Появился первый настоящий кейген к WinRAR, цифровая подпись теряет актуальность

[FilimoniC]

Я бы лучше побольше узнал про эту цифровую подпись архивов… Зачем она? :-)

[jonie]

ну по идее типа никто не менял архив, хотя мне не понятно чем моя подпись (PGP\RSA (а я, например, подписываю всю свою почту)) хуже вынрарвской — непонятно по какому алгоритму построенной…
ЗЫ: использую 7z.

[FilimoniC]

Я не о том — имеет ли она смысл в практическом применении? Если честно, никогда не встречал людей, проверяющих ее. А если требуется подпись при передаче данных, то используют PGP (GPG) или SSL с приватными сертификатами.

[jonie]

хуже того: я даже не встречал людей использующих ЭЦП винрара…
P.S: а при чем тут SSL вообще, если это протокол, а не какой-то алгоритм?

[sanchower]

Цифровая подпись — это гарант того, что в архиве именно то, что задумал автор(на чье имя цифровая подпись) и ничего лишнего нет. Ничего добавить в архив не получится, иначе пропадет подпись.
Не знаю, понятно обьяснил или нет, вот может картинка поможет понять, о чем речь:

[shai_xylyd]

Теперь же любой сможет сгенерировать себе любой ключ и подделать подпись.

Каким образом злоумышленник сможет узнать ваш ключ?

[sanchower]

Взяв ранее созданные мной архивы с цифровой подписью. Да вариантов на самом деле масса! Или вы клоните к тому, что проблема взлома выдуманная?

[flaresun]

Злоумышленнику досаточно будет узнать имя, которое отображается в подписи архива, и сгенерить под него ключ, соответственно подписанные злоумышленником архивы будут иметь в подписи «нужное» имя…

[shai_xylyd]

То есть в winrar используется электронная подпись не на базе асимметричного шифрования, а свой велосипед?

[Aleksey_M]

ECC там. В nfo написано.

[EiZeRR]

там эллиптические кривые используются, этот как вы назвали «велосипед», является чуть ли не самым надежным на сегодня методом шифрования. Для справки — там длина ключа в 64 бита является просто отличной, не то что в этих RSA с 1024. Во всем «виновата» задача дискретного логарифмирования в поле элементов кривой.

[shai_xylyd]

Тогда я не понимаю, как кейген может скомпрометировать алгоритм цифровой подписи, надежность которого основана на секретности private key.

[Aleksey_M]

private key и слямзили. Либо им очень повезло подобрать, что врядли.

[shai_xylyd]

С цифровыми подписями я работал, но не в winrar'е поэтому возможно не понимаю данную ситуацию.

Что бы пользоваться цифровой подписью, я должен сгенерировать private и public key. Что бы удостовериться, что документ подписан мной достаточно знать мой public key. Пока мой private key известен только мне, подделать мою подпись невозможно.

Вопрос в том, каким образом злоумышленник, используя это кряк, сможет получить мой private key?

[ni4]

Ребята, не партесь. Похоже, автор топика написал что-то, толком не зная что.
Похоже, путается понятие цифровой подписи и имени/логина владельца ключа к винрару.

[EiZeRR]

ну а помимо ключика вам ведь еще сетификат дается, по которому конечный пользователь и проверяет все?

Я конечно не уверен, но тут вполне возможна ситуация, что этот кряк создает сертификаты на основе какого-то секрета, который как раз и украли

[Aleksey_M]

В раре Вы ничего не генерируете, все высылается при регистрации и оно основано на ключах Евгения. Зная эти ключи возможно сгенерировать новые ключи на Ваше имя, подпись которыми так же будет корректна. По-моему так.

[shai_xylyd]

Да, блин=) defected by design.

[Gangsta]

Ну WinRar это не то средство, которым нужно пользоваться для создания цифровой подписи. Конечно, можно и с помощью паяльной лампы побриться, но все же лучше для цифровой подписи использовать специально предназначенные для этого программы. PGP tools, например, бесплатные и с открытым исходным кодом.

[tigrenok]

эм… что-то я не очень понял… а раньше что игрушечные кейгены были? О.о

[GeForester]

То были не цифровой подписи

[sanchower]

Те кейгены патчили WinRAR. Они могли конечно «зарегистрировать» программу на ваше имя, но цифровая подпись до недавнего времени оставалась крякерам недоступна.

[Aleksey_M]

Были версии, которые позволяли просматривать оригинальные подписи и только. Добавлять подпись, которую подтвердил бы оригинальный рар, никакой псевдокейген не умел.

