คำถามติดแท็ก encryption

ฉันมีบริการเว็บ ตอนนี้ฉันมีรหัสผ่านที่เก็บเป็นข้อความธรรมดาในตารางMySQLบนเซิร์ฟเวอร์ของฉัน ฉันรู้ว่านี่ไม่ใช่วิธีปฏิบัติที่ดีที่สุดและนั่นคือสาเหตุที่ฉันกำลังทำอยู่ ทำไมรหัสผ่านควรถูกเข้ารหัสหากมีการจัดเก็บในฐานข้อมูลที่ปลอดภัย ฉันรู้ว่าถ้าใครบางคนแฮ็คเข้าฐานข้อมูลของฉันพวกเขาจะได้รับรหัสผ่านของทุกคน แต่ฉันมีปัญหาอื่น ๆ ถ้ามีคนเข้ามาในฐานข้อมูลของฉันเช่นการลบข้อมูล สถานการณ์ที่ฉันคิดได้ก็คือคุณถูกแฮ็ก คุณคืนค่าฐานข้อมูลจากสองสามชั่วโมงที่ผ่านมาและทุกอย่างดี อย่างไรก็ตามหากรหัสผ่านของคุณเป็นข้อความธรรมดา ... ขโมยมีรหัสผ่านทั้งหมดและคุณต้องรีเซ็ตรหัสผ่านทั้งหมด รบกวนผู้ใช้ของคุณ หากรหัสผ่านถูกเข้ารหัสคุณสามารถคืนค่าฐานข้อมูลก่อนหน้าได้ นี่เป็นความคิดที่ถูกต้องหรือไม่

78 mysql  encryption  passwords 

ฉันมีความคิดในการใช้การเข้ารหัสเพื่อป้องกันไม่ให้ผู้ใช้หาเนื้อหาในโปรแกรมของฉันนอกโปรแกรม เช่นเดียวกับผู้ใช้อาจพบว่าพื้นผิวไม่เคยใช้ในเกมเพื่อเป็นส่วนหนึ่งของไข่อีสเตอร์บางประเภทในขณะที่ไปที่ข้อมูลเกม สิ่งนี้อาจทำลายทุกคนหากโพสต์ออนไลน์ ลองนึกภาพห้องลับที่ผู้เล่นต้องกดหมายเลขที่ถูกต้องบนประตูรักษาความปลอดภัยในเกมซึ่งหากถูกต้องควรสร้างคีย์ถอดรหัสที่ถูกต้องแล้วถอดรหัสส่วนนั้นของระดับและเปิดประตู ดังนั้นการทำไข่อีสเตอร์จึงไม่สามารถเข้าถึงได้แม้ว่าจะมองผ่านข้อมูลเกมตั้งแต่กุญแจไม่ได้ถูกจัดเก็บจริงมันสร้างขึ้นตามการป้อนข้อมูลของผู้ใช้ นี่เป็นอีกตัวอย่างของสิ่งที่ฉันจินตนาการ ฉันมีเกมไขปริศนาที่มีสมมุติ 20 ระดับแต่ละอันเข้ารหัสโดยใช้คีย์ที่แตกต่างกัน แทนที่จะเก็บคีย์ถอดรหัสลงในโปรแกรมโดยตรงเพื่อให้ใครบางคนสามารถถอดรหัสโปรแกรมและค้นหามันฉันสร้างคีย์เข้ารหัส / ถอดรหัสขึ้นอยู่กับวิธีแก้ปริศนาก่อนหน้านี้แทน วิธีนี้ผู้เล่นจะต้องไขปริศนาจริงก่อนที่จะรับข้อมูลใด ๆ เกี่ยวกับระดับต่อไปแม้ว่าจะมองผ่านข้อมูลเกม ผู้เล่นหากมีความรู้สามารถเป็นไปได้ที่จะบังคับให้มัน "ง่าย" เดียรัจฉานเพราะจำนวนของการแก้ปัญหาอาจน้อยกว่าจำนวนคีย์ถอดรหัส มันเป็นเรื่องซับซ้อนของตัวต่อและไม่สำคัญมากที่นี่ แม้ว่าฉันจะโพสต์คำตอบเกี่ยวกับที่นี่ มีโปรแกรม / เกมในวันนี้ที่ทำอะไรแบบนี้? กำลังจัดเก็บเนื้อหาที่เข้ารหัสในเกมหรือไม่ และถ้าไม่ใช่ทำไม มีกฎและข้อบังคับมากมายเกี่ยวกับเรื่องนี้ทั้งในระดับร้านค้าและประเทศหรือไม่? ไม่มีใครเห็นข้อผิดพลาดที่ชัดเจนว่าฉันหายไปหรือไม่ การเพิกเฉยสิ่งต่าง ๆ เช่นประสบการณ์ของผู้ใช้ความคิดดูเหมือนจะฟังดูแล้วทำให้ฉันสงสัยว่าทำไมฉันไม่เคยเห็นสิ่งนี้มาก่อน แก้ไข : มันอาจจะไม่ชัดเจนว่าสิ่งที่ฉันพูดดังนั้นนี่คือตัวอย่างที่เป็นรูปธรรมมากขึ้น สมมติว่าฉันมีฟังก์ชั่นที่รับสายอักขระ 20 ตัวและสร้างคีย์สมมาตรซึ่งฉันสามารถใช้เพื่อเข้ารหัส / ถอดรหัสเนื้อหาบางส่วนในเกม วิธีเดียวที่ผู้ใช้สามารถเข้าถึงเนื้อหานั้นคือการรู้จักอักขระ 20 ตัวและสร้างคีย์เดียวกัน กุญแจนี้จะไม่ถูกจัดเก็บโดยตรงและถูกสร้างขึ้นทันทีตามการป้อนข้อมูลของผู้ใช้ ตัวละครเหล่านี้จะถูกซ่อนอยู่ในเกมในสิ่งที่อาจเป็นหนังสือโต้ตอบกับ NPCs หรือแม้แต่ด้านนอกของเกมที่อยู่ด้านหลังกล่อง ดังนั้นด้วยชุดค่าผสมที่เป็นไปได้ 2 * 10 ^ …

