رمزنگاری متقارن حرفه ای در PHP

[SZsXsZS]

حد اقل یک جستجو بکن بعد بگو چیزی نداره و فقط AES داره
توی راهنماشم گفته چه کارهایی برای چه مقاصدی بهترین و بهینه ترین حالته

عجب آدمایی هستید شما به خدا
من کی گفتم فقط AES داره؟! AES رو بعنوان مثال زدم.
توی این راهنما هم گذاشتی خب الگوریتم ها رو برای مقاصد مختلف فقط لیست کرده که تعداد و تنوع قابل توجهی دارن، البته اسم و مشخصاتی که داده خوبه ولی بازم یه آدم غیرمتخصص چه سر درمیاره از اینا آخه! از کجا میفهمه چه مدی استفاده کنه چه الگوریتمی و چرا؟ چه طول کلیدی و چرا؟ پسورد اگر استفاده میکنه چه پسوردی و چقدر امنیت میده با کدوم الگوریتم...
بعدم گفتم که کدهایی که بنده دادم در قسمت PHP بوده و در PHP هم چیزی که حداقل در نصب ها و کانفیگ پیشفرض در دسترس هست محدودتره و مثلا فرض مد EAX رو نداره مد CCM این حرفا رو نداره، بخاطر همین شما باید یک MAC جداگانه پیدا کنی و سرهم کنی با AES تا authenticated encryption داشته باشی. حالا خود این MAC چندین نوع داره، یک نوعش HMAC است، و HMAC هم باز خودش میتونه مثلا HMAC-SHA1 باشه، میتونه HMAC-SHA256 باشه و غیره. بعد کلید HMAC رو از کجا میاری؟ باز این خودش جزییات داره و خودت باید بدونی و شرایطشو رعایت کنی کدش رو بنویسی. همهء اینا بدون اطلاعات گسترده و مطمئن کسی نمیتونه گوه گیجه میشه خب
توی راهنما به شما روش این انتخاب ها و ترکیب ها رو یاد نمیده. اگر راهنمایی باشه تمام این جزییات رو به شما یاد بده، خودش یک خودآموزی در زمینهء قابل توجهی از مباحث رمزنگاری میشه! راهنما فقط یکسری اسمها و اشاره های کلی و تخصصی رو درج کرده. انتخاب مناسب الگوریتم و مد و کلید، تولید کلید، ترکیب الگوریتم های مختلف مثل AES و HMAC و یکسری جزییات دیگر رو معمولا نداره و به شما یاد نمیده، اگر باشه خب طرف باید بخونه و کسی که تخصص در این زمینه نداره معمولا همه رو به این راحتی متوجه نمیشه و گیج میشه و احتمال اشتباهاتش زیاده. حتی واسه خود من هم این کار زیاد راحت نبود، بخاطر همین اومدم یک کدی بنویسم که یک بار این موارد رو تقریبا کامل درش جمع و رعایت بکنم و بعدا از همون استفاده کنم.
ضمنا شما در PHP یا بعضی کتابخانه های دیگر حتی الگوریتم ها و مدهای ضعیف یا حتی شکسته شده رو هم پیدا میکنی. مثلا در mcrypt الگوریتم DES یا مد ECB هم هست و بعضیا که اطلاعات ندارن اشتباها استفاده میکنن.
کلا جزییات و جای گیج شدن و اشتباه زیاد هست. منم کدی نوشتم بخاطر این بوده و این جزییات رو در PHP یا پایتون با همون ابزارها و کتابخانه های استاندارد و دم دست جمع آوری و ترکیب کردم با پارامترها و نکات لازم. ادعای دیگر هم نکردم که!

[SZsXsZS]

شما هنوز داری از hmac استفاده میکنی و به خیال خودت لبه علم ایستادی.
اصلا میدونستی میتونی خیلی راحت بدون این دردسر ها فقط مد gcm رو بکار ببری و خیالت از authentication هم آسوده بشه؟؟؟

بله دوست عزیز میدونستم!
این همه توضیح میدم شما دقت نمیکنی. گفتم من برای PHP کد نوشتم و در PHP نصب و کانفیگ پیشفرض ما برای رمزنگاری کتابخانهء mcrypt رو در دسترس داریم که این مد رو ساپورت نمیکنه! منکه نگاه کردم این مد رو ساپورت نمیکنه. حالا شاید جدیدترین نسخه یا به زودی بهش اضافه بشه نمیدونم. بهرحال یک مزیت روشهای کلاسیک قدیمی تر اینه که ساپورت خیلی گسترده تری دارن همه جا در دسترس هستن شما نیازی به داشتن آخرین نسخهء فلان نرم افزار و محیط که خیلی وقتا تحت کنترل خودت نیست و نمیتونی تغییرش بدی (مثلا در یک هاست اشتراکی) یا این کار بهرحال سخت و دردسرسازه، نداری. یا مثلا من این روش رو هم در پایتون پیاده سازی کردم و هم PHP بخاطر همون برنامهء کنترل از راه دور خودم که سمت دسکتاپش با پایتون است، و طبیعتا سمت سرور و سمت دسکتاپ باید هردو از یک روش و الگوریتم و جزییات یکسان استفاده کنن که بتونن پیامهای همدیگر رو هندل کنن، درست یادم نیست ولی کتابخانهء رمزنگاری پایتون (pycrypto) بنظرم این مد رو ساپورت نمیکرد، البته شاید هم داشته و من دقت نکردم چون اصلا برام مهم نبود، ولی اصل مسئله اینه که اگر شما از مد یا الگوریتم جدیدی استفاده کنید احتمال اینکه یه جایی دچار مشکل کمبود ساپورت بشید دچار مشکل سازگاری با محیطها و نرم افزارها و نسخه های پایین تر بشید زیاده. ولی وقتی از الگوریتم های جا افتاده و باسابقهء زیاد استفاده میکنید، میتونید مطمئن باشید که تقریبا در هرجایی و در هر محیط و زبانی و کتابخانه ای و نسخه ای اجرا میشه و دنگ و فنگ و مشکل یا حتی بن بستی براتون پیش نمیاد.
اینا مسائل فنی است!
مشکلی هم نداره وقتی چیزی امنیت کافی داره خوب کار میکنه حالا قدیمی باشه مگه چیه!

