[Кажись решено] Уникальный центр раздела данных (Как уберечь от измены ?)

Модератор: Модераторы разделов

Ответить
Аватара пользователя
Женя Подсыпальников
Сообщения: 482

[Кажись решено] Уникальный центр раздела данных

Сообщение Женя Подсыпальников »

Здравствуйте !

Хотелось бы почитать спонтанные ли с опыта высказывания
на следующую ситуацию:

- Исполнение программы различает набор данных, скажем, директорию файлов, называя то "проектом"
- Там маятся некоторые "щепетильные" файлы (с самообъясняющими именами), которые хотелось бы защитить от копирования из проекта в проект
-- Защитил, но записываю ключи шифровки в третий файл той же директории, т.к. проекты переносимы с машины на машину кроме прочего
-- Это значит, однако, что я ничегошеньки не защитил, как скоро "щепетильные" скопируются вместе с "ключевым" файлом :)

--- И вот, что-то, не приходит в голову ничего скорого, как "зауникалить" раздел данных,
--- чтобы, скажем, программа порушилась, что-ли, по встрече с чужим "ключевым" файлом ?
--- О ! Можа защищать вообще все файлы, чтобы скопировать можно было лишь проект целиком ?

Можа, кто-то-сь уже размышлял на подобную тему или получил сейчас внезапное озарение ? :)

Спасибо !
Пойдём на рыбалку !
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Bizdelnick »

Как и в большинстве Ваших сообщений, ничего не понял. Попробуйте написать по-русски.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Женя Подсыпальников
Сообщения: 482

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Женя Подсыпальников »

Попробую !

Есть две директории с файлами.
Сами директории копировать - должно быть возможно, даже с машины на машину.
Но одна директория должна быть признана как "бракованная", коли туда скопировать определённый файл из второй директории.

Задача: установить факт "брака" :)
Пойдём на рыбалку !
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Bizdelnick »

А можно поподробней про смысл сего действа? Почему просто не запретить чтение файлов кому не надо?
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Женя Подсыпальников
Сообщения: 482

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Женя Подсыпальников »

Дак, а программа, запущенная от обычного пользователя - должна уметь читать свои документы...
ОК, это чтение можно было бы решить и через службу с правами администратора, но...
...директория должна стать "бракованной" даже если некоторый администратор подменил в ней файл :)

Наверное, самое простое - расширить защиту не на один "щепетильный" файл,
а ещё и на те, подмена которых бы означала бессмыслие проекта, а лучше - вообще на все, наверное...

Смысл: документ иного проекта (например, документ про пользователей проекта и их права) -
не должен быть принят за свой в исполнении иного проекта.
Пойдём на рыбалку !
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Bizdelnick »

Женя Подсыпальни... писал(а):
23.05.2014 10:48
директория должна стать "бракованной" даже если некоторый администратор подменил в ней файл

Так речь о подмене существующего файла, или просто о копировании?
Вообще опишите свою цель, а не то, что Вы пытаетесь сделать для её достижения.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Женя Подсыпальников
Сообщения: 482

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Женя Подсыпальников »

Точно: надо защитить от подмены !
Защитил, используя параллельный файл.
Не защитил, т.к. их теперь вдвоём можно подменить :)

Наверное, треба просто все файлы защитить, либо хотяб значащие центровой смысл проекта...
Пойдём на рыбалку !
Спасибо сказали:
Sleeping Daemon
Сообщения: 1450
Контактная информация:

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Sleeping Daemon »

Женя Подсыпальников писал(а):
23.05.2014 10:56
Точно: надо защитить от подмены !
Защитил, используя параллельный файл.
Не защитил, т.к. их теперь вдвоём можно подменить :)

Наверное, треба просто все файлы защитить, либо хотяб значащие центровой смысл проекта...

Получить контрольную сумму файла(КС) и где то её хранить отдельно. В случае несанкционированного измененя файла - КС изменится.
Подписать файл[ы] эцп. Проверять, в случаи измененя эцп. - подменный файл.
Хранить файл отдельно в каталоге(другом) RO, в нужном - иметь symlink. И проверять всё это.
Спасибо сказали:
Аватара пользователя
Женя Подсыпальников
Сообщения: 482

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Женя Подсыпальников »

Sleeping Daemon писал(а):
23.05.2014 11:07
Хранить файл отдельно в каталоге(другом) RO, в нужном - иметь symlink. И проверять всё это.

Во ! Во ! Только тогда перенос проектов с машины на машину усложняется, особенно в автосинхронизации без участия человека...
А копировать проекты можно, главное один документ на подмену не пропустить.
Тогда, наверное, просто подписать все файлы, да и всё, да ?
Ведь тогда не возможно подменить часть ?
Можно подменить лишь всё, а это разрешено.
Пойдём на рыбалку !
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Bizdelnick »

Женя Подсыпальни... писал(а):
23.05.2014 10:56
Точно: надо защитить от подмены !

Для защиты от подмены уже давным-давно придуманы ЭЦП. Публичный ключ для проверки, конечно, должен храниться отдельно от проекта и быть защищён от записи. На все машины, куда может потребоваться перенос проектов, ключ(и) устанавливаются заранее.
Да, если администратору доверия нет, то задача не имеет решения. По определению.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Sleeping Daemon
Сообщения: 1450
Контактная информация:

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Sleeping Daemon »

Bizdelnick писал(а):
23.05.2014 11:26
Женя Подсыпальни... писал(а):
23.05.2014 10:56
Точно: надо защитить от подмены !

Для защиты от подмены уже давным-давно придуманы ЭЦП. Публичный ключ для проверки, конечно, должен храниться отдельно от проекта и быть защищён от записи. На все машины, куда может потребоваться перенос проектов, ключ(и) устанавливаются заранее.
Да, если администратору доверия нет, то задача не имеет решения. По определению.

