היי חברים,

אני צריך 2 דברים:

א. יש לי אפליקציה ב.Net שמייצרת קובץ xml. אני צריך שהקובץ הזה יהיה בתיקיה לא נגישה ושאי אפשר יהיה לגשת לקובץ בשום צורה (ברמה יותר גבוהה מפשוט לעשות לקובץ Hidden במאפיינים)

ב. תהיה לי אפליקצה נוספת (שהיא היחידה עם גישה לקובץ xml ההוא). האפליקציה תיקח את הxml הנ"ל, יכול להיות שיותר מקובץ אחד, תחבר אותם לקובץ אחד ותצפין אותם לקובץ xxx. למשל, בדרך שניתן יהיה לראות את הקובץ עצמו (לצורך העברה למחשב אחר למשל) אך אי אפשר לצפות בתוכן של הקובץ בשום דרך.

איך אני עושה דבר כזה?

תודה מראש

1. האפליקציה שלך רצה בהרשאות של המשתמש שהריץ אותה. לכל מקום שלה יש גישה, למשתמש יש גישה. כמובן שאם יש לך הרשאות גבוהות מאוד אתה יכול לייצר משתמש חדש, ולהשתמש בו בשביל כל הדברים הללו.
   אך אל חשש, גם זו לא באמת הגנה:
   1. אם יש למשתמש אדמין מקומי הוא יכול לקבל גישה לכל תיקיה שהיא, ולא משנה מי המשתמש שיצר אותה.
   2. גם אם לא, הוא יכול לבצע הנדסה לאחור של הקוד שלך, ולמצוא את שם המשתמש והסיסמה שאתה משתמש בהם, להשתמש בהם בעצמו.
2. התוכנה שלך מצפינה משהו. נגיד שהיא משתמשת בהצפנה ממש חזקה. נגיד AES. משו לפנים. את המפתח היא מצפינה בעזרת RSA. משו לפנים. ואז המשתמש פותח את התוכנה, רואה מה המפתח, ופותח את הקובץ.

היי,

תודה על התגובה - אך לא נראה לי שהובנתי כראוי.
נראה לי שאוותר על הסתרת הקובץ אלא אלך רק על הצפנתו. אני רוצה להצפין קובץ מתוך תוכנת End שנכתבה ב.Net לרמה שלא יהיה ניתן לראות את תכולת הקובץ. את תכולת הקובץ יהיה ניתן לפתוח רק באמצעות התוכנה שלי במחשב אחר.
איך אני עושה דבר כזה?

תשים לב שאין דבר כזה מוגן. ביפני מישהוא שמבין ונחוש, אין מה לעשות. כל מה שאתה יכול לעשות זה רק להקשות.

קשקוש.
הכל תלוי באיום יחוס שלך.
אם אני אתן לך קובץ מוצפן ב-RSA או אפילו סתם ב-3DES - אני לא מאמין שתמצא פתרון כל כך מהר.
נכון שה-NSA יצליחו - אבל זה לא סתם "מישהו נחוש".
בגלל זה אגב ל-PGP לקח כל כך הרבה זמן לקבל אישור וגם אז - אסור להוציא אותו מגבולות ארה"ב.


ולפותח האשכול - בשביל להסתיר קובץ - אתה צריך לעבוד בשוטף עם משתמש שאינו administrator.
צור משתמש חדש ועם שימוש ב-credentials תוכל להשתמש בו בתוכנית למרות שהוא לא זה שהריץ אותה. כל קובץ שהמשתמש יצור ורק הוא יראה - אי אפשר יהיה להגיע אליו.

ולגבי הצפנות - יש פקג' נוח ב-Net. שנקרא cryptography. בעזרתו תוכל להצפין קבצים במגוון אלגוריתמים. חלקם בעלי מפתח שתוכל לספק, חלקם בעלי מפתח מנוהל (CA) וחלקם ללא מפתח (משתמשים ביוזר שעובד כדי להצפין את המידע).

