نوشته‌شده در

rsa – نحوه رسیدگی به پایان دادن به پایان دادن به رمزگذاری

من بر روی یک برنامه کار می کنم که هدف آن آپلود کردن داده های کاربر است، آن را ذخیره، انجام برخی از پردازش در آن داده ها و ارائه آن به کاربر در هنگام خواسته.
ما می خواهیم از پایان دادن به پایان دادن به مدل رمزگذاری که در آن سیستم هیچ راهی برای رمزگشایی داده ها کاربر آپلود نیست. من قبل از این با امنیت برخورد نکرده بودم و در معماری ارائه شده چند سوال / نگرانی داشتم که می خواهم با همه شما به اشتراک بگذارم.

  • هنگامی که یک کاربر ثبت نام می کند ما یک کلید خصوصی برای او ایجاد می کنیم، کلید خصوصی کلید master key اینجا است.
  • هنگامی که یک کاربر اطلاعاتی را اضافه می کند، ما آن را با استفاده از کلید جلسه رمزگذاری می کنیم. تنها واحد پردازش داده (DPU) سیستم ما باید قادر به رمزگشایی این داده ها باشد. از آنجا که اندازه داده ها ممکن است بزرگتر از RSA-3072 باشد، داده ها ابتدا با استفاده از AES-256 رمزگذاری می شوند و سپس با کلید session session RSA رمزگذاری می شوند.
  • داده های بارگذاری شده به DPU می رسد، آن را رمزگشایی می کند، پردازش می کند و رمزگذاری می کند. [19659003] هنگامی که کاربر میخواهد دسترسی به این اطلاعات داشته باشد، کلید اصلی را با کلید جلسه رمزگذاری می کنیم و برای رمزگشایی داده ها آن را به DPU ارسال می کنیم. رمزگشایی ارسالی DPU تمام داده های درخواست شده را جمع آوری می کند، یک کلید داده جدید تولید می کند، پاسخ را با استفاده از این کلید داده رمزگذاری می کند، رمزنگاری کلید داده با کلید عمومی عمومی جلسه مشتری و جمع آوری هر دو رمزگذاری شده کلید و پاسخ و بازگرداندن آن
  • برنامه مشتری با کلید مشتری رمزگشایی می کند جلسه خصوصی کلید و پاسخ با کلید داده رمزگشایی شده است.

نگرانی های من این است:

  • این مدل نظری است که در حال حاضر، آیا این امکان دارد؟
  • چه کسی این کلید ها (کلید های جلسه، کلید های داده) را ایجاد می کند، آیا توسعه دهندگان (جاوا و پایتون) این کلید ها را تولید می کنند و در کجا ما آنها را ذخیره می کنیم؟ آیا یک کتابخانه ای وجود دارد که ما بتوانیم زندگی را برای ما آسان کنیم؟ باز هم، ما نمی خواهیم که سیستم ما قادر به دسترسی به داده های کاربر بدون کلید اصلی کاربر است که در دستگاه خود است.
    ما در استفاده از AWS Cognito برای احراز هویت و مجوز برنامه ریزی می کنیم و تا آنجا که من می دانم که هیچ کلید جلسه ای را ارائه نمی دهد، بنابراین چگونه می توانیم به آنچه که ذکر شد، دست یابیم؟
  • ارسال رمز خصوصی از طریق سیم برای رمزگشایی داده ها، آیا این ایده خوب است؟ 19659007] من می دانم این اطلاعات زیادی است لطفا به من اطلاع دهید اگر سوالی دارید، به دنبال پیشنهادات / نظرات

نوشته‌شده در

رمزگذاری – چرا TLSv1.0 TLS_ECDHE_RSA_WITH_AES_256_CDC_SHA هنوز استفاده می شود؟

اولا من ممکن است یک سوال ناب را پرسید. من سعی می کنم یاد بگیرم، پس لطفا، آن را آسان به من.

دوم، اگر این محل مناسب برای این سوال نیست، یا شما می توانید به من در جاهای دیگر پیوند دهید، لطفا به من بگویید / انجام دهید.

سوم، من قدردانی هر کسی که زمان پاسخ دادن را می دهد.

این گفت ، من از یک برنامه دسک تاپ (به عنوان یک مشتری) استفاده می کنم که اطلاعات زمان واقعی را ذخیره می کند و اطلاعات حساس در مورد آن نیز مانند ارزش های حساب و شماره های حساب را نگه می دارد. این اطلاعات اطلاعات کارت اعتباری را نگه نمی دارد یا انتقال نمی دهد.

گاهی اوقات من Wireshark را اجرا میکنم و متوجه شدم که این برنامه دستخوش خود را با استفاده از TLSv1.0 با مجموعهی رمزگذاری TLS_ECDHE_RSA_WITH_AES_256_CDC_SHA تکمیل می کند. من نمیتوانم فهمید که چرا این موضوع در مورد TLSv1.0 و CBC درک می شود (اما توجه داشته باشید که من برای این موضوع جدید هستم). آیا این به هیچ وجه، به دلیل مبادله کلیدی ECDHE و کد رمزگذاری AES 256 مناسب نیست؟

من می دانم که این سازگار نیست PCI-DSS و من می دانم که بسیاری از فروشندگان به طور کامل از TLSv1.0 دور شده اند، همانطور که کاملا غیر فعال شده است. من فقط می توانم دلیل دلایل این را بدانم زیرا صاحب برنامه نمی خواهد مشتری ها را از کجا استفاده کند که ممکن است از سیستم عامل قدیمی استفاده کنند که سوئیت های جدیدتر را نداشته باشند اما در درک من این اشتباه صورت گرفته است. صاحب ویژگی های توصیه شده برای سیستم عامل ویندوز 10 است، اما هیچ مشکلی در مورد اینکه چرا در نسخه های سیستم عامل قبلی کار نمی کند، از جمله احتمالا ویستا، قابل مشاهده نیست.

