[Кажись решено] Уникальный центр раздела данных (Как уберечь от измены ?)
Модератор: Модераторы разделов
- Женя Подсыпальников
- Сообщения: 482
[Кажись решено] Уникальный центр раздела данных
Здравствуйте !
Хотелось бы почитать спонтанные ли с опыта высказывания
на следующую ситуацию:
- Исполнение программы различает набор данных, скажем, директорию файлов, называя то "проектом"
- Там маятся некоторые "щепетильные" файлы (с самообъясняющими именами), которые хотелось бы защитить от копирования из проекта в проект
-- Защитил, но записываю ключи шифровки в третий файл той же директории, т.к. проекты переносимы с машины на машину кроме прочего
-- Это значит, однако, что я ничегошеньки не защитил, как скоро "щепетильные" скопируются вместе с "ключевым" файлом
--- И вот, что-то, не приходит в голову ничего скорого, как "зауникалить" раздел данных,
--- чтобы, скажем, программа порушилась, что-ли, по встрече с чужим "ключевым" файлом ?
--- О ! Можа защищать вообще все файлы, чтобы скопировать можно было лишь проект целиком ?
Можа, кто-то-сь уже размышлял на подобную тему или получил сейчас внезапное озарение ?
Спасибо !
Хотелось бы почитать спонтанные ли с опыта высказывания
на следующую ситуацию:
- Исполнение программы различает набор данных, скажем, директорию файлов, называя то "проектом"
- Там маятся некоторые "щепетильные" файлы (с самообъясняющими именами), которые хотелось бы защитить от копирования из проекта в проект
-- Защитил, но записываю ключи шифровки в третий файл той же директории, т.к. проекты переносимы с машины на машину кроме прочего
-- Это значит, однако, что я ничегошеньки не защитил, как скоро "щепетильные" скопируются вместе с "ключевым" файлом
--- И вот, что-то, не приходит в голову ничего скорого, как "зауникалить" раздел данных,
--- чтобы, скажем, программа порушилась, что-ли, по встрече с чужим "ключевым" файлом ?
--- О ! Можа защищать вообще все файлы, чтобы скопировать можно было лишь проект целиком ?
Можа, кто-то-сь уже размышлял на подобную тему или получил сейчас внезапное озарение ?
Спасибо !
Пойдём на рыбалку !
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [Кажись решено] Уникальный центр раздела данных
Как и в большинстве Ваших сообщений, ничего не понял. Попробуйте написать по-русски.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Женя Подсыпальников
- Сообщения: 482
Re: [Кажись решено] Уникальный центр раздела данных
Попробую !
Есть две директории с файлами.
Сами директории копировать - должно быть возможно, даже с машины на машину.
Но одна директория должна быть признана как "бракованная", коли туда скопировать определённый файл из второй директории.
Задача: установить факт "брака"
Есть две директории с файлами.
Сами директории копировать - должно быть возможно, даже с машины на машину.
Но одна директория должна быть признана как "бракованная", коли туда скопировать определённый файл из второй директории.
Задача: установить факт "брака"
Пойдём на рыбалку !
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [Кажись решено] Уникальный центр раздела данных
А можно поподробней про смысл сего действа? Почему просто не запретить чтение файлов кому не надо?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Женя Подсыпальников
- Сообщения: 482
Re: [Кажись решено] Уникальный центр раздела данных
Дак, а программа, запущенная от обычного пользователя - должна уметь читать свои документы...
ОК, это чтение можно было бы решить и через службу с правами администратора, но...
...директория должна стать "бракованной" даже если некоторый администратор подменил в ней файл
Наверное, самое простое - расширить защиту не на один "щепетильный" файл,
а ещё и на те, подмена которых бы означала бессмыслие проекта, а лучше - вообще на все, наверное...
Смысл: документ иного проекта (например, документ про пользователей проекта и их права) -
не должен быть принят за свой в исполнении иного проекта.
