| Вопрос: Шифровка файла от 15 до ... MB | Добавлено: 03.04.07 01:08 |
Автор вопроса:  Stars
|
| Ответы | Всего ответов: 109 |
|
Номер ответа: 91 Автор ответа:  Artyom Разработчик Вопросов: 130 Ответов: 6602 |
Профиль | | #91 | Добавлено: 12.04.07 01:45 |
|
Не, ты не понял. Вот хочет хакер взломать сообщение, зашифрованное дотнетовским AES. А это и не AES вовсе, а что-то совсем хитрое, что кроме МСовцев никто не знает. Тогда злобный хакер обломается
 Вот какая у них логика. А то, что стойкость AES математически доказана, а вот стойкость того, что написали бравые мелкомягкие индусы, очень и очень сомнительна, их не волнует. К слову, основные громкие взломы алгоритмов шифрования относятся именно к их глючным реализациям, например, взломы ранних версий протоколов GSM и т.п. Денис, ну нафига на бред HACKER'а в таком стиле отвечать, ты ж себя этим дескридетиурешь как специалиста! Назови мне какой класс в System.Security.Cryptography, который релализует "что-то хитрое, что кроме MSовцев никто не знает". |
||
|
Номер ответа: 92 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #92 | Добавлено: 12.04.07 01:53 |
| Любой. Я поверю, что то, что они наговнокодили в свою недобиблиотечку является AES'ом только тогда, когда буду держать в руках нотариально заверенный отчет от Coverity с этими словами, и лично Билл Гейтс распишется, что дал на аудит абсолютно аутентичный код фрамеворка. | ||
|
Номер ответа: 93 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #93 | Добавлено: 12.04.07 01:54 |
|
А, да. И нефиг тут клинышки вбивать
|
||
|
Номер ответа: 94 Автор ответа: ArtyomРазработчик Вопросов: 130 Ответов: 6602 |
Профиль | | #94 | Добавлено: 12.04.07 02:06 |
|
Любой. Я поверю, что то, что они наговнокодили в свою недобиблиотечку является AES'ом только тогда, когда буду держать в руках нотариально заверенный отчет от Coverity с этими словами, и лично Билл Гейтс распишется, что дал на аудит абсолютно аутентичный код фрамеворка.
А ты походу на юридическом факультете учишьсьо? |
||
|
Номер ответа: 95 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #95 | Добавлено: 12.04.07 02:10 |
| А я, по ходу, хорошо отличаю обычный маркетинг от объективной реальности. И если в твое сердце глубоко западают фразы вида "Windows - стабильная, мощная, современная и безопасная операционная система", то я прекрасно понимаю, что правды в этой фразе ровно одно слово. Поделка от Microsoft действительно называется Windows. | ||
|
Номер ответа: 96 Автор ответа: ArtyomРазработчик Вопросов: 130 Ответов: 6602 |
Профиль | | #96 | Добавлено: 12.04.07 02:16 |
| понятно | ||
|
Номер ответа: 97 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #97 | Добавлено: 12.04.07 02:25 |
|
Да ну? Не верю я тебе почему-то
|
||
|
Номер ответа: 98 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #98 | Добавлено: 12.04.07 20:48 |
|
)) угаггааа, ну вам там всем всё видно? Кому невидно пересядте на первые ряды, смотрим:
Когда не представляется разумно аргументировать и доказывать свою правоту, начинается переход на личности: Ты тормоз или решил показать, что не зря 2 года ботаешь Информационную безопасность?
Я не спрашивал на чем основывается безопасность, я просил дать определение термина "Безопасность, основанная на неизвестности". Или такое сложное только в аспирантуре рассказывают? Цитарую ещё раз, для наглядности: я просил дать определение термина "Безопасность, основанная на неизвестности"
Ничего он не просил, вот как было на самом деле: От этого мы больше ничего неможем сказать, кроме того, что ваша надёжность основывается на недоступности, а это значит это плохая надёжность.
