Вернуться на сайт Gosecure Быстрый поиск     

GoSecure

Форум поддержки пользователей

Вы не зашли.

#1 18-08-2007 19:11:48

qscwdvefb
Участник
Зарегистрирован: 06-08-2007
Сообщений: 8
Профиль

Ограничения в программе

Почему в Secure Disk есть ограничение в длине двух паролей (только 20 символов, то есть только 160 бит), а также в величине риснка ключа? Хотя алгоритм программы предполагает 256-битное шифрование. Значит для гарантированного закрытия необходима не меньшая и длина ключа, то не меннее, чем 32 символа!
Ведь ключ длиной в 160 (20 символов) подобрать значительно легче, чем в 256, или даже более.
Почему рисование рисунка для генерации ключа также имеет свои ограничения?
Я предлагаю установить в программе:
1. возможность создания ключа любой сложности (без каких-либо ограничений в виде рисунка)
2. также генерация ключа не только программой, но и самим человеком
3. длина ключа должна быть произвольной длины, и поддерживать не меннее, чем 32 символа
4. пароли для входа в хранилище ключа также не должны быть ограничены в длине (сегодня это максимум только - 20 знаков! Что при сегодняшнем развитии вычислительной техники - 2^160 - не гарантирует стойкости AES-256, потому что длина ключа максимум только 20 символов, а не необходимый минимум в 32 символа!)

С уважением,

Неактивен

 

#2 19-08-2007 07:55:41

Интерес
Участник
Зарегистрирован: 31-07-2007
Сообщений: 26
Профиль

Re: Ограничения в программе

поддерживаю предыдущего оратора целиком и полностью, а так же, хотелось бы узнать на какой стадии находится новый релиз программы ?

реализуются ли какие либо из предложенных мной вариантов ?

Очень бы хотелось получить доступ если не к багтрекеру )) так хотя бы к ленте DONE THINGS smile чтобы видеть что разработка идет и что софт не стоит на месте...

Спасибо.

Неактивен

 

#3 20-08-2007 07:05:39

Boris
Administrator
Зарегистрирован: 02-04-2007
Сообщений: 232
Профиль

Re: Ограничения в программе

qscwdvefb

Во-первых, не всё так просто, как Вы думаете.
Пароли - это не ключ, а его часть. Вторая часть ключа - это специально обработанные случайные данные. Эти данные - это изображение + дополнительные, независимые случайные числа.

Во-вторых, Вы ведёте неправильные рассуждения. Длина паролей - это не длина ключа. Также не забывайте, что паролей два - и оба могут быть по 20 символов. И подбирать нужно оба, а не один. Дальше. Можно подбирать либо ключ, либо пароли. Если ключ - то тут 256 бит, всё понятно. Если пароли - посчитайте, сколько может быть комбинаций при длине в 20 символов.

И наконец - Вы будете использовать пароли длинее, чем 20 символов?

По Вашим предложениям:

1. возможность создания ключа любой сложности (без каких-либо ограничений в виде рисунка)

Не совсем понятно, что именно Вы имеете в виду. Размер изображения? Инструменты для рисования? smile

2. также генерация ключа не только программой, но и самим человеком

Опять же, очень интересно. Создание ключа - это не просто подбор чисел.

3. длина ключа должна быть произвольной длины, и поддерживать не меннее, чем 32 символа

Как уже было сказано, длина паролей - это не длина ключа. Пароли могут быть и по 3 символа, но тем не менее ключ - 256 бит.

Интерес

На конец месяца запланирован выпуск версии для Windows Vista, без каких либо новых возможностей. После этого - выпуск новой версии, с новыми возможностями! Но конкретных сроков относительно неё мы называть пока не будем.

А bug tracking и done things - это конфиденциальная информация, мы не можем Вам её предоставить.

All

В программе Secure Disk используются ключи размером 32 байта (256 бит).


С уважением, служба поддержки GoSecure.
support@gosecure.ru

Неактивен

 

#4 20-08-2007 09:44:35

qscwdvefb
Участник
Зарегистрирован: 06-08-2007
Сообщений: 8
Профиль

Re: Ограничения в программе

С паролями 20+20 понятно.
Насчет изображения- например, использовать внешние файлы, например, фотографии.
Второе, к релизу добавить:

1. Формирование ключа не только по уже существующему алгортму (картинка+пароли), но также и задание его самим пользователем. То есть сам ключ в 256 бит (32 знака) будет придумывать сам пользователь.

Чтобы можно было хранить ключ не только на носителе (за которым необходим постоянный присмотр), но и, например, можно было записать его на лист бумаги, или заучить наизусть.

Потому что при сегодняшнем релизе - потерял файл с ключами - и пиши пропало.
Во втором случае - ключ всегда в памяти человека и не необходимости во внешнем носителе, за которым еще необходим и уход.