Подписывать может и не администратор, а доверенное лицо. Которое может выкладывать уже подписанный файл. Открытый ключ может лежать в открытом доступе хоть в другой галактике. И быть не доступным админу на запись.
В случае подмены файла, или подписи - это выявляется сразу.
Можно использовать PGP, или PKI.
Спасибо сказали:
Аватара пользователя
Женя Подсыпальников
Сообщения: 482

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Женя Подсыпальников »

Во как сделала программа-редактор теперь:
- каждый проект получил уникальный ключ, байт 20-50, где-то (где-то читал, что на языке криптовиков - это "соль")
- записала ключ в отдельный файл директории проекта
- документы (допустим, дороги и мотоциклисы) проекта расширены на конце: SHA256(их содержание + соль)

Усё :)

Теперя, если мотоциклист с другого проекта хочет по дорогам этого проекта -
он, допустим, копирует файл-ключ и файл-мотоциклистов и стартует проект программой-исполнения, и...

...на-ко-сь, выкуси: дорог-то подходящих нема, а вернее - вообще никаких, воздух !

Решено, или я ошибаюсь ? :)
Пойдём на рыбалку !
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Bizdelnick »

Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Женя Подсыпальников
Сообщения: 482

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Женя Подсыпальников »

Дак подпись-то была,
только она обеспечивала целостность файла (пользователей и их прав) проекта,
а не целостность этого файла И смысла проекта, в этом ошибка была, мне кажется...

Или SHA256 по подсоленному содержанию - хилая подпись ? :)
Пойдём на рыбалку !
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Bizdelnick »

Женя Подсыпальни... писал(а):
23.05.2014 12:09
Или SHA256 по подсоленному содержанию - хилая подпись ?

Это не подпись.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Женя Подсыпальников
Сообщения: 482

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Женя Подсыпальников »

То хэш, которым подписаны (дополнены) документы.
У меня библиотека к нему для всех нужных платформ имеется...

Как такой документ изменить? Трудновато...
Подменить один документ и ключ?
Но тогда пропадут другие неподменённые документы...
Пойдём на рыбалку !
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Bizdelnick »

Во-первых, изобретённый Вами алгоритм работает по симметричной схеме. То есть у юзера должен быть доступ к "ключу-соли" (хотя на самом деле это не соль, соль - уникальна для каждого шифруемого массива данных и не секретна) для проверки "подписи", но это даёт ему возможность подделать "подпись".
Во-вторых, подобрать такой короткий "ключ-соль", имея оригинальный файл и хеш ("подпись") - нефиг делать. Особенно при использовании сравнительно быстрых алгоритмов хеширования вроде SHA.
Не изобретайте велосипедов и используйте любой разработанный специалистами и проверенный временем асимметричный алгоритм. RSA, DSA, Эль-Гамаль, ГОСТ 34.10, ещё что-то - на Ваше усмотрение.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Женя Подсыпальников
Сообщения: 482

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Женя Подсыпальников »

Bizdelnick писал(а):
23.05.2014 12:41
подобрать "ключ-соль", имея оригинальный файл и хеш ("подпись") - нефиг делать.

Ключ пришлось бы ещё и правильно записать, а алгоритм - без открытых параметров...

Кроме того, если всё это сможет какой-то человек - должно быть поощрение, я думаю.
Потому как взлом идёт намного проще в любом дебаггере, без ГОСТу и жажды поощрений :)
Пойдём на рыбалку !
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Bizdelnick »

Женя Подсыпальни... писал(а):
23.05.2014 12:55
Ключ пришлось бы ещё и правильно записать, а алгоритм - без открытых параметров...

Вы вот в этой теме только что почти все параметры и изложили, кроме точной длины "ключа". Ну и, разумеется, см. википедия://безопасность через неясность.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Женя Подсыпальников
Сообщения: 482

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Женя Подсыпальников »

Точная длина ключа, как и содержание его - не видны в файле ключа,
они даже и мне наперёд не известны, без дебаггеру-то.

Я так понимаю, что это хорошо,
т.к. отвечает критерию неясности :)
Пойдём на рыбалку !
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Bizdelnick »

Женя Подсыпальни... писал(а):
23.05.2014 13:20
Я так понимаю, что это хорошо,
т.к. отвечает критерию неясности

Плохо то, что Вы полагаетесь на этот критерий вместо того, чтобы использовать надёжные алгоритмы. До ссылки на википедия://принцип Керкгоффса не дочитали, как я понимаю?
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Женя Подсыпальников
Сообщения: 482

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Женя Подсыпальников »

Дак надёжность же - относительное понятие, как и вкус соли ? :)

Когда-то ж надо сказать "хватит, посмотрим, мол" ?

Наверное, любой автор алгоритмов этих -
когда-то сказал себе это, ведь иначе бы не закончил... :)
Пойдём на рыбалку !
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Bizdelnick »

Почитайте какую-нибудь книжку по крипторгафии. Узнаете, в каких случаях говорят "хватит".
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Женя Подсыпальников
Сообщения: 482

Re: [Кажись решено] Уникальный центр раздела данных

Сообщение Женя Подсыпальников »

О... Ну, как всегда! Оказывается, моя библиотека поддерживает асимметричную подпись!
Правда, предупреждают, мол, будет медляк. Не знаю, переделывать ли... :)
(вообще, у меня задача была среагировать на подмену файла, а не на подмену защиты файла,
не знаю, прямо... трудно представить, что кто-то будет копошиться в хэшах, имея дебаггер...)
Пойдём на рыбалку !
Спасибо сказали:
Ответить