[Aleksey_M]

Кроме создания регфайла он изменяет winrar.exe. Все. Это не кейген, это патч-кейген, ключи которого к версии рара скачанной с офсайта не подойдут.

[Cudesnik]

Если подписать архив ломаной версией, то на лицензии, подпись была повреждена. Давно как то пробовал, может что и изменилось.

[almalexa]

Я был уверен, что в этом кейгене отлична музыка, и вправду неплохая :)

[vortex7]

не. заунывный он какой-то… напряжный

[Aleksey_M]

В версии 2.60 был изменен алгоритм регистрации. До этого кейгенов было много, после 2.60, кейген от FFF единственный, который не вносит никаких изменений в исполняемый файл рара. Псевдокейгены для версия >=2.60 изменяли публичный ключ, либо вообще обходили алгоритм регистрации. В результате сгенерированные ключи подходили только к таким же патченным версиям.

[Aleksey_M]

Если ключ был сгенеренный кейгеном, то оригинальный рар выдал бы ошибку при проверке подписи архива. В скриншоте выше, в статусбаре ясно же написано: «WinRAR public key… replaced.»

[almalexa]

При открытии этого архива моим вин раром(он на триале, вот щас поставил, пользуюсь 7zip) версия 3,70, сказало что не верная цифровая подпись :)

[almalexa]

Хм, больше не выдаёт такого O_o

[brondr]

Пользуйте свободный софт — и подобные вопросы перестанут вас волновать.

[ni4]

Я конечно все понимаю… Но это уже перебор.
Евгений Рошал, наш соотечественник, который среди немногих выбился в «люди», автор программ — «бестселлеров». И блин на хабре, который как бы не чужеродный, обсуждается кряк к его софту???

[sanchower]

Вы предлагаете закрыть глаза и пропустить эту новость? Или убрать ссылку на кряк, который уже общедоступен? ЛЮБОЙ желающий его уже может найти и скачать.

Евгения Рошала и его труд я уважаю, но не стоит так категорично к новости. Я в новости никого грязью не поливаю, я просто констатирую сухие факты.

[ni4]

Любой желающий может найти и скачать, но к таким желающим как-то уважения не проклевывается.

[sanchower]

Сайт WZor.NET к примеру, активно использует цифровую подпись в своих архивах. Так как доступ на сайт есть не у всех(регистрация была закрыта), то файлы с этого ресурса всплывают потом на разных форумах. И люди, после того, как видят подпись файла, видят, что файлы действительно взоровские (те без вирусов и тп).

[nuzni]

Чтоб на ваш проект выкладывали инъекции для дестроя базы на публику.
Никакого уважения к труду человека.
Большинство же программисты.

[sanchower]

Хм, кейген вообще-то уже давно в public. Я думаю, 80% хабрасообщества вполне смогут найти его без особых проблем. Если бы это был сценовый INTERNAL-релиз, тогда конечно ваши замечания были бы уместны, а так…
Уважение у меня в Рошалу есть, WinRAR у меня купленный. Я немного программ покупал, но эту купил. Труд я его уважаю.

[nuzni]

Хорошо, цель топика?
Да хрен с ним с топиком, ссылка зачем на кейген?
Хабр — варезный крякосайт?
Сказал бы — есть кряк, вот то делает, вот то я о нем думаю, но зачем ссылка то?
Все кто хочет найти, найдет.

[sanchower]

Цель топика — рассказать сообществу, что был произведен взлом WinRAR и смысл использовать цифровую подпись архивов теперь пропал.
Предмет топика — кейген, ссылка дана в доказательство того, что взлом действительно был и каждый может проверить и посмотреть, что делает кейген. Если бы я не выложил кейген, то все равно кто-нибудь в комментариях попросил бы «пруфлинк».
Хабр — не варезный сайт, но сайт IT-тематики.

Не волнуйтесь вы так, защита WinRAR, как мне кажется, будет переработана и всем зарегистрированным пользователям будут выдаваться новые ключи. Так что все нагенеренные таким вот образом ключи потеряют смысл.

[Cudesnik]

Уже давно пора и метод проверки ключа переработать, там ломается всё за 15 минут.

[galaxy]

Аккуратнее скачивайте подобную дрянь — Avira ругается на TR/Dropper.Gen. Хотя есть вероятность, что это ложное срабатывание.

[sanchower]

Судя по статистике, думаю это ложное срабатывание.