ukladanie hesiel

Sekcia: Programovanie 16.06.2009 | 11:17
Avatar Lapajko Arch Linux  Používateľ
Potrebujem v jednej aplikacii ukladat hesla takym sposobom, aby bolo mozne ziskat ich naspat / teda nie hash.

Napr: potrebujem vytvorit aplikaciu, ktora bude mat zoznam IP, uzivatelskych mien, hesiel a bude testovat prihlasenie na FTP a upload suboru. (to je len ako priklad)

Aplikacia bude spustana cronom, bez interakcie uzivatela.
Rad by som tie hesla k FTP kryptoval, ale na to potrebujem zase nejake heslo, pomocou ktoreho to odkryputujem.
Toto GLOBAL heslo by som tiez rad ulozil tak, aby k nemu nebol jednoduchy pristup. Nejaky napad?
Uvazoval som nad tym, ze to bude priamo v zdrojaku, ale to tiez nie je moc bezpecne, ked sa ku zdrojakom niekto dostane.

Thx na napady
    • Re: ukladanie hesiel 16.06.2009 | 15:02
      Avatar Michal Nánási Ubuntu 11.04  Používateľ
      Najskor jazykove okienko: pise sa sifrovat, nie kryptovat. Kryptovat mozes na cintorine.

      A teraz k tvojej otazke. Preco chces sifrovat hesla? Potrebujes z nejakeho dovodu vediet zistit spatne heslo?
      Na toto existuju aj lepsie alternativy, ako napriklad pouzit nejaku kryptograficky bezpecnu (nie md5) hashovaciu funkciu.

      Ak by si predsalen chcel vediet zistit heslo, tak to sprav nasledovne. Zober nejaku asymetricku sifru (napriklad RSA), a vygeneruj sukromny a verejny kluc. Verejnym klucom zasifruj hesla a maj ich ulozene na serveri. Aj verejny kluc mozes mat ulozeny na serveri, lebo s nim vies len overit, ci je heslo spravne. Sukromny kluc maj na bezpecnom mieste a kym nebudes potrebovat zistit niekoho heslo, tak ho nebudes potrebovat.
      Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!
      • Re: ukladanie hesiel 16.06.2009 | 15:05
        Avatar Michal Nánási Ubuntu 11.04  Používateľ
        Samozrejme, ak nebudes sifrovat komunikaciu kazdy kto ti ju bude odpocuvat bude automaticky vediet heslo.
        Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!
      • Re: ukladanie hesiel 16.06.2009 | 15:31
        Avatar Lapajko Arch Linux  Používateľ
        aj nad RSA som sa zamýšľal, len ma zaujíma jedna vec:

        na to, aby som dešifroval heslo potrebujem súkromný kľúč a aj k nemu heslo - ak sa nemýlim. A potom mám 2 problémy:
        - kam bezpečne uložiť kľúč
        - kam bezpečne uložiť heslo k súkromnému kľúču

        To šifrovanie a dešifrovanie má vykonávať aplikácia, teda musí poznať heslo k šifrovaniu
        • Re: ukladanie hesiel 16.06.2009 | 15:44
          Avatar Michal Nánási Ubuntu 11.04  Používateľ
          Naco? Ak chces overit, ci uzivatel zadal dobre heslo, tak ho zasifrujes verejnym klucom a porovnas. A verejny kluc nemusis schovavat.

          A co za aplikaciu robis, ze potrebujes vediet zistit uzivatelove heslo? Ak koli tomu, ze ho uzivatel zabudne, tak je lepsie, ked ho pregenerujes.
          Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!
          • Re: ukladanie hesiel 16.06.2009 | 16:10
            Avatar Lapajko Arch Linux  Používateľ
            ešte raz to napíšem:

            - existuje 10 FTP serverov
            - kazdu hodinu sa ma na kazdy FTP server uploadnut jeden file
            - bude napisana aplikacia, ktora sa na kazdy server pripoji a uploadne subor
            - na to potrebuje hesla na kazdy FTP server
            - tieto hesla musia byt zabezpecene tak, aby k nim nemal pristup ani administrator servera, na ktorom bez uvedena aplikacia

            • Re: ukladanie hesiel 16.06.2009 | 16:20
              Avatar Michal Nánási Ubuntu 11.04  Používateľ
              V takom pripade sa to neda. Ak to budes mat vsetko na tom serveri, administrator ma vsetko potrebne, aby zistil hesla.
              Ani keby si dane hesla drzal na inej masine, tak administrator vie odvodit vsetko potrebne, aby sa vedel autenfikovat na danu masinu.
              Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!
              • Re: ukladanie hesiel 16.06.2009 | 16:29
                Avatar Lapajko Arch Linux  Používateľ
                Tiež som to najprv ohodnotil ako neriešiteľný problém - a asi to tak aj ostane.

                Bol som zvedavý, či má niekto nejaký nápad... ale asi to fakt nepôjde.
                • Re: ukladanie hesiel 16.06.2009 | 16:32
                  Avatar Michal Nánási Ubuntu 11.04  Používateľ
                  Ako, da sa formalne dokazat, ze to nepojde.

                  Aky mas pristup na tie ftp servery? Vies napriklad nastavit na nich, ze iba z daneho servera moze niekto uploadnut ten subor? Potom by sice adminitrator tam vedel hodit iny subor, ale nevedel by tam spravit nic ine.
                  Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!
                  • Re: ukladanie hesiel 16.06.2009 | 16:41
                    Avatar Lapajko Arch Linux  Používateľ
                    Viem, že sa to takto dá riešiť.

                    Ide ale o komplexnejšiu aplikáciu, nejde len o FTP - to bol príklad. Niečo ako obmedzenie na IP, a podobne neprichádza do úvahy.

                    Thx za postrehy, ale asi to tu naozaj nevyriešime
                    • Re: ukladanie hesiel 16.06.2009 | 16:46
                      Avatar Michal Nánási Ubuntu 11.04  Používateľ
                      Neviem ci to ftp (ale napriklad ssh hej ) vie, ale co tak pouzit sukromne kluce? Proste na serveri budes mat sukromny kludc autentifikujes sa len nim a ten dany sukromny kluc bude mat pristup len k tomu subpru.
                      Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!
                  • Re: ukladanie hesiel 17.06.2009 | 23:26
                    stando   Návštevník
                    ak ta aplikacia pobezi na serveri kde ma "utocnik" root-a tak mas problem...staci aby pomenil smerovacie politiky napriklad tak, ze tvoja aplikacia si bude mysliet, ze sa hlasi na spravny server a pritom pojde inam. Alebo moze rovno pozerat pokety ake to posiela (ak je heslo v plain-texte).
                    • Re: ukladanie hesiel 17.06.2009 | 23:35
                      Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
                      Alebo si rovno dumpovat stranky, ktore ma dany program v ramke. Moznosti je neurekom. Hlavne je povedat, ze pred rootom sa proste neda nic na danom stroji skutocne utajit, jedine sa dostat na uroven vyssie, ako je on sam.
                      Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity