Whatsup - לינוקס, תוכנה חופשית וקוד פתוח בעברית

אבטחת מידע - שאלה על הצפנה בהקשר של פריצה לאתרים

Anonymous - 03/11/2021 - 22:04
נושא ההודעה: שאלה על הצפנה בהקשר של פריצה לאתרים
ראיתי פה מדי פעם שרשורים על הצפנת מערכת הפעלה, הצפנת קבצים בכונן הקשיח וכו.
לאור הפריצות של האקרים לאתרים מנסה להבין:

אם הנתונים באתרים היו מוצפנים, זה היה מונע את דליפת המידע?

האם הצפנה יותר קשה כשמדובר באתר שפתוח לציבור הרחב, מאשר הצפנה של מחשב אישי?
Anonymous - 03/11/2021 - 22:17
נושא ההודעה:
מהו הרי תהליך של הצפנה?
יש לנו מידע מפוענח, כזה שנרצה להצפין
יש אלגוריתם ידוע לכולם
ויש מפתח הצפנה

משתמשים באלגוריתם עם מפתח ההצפנה ונקבל מידע מוצפן
יכול לפענח אותו חזרה רק מי שיש לו מפתח הצפנה

יש אלגוריתמים שבהם משתמשים במפתח אחד כדי להצפין, ובמפתח אחר כדי לפענח, ואז לפענח יכול רק מי שיש לו את מפתח הפענוח

עכשיו לשאלתך, איזה מידע היית מצפין? נניח שם ואימייל? ומתי שולפים את המידע? נניח כשנכנסים לעמוד הפרופיל באתר? כלומר צריך שלאתר יהיה את מפתח הפענוח, כי הוא צריך לפענח את המידע ולהציג למשתמשים את המידע המפוענח.

אז אם פורצים לאתר או לשרתים שעליו הוא יושב, הפורץ יכול למצוא גם את מפתח ההצפנה. אפשר לנסות להחביא אותו, לסבך, לעשות security through obscurity, אבל בהינתן מספיק זמן התוקף יבין איך המערכת פועלת וימצא את מפתח ההצפנה.

אפשר לחשוב על מערכות, למשל, בהן לשרת אף פעם אין את המידע המפוענח (למשל אם המפתח נשמר אצל המשתמש, או בחלק של ה-URL שלא נשלח לשרת). דוגמה לכך היא אתר אחסון הקבצים Mega. הקבצים מוצפנים ב-Javascript בדפדפן ומפתח ההצפנה נשמר כחלק מהקישור (חלק שאף פעם לא נשלח לשרת). כך גם אם פורצים לשרתים של Mega אי אפשר לפענח את הקבצים.

אבל עבור רוב האתרים זה לא כל כך פרקטי (אם כי יש כל מיני נסיונות לעשות רשתות חברתיות למשל שהמידע מבוזר / מוצפן וכו').
דוביקס - 06/11/2021 - 20:45
נושא ההודעה: Re: שאלה על הצפנה בהקשר של פריצה לאתרים
Anonymous :
ראיתי פה מדי פעם שרשורים על הצפנת מערכת הפעלה, הצפנת קבצים בכונן הקשיח וכו.
לאור הפריצות של האקרים לאתרים מנסה להבין:

אם הנתונים באתרים היו מוצפנים, זה היה מונע את דליפת המידע?


לא, אבל אולי זה היה מקשה על הפורצים לפענח את המידע ו/או להפיץ אותו בקבצים שכל אחד יכול לקרוא.

ציטוט:

האם הצפנה יותר קשה כשמדובר באתר שפתוח לציבור הרחב, מאשר הצפנה של מחשב אישי?


זה לא בהכרח אותו דבר, בהצפנה של מחשב אישי בד״כ כל הכונן מוצפן ונפתח ברגע הכניסה לחשבון (כך שאם ירוץ לך וירוס למשל, ממילא כל המידע יהיה זמין אליו), בהצפנה של מסדי נתונים ההצפנה לא אמורה לפתוח את כל הרשומות אלא רק רשומות שהמערכת צריכה לגשת אליהן באותו רגע נתון.
Anonymous - 07/11/2021 - 08:35
נושא ההודעה: Re: שאלה על הצפנה בהקשר של פריצה לאתרים
Anonymous :
ראיתי פה מדי פעם שרשורים על הצפנת מערכת הפעלה, הצפנת קבצים בכונן הקשיח וכו.
לאור הפריצות של האקרים לאתרים מנסה להבין:

אם הנתונים באתרים היו מוצפנים, זה היה מונע את דליפת המידע?

האם הצפנה יותר קשה כשמדובר באתר שפתוח לציבור הרחב, מאשר הצפנה של מחשב אישי?

אם הנתונים מוצפנים, צריכים לפענח אותם לפני שמשתמשים בהם. אם לתוקף יש גישה לשרת, תהיה לו לרוב גישה גם למידע המפוענח. לעומת זאת, לא יזיק להצפין את הדיסק, אבל זה נגד איום שונה: של מישהו שמחלץ פיזית את הדיסק ומנסה לקרוא אותו.

אבל אני מנחש שדובר על „הצפנת״ סיסמאות. יש באופן כללי שתי דרכים לשמור סיסמאות לצורכי אימות: אפשר לשמור עותק שלהן, לקבל סיסמה מהצד השני ולבדוק ששניהם שווים. החיסרון הוא שצריכים להעביר את הסיסמה בתקשורת, וצריכים לשמור אותה בצד השני.

במקום זה מה שמקובל הוא לשמור גיבוב שלה (לדוגמה: באמצעות sha256, או md5 אם md5 לא הייתה קצת שבורה): מהגיבוב אי אפשר לדעת מה הייתה הסיסמה המקורית. לכן שומרים רק גיבוב של הסיסמה במקום את הסיסמה עצמה ומבקשים מהצד השני לשלוח את הגיבוב לצורך ההזדהות. היתרון הוא שלא צריכים לשמור את המידע הסודי של הסיסמה. החיסרון הקטן הוא שיש כל מיני דברים קטנים שלא עובדים בלי הסיסמה עצמה (לדוגמה: נוח מאוד שיש אפשרות להגיד למשתמש מה הייתה הסיסמה שלו).

גיבוב אינו הצפנה: אי אפשר לפענח את הסיסמה מהגיבוב (בזמן סביר. אלא אם כן מנחשים אותה) אבל זו לא מילה מוכרת ולכן הרבה פעמים מכנים את זה בטעות „הצפנת סיסמאות״.
כל הזמנים הם GMT + 2 שעות