45 encryption 

ไม่กี่ปีที่ผ่านมามีแฮ็กเกอร์คนนี้ (จำไม่ได้ว่าเขาเป็นใคร) ที่เปิดเผยช่องโหว่อย่างเต็มรูปแบบในระบบที่กำหนด แต่เพื่อให้แน่ใจว่าไม่มีใครให้เครดิตเขาเลยสร้างคีย์ PGP ขึ้นมา สิ่งที่ฉันเข้าใจในเวลานั้นคือเขาสร้างกุญแจเพื่อให้แน่ใจว่าเขาเป็นผู้ค้นพบ แต่ไม่เปิดเผยว่าเขาเป็นใครเพียงสร้างกลไกเพื่อให้สามารถพิสูจน์ได้ว่าเขาเป็นผู้สร้างการเปิดเผย . ตกลง. ฉันเข้าใจว่าอัลกอริทึมและการเข้ารหัสทำงานอย่างไร แต่ฉันยังไม่เข้าใจว่าคุณสามารถสร้างคีย์เพื่อปกป้องเนื้อหาที่เปิดเผยในเว็บเพื่อพิสูจน์ว่าคุณเป็นคนแรกที่สร้างมันขึ้นมา! มันเป็นเพียงคำพูด! เป็นไปได้จริงเหรอ? สิ่งที่ควรเป็นกระบวนการเพื่อให้แน่ใจว่าคุณสามารถพิสูจน์ได้ประจักษ์? ฉันเข้าใจถูกต้องหรือไม่ฉันอาจพลาดบางสิ่งเกี่ยวกับกรณีนี้ ฉันหวังว่าคำถามนี้มีความเฉพาะเพียงพอโดยทั่วไปเป็นเพียงวิธีการปกป้องเนื้อหาที่คุณสร้างขึ้นในเว็บ (ย่อหน้ารหัสคำ ฯลฯ ) และให้แน่ใจว่าคุณเป็นคนแรกที่สร้างขึ้นภายใน บริบทที่กำหนด ด้วยความรู้ของฉันฉันไม่เห็นว่าเป็นไปได้ แต่ฉันรู้สึกทึ่งถ้ามีวิธีการปฏิบัติที่จะทำ มีอะไรบ้าง