ОК, это чтение можно было бы решить и через службу с правами администратора, но...
...директория должна стать "бракованной" даже если некоторый администратор подменил в ней файл
Наверное, самое простое - расширить защиту не на один "щепетильный" файл,
а ещё и на те, подмена которых бы означала бессмыслие проекта, а лучше - вообще на все, наверное...
Смысл: документ иного проекта (например, документ про пользователей проекта и их права) -
не должен быть принят за свой в исполнении иного проекта.
Пойдём на рыбалку !
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [Кажись решено] Уникальный центр раздела данных
Женя Подсыпальни... писал(а): ↑23.05.2014 10:48директория должна стать "бракованной" даже если некоторый администратор подменил в ней файл
Так речь о подмене существующего файла, или просто о копировании?
Вообще опишите свою цель, а не то, что Вы пытаетесь сделать для её достижения.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Женя Подсыпальников
- Сообщения: 482
Re: [Кажись решено] Уникальный центр раздела данных
Точно: надо защитить от подмены !
Защитил, используя параллельный файл.
Не защитил, т.к. их теперь вдвоём можно подменить
Наверное, треба просто все файлы защитить, либо хотяб значащие центровой смысл проекта...
Защитил, используя параллельный файл.
Не защитил, т.к. их теперь вдвоём можно подменить
Наверное, треба просто все файлы защитить, либо хотяб значащие центровой смысл проекта...
Пойдём на рыбалку !
-
- Сообщения: 1450
- Контактная информация:
Re: [Кажись решено] Уникальный центр раздела данных
Женя Подсыпальников писал(а): ↑23.05.2014 10:56Точно: надо защитить от подмены !
Защитил, используя параллельный файл.
Не защитил, т.к. их теперь вдвоём можно подменить
Наверное, треба просто все файлы защитить, либо хотяб значащие центровой смысл проекта...
Получить контрольную сумму файла(КС) и где то её хранить отдельно. В случае несанкционированного измененя файла - КС изменится.
Подписать файл[ы] эцп. Проверять, в случаи измененя эцп. - подменный файл.
Хранить файл отдельно в каталоге(другом) RO, в нужном - иметь symlink. И проверять всё это.
- Женя Подсыпальников
- Сообщения: 482
Re: [Кажись решено] Уникальный центр раздела данных
Sleeping Daemon писал(а): ↑23.05.2014 11:07Хранить файл отдельно в каталоге(другом) RO, в нужном - иметь symlink. И проверять всё это.
Во ! Во ! Только тогда перенос проектов с машины на машину усложняется, особенно в автосинхронизации без участия человека...
А копировать проекты можно, главное один документ на подмену не пропустить.
Тогда, наверное, просто подписать все файлы, да и всё, да ?
Ведь тогда не возможно подменить часть ?
Можно подменить лишь всё, а это разрешено.
Пойдём на рыбалку !
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [Кажись решено] Уникальный центр раздела данных
Для защиты от подмены уже давным-давно придуманы ЭЦП. Публичный ключ для проверки, конечно, должен храниться отдельно от проекта и быть защищён от записи. На все машины, куда может потребоваться перенос проектов, ключ(и) устанавливаются заранее.
Да, если администратору доверия нет, то задача не имеет решения. По определению.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Сообщения: 1450
- Контактная информация:
Re: [Кажись решено] Уникальный центр раздела данных
Bizdelnick писал(а): ↑23.05.2014 11:26
Для защиты от подмены уже давным-давно придуманы ЭЦП. Публичный ключ для проверки, конечно, должен храниться отдельно от проекта и быть защищён от записи. На все машины, куда может потребоваться перенос проектов, ключ(и) устанавливаются заранее.
Да, если администратору доверия нет, то задача не имеет решения. По определению.
Подписывать может и не администратор, а доверенное лицо. Которое может выкладывать уже подписанный файл. Открытый ключ может лежать в открытом доступе хоть в другой галактике. И быть не доступным админу на запись.