Может вам на Информационной безопасности не объясняли, я объясню. Безопасность, основанная на неизвестности (security through obscurity) - это обеспечение безопасности, основаное на том, что злоумышленнику неизвестен алгоритм шифрования, IP-адрес компьютера, порт на котором работает служба и т.п. Например - я размещу на компьютере секретную информацию, повешу компьютер в интернете и буду утверждать, что информция безопасна, так как IP-адрес компьютера неизвестен злоумышленника, следовательно, информцию он считать не сможет. Brand...)))) Ну Brand... ну у меня уже нет сил орать с тебя, но ты заставляешь орать с себя и других учасников форума... Это ж как раз ты ж себя этим дескридетиурешь как специалиста!
|
||
|
Номер ответа: 99 Автор ответа: ArtyomРазработчик Вопросов: 130 Ответов: 6602 |
Профиль | | #99 | Добавлено: 12.04.07 23:10 |
|
Когда не представляется разумно аргументировать и доказывать свою правоту, начинается переход на личности:
Понимаешь, человеку который читает один из 10 постов сложно что-то объяснить. Но попробую. Для того что б объективно во всем разобраться, прийдется вернуться на несколько страниц назад. Итак, публично провожу, так сказать, мастер-класс как вывести голимого фледура на чистую воду. Что ж, приступаем. Приводятся цитати из сообщений, объединенные одной логической цепочкой. Желающие могут пойти и по номерам постов (даже не нужно утруждать себя поиском каждой фразы) и убедиться что все посты отквочены друг от друга. Brand (49): Если бы какой-то криптоаналитик усомнился в надежности AES в .NET Framework, то ему было бы достаточно скачать программу Reflector и декомпилировать нужный класс - не думаю что возможность безпрепятственной декомпиляции сборок для тебя новость
Ну вобщем-то все правильно. Даже то что возможность безпрепятственной декомпиляции сборок для тебя новость. HACKER (58) Все классы будем декомпилировать? Тебе Sharp предлагал, давай декомпилируем RijndaelManaged
)) С этого места отпадает жилание у криптоаналитиков работать с MS продуктами. Декомпиляция будет включать в себя столько хлама, кто ты просто ничего не вычитаешь оттуда относительно Rijndael'a. От этого невозможность изучения фреймворка, его классов, встроенных алгоритмов. От этого мы больше ничего неможем сказать, кроме того, что ваша надёжность основывается на недоступности, а это значит это плохая надёжность. Т.е. кому надо найти лазейку, действительно декомпилируют и найдут.1) Все классы будем декомпилировать? Морозим не в тему. По-моему речь идет о криптографии, а конкретнее о AES и его реализации в виде класса RijndaelManaged. Для его анализа все классы декомпилировать не будем - будем декомпилировать только RijndaelManaged. Итак, -1 2) Тебе Sharp предлагал, давай декомпилируем RijndaelManaged ))
Декомпилировать не проблема. Но я уже объяснял что выкладывать здесь код не буду по той причине что это нарушает лицензионное согланешие. Несмотря на то, что очень часть даже MVP для обоснования своих слов приводят части исходного кода .NET Framework, все равно это считается не очень этичным. Если интересно - берешь в руки Reflector (к слову, бесплатный продукт) и декомпилируешь. -2 Декомпиляция будет включать в себя столько хлама, кто ты просто ничего не вычитаешь оттуда относительно Rijndael'a. Декомпиляция будет включать в себя код, практически идентичный тому что лежит на SourceControl в Редмонде. Возможно, потеряются некотоыре названия переменные, что вызвано действием оптимизитора, но это никак не помешает анализу -3 От этого невозможность изучения фреймворка, его классов, встроенных алгоритмов. Все возможно. Мне, как человеку которому приходится смотреть исходный код .NET несколько раз в неделю легче об этом судить чем тебе, не имеющему даже общих технических понятий о .NET Опять же - сомневаешься - качаешь Reflector и смотришь что тебя интерисует. Потом обосновываешь почему это не так А пока -4 От этого мы больше ничего неможем сказать, кроме того, что ваша надёжность основывается на недоступности, а это значит это плохая надёжность. Вывод, сделаный на основе 4-х неверных умозаключений - это -5. К тому, что "безопасность, основанную на неизвестности" ты назвал "безопасностью, основаной на недоступности" мы не будем придираться так как ты придрался в x64. Мне не понравилась фраза "безопасность, основанная на недоступности" так как в классе RijndaelManaged из FCL реализован вполне доступный, открытый алгоритм (ссылку ты мне сам давал). Поэтому в следующем посту описывается что вообще такое "безопасность, основанная на неизвестности" и почему здесь использование этого термина неприменимо. Brand (64) Может вам на Информационной безопасности не объясняли, я объясню.
Безопасность, основанная на неизвестности (security through obscurity) - это обеспечение безопасности, основаное на том, что злоумышленнику неизвестен алгоритм шифрования, IP-адрес компьютера, порт на котором работает служба и т.п. Например - я размещу на компьютере секретную информацию, повешу компьютер в интернете и буду утверждать, что информция безопасна, так как IP-адрес компьютера неизвестен злоумышленника, следовательно, информцию он считать не сможет. Или поступлю по-другому - к каждому байту применю XOR 10. Поскольку злоумышленнику неизвестно, какую операцию я делаю, он не сможет считать информацию. В принципе это очень неэфективная методика обеспечения безопасности. ..... Это, так сказать, небольшой ликбез. Теперь что касается фразы От этого мы больше ничего неможем сказать, кроме того, что ваша надёжность основывается на недоступности, а это значит это плохая надёжность. Это, безусловно, верно, но это не имеет никакого отношения к .NET Framework. AES - это открытый стандарт, я повторюсь - открытый стандарт. Каждый желающий может с ним ознакомиться, скажем, здесь - http://en.wikipedia.org/wiki/AES И какая бы реализация этого алгоритма не была - будет она на ассемблере и валяться на каждом углу сети, будет она на С++, на Delphi или на .NET - без разницы, доступен код, недоступен - это будет надежно. На основе открытого алгоритма просто невозможно сделать "безопасность, основаную на неизвестности". 64 пост - это момент истины. HACKER увидел здесь что-то очень смешное и началось... HACKER (66) Норм шутка, смеялсо...
Кто нибуть, объясните ему, у меня нет сил.
... Ага открытый. Да он написанный на х.з. каких языках, да, валяется на каждом углу сети (хотя гы, ссылку в студию, я посмотрю где это он валяется ) ) но тот финалист конкурса, уж точно небыл написан на .net ) Соответственно MS его переписывали под свой фреймворк. А что может MS переписать/написать что-то нормально? MessageBox и ту немогут ) Куда им до AES, ну ты подумай )
....... Может... ты вот пробовал, вначале это был IL код, потом был разговор про disassembler mode, потом был листинг Reflector... Что будет дальеше? Ты мне чёткий и ясный код AES, который работает напрямую с процессором, можешь выковырят из своего фреймворка? Ну мне он нафиг ненужен, но например криптоаналитикам чтобы проверить криворукость MS. Я недумаю что у тебя получится, максимум что получится, дизассемблировать ядро фрейворка, но там же билиберда будет... Как ты сомной несогласишся я непойму... Там будет вместо переменных - адреса, вместо меток, тоже адреса, циклы будут криво реализованы, условия тоже, это будет чистый ассемблер, но не чистый AES. У тебя и близко неполучится того кода, что я привёл на 3-ей страницы (хотя и он тоже не идеален, но его можно изучать...)
К сожалению никто кроме HACKER'а шутку не оценил, поэтому я решил выяснить, что же его рассемешило. Вполне возможно, что при формулировке термина "безопасность, основанная на неизвестности", я и не исключаю что это возможно - я живой человек и могу ошибиться. Что касается второй части цитаты - теория HACKER'а про "официальную реализацию AES" была на страницах топика полностью мною растоптана, с чем он даже вынужден был публично согласиться. -6 А по поводу третьей - похоже господин HACKER думал, что .NET Framework изачально написан на ассемблере и желал увидеть исходный код на ассемблере. Что ж, должен огорчить в который раз - повторив, что FCL написан на C#. -7 Там будет вместо переменных - адреса, вместо меток, тоже адреса, циклы будут криво реализованы, условия тоже, это будет чистый ассемблер, но не чистый AES Тебе предлагался исходный код на языке С# где есть переменные, условия и циклы, и все реализовано очень даже нормально, но ты не пожелал его посмотреть. -8 но не чистый AES - это очередной миф, который тебе приснился. В 67 посту я попросил объяснить HACKER'а что его рассмешило. Brand (67) у студентов "Информационной безопасности" есть другое опредленеие "Безопасности, основанной на неизвестности"? Озвуч, пожалуйста, мне бы было интересно услышать.
Вряд ли ты скажешь что-то принципиально отличающееся. К сожалению HACKER продемонстрировал свою невнимательность и спустя несколько постов: HACKER (82) А как насчёт первой цитаты в 66-ом посте. Или всё тобой сказанное надо воспринимать от противного, т.е. наоборот?
Меня это не удивило - так ответ на эту цитату уже был в 67, но этот пост попал в список тех которые HACKER не прочитал -9 Brand (83) ты это имеешь в виду?