29 algorithms  encryption  cryptography  internet  copy-protection 

จากการเปิดเผยเมื่อเร็ว ๆ นี้เกี่ยวกับการตรวจสอบข้อมูลที่จัดเก็บโดยผู้ให้บริการออนไลน์ของรัฐบาลอย่างกว้างขวาง บริการ zero-knowledge คือบริการที่เก็บข้อมูลทั้งหมดที่เข้ารหัสด้วยคีย์ที่ไม่ได้จัดเก็บไว้บนเซิร์ฟเวอร์ การเข้ารหัสและถอดรหัสเกิดขึ้นที่ฝั่งไคลเอ็นต์และเซิร์ฟเวอร์ไม่เคยเห็นข้อมูลธรรมดาหรือกุญแจ เป็นผลให้ผู้ให้บริการไม่สามารถถอดรหัสและให้ข้อมูลกับบุคคลที่สามได้แม้ว่าจะต้องการ เพื่อให้ตัวอย่าง: SpiderOakสามารถดูเป็น Dropbox เวอร์ชันที่ไม่มีความรู้ ในฐานะโปรแกรมเมอร์เราวางใจอย่างมากและไว้วางใจข้อมูลที่ละเอียดอ่อนที่สุดของเรา - รหัสของเรา - สำหรับผู้ให้บริการออนไลน์ในระดับหนึ่ง ๆ : ผู้ให้บริการโฮสติ้งรหัส (เช่น Bitbucket, Assembla และอื่น ๆ ) แน่นอนว่าฉันกำลังพูดถึงที่เก็บส่วนตัวที่นี่ - แนวคิดของศูนย์ความรู้ไม่มีประโยชน์สำหรับที่เก็บสาธารณะ คำถามของฉันคือ: มีอุปสรรคทางเทคโนโลยีใด ๆ ในการสร้างบริการโฮสติ้งโค้ดที่ไม่มีความรู้หรือไม่ ตัวอย่างเช่นมีบางอย่างเกี่ยวกับโปรโตคอลเครือข่ายที่ใช้โดยระบบควบคุมเวอร์ชันยอดนิยมเช่น SVN, Mercurial หรือ Git ที่จะทำให้มันยาก (หรือเป็นไปไม่ได้) ในการนำรูปแบบการสื่อสารข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์มาเข้ารหัสด้วย กุญแจสำคัญที่เซิร์ฟเวอร์ไม่รู้ วันนี้มีบริการโฮสติ้งโค้ดที่ไม่มีความรู้หรือไม่?