כל מי שמתיחס אלי ברצינות רבה מדי - עושה זאת על אחריותו האישית !
http://www.pbase.com/arnon_g

אתה מסיים להצפין, ואז אני פותח את הקובץ. אם היית מצפין הכלב-RSA, באמת לא היה מה לעשות, אבל זה די בלתי-אפשרי מבחינה טכנית. כנראה שתצפין בהצפנה סימטרית (שוב, נגיד AES) ורק את המפתח תצפין ב-RSA. אני פשוט אגלה את מפתח ה-AES בזמן הריצה.

למה בלתי אפשרי להצפין בכל ב-RSA ? צריכת CPU ? יהיה בסדר. תבדיל בין לא אפשרי לבין יקר.
ואני יכול לתת לחומרה חיצונית את הקובץ ולקבל אותו מוצפן במה שתרצה בלי שהמפתח יגיע למחשב לעולם. וכמו שכתבת - זה בהנחה שאני משתמש בהצפנה סימטרית.
אם אני משתמש בהצפנה א-סימטרית - זה שתראה את המפתח public לא ממש יעזור לך.

בקיצור - למעצמות כמו ארה"ב יש יכולות פענות שבד"כ מבוססות על brut-force.
לאנשים פרטיים אין את עוצמת המחשוב הנדרשת.

כל מי שמתיחס אלי ברצינות רבה מדי - עושה זאת על אחריותו האישית !
http://www.pbase.com/arnon_g

שלא לדבר על שימוש בחומרה ייעודית. מה? הוא יריץ את הדוטנט שלו על XBOX? גם זה PC וגם עליו אפשר לפתוח דיבאגר.

למה לקשקש בתחום שאתה לא מבין בו ?
היום אפשר לקנות מכשיר שנראה כמו disk on key ומתחבר ל-USB ומבצע הצפנה מחוץ למחשב.

כל מי שמתיחס אלי ברצינות רבה מדי - עושה זאת על אחריותו האישית !
http://www.pbase.com/arnon_g

הבחור כתב שהאפליקציה שלו בדוטנט, ראש בטטה.

ציטוט:

במקור נכתב על ידי לפנים ראש בטטה.

מה אתה בן 4 ???
ומה הקשר לדוט-נט ?

בקיצור -
א. אפשר להצפין בלי להכניס את המפתח למחשב ע"ג מצפיני USB חיצוניים
ב. אפשר להצפין עם PUBLIC KEY ואז אין בעיה. ואם יש לך בעיה עם החומרה - תצפין ב-3Des ואת המפתחות ב-RSA. או במילים אחרות - PGP.
ג. כשתצבור נסיון אמיתי ולא סתם לקרוא ספרים לפני הגיוס - תתווכח עם אנשים אחרים. עד אז - תרגיש חופשי לקרוא למי שאתה רוצה "ראש בטטה". שמעתי שבגני ילדים זה הולך חזק היום.

כל מי שמתיחס אלי ברצינות רבה מדי - עושה זאת על אחריותו האישית !
http://www.pbase.com/arnon_g

כמובן שקריאה זה קצת גדול עליך, ואני לא בא אליך בטענות, חס וחלילה.

בקיצור:
א. זה לא המצב שלנו. הבחור לא הזכיר חומרה חיצונית.
ב. בפועל, אי-אפשר להצפין כמויות גדולות של מידע בשיטות public-key הקיימות. 3DES איננו בטוח סתם כך, ולא משנה באיזו שיטה סימטרית מצפינים, אני יכול לדעת מה המפתח, כי התוכנה רצה אצלי על המחשב.
ג. די ברור שהידע שלי גדול משלך, גם בתחום התכנות, וגם בתחום הצופן. כשתסיים תיכון תדבר איתי על גיוס...

ניצחת. כל הכבוד לך.

כל מי שמתיחס אלי ברצינות רבה מדי - עושה זאת על אחריותו האישית !
http://www.pbase.com/arnon_g

עד אז, תשתוק, תקרא, תקשיב, ואולי תלמד.