Безопасность, основанная на неизвестности (security through obscurity) - это обеспечение безопасности, основаное на том, что злоумышленнику неизвестен алгоритм шифрования, IP-адрес компьютера, порт на котором работает служба и т.п. Я в 67 вобщем-то ответил. Или ты недавно на форуме поэтому чужие сообщения не читаешь? Я не идеальный человек, мог ошибиться, что собственно там и сказал. Если у тебя есть другое определение, я бы с удовольствием с ним ознакомился. HACKER (88) Безопаснть как раз основывается на известности! Абсолютно всего. Модель криптоаналитика такова, что он знает абсолютно всё про алгоритм, он имеет его оригинальный исходный код, он имеет перехваченные зашифрованные сообщения, он знает все подводные камни в алгоритме (такие как коллизии, слабые ключи итп итд...) Криптоаналитик ЗНАЕТ ВСЁ, КРОМЕ ключа которым зашифрованно сообщение. Или вы, дотнетчики настолько отрафировались что непонимайте в принципе что такое открытый исходный код, и на столько глупы что невидите в нём приимущества?
Я очень рад, что на Информационной безопасности Руслану это объяснили, и он запомнил, но... прошу прощения, а какое отношение это имеет к просьбе озвучить свое определение термина "безопасность, основанная на неизвестности"? Показывать знание прописных истин не нужно, мы не сомневались в тебе. Разумеется, читая только 1/10 часть сообщений обсуждения, и сразу забывая их, господину HACKER'у очень сложно следить за дискуссией и поэтому он выдает такие ляпы. -10 Поэтому я решил более жестко вернуть HACKER'а в ветвь дискуссии: Brand (90) Ты тормоз или решил показать, что не зря 2 года ботаешь Информационную безопасность?
Я не спрашивал на чем основывается безопасность, я просил дать определение термина "Безопасность, основанная на неизвестности". Или такое сложное только в аспирантуре рассказывают? Я тебе помогу: http://en.wikipedia.org/wiki/Security_through_obscurity Правда на Википедии не говорится только о алгоритме. Но в книге небезысвестного Кевина Митника, которой я склонен доверять, к безопасности, основанной на неизвестности также относится неизвестность IP-адресов и портов служб. Что касается книги Митника, я не имею времени на поиск цитаты, но если авторитетные участники дискуссии - Павел, UU, Sharp - единогласно посчитают, что про IP-адреса и порты я не прав, я найду необходимые цитаты для защиты своей позиции. Судя по всему, (90) оказался самым выдающимся - каждое слово попало в цель - ибо за ним последовала истеника и агония. HACKER (98) )) угаггааа, ну вам там всем всё видно? Кому невидно пересядте на первые ряды, смотрим:
Когда не представляется разумно аргументировать и доказывать свою правоту, начинается переход на личности: Ты тормоз или решил показать, что не зря 2 года ботаешь Информационную безопасность?
Я не спрашивал на чем основывается безопасность, я просил дать определение термина "Безопасность, основанная на неизвестности". Или такое сложное только в аспирантуре рассказывают? Цитарую ещё раз, для наглядности: я просил дать определение термина "Безопасность, основанная на неизвестности"
Ничего он не просил, вот как было на самом деле: От этого мы больше ничего неможем сказать, кроме того, что ваша надёжность основывается на недоступности, а это значит это плохая надёжность. Может вам на Информационной безопасности не объясняли, я объясню.
Безопасность, основанная на неизвестности (security through obscurity) - это обеспечение безопасности, основаное на том, что злоумышленнику неизвестен алгоритм шифрования, IP-адрес компьютера, порт на котором работает служба и т.п. Например - я размещу на компьютере секретную информацию, повешу компьютер в интернете и буду утверждать, что информция безопасна, так как IP-адрес компьютера неизвестен злоумышленника, следовательно, информцию он считать не сможет. Brand...)))) Ну Brand... ну у меня уже нет сил орать с тебя, но ты заставляешь орать с себя и других учасников форума... Это ж как раз ты ж себя этим дескридетиурешь как специалиста! Руслан молодец, что потрудился поискать цитаты. Но или искал плохо, или читать не умеет - вырвать удалось только 2 цитаты, которыми можно показать мою оплошность. Просмотрев же всю дискуссию, что сделал сейчас я, мы приходим к вполне логичному выводу - HACKER очень невнимательно следит за обсуждением и использует нечестные методы ведения спора. ГОЛИМЫЙ ФЛУДЕР Brand (99) [...контрольный в голову...], [звук падающего тела] |
||
|
Номер ответа: 100 Автор ответа: ArtyomРазработчик Вопросов: 130 Ответов: 6602 |
Профиль | | #100 | Добавлено: 12.04.07 23:16 |
|
Но или искал плохо, или читать не умеет - вырвать удалось только 2 цитаты, которыми можно показать мою оплошность.
Как видишь, указать на твои ляпы можно, просто посмотрев назад. Ты же мои ляпы можешь только "нарисовать", вырвав несколько фраз без контекста. |
||
|
Номер ответа: 101 Автор ответа:  User UnknownВечный Юзер! ICQ: uu@jabber.cz Вопросов: 120 Ответов: 3302 |
Профиль | | #101 | Добавлено: 12.04.07 23:39 |
|
Хм.. Наверное мне надо что-то сказать да?
Ну, я читал только The Art of Intrusion. Последние произведения (в частности те, что после освобождения) не читаю принципиально. Собственно, к сожалению, не могу ни подтвердить ни опровергнуть слова Бранда относительно адресов и портов о которых говорится в конкретной книге. Но, основываясь на опыте, приобритенном в жизни и от прочтения книжек данной направленности в частности, могу сказать, что в какой-то мере для того чтобы вскрыть какую-то контору/службу/сервер/ и т.п. даже не надо знать как собственно называется контора || где она расположена || где у неё сервер || какой у него IP адрес || как зовут админа и прочие вещи, которые можно навязать исходя из казалось бы незначительных изначальных данных. Я достаточно долго занимался тестированием безопасности систем в виде blackbox и whitebox. И могу отвественно заявить, что иногда (редко, но всё же) при тестировании blackbox путь ко вскрытию находился быстрее, ибо небыло зашоренности. Я закончил, спасибо. Следующий!
|
||
|
Номер ответа: 102 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #102 | Добавлено: 13.04.07 00:40 |
|
У...у. ок. Начну без вступления, т.к. работы много
1) Все классы будем декомпилировать?
Совсем не это имелось ввиду, я же много раз писал, давай небудм рассматривать что-то конкретное, будь то aes, http, я, ты, Павел, UU or Sharp... Получается вот что, для AES - будем декомпилировать RijndaelManaged, для http ещё какой-то класс, для чего-то другого ещё класс декомпилируем... От этого собственно и вопрос Морозим не в тему. По-моему речь идет о криптографии, а конкретнее о AES и его реализации в виде класса RijndaelManaged. Для его анализа все классы декомпилировать не будем - будем декомпилировать только RijndaelManaged. Итак, -1 Все классы будем декомпилировать? и он вполне оправдан. Ответь на него чётко: "да" или "нет".
+1 2) Декомпилировать не проблема. Но я уже объяснял что выкладывать здесь код не буду по той причине что это нарушает лицензионное согланешие.
Несмотря на то, что очень часть даже MVP для обоснования своих слов приводят части исходного кода .NET Framework, все равно это считается не очень этичным. Если интересно - берешь в руки Reflector (к слову, бесплатный продукт) и декомпилируешь. Ну причём здесь Reflector? Давай копнём глубже, сто будет под C# ? +2 Декомпиляция будет включать в себя столько хлама, кто ты просто ничего не вычитаешь оттуда относительно Rijndael'a.
Ну я ж говорю, если копать глубже, а не Reflector'ом, код будет ассемблерный, который проанализировать будет практически невозможно
Декомпиляция будет включать в себя код, практически идентичный тому что лежит на SourceControl в Редмонде. Возможно, потеряются некотоыре названия переменные, что вызвано действием оптимизитора, но это никак не помешает анализу +3 От этого невозможность изучения фреймворка, его классов, встроенных алгоритмов.
см. выше - выкинь Reflector.
Все возможно. Мне, как человеку которому приходится смотреть исходный код .NET несколько раз в неделю легче об этом судить чем тебе, не имеющему даже общих технических понятий о .NET Опять же - сомневаешься - качаешь Reflector и смотришь что тебя интерисует. Потом обосновываешь почему это не так +4 От этого мы больше ничего неможем сказать, кроме того, что ваша надёжность основывается на недоступности, а это значит это плохая надёжность.
Вывод, сделаный на основе 4-х неверных умозаключений - это -5. К тому, что "безопасность, основанную на неизвестности" ты назвал "безопасностью, основаной на недоступности" мы не будем придираться так как ты придрался в x64. Это бредовый гол, я бы перебил пеналькой... Поэтому на 5-ом отыграюсь, на оскорблении ГОЛИМЫЙ ФЛУДЕР - это +5 в мою пользу.
Мне не понравилась фраза "безопасность, основанная на недоступности" так как в классе RijndaelManaged из FCL реализован вполне доступный, открытый алгоритм (ссылку ты мне сам давал). Алгоритм неможет быть доступным или недоступным, а доступным и недоступным может быть только код. Алгоритм извесный, а вот код у вас недоступный для тщательной проверки алгоритма, поэтому под этой разой я понимал именно исходный код, а не алгоритм.
