Formare echipa development IM

[AlMalalah]

Fereasca Nemtii si Rusii si Irlandezii, daca te aude Dumnezeu iti da doua palme, sa te trezesti la realitate.

1. Iti faci un algoritm de la zero, propriu si personal de encriptare.

2. Scrii ce vrei intr-un fisier text apoi il encriptezi dupa metoda de la nr. 1.

3. O data encriptat nu numai ca il poti trimite pe Yahoo!Messneger, pe skype etc. dar chiar il poti da pe mail SRI-ului sa il dea destinatarului ca tot nu vor putea sa-l decripteze.

Chiar nu vad ce e gresit in ceea ce zic eu. Ce ar fi gresit ?

PS: Apropo, poti folosi si maam codificarilor si a encriptiilor tot ce conteaza e destinatarul. Si ajungi iara la Kevin Mitnick: Factorul uman e tot ce conteaza !

[alinh0]

1. Iti faci un algoritm de la zero, propriu si personal de encriptare.

2. Scrii ce vrei intr-un fisier text apoi il encriptezi dupa metoda de la nr. 1.

3. O data encriptat nu numai ca il poti trimite pe Yahoo!Messneger, pe skype etc. dar chiar il poti da pe mail SRI-ului sa il dea destinatarului ca tot nu vor putea sa-l decripteze.

Chiar nu vad ce e gresit in ceea ce zic eu. Ce ar fi gresit ?

Tu ia bacu intai si dupa apuca'te sa faci algoritmi de criptare Poate ai si niste teoreme la activ.

[Elohim]

Nu, serios acum, ce este in neregula cu Psi+ cu PGP pe 4096 biti ? Imi scapa ceva ?

[AlMalalah]

Tu ia bacu intai si dupa apuca'te sa faci algoritmi de criptare Poate ai si niste teoreme la activ.

Stiu ca asta ti-au zis tie altii. Eu m-am exprimat destul de corect.

Apropo, se foloseste cratima si nu apostrof. "bacu" ?!

[tudor13mn13]

Si eu as putea face in partea de design , deoare ce nu prea ma am in C.

--> As putea face si partea de programare daca proiectul ar fi facut in Visual Basic . De la 0. Doar ca am nevoie de ajutor la cryptare. (nu astept comentarii gen "Visual Basic "e muci etc)

[MrGrj]

1. Iti faci un algoritm de la zero, propriu si personal de encriptare.

2. Scrii ce vrei intr-un fisier text apoi il encriptezi dupa metoda de la nr. 1.

3. O data encriptat nu numai ca il poti trimite pe Yahoo!Messneger, pe skype etc. dar chiar il poti da pe mail SRI-ului sa il dea destinatarului ca tot nu vor putea sa-l decripteze.

Chiar nu vad ce e gresit in ceea ce zic eu. Ce ar fi gresit ?

PS: Apropo, poti folosi si maam codificarilor si a encriptiilor tot ce conteaza e destinatarul. Si ajungi iara la Kevin Mitnick: Factorul uman e tot ce conteaza !

Si destinatarul cum il decripteaza ?

[Nytro]

RSA 4096 + AES 256 GCM.

Am mai multa incredere in RSA decat in curbele eliptice.

Mod de functionare:

1. Client -> Server (handshake, validare certificat server, validare certificat client)

2. Server -> Client 2 (la fel)

3. Client -> Client 2 (serverul actioneaza doar ca router. Se face handshake si se fac verificari de certificate pe clienti)

Serverul va avea un CA pe baza caruia se va verifica certificatul acestuia.

Fiecare user isi va genera propriul CA si cumva, il va oferi utilizatorului cu care doreste sa comunice. Validarea certificatelor se va face pe baza acestui certificat.

ps-axl, tu de ce te vei ocupa?

PS: Se poate opta pentru certificate platite, semnate de un root CA. Astfel, un user care are un site, www.vasile.com, isi ia certificat pentru acel site si certificatul e ulterior validat pe baza root CA-ului de care a fost semnat. In cazul acesta, root CA-ul este public si "transmiterea" acestuia este mult mai simpla.

PS2: Astept de la cel care a zis ca SSL poate fi spart sa imi faca un demo cu RC4 cu cheia pe 56 de biti si sunt multumit, are VIP. Daca imi face un demo cu AES 128 bit si RSA 1024 bit are Administrator.

Edited February 9, 2014 by Nytro

[Guest Kovalski]

@Nytro, eu o sa ma ocup de trasat linii pe asfalt, si de dat pareri, ca deh, sunt un parerist bun.

[tedeus]

RSA 4096 + AES 256 GCM.

Am mai multa incredere in RSA decat in curbele eliptice.