28 version-control  encryption  project-hosting  privacy 

สมมติว่า Alice และ Peter มีหน่วยความจำแฟลช USB 4GB พวกเขาพบและบันทึกไฟล์ทั้งสองไฟล์สองไฟล์ชื่อว่าalice_to_peter.key(2GB) และpeter_to_alice.key(2GB) ซึ่งมีบิตที่สร้างแบบสุ่ม พวกเขาไม่เคยพบกันอีก แต่สื่อสารด้วยระบบอิเล็กทรอนิกส์ อลิซยังคงรักษาตัวแปรที่เรียกว่าalice_pointerและปีเตอร์รักษาตัวแปรที่เรียกว่าpeter_pointerซึ่งทั้งสองจะถูกตั้งค่าเริ่มต้นเป็นศูนย์ เมื่ออลิซต้องการส่งข้อความถึงปีเตอร์เธอก็ทำ (อยู่ที่nข้อความที่ nthth): encrypted_message_to_peter[n] = message_to_peter[n] XOR alice_to_peter.key[alice_pointer + n] encrypted_payload_to_peter = alice_pointer + encrypted_message_to_peter alice_pointer += length(encrypted_message_to_peter) (และเพื่อความปลอดภัยสูงสุดสามารถลบส่วนที่ใช้แล้วของคีย์ได้) ปีเตอร์ได้รับencrypted_payload_to_peterอ่านที่alice_pointerเก็บไว้ที่จุดเริ่มต้นของข้อความและทำ: message_to_peter[n] = encrypted_message_to_peter[n] XOR alice_to_peter.key[alice_pointer + n] และเพื่อความปลอดภัยสูงสุดหลังจากอ่านข้อความจะลบส่วนที่ใช้ไปของคีย์ด้วย - แก้ไข: อันที่จริงขั้นตอนนี้ด้วยอัลกอริทึมแบบง่าย ๆ (ไม่มีการตรวจสอบความสมบูรณ์และการรับรองความถูกต้อง) ช่วยลดความปลอดภัยให้ดูที่Paŭlo Ebermann โพสต์ด้านล่าง เมื่อปีเตอร์ต้องการที่จะส่งข้อความไปยังอลิซที่พวกเขาทำกลับครั้งนี้ด้วยและpeter_to_alice.keypeter_pointer …

23 communication  encryption 

คำถามนี้ถูกโยกย้ายจาก Stack Overflow เพราะสามารถตอบได้ใน Software Engineering Stack Exchange อพยพ 7 ปีที่ผ่านมา ฉันต้องพิจารณาด้านใดเมื่อออกแบบและเผยแพร่ซอฟต์แวร์ที่ต้องเป็นไปตามข้อ จำกัด การส่งออกของสหรัฐอเมริกาสำหรับซอฟต์แวร์เข้ารหัสลับ Wikipediaกล่าวว่ามีหลายประเภทที่คุณสามารถกำหนดให้กับซอฟต์แวร์การเข้ารหัสลับได้ และปลายทางการส่งออก (เช่นจีนรัสเซีย) ก็มีบทบาทสำคัญเช่นกัน แต่ฉันไม่เข้าใจข้อ จำกัด เหล่านั้นและผลกระทบต่อการทำงานของฉัน มีใครอธิบายได้ไหม ฉันถามเพราะถ้าคุณพยายามเผยแพร่แอปพลิเคชันของคุณ (เช่นใน Apple App Store หรือ Android Market) คุณต้องมั่นใจว่าแอปพลิเคชันของคุณตรงตามข้อ จำกัด การส่งออกของสหรัฐฯ และมีแอพพลิเคชั่นมากมายที่ให้การจัดเก็บข้อมูลที่ปลอดภัยเช่นสำหรับรหัสผ่าน พวกเขาทุกคนแจ้งรัฐบาลและขอให้มีการตรวจสอบหรือไม่? แน่นอนคุณไม่สามารถรู้ว่าพวกเขาทำ แต่พวกเขาต้องทำเช่นนี้?