אתה מהילדים שגם כשאומרים להם שהם ניצחו הם לא מפסיקים הא ?
היה לי פינצ'ר כזה.
די. ניצחת. כל הכבוד. בטוח יש לך יותר מ-15 שנות נסיון שיש לי, בטוח ניהלת צוותי אבטחת מידע גדולים מ-3 אנשים סה"כ שאני ניהלתי (טוב נו, זה היה לפני 4 שנים...) ובטוח עשית פרויקטי אבטחת מידע גדולים מה-10 שנות אדם בלבד שאני ניהלתי.
אתה תותח, אתה גדול, אתה חזק, אתה בלונדיני, אתה גבוה, אתה מוצלח.
אם לא הייתי נשוי כבר - הייתי מתחתן איתך.
אני לא יודע אם הרמה הגבוהה שלך מצדיקה את היחס שלך לאנשים אחרים - אבל זה כבר לא בעיה שלי.

כל מי שמתיחס אלי ברצינות רבה מדי - עושה זאת על אחריותו האישית !
http://www.pbase.com/arnon_g

מזכיר לי חמור שהיה לי בילדותי.

אמרת שטויות, וכדי לצאת מזה אתה מספר לנו איזה צוותים יעני ניהלת. ואני מנכ"ל של חברת תוכנה בשווי של מיליוני דולרים. יופי לך. באינטרנט לכולם יש כינויים, וזה הכל. מה שאתה אומר יקבע כמה מעריכים אותך, ולא כמה אתה מזיין את השכל על דברים שעשית בכל מיני מקומות אחרים. בינתיים, דיברת שטויות, ולא משנה כמה פרוייקטים ניהלת בחברה שבחלומות שלך.

וזה היה כל כך חשוב לך להגיד כדי שתקפיץ את האשכול ?
עצוב .....

אגב - סתם ביננו - כל מה שכתבתי על עצמי נכון. אבל באמת שזה לא משנה.
אם תתעקש לראות LinkedIn כולל המלצות - תגיד

כל מי שמתיחס אלי ברצינות רבה מדי - עושה זאת על אחריותו האישית !
http://www.pbase.com/arnon_g

מי אמר שממליצים לא יכולים לטעות?

העיקר שאתה מקשקש בתחום שבו אתה לא מבין.

צודק. אתה גדול. מחפש עבודה ? אני צריך עובדים מעולים כמוך !
(רק אני מרגיש שזה קצת מתחיל לחזור על עצמו ?)

כל מי שמתיחס אלי ברצינות רבה מדי - עושה זאת על אחריותו האישית !
http://www.pbase.com/arnon_g

זה לא משנה איזו הצפנה תשים. התוכנה שלך יכולה ליפתוח את זה על המחשב שלי? גם אני יכול. בדיוק באותה דרך שבה היא עושה את זה.

זה בהנחה שהתוכנה פותחת את הצפנה, אם תשתמש בהצפנה א-סימטרית - לא תוכל.
אבל ההנחה שאם יש לי גישה למחשב שפותח את ההצפנה - יש לי גישה לצופן - נכונה.

כל מי שמתיחס אלי ברצינות רבה מדי - עושה זאת על אחריותו האישית !
http://www.pbase.com/arnon_g

כמובן שזה באותה הנחה שהתוכנה פותחת את זה במחשב שלי. כי זה מה שהוא ביקש...

ציטוט:

במקור נכתב על ידי ArnonG בקיצור - למעצמות כמו ארה"ב יש יכולות פענות שבד"כ מבוססות על brut-force. לאנשים פרטיים אין את עוצמת המחשוב הנדרשת.

רק רציתי להזכיר שאת עוצמת המחשוב הזו יש להרבה אנשים פרטיים שמשתמשים במחשוב מבוזר דרך השתלטות על אינספור מחשבים באמצעות הפצת תולעים.

צריך גם לזכור שלא צריך להיות אפילו האקר בשביל להשיג כזו עוצמה... כל מה שצריך זה כסף או להכיר את האנשים הנכונים. שלא לדבר על זה שמחוץ לbrute force יש אינספור דרכים אחרות לעקוף בכלל את הסיסמה ולפצח את המערכת ב-work around, כמו לשתול keylogger פשוט שיקליט אותה.