[golbafan]

توی این راهنما هم گذاشتی خب الگوریتم ها رو برای مقاصد مختلف فقط لیست کرده که تعداد و تنوع قابل توجهی دارن، البته اسم و مشخصاتی که داده خوبه ولی بازم یه آدم غیرمتخصص چه سر درمیاره از اینا آخه! از کجا میفهمه چه مدی استفاده کنه چه الگوریتمی و چرا؟ چه طول کلیدی و چرا؟ پسورد اگر استفاده میکنه چه پسوردی و چقدر امنیت میده با کدوم الگوریتم...

اگر راهنمایی باشه تمام این جزییات رو به شما یاد بده، خودش یک خودآموزی در زمینهء قابل توجهی از مباحث رمزنگاری میشه! راهنما فقط یکسری اسمها و اشاره های کلی و تخصصی رو درج کرده. انتخاب مناسب الگوریتم و مد و کلید، تولید کلید، ترکیب الگوریتم های مختلف مثل AES و HMAC و یکسری جزییات دیگر رو معمولا نداره و به شما یاد نمیده، اگر باشه خب طرف باید بخونه و کسی که تخصص در این زمینه نداره معمولا همه رو به این راحتی متوجه نمیشه و گیج میشه و احتمال اشتباهاتش زیاده.

متوجه هستم که php کار هستی اما یکم دقت کن!!!
این که من فرستادم راهنما نیست که عزیز... این فقط لیست امکاناتش هست که از ویکیپدیا گرفتم و نشون میده کامله

راهنماش اینجاست
https://www.cryptopp.com/wiki/Main_Page
همونطور که گفتم میتونی بهترین گزینه ها رو برای مقاصد مختلف انتخاب کنی و از ترکیبشون استفاده کنی
بر اساس احتمالات که نمیشه قضاوت کنی حداقل راهنماش رو بخون بعد بگو ناقصه!!!

شما که php و پایتون رو میگی خوب بلدی پس باید بتونی توابع موجود در crypro++ رو برای خودت بنویسی
اینجوری حداقل میشه گفت کار ارزشمندی هم انجام دادی

[SZsXsZS]

این سوالت هم فکر کنم هر تازه کاری بتونه راحت جواب بده و جوابش جلوگیری از حملات موسوم به padding oracle attack هست

خخخ تازه کار دیگه چه صیغه ایه یعنی چی
هرکس این چیزا رو بفهمه هوشش خوبه سواد خوبی داره. فک نمیکنم بشه بهش گفت تازه کار. چون خیلی چیزهای قبل از این رو حتما کار کرده که حالا این چیزا رو میتونه بخونه و بفهمه.
ضمنا ویکیپدیا رو خوندم دیدم چیز جالبیه این Padding oracle attack
ولی بهرحال هیچ ربطی به سوال خودم توش ندیدم. اونکه من میگم یه چیز دیگس، این که شما میگی اصلا موضوعش یه چیز دیگس. ربطش کجاست!
ضمنا روی سوال خودم بیشتر فکر کردم فکر کنم صورت سوالم اشتباه بوده اصلا نیازی نیست 256 باشه همون 128 هم کفایت میکنه خخخ
البته واسه اطمینان شاید بعدا رفتم crypto.stackexchange.com پرسیدم!

[SZsXsZS]

بر اساس احتمالات که نمیشه قضاوت کنی حداقل راهنماش رو بخون بعد بگو ناقصه!!!

ببینم شما یا متن های منو کامل و دقیق نمیخونی همینطور عجولانه قضاوت میکنی یا اینکه زیاد از این مسائل سرت نمیشه
من کجا کی گفتم ناقصه؟
متوجه نشدی! گفتم اینا یکسری الگوریتم دارن که سطح پایینه مثل آجر میمونه، باید این آجرها رو ترکیب کنی یه چیزی ازش بسازی.
البته هم نگفتم حتما crypto++ اینطوریه! گفتم اکثر یا حداقل خیلی کتابخانه ها اینطوریه. فقط هم نه در سی/سی++. مثلا شما در PHP یا پایتون و غیره، در کل زبانها نگاه کنی میبینی کتابخانه ها اکثرا یکسری الگوریتم های استاندارد سطح پایین رو دارن فقط، و چیز سطح بالاتر بخوای باید خودت اون الگوریتم ها رو ترکیب کنی و چیز کامل تر رو بسازی. زبان که فقط سی++ نیست همین چندتا کتابخانه نیست! کتابخانه خیلی هست، و مثلا دنبال AES بگردی توی همشون هست، ولی دنبال یه چیز کاملتر و سطح بالاتری بگردی فقط توی بعضی کتابخانه های خیلی مشهور و حرفه ای پیدا میشه، یا که خودت باید بلد باشی و از همون اجزای سطح پایین درست کنی، در بعضی موارد هم اصلا خودت باید کد بزنی الگوریتمهای مورد نیاز رو درست کنی که کار حرفه ای هست سواد و تخصص میخواد. من الان همین HKDF که استفاده کردم با اینکه الگوریتم ساده و مختصری هست ولی توی PHP در mcrypt نبود توی پایتون در pycrypto هم نبود. حالا شما یکسری کتابخانه های دیگر رو پیش میکشی، چه ربطی داره خب؟ اگر همهء کتابخانه های استاندارد همهء زبانها و محیطها اینقدر کامل بود که خوب بود، ولی نیست.

[SZsXsZS]

شما هنوز داری از hmac استفاده میکنی و به خیال خودت لبه علم ایستادی.

