JaJe Posted August 7, 2013 Report Share Posted August 7, 2013 Buna ziua,Nu stiu unde sa postez aceasta curiozitate, asa ca am postat-o pe Off-topic.Citind pe wikipedia (link: Transport Layer Security - Wikipedia, the free encyclopedia)Site-urile cu protocolul https folosesc fie TLS 1.0 fie TLS 1.1 din cate am vazut, dar absolut nici un site nu am vazut sa foloseasca protocolul TLS 1.2De pilda si acest site, foloseste TLS 1.0 (Criptat la 256-bit folosind algoritmul AES si SHA-1).Facebook, in schimb foloseste TLS 1.1 (Criptat la 128-bit folosind algoritmul RC4 si SHA-1).Intrebarile mele sunt:AES este mai bun decat RC4? sau invers? Care este totusi cel mai bun algoritm din lume?De ce totusi Facebook nu foloseste un algoritm de 256 sau chiar 512 biti?Exista algoritme de 1024 sau 2048 biti?Recent a aparut SHA-3, este oare mai sigur folosind un algoritm de genul: AES la 256 biti si SHA-512 + SHA-3 Combined? (Pentru un protocol TLS 1.3 sa zicem).Legat de algoritmul Facebook, am observat pe site-ul wikipedia care am postat link-ul mai sus, pe tabelul "Website Cipher Security ca RC4 este cel mai nesigur indiferent de protocol folosit. Daca asa este, atunci de ce un site cum este Facebook nu pune mare importanta pe securitate?Multumesc! Quote Link to comment Share on other sites More sharing options...
Nytro Posted August 7, 2013 Report Share Posted August 7, 2013 1. RC4 nu se compara cu AES. EVITA RC4! Nu stiu care e cel mai bun, dar daca pe schimbul de chei (asimetric) ai o cheie RSA de 2048 de biti iar pentru cryptarea simetrica, AES, ai 256 de biti, ar trebui sa fie de ajuns sa nu iti faci probleme. Sugerez totusi folosirea curbelor eliptice (ECDH) pentru schimb de chei, iar pentru cryptarea simetrica, sa se foloseasca GCM-ul ca mod de functionare pentru AES. 2. Deoarece cu cat un algoritm e mai simplu, cu atat e mai usor de "spart". Nu stiu sa iti zic de ce, dar eu iau in considerare posibilitatea ca in cazul in care se intercepteaza date, guvernele sa poata "sparge" traficul cryptat. Teoretic, folosesc asta pentru compatibilitate si cu browsere mai vechi si pentru viteza mai mare de incarcare a paginilor.3. Daca te referi la algoritm de cryptare simetrica, e cam inutil si foarte lent, practic nu ar avea rost. In cel mai rau caz 512 biti pentru cheie sunt de ajuns. Gandeste-te cat timp ar lua sa incerce cineva 2^512 (2 la puterea 512) de combinatii pentru o cheie...4. Stiu ca a fost un concurs pe NIST, pentru un algoritm care sa inlocuiasca SHA-ul. Rezultatul, cel mai bun algoritm ales, este Keccak, adica da, SHA3. Daca esti paranoic, folosesti versiunea pe 512 biti, dar nu stiu daca e chiar asa necesara, deoarece e o functie pentru calcularea unui hash, deci pentru asigurarea integritatii datelor, nu pentru protejarea acestora. Quote Link to comment Share on other sites More sharing options...
JaJe Posted August 7, 2013 Author Report Share Posted August 7, 2013 Merci pentru raspuns Nytro,Inca un lucru, unde as putea gasi pe internet o lista de toate algoritmele de criptare care sa explice modul in care functioneaza fiecare, si care sa-mi arate care e mai bun si care e mai slab, si in ultimul rand sa pot experimenta singur folosind niste exemple, cuvantul "test" -> folosind algoritmul X => blablaEu am folosit pana acum acest site: CRYPO: Encrypt or Decrypt sensitive data using AES/DES/RCA encryptors. Poate cunosti tu sau altcineva un site si mai bun de atat? care sa contina si mai multe algoritme?Multumesc! Quote Link to comment Share on other sites More sharing options...
Nytro Posted August 7, 2013 Report Share Posted August 7, 2013 Descarca OpenSSL (in cazul in care stii C) si uita-te in sursa: http://www.openssl.org/source/openssl-1.0.1e.tar.gzO sa gasesti acolo cam toti algoritmii pe care ii cauti. De asemenea exista multe librarii cu care poti testa efectiv algoritmii, de exemplu mcrypt pentru PHP.Pentru explicatii despre modul in care functioneaza gasesti destule explicatii pe Google/Wikipedia. Sincer, iti recomand o carte de cryptografie, nu stiu insa care anume. Cauta una mai complexa in cazul in care esti foarte interesat de subiect.Cauta problemele de securitate care apar cu diversi algoritmi:- https://rstforums.com/forum/73411-step-into-breach-https-encrypted-web-cracked-30-seconds.rst- https://rstforums.com/forum/72746-how-digital-certificates-used-misused.rst- https://rstforums.com/forum/73266-step-into-breach-new-attack-developed-read-encrypted-web-data.rst- https://rstforums.com/forum/70778-how-nsa-access-built-into-windows.rst- https://rstforums.com/forum/69666-advanced-cryptography.rst- https://rstforums.com/forum/68262-crypto-2012-breaking-repairing-gcm-security-proofs.rst- https://rstforums.com/forum/67417-new-rc4-attack.rst- https://rstforums.com/forum/66787-stanford-javascript-crypto-library.rst- https://rstforums.com/forum/66739-failures-secret-key-cryptography.rst- https://rstforums.com/forum/66643-another-crypto-attack-ssl-tls-encryption.rst- https://rstforums.com/forum/66368-cryptographic-primitives-c.rst- https://rstforums.com/forum/66073-botan-c-crypto-algorithms-library-1-10-5-a.rst- https://rstforums.com/forum/64975-attack-week-tls-timing-oracles.rst- https://rstforums.com/forum/64725-unlucky-you-uk-crypto-duo-crack-https-lucky-13-attack.rst- https://rstforums.com/forum/64163-crypto-cops-law-key-disclosure-forced-decryption.rst- https://rstforums.com/forum/63693-security-evaluation-russian-gost-cipher.rst- https://rstforums.com/forum/62592-crypto-pentesters.rst- https://rstforums.com/forum/62126-pgp-truecrypt-encrypted-files-cracked-300-tool.rstSunt foarte multe resurse disponibile chiar si aici, timp si initiativa sa ai. Quote Link to comment Share on other sites More sharing options...
JaJe Posted August 7, 2013 Author Report Share Posted August 7, 2013 Foarte utile link-urile! Multumesc mult!PS: Din pacate nu cunosc nici un limbaj...doar HTML Quote Link to comment Share on other sites More sharing options...