21 security  encryption  cryptography 

ฉันมีลูกค้าซึ่งฉันจะทำแอปพลิเคชันเว็บเกี่ยวกับการดูแลผู้ป่วยการจัดการผู้ป่วยให้คำปรึกษาประวัติปฏิทินทุกอย่างเกี่ยวกับเรื่องนั้น ปัญหาคือว่านี่เป็นข้อมูลที่ละเอียดอ่อนประวัติผู้ป่วยและอื่น ๆ ลูกค้ายืนยันในการเข้ารหัสข้อมูลในระดับฐานข้อมูล แต่ฉันคิดว่านี่จะทำให้ประสิทธิภาพของเว็บแอปลดลง (แต่บางทีฉันไม่ควรกังวลเกี่ยวกับเรื่องนี้) ฉันได้อ่านกฎหมายเกี่ยวกับการปกป้องข้อมูลเกี่ยวกับปัญหาสุขภาพ (โปรตุเกส) แต่ไม่เฉพาะเจาะจงมากเกี่ยวกับเรื่องนี้ (ฉันเพิ่งถามพวกเขาเกี่ยวกับเรื่องนี้ฉันรอการตอบสนองของพวกเขา) ฉันได้อ่านลิงค์ต่อไปนี้แล้วแล้ว แต่คำถามของฉันแตกต่างกันฉันควรเข้ารหัสข้อมูลในฐานข้อมูลหรือไม่ ปัญหาหนึ่งที่ฉันคาดการณ์ไว้ในการเข้ารหัสข้อมูลคือฉันต้องการรหัสนี่อาจเป็นรหัสผ่านของผู้ใช้ แต่เราทุกคนรู้ว่ารหัสผ่านของผู้ใช้เป็นอย่างไร (12345 ฯลฯ ) และการสร้างรหัสที่ฉันต้องเก็บ มันอยู่ที่ไหนสักแห่งซึ่งหมายความว่าโปรแกรมเมอร์ DBA สิ่งที่สามารถเข้าถึงได้ความคิดใด ๆ เกี่ยวกับเรื่องนี้? การเพิ่มเกลือแบบสุ่มลงในรหัสผ่านผู้ใช้ก็ไม่ได้ช่วยแก้ปัญหาเพราะฉันสามารถเข้าถึงได้ตลอดเวลาและดังนั้นจึงถอดรหัสข้อมูล

16 php  mysql  encryption 

ปิด คำถามนี้เป็นคำถามความคิดเห็นตาม ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบข้อเท็จจริงและการอ้างอิงได้โดยแก้ไขโพสต์นี้ ปิดให้บริการใน4 ปีที่แล้ว ในเว็บไซต์ที่เชื่อถือได้ฉันจะเห็นการอ้างสิทธิ์เช่น "ข้อมูลทั้งหมดได้รับการเข้ารหัส" หรือ "รหัสผ่านทั้งหมดจะถูกเข้ารหัสโดยใช้การเข้ารหัสแบบ 128 บิต" และอื่น ๆ อย่างไรก็ตามฉันไม่เคยเจอการอ้างสิทธิ์เช่น "รหัสผ่านทั้งหมดถูกแฮช" ในเว็บไซต์ของฉันฉันจะเก็บรหัสผ่านผู้ใช้ทั้งหมดในฐานข้อมูลหลังจากใช้ SHA-512 (ส่วนใหญ่) hashing ด้วยเกลือแบบสุ่ม ฉันต้องการเพิ่ม snipet ที่ทำให้ผู้ใช้มั่นใจว่ารหัสผ่านของพวกเขาปลอดภัยดังนั้นพวกเขาจะไม่ถูกขัดขวางจากการใช้เว็บไซต์ของฉันเพราะมันต้องใช้รหัสผ่าน ฉันต้องการให้ผู้ใช้รู้สึกปลอดภัย แต่ฉันไม่คิดว่าทุกคนรู้ว่าการแฮ็กคืออะไร คำถามของฉัน: การส่งข้อความโดยบอกว่า "รหัสผ่านทั้งหมดมีการเข้ารหัสและปลอดภัย" เนื่องจากฉันไม่คิดว่าผู้ใช้โดยเฉลี่ยจะรู้ว่าความแตกต่างระหว่างการแฮชและการเข้ารหัสคืออะไรและมีแนวโน้มที่จะรู้สึกปลอดภัยมากขึ้นเพราะพวกเขาเห็น คำว่า "เข้ารหัส" ที่สะดวกสบายคืออะไร? หรือมีข้อความอื่นที่ฉันควรให้? ในหมายเหตุด้านบนฉันยังใหม่กับการเข้ารหัสและการแฮ็กรหัสผ่านและฉันสงสัยว่าสิ่งนี้จะปลอดภัยพอสำหรับตอนนี้เมื่อฉันเปิดไซต์หรือไม่ ฉันไม่ต้องการบอกผู้ใช้ว่าปลอดภัยหากไม่เป็นเช่นนั้น ข้อมูลใด ๆ ที่จะได้รับการชื่นชมอย่างมาก ขอบคุณ

15 security  ethics  encryption  passwords  hashing 

ฉันเพิ่งพัฒนาอัลกอริทึมการเข้ารหัสแบบบล็อคตัวเลขและฉันใช้มันในผลิตภัณฑ์ของฉัน ฉันต้องการนำไปทดสอบจริง เราจะเข้าไปเกี่ยวกับอัลกอริธึมการเข้ารหัสในการประกวด encrytption ระดับสากลได้อย่างไร?