نه عزیزم من فکر نکردم HMAC در لبهء مرز این علمه!
اتفاقا اخیرا داشتم همین مدهای جدید مثل EAX و یکسری MAC های جدیدتر مثل UMAC و VMAC و اینها رو بررسی میکردم. حتی یکسری ریاضیاتش رو هم مطالعه کردم.
ولی چیزی که هست استفاده از HMAC هم هیچ اشکالی نداره ضعف امنیتی خاصی درش نیست اگر درست استفاده کنی. حالا میخواد قدیمی باشه، خب باشه! مزیت دیگرش هم علاوه بر سادگی در دسترس بودن هست و همون مسائل سازگاری با همهء محیطها و زبانها و کتابخانه ها که مزیت کمی نیست، اینو در عمل وقتی یجا به مشکل بخوری میفهمی که ارزشش رو نداره از یه الگوریتم فقط بخاطر اینکه جدیده استفاده کنی! اگر الگوریتم قدیمی ضعف جدی داشت یه حرفی، ولی وقتی مشکل امنیتی خاصی نداره دلیلی نداره بخوای جوگیر بشی از آخرین الگوریتم ها و نسخه ها استفاده کنی!
اصلا هم یکسری چیزهایی که خیلی جدیده زیاد نمیشه مطمئن بود چون هنوز سابقهء زیادی نداره در عمل محک نخورده روش تحقیق نشده، یوقت میبینی توی همون در آینده یه ضعف امنیتی پیدا میکنن.

[golbafan]

ضمنا روی سوال خودم بیشتر فکر کردم فکر کنم صورت سوالم اشتباه بوده اصلا نیازی نیست 256 باشه همون 128 هم کفایت میکنه خخخ
البته واسه اطمینان شاید بعدا رفتم crypto.stackexchange.com پرسیدم!

آره حتما بپرس...
معلوم شد خودتم نمودونی چی داری میگی

If you cannot use GCM (for lack of support in your server-side programming framework), then you must do things old-style:

- Hash the key K with SHA-256 so as to get 256 bits of "key material". Split that into two halves: 128 bits for encryption (Ke), 128 bits for MAC (Km).

- Generate a random IV of 128 bits. You need a new one every time you encrypt, and you want to generate it with a strong PRNG (/dev/urandom).

- Pad the data (usual PKCS#5 padding) so that its length is a multiple of the AES block size (16 bytes).

- Encrypt the data with AES in CBC mode, using the IV generated just above, and Ke as key. Let's call C the resulting ciphertext.

- Compute HMAC/SHA-256 with key Km over the concatenation of IV and C, in that order. Call M the resulting value. It is crucial that the IV is part of the input to HMAC.

- Concatenate IV, C and M, in that order. This is your "registration key".

- When receiving a registration request, first verify the HMAC (by recomputing it), then (and only then) proceed to the decryption step.

میتونی بخونی یا ترجمه کنم برات؟

[golbafan]

ببینم شما یا متن های منو کامل و دقیق نمیخونی همینطور عجولانه قضاوت میکنی یا اینکه زیاد از این مسائل سرت نمیشه
من کجا کی گفتم ناقصه؟
متوجه نشدی! گفتم اینا یکسری الگوریتم دارن که سطح پایینه مثل آجر میمونه، باید این آجرها رو ترکیب کنی یه چیزی ازش بسازی.
البته هم نگفتم حتما crypto++ اینطوریه! گفتم اکثر یا حداقل خیلی کتابخانه ها اینطوریه. فقط هم نه در سی/سی++. مثلا شما در PHP یا پایتون و غیره، در کل زبانها نگاه کنی میبینی کتابخانه ها اکثرا یکسری الگوریتم های استاندارد سطح پایین رو دارن فقط، و چیز سطح بالاتر بخوای باید خودت اون الگوریتم ها رو ترکیب کنی و چیز کامل تر رو بسازی. زبان که فقط سی++ نیست همین چندتا کتابخانه نیست! کتابخانه خیلی هست، و مثلا دنبال AES بگردی توی همشون هست، ولی دنبال یه چیز کاملتر و سطح بالاتری بگردی فقط توی بعضی کتابخانه های خیلی مشهور و حرفه ای پیدا میشه، یا که خودت باید بلد باشی و از همون اجزای سطح پایین درست کنی، در بعضی موارد هم اصلا خودت باید کد بزنی الگوریتمهای مورد نیاز رو درست کنی که کار حرفه ای هست سواد و تخصص میخواد. من الان همین HKDF که استفاده کردم با اینکه الگوریتم ساده و مختصری هست ولی توی PHP در mcrypt نبود توی پایتون در pycrypto هم نبود. حالا شما یکسری کتابخانه های دیگر رو پیش میکشی، چه ربطی داره خب؟ اگر همهء کتابخانه های استاندارد همهء زبانها و محیطها اینقدر کامل بود که خوب بود، ولی نیست.

اولا که من کتابخانه های خوبی رو برات مثال زدم و به سایرین کاری نداشتم

دوما در جوابت گفته بودم:
"شما که php و پایتون رو میگی خوب بلدی پس باید بتونی توابع موجود در crypro++ رو برای خودت بنویسی. اینجوری حداقل میشه گفت کار ارزشمندی هم انجام دادی"

سوما پیشنهاد میکنم راهنماش رو حتما بخون چون واقعا خود آموز خوبی برای رمزنگاری هست. تازه فرمت راهنماش هم مثل عشقت ویکی پدیاست :-)

[golbafan]

نه عزیزم من فکر نکردم HMAC در لبهء مرز این علمه!
اتفاقا اخیرا داشتم همین مدهای جدید مثل EAX و یکسری MAC های جدیدتر مثل UMAC و VMAC و اینها رو بررسی میکردم. حتی یکسری ریاضیاتش رو هم مطالعه کردم.
ولی چیزی که هست استفاده از HMAC هم هیچ اشکالی نداره ضعف امنیتی خاصی درش نیست اگر درست استفاده کنی. حالا میخواد قدیمی باشه، خب باشه! مزیت دیگرش هم علاوه بر سادگی در دسترس بودن هست و همون مسائل سازگاری با همهء محیطها و زبانها و کتابخانه ها که مزیت کمی نیست، اینو در عمل وقتی یجا به مشکل بخوری میفهمی که ارزشش رو نداره از یه الگوریتم فقط بخاطر اینکه جدیده استفاده کنی! اگر الگوریتم قدیمی ضعف جدی داشت یه حرفی، ولی وقتی مشکل امنیتی خاصی نداره دلیلی نداره بخوای جوگیر بشی از آخرین الگوریتم ها و نسخه ها استفاده کنی!
اصلا هم یکسری چیزهایی که خیلی جدیده زیاد نمیشه مطمئن بود چون هنوز سابقهء زیادی نداره در عمل محک نخورده روش تحقیق نشده، یوقت میبینی توی همون در آینده یه ضعف امنیتی پیدا میکنن.