Что касается второй части цитаты - теория HACKER'а про "официальную реализацию AES" была на страницах топика полностью мною растоптана, с чем он даже вынужден был публично согласиться. Оставим "официальную реализацию AES" как оно и есть - в ковычках. Я ничего немогу тут сказать, тебя неустраивает реализация автора алгоритма, но тебя почему-то устраивает его описание. Ты вериш в то, что в pdf файле на который я тебе дал ссылку, есть имя автора AES, но невериш в то, что приведенный мною листинг кода также реализован этим же автором. Может мне листинг кода в pdf сохранить? )
в следующем посту описывается что вообще такое "безопасность, основанная на неизвестности" и почему здесь использование этого термина неприменимо. Почему я слепо должен верить этому следующему посту, ведь в нём полная ахинея:
Безопасность, основанная на неизвестности (security through obscurity) - это обеспечение безопасности, основаное на том, что злоумышленнику неизвестен алгоритм шифрования, IP-адрес компьютера, порт на котором работает служба и т.п.
Всё это в перемешку мух с котлетами. Перемешивать алгоритм шифрования с IP и портом - это ещё один слив, я уже сбился какой посчёту.. вообщем +шо_то_там... Безопасность на неизвестности, которая, следуя из твоего поста, вытекает из недоступности алгоритма - я несчитаю это безопасностью, я считаю это просто препядствием. Так что имхо я прав, "Безопасность на неизвестности" - это плохая безопасность.
Например - я размещу на компьютере секретную информацию, повешу компьютер в интернете и буду утверждать, что информция безопасна, так как IP-адрес компьютера неизвестен злоумышленника, следовательно, информцию он считать не сможет. А по поводу третьей - похоже господин HACKER думал, что .NET Framework изачально написан на ассемблере и желал увидеть исходный код на ассемблере. Что ж, должен огорчить в который раз - повторив, что FCL написан на C#. В этом и дело, что никакой высокоуровневый язык не пишется полностью на ассемблере. Но наверника есть ядро, которое именно на ассемблере. А в дотнете его нет, точнее оно есть, но как сказал Brand не на ассемблере, поэтому если смотреть "под" декомпилированный код, который представляет из себя тот шмот на C# - мы увидим ещё какую-то прослойку между процессором, и вот если таки докопать до самого конца, таки будет машинный код, который таки можно представить в виде ассемблера, но разобрать его будет абсолютно невозможно, по сравнению с те же vc++ там будет столько всего лишнего, что станет просто невидно что на самом деле делает этот код...
Разумеется, читая только 1/10 часть сообщений обсуждения, и сразу забывая их, господину HACKER'у очень сложно следить за дискуссией и поэтому он выдает такие ляпы. Ну почему ляпы? Я же сказал что не считаю это безопасностью в должной степени. Да это препядствие, не более...
Что касается книги Митника, я не имею времени на поиск цитаты, но если авторитетные участники дискуссии - Павел, UU, Sharp - единогласно посчитают, что про IP-адреса и порты я не прав, я найду необходимые цитаты для защиты своей позиции. ая-яй...)) а про алгоритмы забыл. Найди цитаты что безопасность основывается на неизвестности алгоритма.
Руслан молодец, что потрудился поискать цитаты.
Артём тоже во многом молодец Но или искал плохо, или читать не умеет - вырвать удалось только 2 цитаты, которыми можно показать мою оплошность. Но в отличии от Руслана, всегда ... конец Дело в том, что Артём уверен что безопасность основывается и на неизвестности алгоритма, т.к. он это прочитал в книге Митника. Артём, может в книге, в контекстве про безопасность основанную на неизвестности алгоритма, имелось ввиду как быть недолжно?
Просмотрев же всю дискуссию, что сделал сейчас я, мы приходим к вполне логичному выводу - HACKER очень невнимательно следит за обсуждением и использует нечестные методы ведения спора. За темой я слежу внимательно. То что ты то меняешь свою точку зрения, то в чём-то уверен, с чем я несогласен, то неможешь понятно выразить мысли - HACKER не виноват...
ГОЛИМЫЙ ФЛУДЕР Не голимый флудер, а голимый лидер (шутя) Всё дело в том, что при достижении определённого статуса на форуме, у многих здесь зависть кипит что-ли? Все больше людей меня называют флудером, а обосновать ничего немогут.
