Появился первый настоящий кейген к WinRAR, цифровая подпись теряет актуальность

    image
    Недавно в ленте видел поздравление Евгения Рошала с днем рождения, порадовался за человека. Он много хорошего и полезного для IT-сообщества сделал. И вот натыкаюсь на сенсационную новость. Оказывается, появился первый рабочий кейген для WinRAR. Что это значит? А значит это то, что теряется смысл в цифровой подписи, которая была гарантом того, что архив создан именно тем, кем должен был. Теперь же любой сможет сгенерировать себе любой ключ и подделать подпись. Как мне кажется, на лицо взлом сайта и механизма регистрации.

    Ну и собственно сам виновник торжества: WinRAR.v3.80_KEYGEN-FFF

    P.S: WinRAR у меня купленный и новость эта для меня актуальна. Как поведет себя Рошал, будет выдавать новые ключи всем зарегистрированным? Алгоритм же полюбому нужно будет сменить. Вобщем, пока вопросов больше, чем ответов.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 57

      +4
      Я бы лучше побольше узнал про эту цифровую подпись архивов… Зачем она? :-)
        +2
        ну по идее типа никто не менял архив, хотя мне не понятно чем моя подпись (PGP\RSA (а я, например, подписываю всю свою почту)) хуже вынрарвской — непонятно по какому алгоритму построенной…
        ЗЫ: использую 7z.
          0
          Я не о том — имеет ли она смысл в практическом применении? Если честно, никогда не встречал людей, проверяющих ее. А если требуется подпись при передаче данных, то используют PGP (GPG) или SSL с приватными сертификатами.
            0
            хуже того: я даже не встречал людей использующих ЭЦП винрара…
            P.S: а при чем тут SSL вообще, если это протокол, а не какой-то алгоритм?
          +3
          Цифровая подпись — это гарант того, что в архиве именно то, что задумал автор(на чье имя цифровая подпись) и ничего лишнего нет. Ничего добавить в архив не получится, иначе пропадет подпись.
          Не знаю, понятно обьяснил или нет, вот может картинка поможет понять, о чем речь:
          –2
          Теперь же любой сможет сгенерировать себе любой ключ и подделать подпись.


          Каким образом злоумышленник сможет узнать ваш ключ?
            +1
            Взяв ранее созданные мной архивы с цифровой подписью. Да вариантов на самом деле масса! Или вы клоните к тому, что проблема взлома выдуманная?
              +1
              Злоумышленнику досаточно будет узнать имя, которое отображается в подписи архива, и сгенерить под него ключ, соответственно подписанные злоумышленником архивы будут иметь в подписи «нужное» имя…
                0
                То есть в winrar используется электронная подпись не на базе асимметричного шифрования, а свой велосипед?
                  0
                  ECC там. В nfo написано.
                    +1
                    там эллиптические кривые используются, этот как вы назвали «велосипед», является чуть ли не самым надежным на сегодня методом шифрования. Для справки — там длина ключа в 64 бита является просто отличной, не то что в этих RSA с 1024. Во всем «виновата» задача дискретного логарифмирования в поле элементов кривой.
                      +1
                      Тогда я не понимаю, как кейген может скомпрометировать алгоритм цифровой подписи, надежность которого основана на секретности private key.
                        0
                        private key и слямзили. Либо им очень повезло подобрать, что врядли.
                          0
                          С цифровыми подписями я работал, но не в winrar'е поэтому возможно не понимаю данную ситуацию.

                          Что бы пользоваться цифровой подписью, я должен сгенерировать private и public key. Что бы удостовериться, что документ подписан мной достаточно знать мой public key. Пока мой private key известен только мне, подделать мою подпись невозможно.

                          Вопрос в том, каким образом злоумышленник, используя это кряк, сможет получить мой private key?
                            +2
                            Ребята, не партесь. Похоже, автор топика написал что-то, толком не зная что.
                            Похоже, путается понятие цифровой подписи и имени/логина владельца ключа к винрару.
                              0
                              ну а помимо ключика вам ведь еще сетификат дается, по которому конечный пользователь и проверяет все?