13 encryption 

ฉันอ่านเอกสารเพื่อเป็นกลุ่มและสังเกตว่ามีทางลัดตัวอย่างเช่นg?wจะแปลงคำถัดไปโดยใช้ ROT13 ฉันรู้ว่าคุณสามารถเปลี่ยนการเข้ารหัสไฟล์ Python เป็น ROT13 นี่คือคำถามของฉัน: ทำไม ดูเหมือนว่ามันจะไม่เป็นที่เป็นประโยชน์นอกเหนือจากโปรแกรมเล่นตลกเหมือนDjango FUNserver

13 encryption 

คุณจะบันทึกข้อมูลผู้ใช้ที่สำคัญ (ความเป็นส่วนตัว) เช่น SSN, หมายเลขบัตรเครดิตและที่อยู่ในฐานข้อมูลได้อย่างไร สถานการณ์จำลอง: บันทึก เฉพาะข้อมูลที่ต้องพร้อมใช้งานเท่านั้นที่จะถูกบันทึก ตัวอย่างเช่น SSN ถูกบันทึกไว้เนื่องจากแอปใช้ SSN เพื่อระบุระเบียนเฉพาะ หรือรายละเอียดบัตรเครดิตจะถูกบันทึกไว้เพื่อให้การทำธุรกรรม 1 คลิกเป็นไปได้ข้อมูลดังกล่าวบางอย่างสามารถเข้ารหัสและบันทึก แต่ข้อมูลบางอย่างจะต้องมีข้อความธรรมดา (เช่นสำหรับการค้นหาข้อความแบบเต็ม) แอปใช้การโฮสต์ของบุคคลที่สาม คำถาม: ข้อมูลดังกล่าวมีความปลอดภัยในข้อความธรรมดา (หรืออย่างอื่น) บนโฮสต์ของบุคคลที่สามเช่น HostGator หรือ App Engine อย่างไร คุณบันทึกข้อมูลดังกล่าวในโฮสต์ของบุคคลที่สาม (และแนะนำให้ใช้วิธีนี้) หรือไม่ คุณเก็บมันไว้ในข้อความธรรมดาหรือคุณเข้ารหัสข้อมูลดังกล่าวหรือไม่? ควร บริษัท เหล่านั้นที่มีทรัพยากรเพื่อให้เซิร์ฟเวอร์ของตัวเองดำเนินการสร้างแอพดังกล่าวหรือไม่

12 encryption  privacy 

ฉันอยู่ภายใต้การแสดงผลที่ไม่สามารถถอดรหัสสตริงที่เข้ารหัสดังนั้นค่าดั้งเดิมจะสูญหายไปตลอดกาล อย่างไรก็ตามหากสตริงต่อไปนี้เท่ากับ "Dominic" (ชื่อของฉัน) จะไม่มีวิธีตรรกะในการย้อนกลับ การเป็นแบบไม่สุ่มไม่ขึ้นอยู่กับวันที่ / เวลา แต่มีวิธีการแบบตรรกะหรือไม่? 0WrtCkg6IdaV/l4hDaYq3seMIWMbW+X/g36fvt8uYkE= ไม่ว่าฉันจะเข้ารหัส "Dominic" (สตริง) กี่ครั้งหรือกี่ครั้งก็ตามมันก็เท่ากับเสมอ ดังนั้นไม่ควรมีวิธีถอดรหัสสตริงเช่นนั้นหรือ ตัวอย่างของสิ่งที่ฉันพูดถึง: public string EncryptPassword(string password) { return Convert.ToBase64String( System.Security.Cryptography.SHA256.Create() .ComputeHash(Encoding.UTF8.GetBytes(password))); }

9 encryption