[...контрольный в голову...], [звук падающего тела] звук падающего патрона, отскочившего от стенки, т.к. хакер смотрел матрицу, он знает как уворачиваться от пуль - он нео. А Brand привык всё ловить лбом
|
||
|
Номер ответа: 103 Автор ответа: ArtyomРазработчик Вопросов: 130 Ответов: 6602 |
Профиль | | #103 | Добавлено: 13.04.07 01:24 |
|
Совсем не это имелось ввиду, я же много раз писал, давай небудм рассматривать что-то конкретное, будь то aes, http, я, ты, Павел, UU or Sharp...
Если что-то имеешь в виду - конкретно это и утверждай - из отквоченого куска следует что имелся в виду AES. Получается вот что, для AES - будем декомпилировать RijndaelManaged, для http ещё какой-то класс, для чего-то другого ещё класс декомпилируем...
Вобщем-то логично. Или для анализа реализации AES нужно декомпилировать System.Text.StringBuilder? Ну причём здесь Reflector? Давай копнём глубже, сто будет под C# ?
Что за бредовый вопрос? Reflector может декомпилировать в один из 5-6 языков, в т.ч. IL и в C#, и для каждого языка будет получен вполне читаемый код. Рефлектор здесь при том, что он признан одним из лучших инструментов для работы с .NET. Если очень хочется - берешь консольный ildasm и декомпилишь сборки. Правда я не понимаю, что тебе вообще нужно, если ты ни один .NET-язык не знаешь. Ну я ж говорю, если копать глубже, а не Reflector'ом, код будет ассемблерный, который проанализировать будет практически невозможно
Если любую программу, написанную на ЯВУ обработанную кучей оптимизаторов компилятора, декомпилировать в ассемблер, получится код который будет "практически невозможно анализировать". Отличие дотнета в том, что в сборке лежит не двоичный код, а IL. Ты не понимаешь некоторых технических особенностей .NET поэтому несешь чистую ерись. см. выше - выкинь Reflector
Ты просто гонишь. Ты не хочешь смотреть C# потому что тебе нужно копнуть глубже, но не хочешь также смотреть ассемблер потому что его невозможно анализировать? Что ж ты тогда хочешь? Алгоритм неможет быть доступным или недоступным
Почему это не может? 5frv6O/u
К этой строке я применил неизвестный тебе алгоритм. (хинт - не MD5) Алгоритм извесный, а вот код у вас недоступный для тщательной проверки алгоритма, поэтому под этой разой я понимал именно исходный код, а не алгоритм.
После того как я тебе предлагал несколько вариантов кода для анализа тебе хватает наглости говорить что код недоступен? Я ничего немогу тут сказать, тебя неустраивает реализация автора алгоритма
Меня не устраивает, что некую реализацию называет "официальной", хотя на самом деле она таковой не является. Почему я слепо должен верить этому следующему посту, ведь в нём полная ахинея:
Я уже 5 раз просил дать твое определение понятия "безопасность, основанная на неизвестности", но у тебя его просто нету поэтому прекращай визжать Перемешивать алгоритм шифрования с IP и портом - это ещё один слив,
Перечитывай (64), конспектируй и медитируй до полного понимания, мне надоело тебе цитаты копипастить Так что имхо я прав, "Безопасность на неизвестности" - это плохая безопасность.
Маладца, два года не зря на Информационной безопасности штаны протирал. Можешь процитировать, где я утверждал, что "безопасность, основанная на неизвестности" - это хорошая безопасность? В этом и дело, что никакой высокоуровневый язык не пишется полностью на ассемблере. Но наверника есть ядро, которое именно на ассемблере. А в дотнете его нет, точнее оно есть, но как сказал Brand не на ассемблере, поэтому если смотреть "под" декомпилированный код, который представляет из себя тот шмот на C# - мы увидим ещё какую-то прослойку между процессором, и вот если таки докопать до самого конца, таки будет машинный код, который таки можно представить в виде ассемблера, но разобрать его будет абсолютно невозможно, по сравнению с те же vc++ там будет столько всего лишнего, что станет просто невидно что на самом деле делает этот код...
В машинном коде разобрать ничего не будет возможно потому что по нему проехалось куча оптимизаторов. Часть исходного кода CLR и .NET Framework Microsoft после наездов некой компании выложила на своем сайте и все желающие могу скачать и ознакомиться. 2 HACKER - можешь не дергаться. Все равно ты не умешь юзать поиск, архиватор и не знаешь C++. Ну почему ляпы? Я же сказал что не считаю это безопасностью в должной степени. Да это препядствие, не более...