                              Я конечно не уверен, но тут вполне возможна ситуация, что этот кряк создает сертификаты на основе какого-то секрета, который как раз и украли
                                0
                                В раре Вы ничего не генерируете, все высылается при регистрации и оно основано на ключах Евгения. Зная эти ключи возможно сгенерировать новые ключи на Ваше имя, подпись которыми так же будет корректна. По-моему так.
                                  0
                                  Да, блин=) defected by design.
                    +7
                    Ну WinRar это не то средство, которым нужно пользоваться для создания цифровой подписи. Конечно, можно и с помощью паяльной лампы побриться, но все же лучше для цифровой подписи использовать специально предназначенные для этого программы. PGP tools, например, бесплатные и с открытым исходным кодом.
                      0
                      эм… что-то я не очень понял… а раньше что игрушечные кейгены были? О.о
                        +5
                        То были не цифровой подписи
                          +3
                          Те кейгены патчили WinRAR. Они могли конечно «зарегистрировать» программу на ваше имя, но цифровая подпись до недавнего времени оставалась крякерам недоступна.
                          • UFO just landed and posted this here
                              +1
                              Были версии, которые позволяли просматривать оригинальные подписи и только. Добавлять подпись, которую подтвердил бы оригинальный рар, никакой псевдокейген не умел.
                              • UFO just landed and posted this here
                                  +2
                                  Кроме создания регфайла он изменяет winrar.exe. Все. Это не кейген, это патч-кейген, ключи которого к версии рара скачанной с офсайта не подойдут.
                                  • UFO just landed and posted this here
                                      +2
                                      Если подписать архив ломаной версией, то на лицензии, подпись была повреждена. Давно как то пробовал, может что и изменилось.
                                      • UFO just landed and posted this here
                          +6
                          Я был уверен, что в этом кейгене отлична музыка, и вправду неплохая :)
                            0
                            не. заунывный он какой-то… напряжный
                          • UFO just landed and posted this here
                            • UFO just landed and posted this here
                              • UFO just landed and posted this here
                                +1
                                В версии 2.60 был изменен алгоритм регистрации. До этого кейгенов было много, после 2.60, кейген от FFF единственный, который не вносит никаких изменений в исполняемый файл рара. Псевдокейгены для версия >=2.60 изменяли публичный ключ, либо вообще обходили алгоритм регистрации. В результате сгенерированные ключи подходили только к таким же патченным версиям.
                                • UFO just landed and posted this here
                                  • UFO just landed and posted this here
                                      0
                                      Если ключ был сгенеренный кейгеном, то оригинальный рар выдал бы ошибку при проверке подписи архива. В скриншоте выше, в статусбаре ясно же написано: «WinRAR public key… replaced.»
                                      • UFO just landed and posted this here
                                  • UFO just landed and posted this here
                                    –1
                                    При открытии этого архива моим вин раром(он на триале, вот щас поставил, пользуюсь 7zip) версия 3,70, сказало что не верная цифровая подпись :)
                                      –1
                                      Хм, больше не выдаёт такого O_o
                                      +3
                                      Пользуйте свободный софт — и подобные вопросы перестанут вас волновать.
                                        +4
                                        Я конечно все понимаю… Но это уже перебор.
                                        Евгений Рошал, наш соотечественник, который среди немногих выбился в «люди», автор программ — «бестселлеров». И блин на хабре, который как бы не чужеродный, обсуждается кряк к его софту???
                                          +2
                                          Вы предлагаете закрыть глаза и пропустить эту новость? Или убрать ссылку на кряк, который уже общедоступен? ЛЮБОЙ желающий его уже может найти и скачать.

                                          Евгения Рошала и его труд я уважаю, но не стоит так категорично к новости. Я в новости никого грязью не поливаю, я просто констатирую сухие факты.
                                            +1
                                            Любой желающий может найти и скачать, но к таким желающим как-то уважения не проклевывается.
                                        • UFO just landed and posted this here
                                            0
                                            Сайт WZor.NET к примеру, активно использует цифровую подпись в своих архивах. Так как доступ на сайт есть не у всех(регистрация была закрыта), то файлы с этого ресурса всплывают потом на разных форумах. И люди, после того, как видят подпись файла, видят, что файлы действительно взоровские (те без вирусов и тп).
                                            0
                                            Чтоб на ваш проект выкладывали инъекции для дестроя базы на публику.
                                            Никакого уважения к труду человека.
                                            Большинство же программисты.
                                              +2
                                              Хм, кейген вообще-то уже давно в public. Я думаю, 80% хабрасообщества вполне смогут найти его без особых проблем. Если бы это был сценовый INTERNAL-релиз, тогда конечно ваши замечания были бы уместны, а так…
                                              Уважение у меня в Рошалу есть, WinRAR у меня купленный. Я немного программ покупал, но эту купил. Труд я его уважаю.
                                                0
                                                Хорошо, цель топика?
                                                Да хрен с ним с топиком, ссылка зачем на кейген?
                                                Хабр — варезный крякосайт?
                                                Сказал бы — есть кряк, вот то делает, вот то я о нем думаю, но зачем ссылка то?
                                                Все кто хочет найти, найдет.
                                                  +2
                                                  Цель топика — рассказать сообществу, что был произведен взлом WinRAR и смысл использовать цифровую подпись архивов теперь пропал.
                                                  Предмет топика — кейген, ссылка дана в доказательство того, что взлом действительно был и каждый может проверить и посмотреть, что делает кейген. Если бы я не выложил кейген, то все равно кто-нибудь в комментариях попросил бы «пруфлинк».
                                                  Хабр — не варезный сайт, но сайт IT-тематики.

                                                  Не волнуйтесь вы так, защита WinRAR, как мне кажется, будет переработана и всем зарегистрированным пользователям будут выдаваться новые ключи. Так что все нагенеренные таким вот образом ключи потеряют смысл.
                                                    –1
                                                    Уже давно пора и метод проверки ключа переработать, там ломается всё за 15 минут.
                                            • UFO just landed and posted this here
                                                +1
                                                Аккуратнее скачивайте подобную дрянь — Avira ругается на TR/Dropper.Gen. Хотя есть вероятность, что это ложное срабатывание.
                                              • UFO just landed and posted this here

                                                Only users with full accounts can post comments. Log in, please.