ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
אורח · ·
 

הודעה פורסם: 03/11/2021 - 22:04
נושא ההודעה: שאלה על הצפנה בהקשר של פריצה לאתרים

ראיתי פה מדי פעם שרשורים על הצפנת מערכת הפעלה, הצפנת קבצים בכונן הקשיח וכו.
לאור הפריצות של האקרים לאתרים מנסה להבין:

אם הנתונים באתרים היו מוצפנים, זה היה מונע את דליפת המידע?

האם הצפנה יותר קשה כשמדובר באתר שפתוח לציבור הרחב, מאשר הצפנה של מחשב אישי?
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 03/11/2021 - 22:17
נושא ההודעה:

מהו הרי תהליך של הצפנה?
יש לנו מידע מפוענח, כזה שנרצה להצפין
יש אלגוריתם ידוע לכולם
ויש מפתח הצפנה

משתמשים באלגוריתם עם מפתח ההצפנה ונקבל מידע מוצפן
יכול לפענח אותו חזרה רק מי שיש לו מפתח הצפנה

יש אלגוריתמים שבהם משתמשים במפתח אחד כדי להצפין, ובמפתח אחר כדי לפענח, ואז לפענח יכול רק מי שיש לו את מפתח הפענוח

עכשיו לשאלתך, איזה מידע היית מצפין? נניח שם ואימייל? ומתי שולפים את המידע? נניח כשנכנסים לעמוד הפרופיל באתר? כלומר צריך שלאתר יהיה את מפתח הפענוח, כי הוא צריך לפענח את המידע ולהציג למשתמשים את המידע המפוענח.

אז אם פורצים לאתר או לשרתים שעליו הוא יושב, הפורץ יכול למצוא גם את מפתח ההצפנה. אפשר לנסות להחביא אותו, לסבך, לעשות security through obscurity, אבל בהינתן מספיק זמן התוקף יבין איך המערכת פועלת וימצא את מפתח ההצפנה.

אפשר לחשוב על מערכות, למשל, בהן לשרת אף פעם אין את המידע המפוענח (למשל אם המפתח נשמר אצל המשתמש, או בחלק של ה-URL שלא נשלח לשרת). דוגמה לכך היא אתר אחסון הקבצים Mega. הקבצים מוצפנים ב-Javascript בדפדפן ומפתח ההצפנה נשמר כחלק מהקישור (חלק שאף פעם לא נשלח לשרת). כך גם אם פורצים לשרתים של Mega אי אפשר לפענח את הקבצים.

אבל עבור רוב האתרים זה לא כל כך פרקטי (אם כי יש כל מיני נסיונות לעשות רשתות חברתיות למשל שהמידע מבוזר / מוצפן וכו').
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
דוביקסSite Moderator ת.הצטרפות: 20/12/2002 · הודעות: 8366 ·
 

הודעה פורסם: 06/11/2021 - 20:45
נושא ההודעה: Re: שאלה על הצפנה בהקשר של פריצה לאתרים

Anonymous :
ראיתי פה מדי פעם שרשורים על הצפנת מערכת הפעלה, הצפנת קבצים בכונן הקשיח וכו.
לאור הפריצות של האקרים לאתרים מנסה להבין:

אם הנתונים באתרים היו מוצפנים, זה היה מונע את דליפת המידע?


לא, אבל אולי זה היה מקשה על הפורצים לפענח את המידע ו/או להפיץ אותו בקבצים שכל אחד יכול לקרוא.

ציטוט:

האם הצפנה יותר קשה כשמדובר באתר שפתוח לציבור הרחב, מאשר הצפנה של מחשב אישי?


זה לא בהכרח אותו דבר, בהצפנה של מחשב אישי בד״כ כל הכונן מוצפן ונפתח ברגע הכניסה לחשבון (כך שאם ירוץ לך וירוס למשל, ממילא כל המידע יהיה זמין אליו), בהצפנה של מסדי נתונים ההצפנה לא אמורה לפתוח את כל הרשומות אלא רק רשומות שהמערכת צריכה לגשת אליהן באותו רגע נתון.
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
צפריראורח · ·
 

הודעה פורסם: 07/11/2021 - 08:35
נושא ההודעה: Re: שאלה על הצפנה בהקשר של פריצה לאתרים

Anonymous :
ראיתי פה מדי פעם שרשורים על הצפנת מערכת הפעלה, הצפנת קבצים בכונן הקשיח וכו.
לאור הפריצות של האקרים לאתרים מנסה להבין:

אם הנתונים באתרים היו מוצפנים, זה היה מונע את דליפת המידע?

האם הצפנה יותר קשה כשמדובר באתר שפתוח לציבור הרחב, מאשר הצפנה של מחשב אישי?

אם הנתונים מוצפנים, צריכים לפענח אותם לפני שמשתמשים בהם. אם לתוקף יש גישה לשרת, תהיה לו לרוב גישה גם למידע המפוענח. לעומת זאת, לא יזיק להצפין את הדיסק, אבל זה נגד איום שונה: של מישהו שמחלץ פיזית את הדיסק ומנסה לקרוא אותו.

אבל אני מנחש שדובר על „הצפנת״ סיסמאות. יש באופן כללי שתי דרכים לשמור סיסמאות לצורכי אימות: אפשר לשמור עותק שלהן, לקבל סיסמה מהצד השני ולבדוק ששניהם שווים. החיסרון הוא שצריכים להעביר את הסיסמה בתקשורת, וצריכים לשמור אותה בצד השני.

במקום זה מה שמקובל הוא לשמור גיבוב שלה (לדוגמה: באמצעות sha256, או md5 אם md5 לא הייתה קצת שבורה): מהגיבוב אי אפשר לדעת מה הייתה הסיסמה המקורית. לכן שומרים רק גיבוב של הסיסמה במקום את הסיסמה עצמה ומבקשים מהצד השני לשלוח את הגיבוב לצורך ההזדהות. היתרון הוא שלא צריכים לשמור את המידע הסודי של הסיסמה. החיסרון הקטן הוא שיש כל מיני דברים קטנים שלא עובדים בלי הסיסמה עצמה (לדוגמה: נוח מאוד שיש אפשרות להגיד למשתמש מה הייתה הסיסמה שלו).

גיבוב אינו הצפנה: אי אפשר לפענח את הסיסמה מהגיבוב (בזמן סביר. אלא אם כן מנחשים אותה) אבל זו לא מילה מוכרת ולכן הרבה פעמים מכנים את זה בטעות „הצפנת סיסמאות״.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
הצגת הודעות מלפני:     
מעבר אל:  
כל הזמנים הם GMT + 2 שעות
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
PNphpBB2 © 2003-2004 

תוכן הדיון

  1. אורח
  2. אורח
  3. דוביקס
  4. אורח [צפריר]