پیشنهاد میکنم در کار بعدیت بجای استفاده از sha256 از PBKDF2 استفاده کنی. احتمالا بدونی چرا اینو میگم...

[SZsXsZS]

آره حتما بپرس...
معلوم شد خودتم نمودونی چی داری میگی

If you cannot use GCM (for lack of support in your server-side programming framework), then you must do things old-style:

- Hash the key K with SHA-256 so as to get 256 bits of "key material". Split that into two halves: 128 bits for encryption (Ke), 128 bits for MAC (Km).

- Generate a random IV of 128 bits. You need a new one every time you encrypt, and you want to generate it with a strong PRNG (/dev/urandom).

- Pad the data (usual PKCS#5 padding) so that its length is a multiple of the AES block size (16 bytes).

- Encrypt the data with AES in CBC mode, using the IV generated just above, and Ke as key. Let's call C the resulting ciphertext.

- Compute HMAC/SHA-256 with key Km over the concatenation of IV and C, in that order. Call M the resulting value. It is crucial that the IV is part of the input to HMAC.

- Concatenate IV, C and M, in that order. This is your "registration key".

- When receiving a registration request, first verify the HMAC (by recomputing it), then (and only then) proceed to the decryption step.

میتونی بخونی یا ترجمه کنم برات؟

دوست عزیز معلومه که خودت اصلا توی باغ نیستی دقت نداری خیلی از مطالب منو واقعا متوجه نمیشی!
اولا که منبع متنی که شما گذاشتی: http://security.stackexchange.com/qu...-alongside-aes
دوما که این اصلا هیچ ربطی به چیزی که من گفتم نداره! این داره دربارهء این صحبت میکنه که چطور کلید مورد استفاده برای HMAC رو از کلید اصلی مشتق کنیم، درحالیکه چیزی که من گفتم منظورم بود طول خروجی HMAC بود.
ضمنا این روش برای مشتق کردن کلید که این گفته و البته خیلی ها استفاده میکنن (من خودمم قبلا روشی کم و بیش مشابه این رو استفاده کرده بودم)، زیاد علمی و اصولی نیست و توسط متخصصان توصیه نمیشه (چون روشی تاحدی سرخود و بدون تحلیل و اطمینان های علمی کافی است - هرچند تاحالا کسی ضعف جدی ای درش پیدا نکرده، ولی پشتوانهء تحلیل و تمهیدات علمی و تخصصی رمزنگاری رو نداره). من الان از الگوریتم HKDF برای مشتق کردن کلید استفاده کردم که مخصوص همینطور کارها توسط متخصصان طراحی شده و کلی تر طراحی شده و کاربرد گسترده تر و راحت تری هم داره.

[SZsXsZS]

پیشنهاد میکنم در کار بعدیت بجای استفاده از sha256 از PBKDF2 استفاده کنی. احتمالا بدونی چرا اینو میگم...

PBKDF2 از الگوریتم های تبدیل پسورد به کلید است. چه ربطی به sha256 داره؟ من جایی از تبدیل پسورد به کلید صحبت کردم؟
البته بعضیا از یکسری الگوریتم ها که برای کار خاصی طراحی شدن برای چیزهای دیگری استفاده میکنن که البته خیلی وقتا این ترفندها یا ابتکارها زیاد هم اصولی و مطمئن نیست و توسط مراجع تخصصی توصیه نمیشه.
برای هرکاری الگوریتم خاص خودش هست.
ضمنا PBKDF2 الان دیگه خیلی قدیمی و ضعیف محسوب میشه و الگوریتم های واقعا قوی تری برای تبدیل پسورد به کلید وجود دارن، مثلا به ترتیب جدیدتر بودن و امنیت بیشتر (از سمت راست به چپ هرچی بری جدیدتر است و امنیت بیشتری داره - یعنی جدیدی و امنیت argon2 از همه بیشتره): bcrypt و scrypt و argon2

[golbafan]

مطالب تورو متوجه میشم. نگران این موضوع نباش...
قبلا یک جایی خوندم که بهتره بجای sha از PBKDF2 استفاده بشه (بالاخره اینم یجور هشه) چون سرعتش کمتره و سرعت اتک های مهاجم رو شدیدا کاهش میده
ولی قبول دارم قدیمیه... اما کاراییش در مقابل هکرها تاالان که خوب بوده... مخصوصا در سیستم های قدیمی با رم کمتر
بیشتر میخواستم ببینم جواب تو چیه

[SZsXsZS]

قبلا یک جایی خوندم که بهتره بجای sha از PBKDF2 استفاده بشه (بالاخره اینم یجور هشه) چون سرعتش کمتره و سرعت اتک های مهاجم رو شدیدا کاهش میده