Mod de functionare:

1. Client -> Server (handshake, validare certificat server, validare certificat client)

2. Server -> Client 2 (la fel)

3. Client -> Client 2 (serverul actioneaza doar ca router. Se face handshake si se fac verificari de certificate pe clienti)

Serverul va avea un CA pe baza caruia se va verifica certificatul acestuia.

Fiecare user isi va genera propriul CA si cumva, il va oferi utilizatorului cu care doreste sa comunice. Validarea certificatelor se va face pe baza acestui certificat.

ps-axl, tu de ce te vei ocupa?

PS: Se poate opta pentru certificate platite, semnate de un root CA. Astfel, un user care are un site, www.vasile.com, isi ia certificat pentru acel site si certificatul e ulterior validat pe baza root CA-ului de care a fost semnat. In cazul acesta, root CA-ul este public si "transmiterea" acestuia este mult mai simpla.

PS2: Astept de la cel care a zis ca SSL poate fi spart sa imi faca un demo cu RC4 cu cheia pe 56 de biti si sunt multumit, are VIP. Daca imi face un demo cu AES 128 bit si RSA 1024 bit are Administrator.

Nu sunt expert in domeniu dar cred ca ai pierde acel "bet". Inca din 2012 stiu ca se putea trece. Poti verifica aici.

Has HTTPS finally been cracked? Five researchers deal SSL/TLS a biggish blow… | Naked Security

[Nytro]

Da, stiu, RC4 are NISTE probleme, de aceea am spus ca cine il "sparge" are VIP.

Pacat ca nu prea se mai foloseste.

[EAdrian]

?i cei de la piratebay vor s? fac? asta... https://heml.is/

[AlMalalah]

Si destinatarul cum il decripteaza ?

Cu acelasi program pe care il are si expeditorul (numai cei care iau parte la discutie vor avea programul).

Scuze, sper sa nu fiu offtopic.

[Usr6]

Vorbiti de spartul bitilor de parca ar fi vorba de semintele de pe stadion. In lumea reala un sistem de criptare pe 128 biti(daca nu ma insel minim e chiar mult mai mic: 80 sau 90 biti) e considerat relativ sigur pentru a putea fi utilizat in securizarea informatiilor. Chiar si cu aparitia calculatoarelor cuantice, un algoritm de criptare pe 256 biti ar trebui sa fie sigur. (un curs pentru cei interesati de: https://www.coursera.org/course/crypto)

Pana in prezent, DES(64 bit) cred ca e singurul algoritm de criptare oficial care e considerat nesigur.

MD5 tot e considerat nesigur de cativa ani, desi inca n-am vazut 2 siruri de caractere care sa aiba acelasi hash(daca aveti va rog sa postati). Totusi exista exemple pentru file collision.

Referitor la specialistii care fac si dreg, acu cativa ani se zicea ca specialistii pot recupera un procent foarte ridicat din datele care au fost sterse de pe un hdd:

biti reali:01001000 = H

recup :01001100 = L

7 biti din 8 au fost recuperati, adica ~90% din date au fost recuperate, statistic este exceptional de bine, practic informatiile recuperate sunt inutile

Pentru paranoici: https://rstforums.com/forum/81034-talking-safe-using-rsa-pycrypto-python.rst

[dicksi]

cel mai safe:P mijloc de comunicare: un marker si scrisu pe mana(strict in asa fel daca sunt posibile camere de supraveghere in incapere) .cand intra feds in casa peste voi stergeti mesajele cu limba:))

[endemic]

E o absurditate si o mare pierdere de timp ce vrei tu sa faci. Ai venit cu un radio, apoi cu un browser "OS" open-source caruia i-ai schimbat logo-ul, iar acum ne prezinti roata in secolul 21. Avem deja bitmessage care ofera chat p2p criptat, avem pidgin si otr, avem protocolul xmpp si o groaza de implementari open-source, oricine fiind invitat sa-si deschida propriul server care sa nu retina niciun fel de log. Pot foarte usor sa furnizez ssh tunnel in serverul meu pentru useri, ssl strict by default in xmpp, otr si encapsulez totul in vpn. Deja am 4 layere care se pisa pe rahatul tau de client. Ideea ta e la fel de inteligenta ca si ideea de a scrie un wrapper pentru un wrapper care genereaza md5. 'ten pula mea de absurd, sa ma incred eu intr-un chat SECURE scris de niste amatori, in detrimentul anilor de development open-source a solutiilor pe care le-am enumerat mai sus. vii pe un forum de securitate si ne scoti ochii subtil cu un "trust me, sunt ps-axl, dj-ul hackerilor, care nu stie sa scrie o linie de cod, dar care cauta developeri si face pe patronul". du-te-n pula mea de aici, ca deja iti bati joc de noi. sa-mi caute lumea posturile sa vada daca am injurat vreodata, dar aici nu m-am mai abtinut. CANTA LA ALTA MASA, CA AICI NU VREM PAPAGALI!

ps, suntem interesati de orice sugestie si orice sfat care poate imbunatati aplicatia si poate ajuta la dezvoltarea ei.