А так будем иметь два пароля 20+20, плюс сам ключ в 32 знака (можно и до 32-х, и более - это если позволяет алгоритм AES-256).

То есть то, что имеет сегодняшний релиз - все остантся - так обеспечивает все довольно высокую степень для вскрытия ключа, но к этому добавить еще две возможности:

1. Изображение может быть и внешним, например, файл с фотографией.
2. Возможность придумывания 256-битного (то есть 32 символа) ключа и самим пользователем (набором с клаватуры выбранных пользователем символов)

Если эти два предолжение не будут уменьшать стойкости оболочки самой программы для взлома (или появления "дырок") можно ли внести их реализацию.

С уважением,

Неактивен

 

#5 20-08-2007 11:14:24

Boris
Administrator
Зарегистрирован: 02-04-2007
Сообщений: 232
Профиль

Re: Ограничения в программе

1. Изображение может быть и внешним, например, файл с фотографией.

У нас была такая мысль. Но мы отказались от неё по той причине, что по смыслу изображение должно быть случайным, и не существовать после создания ключа. Если использовать фото - нельзя же быть уверенным, что злоумышленник не сможет им воспользоваться.
Хотя, опционально, использовать внешнее изображение можно.

2. Возможность придумывания 256-битного (то есть 32 символа) ключа и самим пользователем

Всё дело в том, что алгоритм генерации ключа - это не такая простая вещь, как может показаться на первый взгляд.
Ключ - это не просто случайные числа, взятые из паролей и например изображения. Данные ключа получаются методом обработки исходных, случайных данных (у нас это изображение) с помощью специальных алгоритмов.
Поэтому, нельзя просто так придумать последовательность чисел и сказать что вот это ключ.
Отсюда сразу понятно - ввод с клавиатуры отпадает. Тем более, что не всё множество знаков (0-255) может быть введено с клавиатуры простым набором.

Потому что при сегодняшнем релизе - потерял файл с ключами - и пиши пропало.
Во втором случае - ключ всегда в памяти человека и не необходимости во внешнем носителе, за которым еще необходим и уход.

Тут мы с Вами согласны. Однозначно нужен какой-то способ обезопасить себя. Сегодня можно делать бекапы хранилища. Но было бы неплохо иметь возможность записать ключ как Вы говорите на бумаге, или просто запомнить (что, правда, непросто). Несомненно мы подумаем над этим, как именно это лучше сделать, так чтобы было логично и безопасно. И в том или ином виде это обязательно будет в новой версии.

Спасибо Вам за желание помощь и советы.


С уважением, служба поддержки GoSecure.
support@gosecure.ru

Неактивен

 

#6 20-08-2007 15:22:32

qscwdvefb
Участник
Зарегистрирован: 06-08-2007
Сообщений: 8
Профиль

Re: Ограничения в программе

Благодарю благодарность и пояснения.
Тогда предложение реализовать и возможность записи в режиме AES-256 и на диски DVD и CD (например, через Nero).
Это было бы очень хорошо - реализовать такую возможность.
Без рекламы, - есть программы, которые это реализуют, но, вроде, не AES-256 (точно мне пока неизвестно)

С уважением,

Неактивен

 

#7 21-08-2007 06:41:01

Boris
Administrator
Зарегистрирован: 02-04-2007
Сообщений: 232
Профиль

Re: Ограничения в программе

Да, было бы отлично. Но на данный момент это не входит в наши планы - есть более приоритетные задачи.
Но в будущем, вполне возможно, что такая возможность появится.


С уважением, служба поддержки GoSecure.
support@gosecure.ru

Неактивен

 

#8 25-08-2007 19:20:33

Интерес
Участник
Зарегистрирован: 31-07-2007
Сообщений: 26
Профиль

Re: Ограничения в программе

Boris скоро ли новый билд программы ?

Неактивен

 

#9 26-08-2007 11:52:44

Boris
Administrator
Зарегистрирован: 02-04-2007
Сообщений: 232
Профиль

Re: Ограничения в программе

Интерес написал:

скоро ли новый билд программы?

Планируется в последних числах августа - начале сентября.


С уважением, служба поддержки GoSecure.
support@gosecure.ru

Неактивен

 

#10 28-08-2007 22:24:50

Интерес
Участник
Зарегистрирован: 31-07-2007
Сообщений: 26
Профиль

Re: Ограничения в программе

Ждем не дождемся smile Может пропадут некоторые баги.

Неактивен

 

#11 13-09-2007 09:25:41

Adviser
Участник
Зарегистрирован: 12-09-2007
Сообщений: 8
Профиль

Re: Ограничения в программе

Относительно надежности парольной авторизации пользователей советую почитать эту статью:
https://www.pgpru.com/biblioteka/statji … maparolejj

Из нее следует, что надежность пароля не всегда прямо пропорциональна его длине.
Единственный способ обезопасить пользователя от рассмотренных в статье способов взлома паролей - это исключить возможность их автономного подбора. Например путем внедрения в приложение авторизации по смарт-картам или электронному ключу.

Неактивен

 

#12 14-09-2007 08:57:26

Boris
Administrator
Зарегистрирован: 02-04-2007
Сообщений: 232
Профиль

Re: Ограничения в программе

Прочитал статью. Причем не заметил ни одной практической рекомендации. Где-то что-то как-то можно сломать причем приводятся даже процентные соотношения, что уже взломано. Мы же будем более последовательны в утверждениях. Использовать PRTK и прочие приемы в предзагрузочной аутентификации весьма проблематично по той простой причине, что операционной системы нет, как нет и тех файлов, на базе которых можно организовать атаку. Да и с незагрузочными дисками ситуация не очень "приятная". У Вас зашифрован не отдельный файл, а целый диск. А если принять во внимание, что проверка правильности паролей никак не касается зашифрованного диска? Как проверять, что и с чем сверять и на основе чего делать выводы.

Еще хотелось бы отметить, что за сложность пароля в ответе сам пользователь программы. Во время задания пароля расчитывается его сложность. Сложность пароля оценивается по встроеному словарю, применяя современные алгоритмы нечетких сравнений строк.

Одно можно сказать наверняка - атака по словарю далека от успеха взлома паролей в программе Secure Disk.


С уважением, служба поддержки GoSecure.
support@gosecure.ru

Неактивен

 

#13 14-09-2007 09:49:44

Adviser
Участник
Зарегистрирован: 12-09-2007
Сообщений: 8
Профиль

Re: Ограничения в программе

Boris написал:

Использовать PRTK и прочие приемы в предзагрузочной аутентификации весьма проблематично по той простой причине, что операционной системы нет, как нет и тех файлов, на базе которых можно организовать атаку. Да и с незагрузочными дисками ситуация не очень "приятная". У Вас зашифрован не отдельный файл, а целый диск.

Не представляет большой проблемы создание программы подбора паролей, учитывающей алгоритм авторизации именно Secure Disk. Будьте уверены, что если Secure Disk достигнет определенного порога популярности, появление такой программы не заставит себя долго ждать несмотря на закрытые исходники. А дальше вообще все просто - зашифрованный диск подключается к другому компьютеру с этой программой и запускается процесс перебора паролей по словарю или полным перебором. Благо любой чисто программный алгоритм авторизации не исключает возможность автономного перебора паролей. Единственное чем здесь можно осложнить жизнь злоумышленнику - реализовать в алгоритме замедление перебора паролей, как описано в вышеназванной статье.


Boris написал:

А если принять во внимание, что проверка правильности паролей никак не касается зашифрованного диска?

То есть? Ведь пароль является ключем для шифрования диска (по крайней мере так утверждается разработчиками). Пусть не в буквальном виде, а через хеш-функцию, но тем не менее связь между шифром и паролем все равно есть. И эта связь вполне достаточна для организации атак линейными методами. Обладать какой то частью зашифрованной информации необходимо лишь для нелинейного криптоанализа. А для линейных методов достаточно изучить механизм авторизации.

Boris написал:

Еще хотелось бы отметить, что за сложность пароля в ответе сам пользователь программы. Во время задания пароля расчитывается его сложность. Сложность пароля оценивается по встроеному словарю, применяя современные алгоритмы нечетких сравнений строк.

Общеизвестно, что сложный пароль (а тем более два сложных пароля), который к тому же регулярно меняется, пользователь никогда не сможет запомнить. И обязательно его запишет на каком нибудь носителе. А это в плане безопасности едва ли лучше чем простой пароль. Поэтому в данном случае перекладывать всю ответственность на пользователя несправедливо.

Неактивен

 

#14 14-09-2007 11:32:45

Boris
Administrator
Зарегистрирован: 02-04-2007
Сообщений: 232
Профиль

Re: Ограничения в программе

Что Вы хотите выяснить?

Мы не станем описывать способы и алгоритмы связанные с безопасностью в программе. Мы знакомы с автором приведенной Вами статьи и другими его публикациями (в частности "Практическая криптография"). Мы изучали последние публикации в этой области. Если у Вас нет практических результатов по этой теме, то считаю тему закрытой, иначе высказывания типа "Не представляет большой проблемы создание программы подбора паролей ..." считаю ничем не подкрепленными, а значит голословными.

Не вводите в заблуждение читателей форума.


С уважением, служба поддержки GoSecure.
support@gosecure.ru

Неактивен

 

Board footer

Powered by PunBB 1.2.16

[ Generated in 0.044 seconds, 7 queries executed ]

© Copyright GoSecure, 2007-2008. All rights reserved.
Использование материалов этого сайта возможно только с согласия его владельцев.
Rambler's Top100