آخه این حرف خیلی کلی و مبهم هست.
باید معلوم بشه دقیقا در چه کاربردی چطوری!
طرف از sha در کجا چطوری استفاده میکرده که حالا بجاش PBKDF2 بذاره؟
اگر منظورت مشتق کردن کلید از کلید است (نه کلید از پسورد یا passphrase)، خب وقتی میگیم کلید، یعنی کلید باید randomness کافی داشته باشه، و وقتی شما یک کلید با randomness (بعضیا میگن آنتروپی، ولی به من گفتن randomness درست تره) کافی داشته باشید اصلا نیازی نیست نگران باشید و بخواید سرعت رو کاهش بدید. مثلا وقتی از یک کلید 128 بیتی استفاده کنید که واقعا همون حدود 128 بیت randomness داشته باشه، عمرا قابل brute-force نیست. حالا اگر کسی خیلی وسواس داره یا نیازهای بالاتری داره خب میتونه از رمزگذاری و کلید 256 بیتی استفاده کنه، که این به مراتب امن تر و اصولی تر از استفاده از PBKDF2 با یک کلید ضعیف تر است. کلیدهای 256 بیتی رو هم کسی تصورش رو هم نمیتونه بکنه که بشکنه. البته طبیعتا برای درست در اومدن همهء اینا، ما باید یک تابع رندوم اصولی و امن داشته باشیم که بتونیم ازش randomness کافی بگیریم، یا بهرصورت جور دیگه از جایی به روشی این randomness رو بدست بیاریم. بخاطر همین بنده روی تابع رندوم هم خیلی کار و تحقیق کردم و یک تابع مفصلی برای این تهیه کردم که حتی سعی شده از منابع کمکی احتمالی هم استفاده کنه و تنها به توابع موجود در کتابخانه های امنیتی یا سیستم عامل تکیه نکرده باشیم (گرچه اونها خودشون برای امنیت طراحی شدن و بر اساس تئوری هم که شده باید بقدر کافی randomness داشته باشن). تابع رندوم یکی از چیزهای خیلی مهم و پایه در رمزنگاری است که اشتباهات و ضعف در این قسمت هم زیاد دیده میشه و خیلی وقتا ضعف اصلی یک سیستم رمزنگاری همین تابع رندوم است.
البته این ایده که با این وجود از یک تابع کند کننده هم استفاده کنیم برای احتیاط بیشتر، بنظرم جالب میاد و شاید بعضی جاها به درد بخوره، ولی تاحالا نشنیده بودم و خب جای بحث و تحقیق داره هرجایی هم نمیشه استفاده کرد و باید تحلیل کرد دید که واقعا چقدر میشه روی میزان امنیتی که اضافه میکنه حساب کرد. بهرحال در خیلی از سیستمهای رمزنگاری سرعت پارامتر مهم یا حیاتی است. توابع رندوم امن رو میشه با سرعت خوب ساخت، ولی توابع تبدیل پسورد به کلید اصولا نمیشه سریع باشن و عمدا کند کار میکنن. اگر سریع باشن که اصلا دیگه علت وجود و استفاده از اونها معنی نداره!

[golbafan]

آخه این حرف خیلی کلی و مبهم هست.
باید معلوم بشه دقیقا در چه کاربردی چطوری!
طرف از sha در کجا چطوری استفاده میکرده که حالا بجاش PBKDF2 بذاره؟
اگر منظورت مشتق کردن کلید از کلید است (نه کلید از پسورد یا passphrase)، خب وقتی میگیم کلید، یعنی کلید باید randomness کافی داشته باشه، و وقتی شما یک کلید با randomness (بعضیا میگن آنتروپی، ولی به من گفتن randomness درست تره) کافی داشته باشید اصلا نیازی نیست نگران باشید و بخواید سرعت رو کاهش بدید. مثلا وقتی از یک کلید 128 بیتی استفاده کنید که واقعا همون حدود 128 بیت randomness داشته باشه، عمرا قابل brute-force نیست. حالا اگر کسی خیلی وسواس داره یا نیازهای بالاتری داره خب میتونه از رمزگذاری و کلید 256 بیتی استفاده کنه، که این به مراتب امن تر و اصولی تر از استفاده از PBKDF2 با یک کلید ضعیف تر است. کلیدهای 256 بیتی رو هم کسی تصورش رو هم نمیتونه بکنه که بشکنه. البته طبیعتا برای درست در اومدن همهء اینا، ما باید یک تابع رندوم اصولی و امن داشته باشیم که بتونیم ازش randomness کافی بگیریم، یا بهرصورت جور دیگه از جایی به روشی این randomness رو بدست بیاریم. بخاطر همین بنده روی تابع رندوم هم خیلی کار و تحقیق کردم و یک تابع مفصلی برای این تهیه کردم که حتی سعی شده از منابع کمکی احتمالی هم استفاده کنه و تنها به توابع موجود در کتابخانه های امنیتی یا سیستم عامل تکیه نکرده باشیم (گرچه اونها خودشون برای امنیت طراحی شدن و بر اساس تئوری هم که شده باید بقدر کافی randomness داشته باشن). تابع رندوم یکی از چیزهای خیلی مهم و پایه در رمزنگاری است که اشتباهات و ضعف در این قسمت هم زیاد دیده میشه و خیلی وقتا ضعف اصلی یک سیستم رمزنگاری همین تابع رندوم است.
البته این ایده که با این وجود از یک تابع کند کننده هم استفاده کنیم برای احتیاط بیشتر، بنظرم جالب میاد و شاید بعضی جاها به درد بخوره، ولی تاحالا نشنیده بودم و خب جای بحث و تحقیق داره هرجایی هم نمیشه استفاده کرد و باید تحلیل کرد دید که واقعا چقدر میشه روی میزان امنیتی که اضافه میکنه حساب کرد. بهرحال در خیلی از سیستمهای رمزنگاری سرعت پارامتر مهم یا حیاتی است. توابع رندوم امن رو میشه با سرعت خوب ساخت، ولی توابع تبدیل پسورد به کلید اصولا نمیشه سریع باشن و عمدا کند کار میکنن. اگر سریع باشن که اصلا دیگه علت وجود و استفاده از اونها معنی نداره!