В случае подмены файла, или подписи - это выявляется сразу.
Можно использовать PGP, или PKI.
- Женя Подсыпальников
- Сообщения: 482
Re: [Кажись решено] Уникальный центр раздела данных
Во как сделала программа-редактор теперь:
- каждый проект получил уникальный ключ, байт 20-50, где-то (где-то читал, что на языке криптовиков - это "соль")
- записала ключ в отдельный файл директории проекта
- документы (допустим, дороги и мотоциклисы) проекта расширены на конце: SHA256(их содержание + соль)
Усё
Теперя, если мотоциклист с другого проекта хочет по дорогам этого проекта -
он, допустим, копирует файл-ключ и файл-мотоциклистов и стартует проект программой-исполнения, и...
...на-ко-сь, выкуси: дорог-то подходящих нема, а вернее - вообще никаких, воздух !
Решено, или я ошибаюсь ?
- каждый проект получил уникальный ключ, байт 20-50, где-то (где-то читал, что на языке криптовиков - это "соль")
- записала ключ в отдельный файл директории проекта
- документы (допустим, дороги и мотоциклисы) проекта расширены на конце: SHA256(их содержание + соль)
Усё
Теперя, если мотоциклист с другого проекта хочет по дорогам этого проекта -
он, допустим, копирует файл-ключ и файл-мотоциклистов и стартует проект программой-исполнения, и...
...на-ко-сь, выкуси: дорог-то подходящих нема, а вернее - вообще никаких, воздух !
Решено, или я ошибаюсь ?
Пойдём на рыбалку !
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [Кажись решено] Уникальный центр раздела данных
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Женя Подсыпальников
- Сообщения: 482
Re: [Кажись решено] Уникальный центр раздела данных
Дак подпись-то была,
только она обеспечивала целостность файла (пользователей и их прав) проекта,
а не целостность этого файла И смысла проекта, в этом ошибка была, мне кажется...
Или SHA256 по подсоленному содержанию - хилая подпись ?
только она обеспечивала целостность файла (пользователей и их прав) проекта,
а не целостность этого файла И смысла проекта, в этом ошибка была, мне кажется...
Или SHA256 по подсоленному содержанию - хилая подпись ?
Пойдём на рыбалку !
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [Кажись решено] Уникальный центр раздела данных
Женя Подсыпальни... писал(а): ↑23.05.2014 12:09Или SHA256 по подсоленному содержанию - хилая подпись ?
Это не подпись.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Женя Подсыпальников
- Сообщения: 482
Re: [Кажись решено] Уникальный центр раздела данных
То хэш, которым подписаны (дополнены) документы.
У меня библиотека к нему для всех нужных платформ имеется...
Как такой документ изменить? Трудновато...
Подменить один документ и ключ?
Но тогда пропадут другие неподменённые документы...
У меня библиотека к нему для всех нужных платформ имеется...
Как такой документ изменить? Трудновато...
Подменить один документ и ключ?
Но тогда пропадут другие неподменённые документы...
Пойдём на рыбалку !
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [Кажись решено] Уникальный центр раздела данных
Во-первых, изобретённый Вами алгоритм работает по симметричной схеме. То есть у юзера должен быть доступ к "ключу-соли" (хотя на самом деле это не соль, соль - уникальна для каждого шифруемого массива данных и не секретна) для проверки "подписи", но это даёт ему возможность подделать "подпись".
Во-вторых, подобрать такой короткий "ключ-соль", имея оригинальный файл и хеш ("подпись") - нефиг делать. Особенно при использовании сравнительно быстрых алгоритмов хеширования вроде SHA.
Не изобретайте велосипедов и используйте любой разработанный специалистами и проверенный временем асимметричный алгоритм. RSA, DSA, Эль-Гамаль, ГОСТ 34.10, ещё что-то - на Ваше усмотрение.