بدیهی است که من در مورد برنامه شگفت زده هستم؛ هرگونه خطر از آنجا که من تازه کار هستم، متاسفم کسانی که مسئول این برنامه هستند دلیل قانع کننده ای برای استفاده از این نسخه از TLS / Cipher Suite دارند، اما من فکر کردم که می خواهم بپرسم.

متشکرم که زمان خواندن را می دانید [19659009]

نوشته‌شده در

رمزگذاری – آیا امن برای ذخیره داده های رمزگذاری GPG به طور عمومی به عنوان مثال در GitHub؟

من به طور کلی به این ایده که رمزگذاری تاریخ انقضا دارد، مشترک است. بنابراین فرض بر این است که برای انتخاب کلیدی و کلیدی بهترین عمل را دنبال می کنید، بهترین شیوه ها عموما افق امنیتی حدود 30 سال را در نظر می گیرند.

بنابراین اگر بعد از 30 سال این اطلاعات هنوز اطلاعات حساس هستند … پس شما می خواهید برای انتخاب طول های کلید قوی تر از نرمال و سیم کارت (یعنی نگاه کنید به رمزنگاری پس از کوانتوم)، و یا روش های دیگر برای کاهش خطر ابتلا به آن را در نظر بگیرید. به عنوان مثال، محتوای عمومی را در GitHub منتشر نکنید. اما به خاطر داشته باشید که راهنمایی 30 ساله ای که توسط سازمان هایی نظیر NIST برای تنظیم فعالیت های صنعت ارائه می شود، بر اساس نرخ های تاریخی در رمزنگاری است. اگر یک سوءاستفاده جدید یک امنیت ناشی از رمز را ایجاد می کند، اطلاعات شما می تواند توسط یک مهاجم قابل خواندن در یک زمان بسیار کوتاه باشد.

اما اگر محتوا فقط برای مدت کوتاهی حساس باشد، مانند یک کلید API که به راحتی لغو می شود و تغییر یا تاریخ انقضای – و سپس شما احتمالا به ارسال داده های رمزگذاری شده با برخی از اعتماد به نفس است که هیچ کس قادر به خواندن مطالب نیست.

نوشته‌شده در

رمزگذاری – نقطه اشتراک عمومی فای – چه چیزی در آن لحظه کوچک نشت می کند قبل از اتصال به یک VPN؟

هنگامی که شما برای حساب کاربری VPN ثبت نام می کنید، سرویس گیرنده سرویس را نیز دانلود می کنید، آن را برای آندروید، ویندوز و غیره، اما این سوال به طور خاص برای دستگاه های آندروید و یا دستگاه های قابل حمل از طریق میزبان های عمومی است.

برای مشتری VPN برای اتصال شما از طریق سرویس VPN شما ابتدا باید از طریق یک کانون فای متصل شوید که خود شما یک IP از شبکه خود را به شما اختصاص می دهد.

در طول آن لحظه بین اتصال به کانون و اتصال به VPN، نوع نشتی که می تواند شما را شناسایی کند در حال وقوع؟ چه نوع اطلاعاتی می تواند نقطه کانونی را جمع آوری کند؟ علاوه بر این، برنامه های کاربردی مانند Gmail به صورت خودکار اتصال می یابند، هنگامی که از اتصال شبکه آگاه می شوند، که می تواند به خوبی قبل از VPN باشد. چه کسانی می توانند نشت کنند و چگونه می توانند آنها را کنترل کنند؟

نوشته‌شده در

رمزگذاری – چرا ضد ویروس ها در رمزگشایی ویروس های رمزگذاری شده را شناسایی نمی کنند؟

چندین راه وجود دارد که نرم افزارهای مخرب می توانند خود را رمزگشایی کنند تا از شناسایی آنتی ویروس جلوگیری کنند:

  1. یک کلید از اطلاعات خاص هدف مانند هش هایی از فایل های شناخته شده، نام های کاربری و اشتراک های شبکه را بیابید. توضیحات Ars Technica از گاوس را بررسی کنید.

  2. رمز خود را با یک کلید تصادفی، اما نسبتا کوتاه، رمزگذاری کنید. هنگامی که نرم افزارهای مخرب اجرا می شود، باید کلیدی را به زور از بین ببرند. بسیاری از گودال های ویدئویی AV زمان وقوع یک نمونه خاص را می توانند اجرا کنند، اگر فرایند نیروی خلوت طولانی تر از این زمان باشد، بار محرمانه رمزگشایی نخواهد شد.

  3. کلید را از اینترنت بازیابی کنید. مهاجم ممکن است سرور وب را با کلید بر روی آن میزبانی کند. سپس آنها می توانند از زمان بندی، اطلاعات IP یا پارامترهای مبتنی بر سرویس گیرنده برای تعیین اینکه آیا آنها باید کلید ارسال شوند، استفاده شود.

البته، برای اجرای بارگیری رمزگذاری شده، نرم افزارهای مخرب باید رمزگشایی شوند. اگر رمزگشایی شود، آنتی ویروس ممکن است آن را شناسایی کند، اما این بدافزار ممکن است ابتدا AV را شناسایی کند.

در نهایت، مکانیزم داشتن بارگیری رمزگذاری شده با استفاده از کلید های مبتنی بر میزبان، تصادفی یا شبکه ممکن است به عنوان یک امضا برای نرم افزارهای مخرب . AV ممکن است بداند که نمونه چه کاری انجام خواهد داد، اما می تواند از انجام آن جلوگیری کند.