این بیشتر برای موارد سخت افزاری بهتره استفاده بشه که محدودیت حافظه داریم. اگر حافظه کم باشه، الگوریتمهای پرسرعت ولی حافظه گیر، خوب عمل نمیکنن و سیستم رو اذیت میکنن. مخصوصا موقعی که سیستم های real-time مد نظر باشه که دیگه کلا کار رو خراب میکنن.
برای همین بهتره هرچیزی جای خودش استفاده بشه و من هم اینو قبول دارم

[SZsXsZS]

چون پستم رو تایپ کرده بودم ولی با پیام تاپیک قفل شده مواجه شدم، پستم رو اینجا ارسال میکنم:

این باز شبیه همون فیلم های تخیلی شد!
اولا که وقتی هنوز این بکدورها بقول شما ثابت نشده چرا اینقدر روش اصرار دارید؟

تخیلی؟
دوست عزیز دانش تئوری و امکانات عملی اینطور چیزها امروزه بطور کامل وجود داره. کار چندان سختی نیست اگر واقعا بخوان!
نمیدونم شما چطور به این چیزها میگین تخیلی!!
از یک طرف ادعا/وانمود میکنید که متخصصی چیزی هستید و اطلاعات کافی دارید، ولی از طرف دیگه گفته های شما نشون میده که اینطور نیست! بنظرم محدودهء دانش و تخصص شما محدوده.
بنده چون منابع زیادی خوندم، اشاره به ممکن بودن این مسائل رو درشون دیدم. و توضیحاتشون رو هم متوجه شدم که امری کاملا شدنیه.
حالا بله الان احتمالش زیاد نیست چنین چیزهایی کار گذاشته باشن، یکی بخاطر همون احتمال لو رفتن و از بین رفتن اعتبار و بیزینس خودشون. البته شاید روی یکسری سخت افزارهای خاص که آنچنان عمومی نیستن چنین کارهایی هم شده باشه. ولی مثلا روی CPU های و سخت افزارهایی که توی کارهای عمومی و توسط عموم استفاده میشن، مثلا در PC ها، شاید پیاده نکرده باشن، ولی هر قدرتی امکان داره فاسد بشه یا یک روزی بخاطر بقای خودش دست به هر کاری بزنه! همین NSA یه زمانی مرجع سالمی بود و الگوریتم بسیار خوب AES رو تصویب کرد، بخصوص چون استانداردهایی که تصویب میکنه برای استفاده توسط سازمانها و ملت خودشون هم هست، ولی بعدها فاسد شد و حتی سعی کرد الگوریتمی رو که backdoor داره استاندارد کنه و رواج بده: https://en.wikipedia.org/wiki/Dual_EC_DRBG
البته این امر قطعا ثابت نشده، چون ثابت کردنش بسیار مشکله، ولی نظر خیلی متخصصان بر مشکوک بودن این الگوریتم است و البته شایعات و شواهد دیگری هم براش وجود داره.
ببینید یک الگوریتم رمزنگاری بازمتن که همهء کد و جزییاتش جلوی چشم هست ممکنه backdoor توش باشه ولی نمیشه ثابت کرد، بعد CPU و سخت افزارهای پیچیدهء دیگر که تنها کشورهای معدودی هم فناوری ساخت و بررسی دقیق اونها رو دارن شما فکر میکنید از کجا مطمئنید که این کارها شدنی نیست یا حتی تاحالا انجام نشده؟

ثانیا الان تمام مراکز حساس و دارای اطلاعات حیاتی در کشور ما و البته خیلی کشورهای دیگه یا شبکه نیستن و یا اگر باشن شبکه داخلی دارن که کلا مساله رو منتفی میکنه.

بله ولی امروزه حتی برای اینها هم ترفندهایی ابداع شده.
مثلا همون ویروس استاکس نت فکر میکنید روش انتقالش چطوری بود؟ از طریق USB. چون میدونستن سیستمهای حساس از اینترنت ایزوله هستن.
و بجز این تازه بازهم راه و روش هست که ظاهرا شما مطالعه نفرمودید!
مثلا همون اسناد ویکی لیکس افشا شده توسط اسنودن به این روشها اشاره کردن.
میدونید چه بدافزارهای مخوفی ساختن؟ چند وقت پیش اطلاعات شرکت های امنیتی درموردش منتشر شد.
مثلا بدافزاری که در دیسک سخت خودشو پنهان میکنه و حتی با فرمت و پارتیشن هم از بین نمیره، و ظاهرا قابل پاک شدن به هیچ روشی نیست. یعنی دیسک سختی که به این بدافزار آلوده شده دیگه باید بندازی دور! حالا آلوده شدن هم منظور این نیست که اینطور بدافزارها همینطور روی اینترنت پخش شدن و در دسترس هستن و هرکس دستشون برسه آلوده میکنن؛ نه در حقیقت این بدافزارها این کار رو نمیکنن و فقط به اهداف خاصی حمله میکنن و با شرایط خاصی فعال میشن و بخاطر همین تا سالها هیچکس متوجه اونها نشده بود (مثل هواپیمای جنگنده پنهانکار و ضد رادار میمونن).
اینها حتی روی روشهایی تحقیق کردن که چطور اطلاعات رو از سیستمهایی که به اینترنت وصل نیستن به بیرون نشت بدن. مثلا توسط ایجاد امواج الکترومغناطیس خاصی در سخت افزارهای اون سیستمها که بعد حداقل از یک فاصله ای بشه رد این امواج رو گرفت و اطلاعات سوار شده بر اونها رو استخراج کرد.
علم امروز خیلی پیشرفته است و خیلی کارهایی که شما فکر میکنید نشدنی هستن قابل انجام هستن یا حتی قبلا حداقل در مقیاس محدود و تحقیقاتی عملی شدن.

این tpm هم که مثال زدید کلا مساله اش یک چیز دیگست و ربطی به موضوع بحث نداره. در رابطه با مقابله با نفوذ، بیشتر برای جلوگیری از حملات از نوع cold boot بکار میره که مورد بحث ما نیست.

درمورد TPM نمیدونم تا چه حد اطلاع دارید، ولی قدرت و کاربردهای زیادی داره.
مثلا یک کاربردش شناسایی نرم افزارهای دستکاری شده و اطمینان از امن بودن محیط اجرای نرم افزار است، یعنی از راه دور میشه اینو چک کرد، بدون اینکه دسترسی فیزیکی به سیستم باشه، و مثلا یک کاربردش در جلوگیری از تقلب در بازیهای آنلاینه. البته بازی فقط یک مثاله، و نشون میده کاربرد TPM بیشتر از اینهاست که فرضا جلوی cold boot رو بگیره.