Во-вторых, подобрать такой короткий "ключ-соль", имея оригинальный файл и хеш ("подпись") - нефиг делать. Особенно при использовании сравнительно быстрых алгоритмов хеширования вроде SHA.
Не изобретайте велосипедов и используйте любой разработанный специалистами и проверенный временем асимметричный алгоритм. RSA, DSA, Эль-Гамаль, ГОСТ 34.10, ещё что-то - на Ваше усмотрение.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Женя Подсыпальников
- Сообщения: 482
Re: [Кажись решено] Уникальный центр раздела данных
Bizdelnick писал(а): ↑23.05.2014 12:41подобрать "ключ-соль", имея оригинальный файл и хеш ("подпись") - нефиг делать.
Ключ пришлось бы ещё и правильно записать, а алгоритм - без открытых параметров...
Кроме того, если всё это сможет какой-то человек - должно быть поощрение, я думаю.
Потому как взлом идёт намного проще в любом дебаггере, без ГОСТу и жажды поощрений
Пойдём на рыбалку !
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [Кажись решено] Уникальный центр раздела данных
Женя Подсыпальни... писал(а): ↑23.05.2014 12:55Ключ пришлось бы ещё и правильно записать, а алгоритм - без открытых параметров...
Вы вот в этой теме только что почти все параметры и изложили, кроме точной длины "ключа". Ну и, разумеется, см. википедия://безопасность через неясность.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Женя Подсыпальников
- Сообщения: 482
Re: [Кажись решено] Уникальный центр раздела данных
Точная длина ключа, как и содержание его - не видны в файле ключа,
они даже и мне наперёд не известны, без дебаггеру-то.
Я так понимаю, что это хорошо,
т.к. отвечает критерию неясности
они даже и мне наперёд не известны, без дебаггеру-то.
Я так понимаю, что это хорошо,
т.к. отвечает критерию неясности
Пойдём на рыбалку !
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [Кажись решено] Уникальный центр раздела данных
Женя Подсыпальни... писал(а): ↑23.05.2014 13:20Я так понимаю, что это хорошо,
т.к. отвечает критерию неясности
Плохо то, что Вы полагаетесь на этот критерий вместо того, чтобы использовать надёжные алгоритмы. До ссылки на википедия://принцип Керкгоффса не дочитали, как я понимаю?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Женя Подсыпальников
- Сообщения: 482
Re: [Кажись решено] Уникальный центр раздела данных
Дак надёжность же - относительное понятие, как и вкус соли ?
Когда-то ж надо сказать "хватит, посмотрим, мол" ?
Наверное, любой автор алгоритмов этих -
когда-то сказал себе это, ведь иначе бы не закончил...
Когда-то ж надо сказать "хватит, посмотрим, мол" ?
Наверное, любой автор алгоритмов этих -
когда-то сказал себе это, ведь иначе бы не закончил...
Пойдём на рыбалку !
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [Кажись решено] Уникальный центр раздела данных
Почитайте какую-нибудь книжку по крипторгафии. Узнаете, в каких случаях говорят "хватит".
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Женя Подсыпальников
- Сообщения: 482
Re: [Кажись решено] Уникальный центр раздела данных
О... Ну, как всегда! Оказывается, моя библиотека поддерживает асимметричную подпись!
Правда, предупреждают, мол, будет медляк. Не знаю, переделывать ли...
(вообще, у меня задача была среагировать на подмену файла, а не на подмену защиты файла,
не знаю, прямо... трудно представить, что кто-то будет копошиться в хэшах, имея дебаггер...)
Правда, предупреждают, мол, будет медляк. Не знаю, переделывать ли...
(вообще, у меня задача была среагировать на подмену файла, а не на подмену защиты файла,
не знаю, прямо... трудно представить, что кто-то будет копошиться в хэшах, имея дебаггер...)
Пойдём на рыбалку !