Ламеры! Быстро конспектировать аффторитетное умозаключение студента студента информационной безопасности! Вот только почему-то википедия с тобой не согласна. http://en.wikipedia.org/wiki/Security_through_obscurity In cryptography and computer security, security through obscurity (sometimes security by obscurity) is a controversial principle in security engineering, which attempts to use secrecy (of design, implementation, etc.) to provide security. A system relying on security through obscurity may have theoretical or actual security vulnerabilities, but its owners or designers believe that the flaws are not known, and that attackers are unlikely to find them. The technique stands in contrast with Security by design, although many real-world projects include elements of both strategies.
(of design, implementation, etc.) В (64) я дополнил исходя из информации Митника IP-адресом и портом. Если не понял, я еще раз поясню. У меня есть сервер баз данных. Чтобы на него ежесекундно не ломились с попытками подобрать пароль, я его вешаю на порт 5468. Что тебе здесь не понятно? Найди цитаты что безопасность основывается на неизвестности алгоритма
Найди цитаты в которых я утверждал что это так. Безопасность, основанная на неизвестности, может основываться в т.ч. на неизвестности алгоритма За темой я слежу внимательно. То что ты то меняешь свою точку зрения, то в чём-то уверен, с чем я несогласен, то неможешь понятно выразить мысли - HACKER не виноват...
Читай (99) еще раз, я тебя раз 5 ткнул носом туда, где ясно видно что ты не читал посты. Не голимый флудер, а голимый лидер
(шутя) Всё дело в том, что при достижении определённого статуса на форуме, у многих здесь зависть кипит что-ли? Все больше людей меня называют флудером, а обосновать ничего немогут. читайешь (99), медитируешь, осознаешь... |
||
|
Номер ответа: 104 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #104 | Добавлено: 13.04.07 02:47 |
| Brand, ты усердно пытаешься отклониться от вопроса дискуссии - можно ли считать реализацию AES в FCL надежной, учитывая, что проверить ее соответствие алгоритму существенно сложнее, чем если бы она была в открытом коде. Ты приплетаешь Митника, не учитывая, однако, что стойкость реализации алгоритма не зависит от того, открыт код или закрыт, на каком порту он висит, а только от того, как этот код написан. Игнорируя при этом то, как МС пишет код, несколько примеров чего было приведено. | ||
|
Номер ответа: 105 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #105 | Добавлено: 13.04.07 03:02 |
|
Почему это не может?
. Алгоритм твой я взломал, т.к. он извесный 5frv6O/u
Называется наверное "qwerty", т.к. приведённый тобой криптотекст, это набор смволов. Вот она мощь социальной инженирии Хочешь я оценю его криптостойкость? Для оценки криптостойкости криптоаналитикам алгоритм известен. И модель взломщика строется с таким расчётом, что алгоритм ему известен, и даже более... Поэтому рассматривать безопасность алгоритма невидя его - это всёравно что пытаться тра-нуть воздух И в большенстве случаем алгоритм как раз доступен, т.е. известен. Даже если ты придумаешь свой алгоритм, декомпиляторы и отладчики никто не отменял, даже если ты будешь например делать аунтификацию на сервере своим алгоримом, твой алгоритм математически может быть неверный, он может быть верный в определённых случаешь, ну и ещё куча подводный камней...
Найди цитаты в которых я утверждал что это так. Зачем тогда весь этот спор? Безопасность основывается на известности всего, кроме ключа. В случае дотнета, мы кроме ключа, незнаем ещё и некоторую часть своего кода. Часть этого кода узнать можно, и в принципе можно проанализировать, но в приделах виртуальной машины. Что эта виртуальная машина делает с реальной, подсмотреть тоже можно (теоретически), но практически ничего толкового из этого невыйдет. Поэтому код дотнета можно считать не безопасным, т.к. в дотнете нельзя работать на уровне ассемблера, т.е. напрямую с процессором, или хотябы чётко контролировать что на самом деле делает процессор, когда виртуальная машина исполняет код. Давай что тебя не расстраивать, я это же скажу и про вб6. Тут нельзя доверять не компилятору не линковщику, т.к. это полный хлам, дрова. Если воспользоваться декомпилятором мы получим шмот говно-кода на ассемблере, в котором будет правда, но далеко не вся... А вот если таки ещё и виртуальную машину вб6 декомпилировать, и проконтролировать что всё правельно, то таки такому коду на вб6 можно доверять запуск боеголовок на сша например Но всё дело в том, что виртуальная машина от вб6 - комар на заднице по сравнению с дотнетом. Дотнет это огромный слон, который если разрезать и залезть в него внутрь, просто ненайдёшь как вылезти.
Все остальные твои сообщение в предыдущем посте влом даже читать, не то что цитировать, аргументировать... |
||