[golbafan]

اینها حتی روی روشهایی تحقیق کردن که چطور اطلاعات رو از سیستمهایی که به اینترنت وصل نیستن به بیرون نشت بدن. مثلا توسط ایجاد امواج الکترومغناطیس خاصی در سخت افزارهای اون سیستمها که بعد حداقل از یک فاصله ای بشه رد این امواج رو گرفت و اطلاعات سوار شده بر اونها رو استخراج کرد.

lol

یعنی میخوای بگی این تخیلی نیست؟
دوست عزیز ما در قوانین فیزیک یک چیزایی داریم که بهش میگن نسبت سیگنال به نویز! یکم تو رو خدا برو مطالعه کن در این مورد.
امکان نداره بشه اطلاعات رد و بدل شده در سخت افزار رو (منظورم انواع امروزی هست) از فاصله بیشتر از 5 میلیمتر حتی با بهترین ابزارها و DF های موجود سیگنالش رو ردیابی کرد. توی این فاصله هم فقط فن cpu قرار داره که خودش خدای نویز انداختنه
وقتی سیگنال بره داخل نویز محو بشه به هیچ طریقی نمیشه اون رو در آورد مخصوصا که نویز بشدت رندم باشه!!!

ببین... این یک مساله مربوط به فیزیک سیگنالهاست و اتفاقا به قوانین ترمودینامیک و حتی اصل عدم قطعیت هایزنبرگ هم مربوط میشه... مثلا وقتی cpu داغ میشه (به علت افزایش آنتروپی) اونقدر نویز ایجاد میکنه که اون فاصله 5 میلیمتری که مثال زدم هم دیگه غیر قابل تشخیص میشه!!!

[SZsXsZS]

lol

یعنی میخوای بگی این تخیلی نیست؟
دوست عزیز ما در قوانین فیزیک یک چیزایی داریم که بهش میگن نسبت سیگنال به نویز! یکم تو رو خدا برو مطالعه کن در این مورد.
امکان نداره بشه اطلاعات رد و بدل شده در سخت افزار رو (منظورم انواع امروزی هست) از فاصله بیشتر از 5 میلیمتر حتی با بهترین ابزارها و DF های موجود سیگنالش رو ردیابی کرد. توی این فاصله هم فقط فن cpu قرار داره که خودش خدای نویز انداختنه
وقتی سیگنال بره داخل نویز محو بشه به هیچ طریقی نمیشه اون رو در آورد مخصوصا که نویز بشدت رندم باشه!!!

ببین... این یک مساله مربوط به فیزیک سیگنالهاست و اتفاقا به قوانین ترمودینامیک و حتی اصل عدم قطعیت هایزنبرگ هم مربوط میشه... مثلا وقتی cpu داغ میشه (به علت افزایش آنتروپی) اونقدر نویز ایجاد میکنه که اون فاصله 5 میلیمتری که مثال زدم هم دیگه غیر قابل تشخیص میشه!!!

آیکیو حالا کی گفت از طریق CPU
مثل اینکه اصلا متوجه نشدی!
منظور اینه که بدافزار مذکور فرمانها و داده هایی رو ممکنه به هر بخشی، یعنی هر دستگاه جانبی بطور مثال، ارسال کنه که باعث ایجاد امواج الکترومغناطیس خاصی بشه. این محدود به پردازندهء مرکزی نیست. میتونه هر بخشی باشه. مثلا کارت شبکه، درایو دیسک نوری، کارت گرافیک، ...
اونا خودشون تمام خصیصه ها و نقاط ضعف این سخت افزارها رو میدونن و آزمایش و تحلیل هم کردن. میدونن مثلا فلان قطعه، فلان سخت افزار، حتی فلان مارک و مدل خاص، فلان خصیصه رو داره مثلا با فلان فرمان یا الگوی داده های خاص باعث میشه فلان امواج رادیویی خاص ازش ساطع بشه. البته اینطور کارها مسلما به ریاضیات هم نیاز داره کار دقیق و ظریفی است و روشهای آماری خاصی داره. بهرحال بنظر بنده امر نشدنی نیست!
یادمه یه زمانی با یکی بحثمون شد که ما گفته بودیم یه زمانی یکی یه بد افزار نوشته بوده که میتونسته باعث منفجر شدن مانیتور بشه، طرف باور نمیکرد میگفت نه همچین چیزی شدنی نیست و نرم افزار نمیتونه به سخت افزار صدمه بزنه، ولی من یه منبع معتبر پیدا کردم که دقیقا به این داستان اشاره کرده بود و روشش رو هم توضیح داده بود گفته بود مثلا فلان مانیورهای قدیمی اون موقع کنترل خودکار فرکانس خارج از محدوده نداشتن و اگر بهشون فرکانس فلان رو میدادی که براش طراحی نشده بودن، ظاهرا یک ضعفی هم در یک قطعهء داخلی داشتن که باعث میشده اون قطعه بیش از حد داغ بشه و امکان ترکیدنش بوده و چون چسبیده بوده به tube مانیتور باعث میشده بر اثر شوکی که ایجاد میشده کلا حباب مانیتور بترکه.
چیزهایی که شما فکر میکنی نشدنی هستن مطمئن نباش! این بخاطر کمبود دانش و تخصص شماست که فکر میکنی نشدنیه!

