:14
Такие пароли относительно сложно запоминать. Я обычно беру кэмелкейсом какую-нибудь строчку из песни (например, "TheBallro0msOfVersailles") или какую-нибудь матерщину с литспиком ("XY!bamN@eb10"). И запоминается хорошо, и хрен подберёшь - песен в мире до фига, а уж мат и подавно неисчерпаем, особенно со спецсимволами. ;)
4  SaAnVi
tzar
05.04.2013 11:20
В принципе, если подумать, можно для себя вычислить приемлемый и достаточно простой алгоритм генерации хорошозапоминающегося (и, при этом, криптоустойчивого) пароля. Но современный человек, как правило, думать о таких вещах не привык.
5  m0Ray
супер-линуксоид
05.04.2013 11:29
Современный человек часто и другим болеет: придумает один пароль, и суёт его везде. Увели в одном месте - и привет из Гваделупы...
6  Flora
свой человек
05.04.2013 11:37
а что такое кэмелкейс и литспик?
7  SaAnVi
tzar
05.04.2013 13:43
Я - честно не знаю. :) Смотреть лень.
8  А.Д-С
свой человек
05.04.2013 17:18
К п.6
Кэмелкейс — это НаписаниеСловБезПробеловСЗаглавныхБукв. Дословный перевод — "верблюжий регистр", потому что много горбов.
Литспик — з@мена бYк8 на п0хожNе (им8оль|, как-то так.
9  А.Д-С
свой человек
05.04.2013 17:21
Кстати, история в тему: [ithappens.ru/story/4271]
Если вкратце — пароль для айтюнса был St1vJ0b5-mud@k!
10  SaAnVi
tzar
05.04.2013 17:25
Кстати, эта параноидальность сервисов напрягает. По идее, юзер должен мочь выбрать пароль, какой хочет. Я у себя только количеством символов ограничиваю, чтоб совсем уж дерьмо не регали.
11  Flora
свой человек
05.04.2013 18:08
Интересно. Спасибо за ликбез! :)
12  Генрих_Лиговский
tramvision.ru
07.04.2013 13:32
> Расшифровать зашифрованную этой программой информацию можно только с помощью исходного ключа. Другое дело, что ключ этот, зачастую, не особенно сложный - когда пользователь выбирает что-то, отличное от "111" или "qwe"?

Там не совсем так. Сам ключ все равно будет сложным, т.к. RAR считывает не сам пароль, а его хэш. Именно поэтому так трудно разобрать файл ручками в отладчике. А в целом статья верная.
13  JhaoDa
свой человек
08.04.2013 07:27
<зануда_mode_on>
Взломать можно всё, тут захудаленький программист прав. Но да — для этого могут потребоваться вычислительные мощности всех «обитателей» TOP500 на пару тысячелетий. И миллион криптоаналитиков в помощь им для анализа структуры и поиска алгоритма шифрования :)
</зануда_mode_off>
14  SaAnVi
tzar
08.04.2013 08:23
> Взломать можно всё

Ну да, если миллион (или сколько там) обезьян за печатные машинки посадить, они "Войну и мир" напишут. ;)
15  ZlydenGL
знаток
08.04.2013 11:43
/me все это время ностальгировал по временам, когда ZIP архивы шифровались путем дописывания пароля в конец файла. Никакого брутфорса, никакого эвристического механизма - тупо выкусывай последние n байт, обратно преобразуй (естественно алгоритм не был асинхронным - хотя на эту тему могу ошибаться) и пользуй :)
16  SaAnVi
tzar
08.04.2013 12:01
Я вспоминаю PWL-файлы в 95-х виндах. :) Как-то с их помощью поломал админский доступ "супер-админа" в универе. Взломав, не нашёл ничего умнее, чем покласть ему на рабочий стол картинку МПХ, нарисованную тут же, с терминала, в MS Paint'е. Реакцию не видел.
17  ZlydenGL
знаток
08.04.2013 12:02
Ну это-то вообще классика была :) Настоящее пиратство времен диал-апа :) А особенно забавно было наблюдать в дашборде своего @Гвардейца, как с этой же целью - совершенно безуспешно, естественно - ломятся к тебе самому :)
18  Motorton
гость
06.02.2018 12:25
Странная статья. Ессно можно защифровать всё так, что сам не расшифруешь. Но обычно шифруют для того, чтобы другой человек смог расшифровать. И одно это уже даёт возможность расшифровать любому. В начале статьи говорится о РАРе с 9ью символами пароля (нельзя вломать), в середине - РАР с 15 просто долго перебирает.
19  SaAnVi
tzar
06.02.2018 12:29
> Ессно можно защифровать всё так, что сам не расшифруешь

А где я об этом говорю, и зачем это надо?

> одно это уже даёт возможность расшифровать любому

Не даёт.

> В начале статьи говорится о РАРе с 9ью символами пароля (нельзя вломать)

Нет в статье такого.
20  Садисто
свой человек
12.02.2018 01:20
С паролями отдельная песня) Мне пришлось идти от обратного, т.к. в силу паранойи первые пароли были вообще не человекозапоминаемыми (и хранились в файлике:) ). По итогам пришёл к тому, что такие пароли теперь только на нужных мне сайтах, на остальных- "универсальный" пароль на все случаи жизни- правда, длинный и сложный.

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 2048 символов)
введите две первые цифры из четырёх: 5779 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

ВКонтакте Facebook Яндекс.Дзен Канал YouTube Soundcloud
 
Яндекс.Метрика Top.Mail.Ru
EC: 771
новостя
24.05.2020
статья: Всё, что нужно знать о тепловых насосах
18.05.2020
статья: Software_Reporter_Tool.exe: очередной "подарок" от Google Chrome
18.05.2020
статья: Нужно ли форматировать SSD
15.05.2020
музыка MODs: Fall from sky
03.05.2020
музыка MODs: Infinity
01.05.2020
статья: Firefox: что-то пошло не так
22.04.2020
статья: Как улучшить интернет на модеме 3G/4G
15.04.2020
музыка MODs: Uralvolga fine
15.04.2020
новый музыкальный раздел: MODs
12.04.2020
статья: Обход ограничения торрентов YOTA
все новости >>

 

популярЪ

1. статья: Всё, что нужно знать о тепловых насосах

2. статья: Тёплый ламповый звук и сферический винил в вакууме

3. статья: RUCELF UPI-400-12-EL: лучше, чем ничего

4. статья: Файл подкачки на SSD

5. статья: Software_Reporter_Tool.exe: очередной "подарок" от Google Chrome

6. музыкальная пародия: Винда

7. статья: Как удалить "Интернет Цензор" с паролем

8. статья: Отключение ненужных служб Windows

9. статья: Звонок

10. статья: Ноутбук или компьютер

весь TOP >>

 

последния каменты

1. статья: Всё, что нужно знать о тепловых насосах

2. блог: яйцо, мотылёк, Директ

3. блог: ВРПВ: куропатки, порядочность, Palast Orchester, умные

4. статья: Фильтр Гейзер Макс, ч.2

5. блог: ВРПВ: Лэйн, чипирование, предстояние

6. блог: морковка, WiFi, вопрос

7. статья: Software_Reporter_Tool.exe: очередной "подарок" от Google Chrome

8. статья: Нужно ли форматировать SSD

9. блог: День Победы

10. статья: Аналог vs Цифра: бой, которого не было

 

нынче на сайте
Садисто (1)

гости: 1

статистика за 10 минут
юзеры >>
изображениезакрыть
dummy