Комментарии 57
Я бы лучше побольше узнал про эту цифровую подпись архивов… Зачем она? :-)
ну по идее типа никто не менял архив, хотя мне не понятно чем моя подпись (PGP\RSA (а я, например, подписываю всю свою почту)) хуже вынрарвской — непонятно по какому алгоритму построенной…
ЗЫ: использую 7z.
ЗЫ: использую 7z.
Цифровая подпись — это гарант того, что в архиве именно то, что задумал автор(на чье имя цифровая подпись) и ничего лишнего нет. Ничего добавить в архив не получится, иначе пропадет подпись.
Не знаю, понятно обьяснил или нет, вот может картинка поможет понять, о чем речь:
Не знаю, понятно обьяснил или нет, вот может картинка поможет понять, о чем речь:
Теперь же любой сможет сгенерировать себе любой ключ и подделать подпись.
Каким образом злоумышленник сможет узнать ваш ключ?
Взяв ранее созданные мной архивы с цифровой подписью. Да вариантов на самом деле масса! Или вы клоните к тому, что проблема взлома выдуманная?
Злоумышленнику досаточно будет узнать имя, которое отображается в подписи архива, и сгенерить под него ключ, соответственно подписанные злоумышленником архивы будут иметь в подписи «нужное» имя…
То есть в winrar используется электронная подпись не на базе асимметричного шифрования, а свой велосипед?
ECC там. В nfo написано.
там эллиптические кривые используются, этот как вы назвали «велосипед», является чуть ли не самым надежным на сегодня методом шифрования. Для справки — там длина ключа в 64 бита является просто отличной, не то что в этих RSA с 1024. Во всем «виновата» задача дискретного логарифмирования в поле элементов кривой.
Тогда я не понимаю, как кейген может скомпрометировать алгоритм цифровой подписи, надежность которого основана на секретности private key.
private key и слямзили. Либо им очень повезло подобрать, что врядли.
С цифровыми подписями я работал, но не в winrar'е поэтому возможно не понимаю данную ситуацию.
Что бы пользоваться цифровой подписью, я должен сгенерировать private и public key. Что бы удостовериться, что документ подписан мной достаточно знать мой public key. Пока мой private key известен только мне, подделать мою подпись невозможно.
Вопрос в том, каким образом злоумышленник, используя это кряк, сможет получить мой private key?
Что бы пользоваться цифровой подписью, я должен сгенерировать private и public key. Что бы удостовериться, что документ подписан мной достаточно знать мой public key. Пока мой private key известен только мне, подделать мою подпись невозможно.
Вопрос в том, каким образом злоумышленник, используя это кряк, сможет получить мой private key?
Ребята, не партесь. Похоже, автор топика написал что-то, толком не зная что.
Похоже, путается понятие цифровой подписи и имени/логина владельца ключа к винрару.
Похоже, путается понятие цифровой подписи и имени/логина владельца ключа к винрару.
ну а помимо ключика вам ведь еще сетификат дается, по которому конечный пользователь и проверяет все?
Я конечно не уверен, но тут вполне возможна ситуация, что этот кряк создает сертификаты на основе какого-то секрета, который как раз и украли
Я конечно не уверен, но тут вполне возможна ситуация, что этот кряк создает сертификаты на основе какого-то секрета, который как раз и украли
В раре Вы ничего не генерируете, все высылается при регистрации и оно основано на ключах Евгения. Зная эти ключи возможно сгенерировать новые ключи на Ваше имя, подпись которыми так же будет корректна. По-моему так.
Ну WinRar это не то средство, которым нужно пользоваться для создания цифровой подписи. Конечно, можно и с помощью паяльной лампы побриться, но все же лучше для цифровой подписи использовать специально предназначенные для этого программы. PGP tools, например, бесплатные и с открытым исходным кодом.
эм… что-то я не очень понял… а раньше что игрушечные кейгены были? О.о
То были не цифровой подписи
Те кейгены патчили WinRAR. Они могли конечно «зарегистрировать» программу на ваше имя, но цифровая подпись до недавнего времени оставалась крякерам недоступна.
НЛО прилетело и опубликовало эту надпись здесь
Были версии, которые позволяли просматривать оригинальные подписи и только. Добавлять подпись, которую подтвердил бы оригинальный рар, никакой псевдокейген не умел.
Я был уверен, что в этом кейгене отлична музыка, и вправду неплохая :)
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
В версии 2.60 был изменен алгоритм регистрации. До этого кейгенов было много, после 2.60, кейген от FFF единственный, который не вносит никаких изменений в исполняемый файл рара. Псевдокейгены для версия >=2.60 изменяли публичный ключ, либо вообще обходили алгоритм регистрации. В результате сгенерированные ключи подходили только к таким же патченным версиям.