[SZsXsZS]

آخه شما چی بارتونه اینقدر هم اعتمادبنفس دارید، درحالیکه حتی بقدر کافی مطالعه نکردید (حالا با این فرض که اصلا سواد مطالعهء این چیزا رو داشته باشید!)، فکر میکنید علم و توانایی شما در چه حدی هست؟
تقریبا تمام روشها و ابزارهای خودتون رو هم که همون طرفی ها تولید میکنن شما برمیدارید فقط استفاده میکنید!
شاهکار میکنید واقعا
یک طرفی میگه من سه تا الگوریتم رمزنگاری برای سازمانهای امنیتی نوشتم؛ بله اگر به صرف نوشتن باشه منم میتونم بنویسم
شما بیا یدونه از همون الگوریتم های استاندارد رو واسه من تشریح کند نکات و اصول مهمش رو بگو ببینم اصلا سوادت در این حد بوده یا نه!
منکه میدونم شما ملت پر از باد توخالی هستید!
golbafan تو هم که همش میخوای ما رو محک بزنی بخاطر همین مدام بصورت عمدی اشتباه میکنی
خداییش اصلا خبر ندارید دنیا چه خبره!
فقط توی توهم های خودتون سیر میکنید.
بهتون بگم علم و توانایی شما یک دهم اون چیزی که در آمریکا وجود داره هم نیست!
اصلا یک صدم هم نیست!

بچه جون اونا خودشون تمام این چیزا رو از پایه طراحی کردن تاریخ و پایه اش رو دارن دانشمندان و مهارتش رو دارن، بعد شما اونا رو تجزیه و تحلیل میکنید یا میخواید دست برتر باشید؟
حداقل برید اول سوادش رو کسب کنید به خودتون هم زحمت درست و حسابی بدید سالها فقط باید مطالعه و تحقیق کنید و دانشجو باشید تا بلکه یه پخی بشید!
ولی شما میرید همینطور عجولانه و سطحی یکسری چیزهای پراکنده به خیال خودتون یاد میگیرید اسمش رو هم میذارید علم و تخصص!
دوتا سوال و نکتهء تخصصی ازتون بپرسم هیچکدام نمیتونید جواب بدید!
درحالیکه اونایی که این چیزا رو ساختن جزء به جزء دقیقا احاطه دارن! علم و توانایی واقعی اینه دوست عزیز، نه مثل شما بیایم یکسی کلی گویی و مبهم گویی کنیم و ادعاهای بدون پشتوانه و اثبات.
حداقل برو به همون کار و تخصصی که بیشتر داری بپرداز نمیدونم memory dump کن ولی توی چیزی که تخصص درست و حسابی نداری نیا با یه آدم باسوادتر از خودت کل کل و بحث الکی بکن، اونم بدون صداقت و راستی!

[golbafan]

حرفهای خوبی نبود. پاک کردم

[SZsXsZS]

برات متاسفم...
امیدوارم بعد از این سی و چند سالی که از عمرت گذشته یکم به خودت بیای و وارد دنیای واقعی بشی.
کسی که خدا رو قبول نداشته باشه بهتر از این هم نمیشه ازش انتظار داشت.
بعد هم انتظار داری کسی نوشته هات رو و وب لاگت رو فیلتر نکنه؟؟؟

خخخ اینجا پر است از سوتی ها و دروغگویی های جنابعالی!
حالا هم که کم آوردی دیگه نمیخوای بحث کنی چون ضایع شدی نمیخوای این گند خودت رو هم بزنی، بحث شخصی میکنی.
ضمنا من کجا خدا رو قبول ندارم میشه سندش رو بیاری؟
هرکس در دوره ای از زندگیش ممکنه به چیزهایی شک بکنه منفی نگر بشه، دلیل نمیشه بگی به چیزی مطلقا اعتقاد نداره، و اینکه آدم در طول زمان تغییر میکنه و هر آدمی اونی هست که در لحظهء حال هست.
من اتفاقا به خدا اعتقاد دارم، یعنی البته نمیگم یقین دارم، که فکر میکنم اکثریت مطلق هم یقین ندارن چون یقین درجهء خیلی بالایی است و آدم معمولی نمیتونه یقین داشته باشه. ضمنا خدا و باورهای هرکسی هم کم و بیش شخصی خودشه که بر اساس تجربه ها و عقل و وجدان و قدرت ذهن و دانش خودش بهش رسیده. خدای من و شما لزوما با هم یکی نیست، دین هم از دید من و شما ممکنه تفاوتهای فاحشی داشته باشه، کما اینکه مثلا وهابی ها هم از دید خودشون دین اسلام رو دارن، شیعه ها هم دین و اعتقادات خودشونو، سنی ها هم همینطور، ...

[niman2d]

سلام ، وقت بخیر ،
شما کل اینترنت رو شخم بزن ، با بزرگ های این زمینه هم صحبت بکنی نمی تونی به کسی که نخبه ی این زمینه هست دسترسی داشته باشه مگر اینکه بشناسیش ،
شخصا کسی رو میشناسم ( به واسطه اینکه دایی دوستم بود ، با ایشون آشنایی پیدا کردم ) به دلایلی نمی تونم اسم ایشون رو بیان کنم ،
فقط در این باب همین مقدار مطرح کنم که بعد از اتمام دوره فوق لیسانس ایشان و زمان ارائه پایان نامه شون ، به محض تموم شدن پایان نامه و در بین نگاه های ارزشمند اساتیدی که نشسته بودند ، در همون لحظه قراردادی از طرف وزارت اطلاعات روی میز ایشون قرار داده شد و از ایشون خواهش کردن که وارد این وزارت خونه بشن به خاطر استعداد و نبوغی که در این زمینه داشتن .
فکر نمی کنم لازم باشه مطرح کنم که در این بین از چه اورگان ها و شرکت های خارجی هم ایشون دعوت نامه هایی داشتن که به دلایلی همه رو رد کردن و موندن ایران و هر روز که میگذره ، تازه میفهمم چه کسی بود که من افتخار آشنایی با ایشون رو داشتم .
این فقط یک نفر از چندین نفری هستن که در این زمینه توی همین کشور تخصص دارن و کمتر کسی پیدا میشه ایشون رو بشناسه .
فکر نکنید چون توی اینترنت سرچ کردید ، چیزی پیدا نکردید ، کسی در این زمینه توی کشور وجود نداره ، نخبه هایی داریم که وجودشون باعث غرور این کشوره ! کسانی که اسمی ازشون نیست .

موفق و پیروز باشید .