Vojni nivo enkripcije - sta je to u stvari?

  • Začetnik teme Začetnik teme lnxdr
  • Datum pokretanja Datum pokretanja
lnxdr

lnxdr

Obećava
Poruka
68
Cesto gledamo TV, malo-malo pa se spominje "vojni nivo enkripcije", njegov racunar je zasticen "profesionalnom enkripcijom", itd. Sve je to istina, ali zvuci suvise komplikovano, obzirom da je proces prilicno jednostavan. Za one koji zele da saznaju nesto o ovome, sam program koji se koristi je besplatan.

Enkripcija ja proces sifrovanja dokumenta, i postoji vise vrsta. Ja cu govoriti o PGP enkripciji (Pretty Good Privacy). Enkripcija se deli u 2 vrste, simetricna i asimetricna. Simetricna koristi isti kljuc za zakljucavanje i otkljucavanje, dok asimetricna koristi 2 razlicita kljuca. Ovde cu objasniti kako da koristite PGP enkripciju u praksi, i ujedno sta je asimetricna enkripcija.

Zamislite da imate bravu koju zakljucavate jednim kljucem, a otkljucavate drugim. Kljuc koji zakljucava zove se Javni kljuc (Public Key), i njega delite sa drugima. Svako sa tim kljucem moze da napise poruku za vas i da je zakljuca. Privatni kljuc (Private Key) cuvate po svaku cenu. Najsigurnije je drzati ga na uredjaju koji nije povezan na internet, kao sto je USB ili SD kartica.

Normalna Poruka:

pgp-example1.jpg.webp


Nakon Enkripcije:

pgp-example3.jpg.webp


Proces enkripcije je jednostavan koliko i slanje email-a. Napisete poruku, izaberete kljuc, kliknete 'encrypt'. To bi bilo sve. Samo vlasnik privatnog kljuca moze da otvori ovu poruku. Ako se pitate da li je ovo zaista toliko sigurno, imajte u vidu da ovakav nacin enkripcije koristimo za bezbednost internet sajtova, skladistenje poverljivih dokumenata itd... Dakle vasa poruka/dokument su sigurni onoliko koliko ste vi sposobni da sacuvate privatni kljuc.

PGP vam takodje daje mogucnost da potpisete poruku. Obzirom da svako moze da sifruje poruku za vas, mora postojati nacin da znate ko je zaista napisao. Ako imate javni kljuc svog prijatelja i on vam posalje potpisanu poruku, vi sa njegovim javnim kljucem mozete proveriti da li je to zaista on napisao.

Javni kljuc -> zakljucava poruku, proverava potpis
Privatni kljuc -> otkljucava poruku, potpisuje

Ako koristite windows, pratite ovaj tutorial.

Ako koristite linux, najbolji nacin je da koristite OpenPGP-applet. Da ga instalirate ukucajte:

sudo apt install openpgp-applet

openpgp_applet.png


OpenPGP-Applet je jednostavan, i u njemu mozete praviti i SSH kljuceve:

pgp.png


OpenPGP-Applet klikom na ikonicu vam daje izbor da napravite novi kljuc, ili da enkriptujete poruku/dokument. Ovo takodje mozete koristiti za bilo koji fajl, textualni ili ne. Kada saljete poruku imate opciju da potpisete poruku (sign message).

Evo kako izgleda enkriptovana poruka koju saljete npr putem email-a:

browser_paste.png
 
Poslednja izmena:
Javni ključ
Asimetrična kriptografija ili kriptografija sa javnim ključem se bazira na postojanju dva
ključa: jedan javni služi za šifrovanje a drugi tajni za dešifrovanje poruke. Pored
klasičnog šifrovanja, kriptografija javnog ključa služi i za digitalne potpise, odnosno
autentičnost pošiljaoca koji poruku potpisuje privatnim tajnim ključem, može biti
proverena pomoću javnog ključa.
Postoji više algoritama za generisanje asimetričnih ključeva. Jedan od vodećih je RSA
algoritam, koji je dobio ime po trojici svojih pronalazača (Rievst, Shamir, Adleman). On
funkcioniše pre svega na teškoći faktorizacije velikih brojeva, kao i na osobinama
operacije mod i na Euler-ovoj funkciji j . Alisa Bobanu treba da pošalje neku poruku.
Ona odlazi na Bobanov sajt i uzme javno dostupan ključ (n,e) koji je Boban napravio na
sledeći način:
Boban je izabrao dva prosta broja p i q sa oko 150 dekadnih cifara. Zatim je izračunao
n=pq i j (n)=(p-1)(q-1). Nakon toga je odredio neki broj e takav da je nzd(e, j (n))=1 i
odredio je tajni broj d=e-1(modj (n)). Brojeve n i e je objavio na svom sajtu, a brojeve
d,p,q čuva u tajnosti.
Alisa kriptuje poruku M pomoću javnog ključa (n,e). Ona izračunava C=Me(mod n), i
dobijeno C šalje Bobanu. Boban izračunava Cd(mod n) i dobija M, jer je
Cd=(Me)d=Med=M1=M (mod n).
Težina javnog ključa ogleda se u tome što je određivanje činioca broja n sporo i
neefikasno. Očekuje se da će postojeći razvoj hardvera ovaj posao olakšati za oko
petnaestak godina.
Na sledećem primeru (sa znatno manjim brojem n) je pokazano kako bi se na osnovu
javnog ključa šifrovala poruka, odredio tajni broj d, i dešifrovala poruka.
Primer.
Neka je dat javni ključ (n,e)=(697,33). Alisa Bobanu hoće da pošalje poruku 207.
a) Šta je šifrat poruke 207?
b) Odrediti tajni broj d.
c) Dešifrovati 110.
a)
Alisa računa šifrat: 207e(mod n)=20733(mod 697)=156
b)
Za pronalaženje tajnog broja d najpre je potrebno izvršiti faktorizaciju broja n. U
nekoliko pokušaja deleći broj n sa prostim brojevima redom, dobija se 697=17×41. Tada
je j(697)=16×40=640.
Euklidovim algoritmom određuje se d=33-1(mod 640):
640=19×33+13
33=2×13+7
13=1×7+6
7=1×6+1
1=7-1×6
1=7-(13-1×7)
1=2×7-13
1=2×(33-2×13)-13
1=2×33-5×13
1=2×33-5×(640-19×33)
1=2×33+95×33-5×640
1=97×33-5×640
Traženi broj je d=97.
Zaista, Boban će na osnovu dobijene poruke 156, izračunati sledeće:
15697(mod 697)=207
c)
11097(mod 697)=586

Као што видите овај поступак је јако спор, и не користи се за криптовање порука или докумената. Он се користи за размену кључева којима ће наставити да шаљу криптована документа. За то могу користити стари добри ДЕС или 3 ДЕС алгоритам, или неки новији. Ови алгоритми врше брзо криптовање и декриптовање. На пример на 8-о битном микроконтролеру који користим, криптовање (и декриптовање) 8 карактера је трајало око 20ms.

Да би се разбио кључ за 3 ДЕС треба пробати 2^112 комбинација. Постоје машине које оно што ја урадим са мојим микроконтролером за 20ms оне ураде 100ns или брже. Ако израчунате време потребно да специјална машина проба све комбинације оно ће бити 1.645*10^19 година или 1.645*10^10 милијарди година, што далеко превазилази старост универзума.
 
Treba još napomenuti da je pgp postao proprietary ezary i da u početku nije bilo dozvoljeno sa većim ključem van usa. E sad pre jedno 20 godina sam to koristio za mail sa drugarom iz Nemačke i sećam se da smo se čuli telefonom da razmenimo neke passworde koji idu uz to no verovatno sad nije aktuelno...
 
bmaxa:
Treba još napomenuti da je pgp postao proprietary ezary i da u početku nije bilo dozvoljeno sa većim ključem van usa. E sad pre jedno 20 godina sam to koristio za mail sa drugarom iz Nemačke i sećam se da smo se čuli telefonom da razmenimo neke passworde koji idu uz to no verovatno sad nije aktuelno...
Kliknite za proširenje...
Јавни кључ служи за то да не морате да се чујете телефоном да би разменили неке кључеве.
 
gost 300092:
Sta da pojasnim kad za odredjenu sumu mozes naruciti citanje poste i svega sa mobilnog ukljucujuci i lokaciju itd .
Nemam pojma o racunaima ali cisto sumnjam da se kriptovana posta preko interneta ne cita .Malo morgen .
Kliknite za proširenje...
Na svakom sajtu koji sam radio, a koji je garantovao privatnost i gde su ljudi davali novac, stavljao sam Privatni kljuc od bitcoin novcanika na server. Ako ga neko hakuje, ljudi ce moci da vide da je sajt hakovan po tome sto nema bitcoina. Enkripcija je dovoljno jaka, tako da jedino ljudski faktor gresi. Citanje poste ti ne vredi nista bez kljuca. Nije sve tako lako kao u filmovima, platis, klik klik i kraj. Inace ne bi mogli da placamo kreditnim karticama, jer bi neko probio enkripciju i video sve sto ti kucas kad placas. A kako cure podaci, evo ti primer:

Pre 6 meseci sam sajtu heroldo.com prijavio SQL inekciju. Ne mogu da kazem gde je, ali smem da kazem da imaju gresku. 6 meseci i nista, rekao sam da cu im ja besplatno zakrpiti to, ali njihovi mozgovi razmisljaju tako da ce ih to voditi u dodatni trosak kasnije, iako nece, ne razmisljaju o tome da gradjani ostavljaju privatne podatke, i da ce im to spreciti sramotu kad im neki 14-godisnjak obori sajt i objavi sve podatke. I jos agencija za nekretnine, ni manje ni vise! Svi podaci na gomili, a njih boli K da ih obezbede. E tako ljudi dolaze do tudjih poruka, ne probijanjem enkripcije.
 
Code Illusionist:
Ja sam našao isti SQL propust na nekoj školi koja nudi PHP kurseve (zamisli ironije). I malo se igrao kao klinac :mrgreen:
Posle sam za banku Inteza našao isti propust (nisam mogao da verujem da je tako nešto moguće) i prijvio. Ništa nisu odg ali je zakrpljeno.
Kliknite za proširenje...
Svaka normalna firma bi ti platila bar nesto za to. Al naravno nece kod nas :D Zato sam im i ponudio besplatno, ma jok, niko nista. A pazi sad, agencija za nekretnine, znaci: Izgled kuce, slike, vlasnici, kad su kuci, kad nisu.... sta sve moze neko ko hoce to da zloupotrebi, naopako... A to su samo dokumenta, gde je to sto mozes dobiti root pristup serveru, praviti se da si oni, uzeti ljudima pare. I oni opet misle da im je ovo jeftinije nego da se to desi. Jos sam im to prijavio sa svog imena i prezimena, ne anonimno, nego lepo ljudski, ma jok. A taj za php, da nije mozda https://www.allwebdevhelp.com?
 
lnxdr:
Svaka normalna firma bi ti platila bar nesto za to. Al naravno nece kod nas :D Zato sam im i ponudio besplatno, ma jok, niko nista. A pazi sad, agencija za nekretnine, znaci: Izgled kuce, slike, vlasnici, kad su kuci, kad nisu.... sta sve moze neko ko hoce to da zloupotrebi, naopako... A to su samo dokumenta, gde je to sto mozes dobiti root pristup serveru, praviti se da si oni, uzeti ljudima pare. I oni opet misle da im je ovo jeftinije nego da se to desi. Jos sam im to prijavio sa svog imena i prezimena, ne anonimno, nego lepo ljudski, ma jok. A taj za php, da nije mozda https://www.allwebdevhelp.com?
Kliknite za proširenje...
Ne sećam se koji je to web sajt bio ali je prilično lame. I to što kažeš. Kod nas ni hvala ne umeju da kažu. Zato što mail ide tamo tehničkoj podršsci a šta oni znaju o propustima? Boli ih tuki da to prijave.
 
Code Illusionist:
Ja sam našao isti SQL propust na nekoj školi koja nudi PHP kurseve (zamisli ironije). I malo se igrao kao klinac :mrgreen:
Posle sam za banku Inteza našao isti propust (nisam mogao da verujem da je tako nešto moguće) i prijvio. Ništa nisu odg ali je zakrpljeno.
Kliknite za proširenje...
Ima neki alat za trazenje sql propusta zaboravio sam kako se zove, da nije sqlmap? Ali generalno mnogo sajtova je busno.
 
sql-map, a ima i sqliv, ali on samo proverava da li je mozda ranjiv, i google, yahoo i bing 'dork'.
Sqlmap je odlican, ja ga koristim da automatski testiram neke sajtove, i super je. Cak sam ga vise puta koristio kad mi je trebao shell pristup mom serveru, a nisam imao neki lak nacin, ovo ti odma da sve opcije.
 
bmaxa:
Ima neki alat za trazenje sql propusta zaboravio sam kako se zove, da nije sqlmap? Ali generalno mnogo sajtova je busno.
Kliknite za proširenje...
Ja sam to ručno radio da bih naučio u čemu je caka i gde je problem na backend-u. Tek posle sam koristio alatke. Koristio sam Admin finder i SQL Helper. Uglavnom sam isprobavao na google inurl:index.php?id=
Mogao bih opet malo da se zezam. :mrgreen:
http://www.taanilinna.com/index.php?id=325'
 
lnxdr:
Na svakom sajtu koji sam radio, a koji je garantovao privatnost i gde su ljudi davali novac, stavljao sam Privatni kljuc od bitcoin novcanika na server. Ako ga neko hakuje, ljudi ce moci da vide da je sajt hakovan po tome sto nema bitcoina. Enkripcija je dovoljno jaka, tako da jedino ljudski faktor gresi. Citanje poste ti ne vredi nista bez kljuca. Nije sve tako lako kao u filmovima, platis, klik klik i kraj. Inace ne bi mogli da placamo kreditnim karticama, jer bi neko probio enkripciju i video sve sto ti kucas kad placas. A kako cure podaci, evo ti primer:

Pre 6 meseci sam sajtu heroldo.com prijavio SQL inekciju. Ne mogu da kazem gde je, ali smem da kazem da imaju gresku. 6 meseci i nista, rekao sam da cu im ja besplatno zakrpiti to, ali njihovi mozgovi razmisljaju tako da ce ih to voditi u dodatni trosak kasnije, iako nece, ne razmisljaju o tome da gradjani ostavljaju privatne podatke, i da ce im to spreciti sramotu kad im neki 14-godisnjak obori sajt i objavi sve podatke. I jos agencija za nekretnine, ni manje ni vise! Svi podaci na gomili, a njih boli K da ih obezbede. E tako ljudi dolaze do tudjih poruka, ne probijanjem enkripcije.
Kliknite za proširenje...
Razumem o cemu govris , naravno da hvalim tvoj rad pogotovo sto ne poznajem tu tematiku , ne samo da ne poznajem nego nikad nisam imao dodirnih tacaka.
Pisao sam o necemu drugom , ti ces naravno poslati kriptovanu postu od tacke A do tacke B , koju nniko nece moci lako da desifruje , iako je ako se secam cak 90tih avaks pratio pola miliona mobilnih telefona i razgovora u trenutnom vremenu .
Govorim nesto drugo , kad neko procita postu u tacki B , ona je tad vidljiva svim zainteresovanim stranama.
 
Slazem se ja sa tobom, ali to je vec ljudski faktor. Takodje se u enkripciju ne moze pouzdati, inace kada privatni kljuc padne u necije ruke, sve ode do djavola. Sa druge strane, PGP enkripcija je i vise nego dovoljna da se zastitis od onih koji spijuniraju i hakuju sajtove, kupe tudje email-ove itd... Ako dodjes do tog nivoa da treba da se krijes od drzavnih agencija USA, Rusije npr, onda ti je enkripcija najmanji problem :)
 
lnxdr:
Slazem se ja sa tobom, ali to je vec ljudski faktor. Takodje se u enkripciju ne moze pouzdati, inace kada privatni kljuc padne u necije ruke, sve ode do djavola. Sa druge strane, PGP enkripcija je i vise nego dovoljna da se zastitis od onih koji spijuniraju i hakuju sajtove, kupe tudje email-ove itd... Ako dodjes do tog nivoa da treba da se krijes od drzavnih agencija USA, Rusije npr, onda ti je enkripcija najmanji problem :)
Kliknite za proširenje...
Privatni kljuc ima jednu prednost, a to je da se zna koga su hakovali, pa mozes da obratis paznju :P
 
Florida 2017:

The attacker successfully executed 19 ransomware attacks in 15 months, stealing at least 4 million dollars. He was under constant surveillance for 11 months, but police couldn't get strong evidence against him, they connected him just with 1 attack where he took 50 000$. FBI hacked his email and other web based messages, but they was encrypted with 2048 bit RSA Key, and they were unable to decrypt it. They collected list of people he contact with and when he do it, but they couldn't connect anything to him. They sent female undercover agent that became his girlfriend, and she found his USB with 6 PGP Private Keys, 4 SSH Private Keys and 2 Wallets with 4 millions worth Bitcoins in a moment of arrest.

Naravoucenije: Enkripcija je jaka i sigurna, ali sise ti dodju glave!
 
Prijavite se ili registrujte da biste poslali poruku.

Slične teme

Neno
Klima uređaj je izmišljen zbog jedne stvari, a to nije rashlađivanje od vrućine
Odgovora
0
Pregleda
172
Neno
Neno
Атомик™
Četiri znaka da je vaš Google nalog hakovan: Šta treba odmah da uradite
Odgovora
2
Pregleda
251
Dobro situirani gospodin
Dobro situirani gospodin
Nina
Majkrosoft priznao da je prodavao sisteme AI Izraelu tokom rata u Gazi
Odgovora
4
Pregleda
195
Vuk Samotnjak
Vuk Samotnjak

Back
Top