Orice idee conteaza, oricat de buna sau proasta ar fi.

abordarea ta e proasta de la inceput, asa ca singura sugestie constructiva pentru sanatatea celor care vor sa se implice, cat si pentru siguranta celor care vor sa foloseasca asa ceva, e sa o lasati balta! n-ai obraz!!!!!!!!

daca vrei sa faci ceva smecher, fa stego sa ascunzi text criptat in streamuri audio si transmite totul prin zrtp, apoi aplica layerele mentionate si ai o banana din partea comunitatii infosec.

Edited February 10, 2014 by endemic

[coolbyte]

Ce ziceti de o aplicatie care sa faca ea atat client cat si server, sa nu mai depinzi de un server extern introduci ip-ul persoanei cu care doresti sa vb si aplicatia sa deschida un port spre cealalata aplicatie pe baza de IP si sa incercam chiar sa criptam mesajele in timp real.

[Nytro]

Ce ziceti de o aplicatie care sa faca ea atat client cat si server, sa nu mai depinzi de un server extern introduci ip-ul persoanei cu care doresti sa vb si aplicatia sa deschida un port spre cealalata aplicatie pe baza de IP si sa incercam chiar sa criptam mesajele in timp real.

Unde mai e anonimitatea daca persoana cu care vorbesti iti stie IP-ul?

[Guest Kovalski]

@endemic, bre nea mucea, eu spre deosebire de tine incerc sa aduc ceva sa ma gandesc la ceva, sa vin cel putin cu o idee.

Tu ce pula mea invarti pe aici? Cu ce contribui la comunitatea asta? ai 8 topicuri in 10 ani, si imi spui mie ce si cum.

Foloseste tu OTR daca vrei, si vpn-u facut de tine si ce mai vrea muschiu' tau sa folosesti, si lasa-i pe altii care vor altceva sa faca altceva, eu poate nu vreau sa mai folosesc xmpp si otr, si vreau ceva mai complex, si poate mai sunt si altii ca mine.

Nu te intereseaza subiectul pentru ca serverul tau de xmpp e ultra safe ca deh, clientul tau pidgin are otr pe el, perfect, ramai in pula mea la el, da nu-mi fute mie creierii aici.

ps, sper ca acum ai inteles ce vroiam sa spun.

Edited February 10, 2014 by ps-axl

[endemic]

@endemic, bre nea mucea, eu spre deosebire de tine incerc sa aduc ceva sa ma gandesc la ceva, sa vin cel putin cu o idee.

Tu ce pula mea invarti pe aici? Cu ce contribui la comunitatea asta?

N-ai inteles nimic. Atitudinea ta, combinata cu retorica, ca doar faci ceva ce nu-si are rostul = nimic. Intr-adevar, faci ceva, dar deloc constructiv. E ca si cum vin eu acum pe rst cu o idee incredibila: haideti sa lansam o distributie de linux pentru pentest, ca doar nu mai sunt 100, si toate foarte bine puse la punct, cu comunitati mari in spate! Retorica contribuie doar la platonism!

ai 8 topicuri in 10 ani, si imi spui mie ce si cum.

deci la postari se reduce totul, eh? dupa cate observi, iti spun, ca pana si sefii au un sef. vrei chat secure, dar habar n-ai sa faci un xor. dar stii skrillex ... apropo, nu erai retired?

eu poate nu vreau sa mai folosesc xmpp si otr, si vreau ceva mai complex, si poate mai sunt si altii ca mine.

defineste complex. sau mai bine lasa-i pe altii sa defineasca in numele tau. "complex" gol e doar ... simplu.

Nu te intereseaza subiectul pentru ca serverul tau de xmpp e ultra safe ca deh, are otr pe el, perfect, ramai in pula mea la el, da nu-mi fute mie creieri aici.

Oricum, din moment ce tu ai impresia ca otr-ul e pus pe serverul cu xmpp, nu pe client, atunci deja imi imaginez ca aplicatia ta va face exchange de chei private intre useri! Multa bafta! Flageleaza-te!

Si vezi ca nu mi-ai punctat toate ideile din postul anterior.

Edited February 10, 2014 by endemic

[em]

Topic inchis 24 de ore pana se calmeaza spiritele