论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 10 篇帖子 ] 
作者 内容
 文章标题 : 不用输入密码的文件加密
帖子发表于 : 2014-02-22 23:25 
离线
超级用户

注册: 2008-09-20 19:53
最近: 2017-12-26 21:59
拥有: 2,443.90 安全币

奖励: 112 安全币
在线: 4442 点
帖子: 518
  其实很简单把输入密码这个环节,变成选择文件即可,而将文件名和路径或其一部分作为用户密码。我们知道选中一个文件而不打开文件,对文件毫无影响,而能获得文件名及其位置字符串。
  那要是将所有文件名及其路径搜集起来穷举攻击不就在劫难逃了吗?实际不用担忧因为选择文件并没有限制,你可以对一个文件选择多次,也可以在不同的位置选择不同的文件。虽然组合是无穷尽的,但你要注意(1)选择的文件是相对稳定的,不能使用那些过两天可能消失的文件,例如系统文件就比较稳定。(2)而且选择文件的操作是你容易记忆的。
  为了安全你甚至可以做一个辅助的小或空文件加密和解密时用用,平时删除它或移动到其它地方,这样破解基本没希望了。


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 不用输入密码的文件加密
帖子发表于 : 2014-02-23 23:06 
离线
初级用户

注册: 2009-01-20 11:33
最近: 2015-01-20 09:48
拥有: 1,384.60 安全币

奖励: 0 安全币
在线: 1971 点
帖子: 34
是被标题吸引进来的,但是没有看懂。楼主到底建议怎么选择密码?
是不是将一串特定的文件地址字符作为密码?如果是这样的确加密时不用手工打字输入密码,但是解密时呢?输入便捷性方面,如何让互联网上的接收方选取特定的文件地址,解密时不是还是要手工打字输入密码?
至于安全性的问题,不理解楼主说一个文件选择多次还是安全的?难道一个文件选择一次和两次的密码不同吗?当前的各种加密算法虽然二进制密钥长度不同,但是在加密前均需要将用户输入的密码(一般是字符串)通过一定数学转换成为该算法固定长度的二进制密钥。
我个人的理解,楼主的提议是基于便于记忆密码而提出的。那么选择哪个文件和特定喜欢的某一本书的书名,从集合论角度在密码空间上是一一对应的。选择文件是通过鼠标点击的次序,手工输入密码是敲击不同按键的次序。所以安全性而言应该讨论的是两者之间哪个更加不容易被猜测。
希望楼主说的更加详细点。


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 不用输入密码的文件加密
帖子发表于 : 2014-02-24 07:17 
离线
超级用户

注册: 2008-09-20 19:53
最近: 2017-12-26 21:59
拥有: 2,443.90 安全币

奖励: 112 安全币
在线: 4442 点
帖子: 518
  说得不够清楚吗?说的是以选择文件的方式代替密码输入,解密和加密的操作是完全一样的,要按同样的次序选择同样的文件作为密码。
  选择一次和多次当然不同了,例如选择了文件A,加密程序将获得文件A的路径字符串作为密码,选择两次则是这个字符串加起来的字符串,至于用户密码的后期处理就看你怎么用了,可以用于流密码或分组密码和本话题关系不大。
  此种方式比较适用于本地文件加密,因为它利用了本地的资源,如果是在其它机子上解密密文,则需要有相同被选择作为密码的文件名和路径,没有这样的条件是没法用的,但你也可以自己建造这些,就是麻烦了一些。
  此种方式需要记忆你的选择,比记忆密码可能容易一些。并且更加安全,对于选择文件的操作,还没有那种木马能获取其信息,但键盘输入密码则有可能受其攻击。


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 不用输入密码的文件加密
帖子发表于 : 2014-02-24 12:44 
离线
初级用户

注册: 2009-01-20 11:33
最近: 2015-01-20 09:48
拥有: 1,384.60 安全币

奖励: 0 安全币
在线: 1971 点
帖子: 34
这么说我就明白了。那么这种不输入密码的文件加密方式受限于本地文件系统目录树(但是应该也可以利用局域网内的共享文件服务器)。
从操作上鼠标点击是比键盘打字方便。但是问题是木马可以记录键盘敲击同样也可以通过windows API捕获鼠标点击。参见http://blogs.msdn.com/b/oldnewthing/archive/2004/07/20/188696.aspx
所以其安全性和键盘输入是等同的。稍稍好一点的规避输入记录木马的办法是产生乱序的模拟键盘,用鼠标点击乱序的模拟键盘。但是只要木马能够对启动乱序键盘的API进行检测然后截图也是可以破解的。
所以我觉得通过文件选择设置密码的方法和和键盘敲击安全性没什么区别。便捷性就看个人喜好了。


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 不用输入密码的文件加密
帖子发表于 : 2014-02-24 15:43 
离线
超级用户

注册: 2008-09-20 19:53
最近: 2017-12-26 21:59
拥有: 2,443.90 安全币

奖励: 112 安全币
在线: 4442 点
帖子: 518
说大了吧?你是可以记录鼠标点击,甚至鼠标位置,但光凭这些能知道点击的是什么东西吗?如果有摄像机监视也许能得到点东西,想从鼠标钩子得到选择文件信息是不可能的。


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 不用输入密码的文件加密
帖子发表于 : 2014-02-24 22:28 
离线
初级用户

注册: 2009-01-20 11:33
最近: 2015-01-20 09:48
拥有: 1,384.60 安全币

奖励: 0 安全币
在线: 1971 点
帖子: 34
windows API不仅能够读取单个选择的文件名SUCCEEDED(pfv->Item(iFocus, &pidlItem,还能读取多个选择的文件名SVGIO_SELECTION。根本不用调用定时截屏的API。
参见我找到的MSDN原文:
What else can we do with what we've got? Oh right, let's see what the currently-focused object is.

int iFocus;
if (SUCCEEDED(pfv->GetFocusedItem(&iFocus))) {
...
}
Let's display the name of the focused item. To do that we need the item's pidl and the IShellFolder. (See, I told you the IShellFolder is where the cool stuff is.) The item comes from the Item method (surprisingly enough).

LPITEMIDLIST pidlItem;
if (SUCCEEDED(pfv->Item(iFocus, &pidlItem))) {
...
CoTaskMemFree(pidlItem);
}
(If we had wanted a list of selected items we could have used the Items method, passing SVGIO_SELECTION.)


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 不用输入密码的文件加密
帖子发表于 : 2014-02-25 12:39 
离线
超级用户

注册: 2008-09-20 19:53
最近: 2017-12-26 21:59
拥有: 2,443.90 安全币

奖励: 112 安全币
在线: 4442 点
帖子: 518
  利用API读取选择文件的信息,做成木马对加密软件是一种威胁,想办法抑制吧,例如我们得到了文件名及其路径后,删除其中一部分,这样你即使木马到了也不能帮你正确解密。
  就像键盘输入密码一样,不能因为有木马可以截取信息我们都不使用键盘输入密码了。


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 不用输入密码的文件加密
帖子发表于 : 2014-02-26 09:29 
离线
初级用户

注册: 2009-01-20 11:33
最近: 2015-01-20 09:48
拥有: 1,384.60 安全币

奖励: 0 安全币
在线: 1971 点
帖子: 34
sjdcc 写道:
  利用API读取选择文件的信息,做成木马对加密软件是一种威胁,想办法抑制吧,例如我们得到了文件名及其路径后,删除其中一部分,这样你即使木马到了也不能帮你正确解密。
  就像键盘输入密码一样,不能因为有木马可以截取信息我们都不使用键盘输入密码了。

不能因噎废食,信息安全讲究系统防护,在每个环节做到比较完善远远好于仅关注一个环节。没有一种万能防御的方法,而是采用多种方法合作,有时还要各个环节相互妥协,最终实现最合适某一应用环境的博弈最优。
通过木马得到了文件名及其路径后肯定需要做一定的处理才能最终加密算法使用的密钥。建议参考AES算法的密钥扩展的思路。利用S-BOX、异或和移位来实现处理,当然也不能简单照抄。


--------本帖迄今已累计获得41安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 不用输入密码的文件加密
帖子发表于 : 2014-02-26 23:47 
离线
超级用户

注册: 2008-09-20 19:53
最近: 2017-12-26 21:59
拥有: 2,443.90 安全币

奖励: 112 安全币
在线: 4442 点
帖子: 518
  本人对窃密不太了解,通过木马得到了文件名及其路径就很不容易实现吧?而只要动态的使用得到的文件名及其路径就足以让木马的劳动失去作用。


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 不用输入密码的文件加密
帖子发表于 : 2017-12-17 15:51 
离线
超级用户

注册: 2008-09-20 19:53
最近: 2017-12-26 21:59
拥有: 2,443.90 安全币

奖励: 112 安全币
在线: 4442 点
帖子: 518
如果怕鼠标钩子窃取信息,你可以配合键盘输入,使鼠标的信息是不完整的。


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
  用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 10 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 0 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012