НЛО прилетело и опубликовало эту надпись здесь
При открытии этого архива моим вин раром(он на триале, вот щас поставил, пользуюсь 7zip) версия 3,70, сказало что не верная цифровая подпись :)
Пользуйте свободный софт — и подобные вопросы перестанут вас волновать.
Я конечно все понимаю… Но это уже перебор.
Евгений Рошал, наш соотечественник, который среди немногих выбился в «люди», автор программ — «бестселлеров». И блин на хабре, который как бы не чужеродный, обсуждается кряк к его софту???
Евгений Рошал, наш соотечественник, который среди немногих выбился в «люди», автор программ — «бестселлеров». И блин на хабре, который как бы не чужеродный, обсуждается кряк к его софту???
Вы предлагаете закрыть глаза и пропустить эту новость? Или убрать ссылку на кряк, который уже общедоступен? ЛЮБОЙ желающий его уже может найти и скачать.
Евгения Рошала и его труд я уважаю, но не стоит так категорично к новости. Я в новости никого грязью не поливаю, я просто констатирую сухие факты.
Евгения Рошала и его труд я уважаю, но не стоит так категорично к новости. Я в новости никого грязью не поливаю, я просто констатирую сухие факты.
НЛО прилетело и опубликовало эту надпись здесь
Сайт WZor.NET к примеру, активно использует цифровую подпись в своих архивах. Так как доступ на сайт есть не у всех(регистрация была закрыта), то файлы с этого ресурса всплывают потом на разных форумах. И люди, после того, как видят подпись файла, видят, что файлы действительно взоровские (те без вирусов и тп).
Чтоб на ваш проект выкладывали инъекции для дестроя базы на публику.
Никакого уважения к труду человека.
Большинство же программисты.
Никакого уважения к труду человека.
Большинство же программисты.
Хм, кейген вообще-то уже давно в public. Я думаю, 80% хабрасообщества вполне смогут найти его без особых проблем. Если бы это был сценовый INTERNAL-релиз, тогда конечно ваши замечания были бы уместны, а так…
Уважение у меня в Рошалу есть, WinRAR у меня купленный. Я немного программ покупал, но эту купил. Труд я его уважаю.
Уважение у меня в Рошалу есть, WinRAR у меня купленный. Я немного программ покупал, но эту купил. Труд я его уважаю.
Хорошо, цель топика?
Да хрен с ним с топиком, ссылка зачем на кейген?
Хабр — варезный крякосайт?
Сказал бы — есть кряк, вот то делает, вот то я о нем думаю, но зачем ссылка то?
Все кто хочет найти, найдет.
Да хрен с ним с топиком, ссылка зачем на кейген?
Хабр — варезный крякосайт?
Сказал бы — есть кряк, вот то делает, вот то я о нем думаю, но зачем ссылка то?
Все кто хочет найти, найдет.
Цель топика — рассказать сообществу, что был произведен взлом WinRAR и смысл использовать цифровую подпись архивов теперь пропал.
Предмет топика — кейген, ссылка дана в доказательство того, что взлом действительно был и каждый может проверить и посмотреть, что делает кейген. Если бы я не выложил кейген, то все равно кто-нибудь в комментариях попросил бы «пруфлинк».
Хабр — не варезный сайт, но сайт IT-тематики.
Не волнуйтесь вы так, защита WinRAR, как мне кажется, будет переработана и всем зарегистрированным пользователям будут выдаваться новые ключи. Так что все нагенеренные таким вот образом ключи потеряют смысл.
Предмет топика — кейген, ссылка дана в доказательство того, что взлом действительно был и каждый может проверить и посмотреть, что делает кейген. Если бы я не выложил кейген, то все равно кто-нибудь в комментариях попросил бы «пруфлинк».
Хабр — не варезный сайт, но сайт IT-тематики.
Не волнуйтесь вы так, защита WinRAR, как мне кажется, будет переработана и всем зарегистрированным пользователям будут выдаваться новые ключи. Так что все нагенеренные таким вот образом ключи потеряют смысл.
НЛО прилетело и опубликовало эту надпись здесь
Аккуратнее скачивайте подобную дрянь — Avira ругается на TR/Dropper.Gen. Хотя есть вероятность, что это ложное срабатывание.
Судя по статистике, думаю это ложное срабатывание.
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Появился первый настоящий кейген к WinRAR, цифровая подпись теряет актуальность