Безопасная передача данных на сервер

@Nalik · Регистрация: 30.11.2012

Author24 — интернет-сервис помощи студентам

Здравствуйте, интересует безопасная передача зашифрованных данных на сервер.
Делаю программу запоминания паролей с привязкой к БД (через php файл).
В данный момент у меня в программе данные шифруются простеньким алгоритмом шифрования написанным мной, типа алгоритма цезаря только с использованием пользовательского ключа, после чего эти данные шифруются AES с тем же пользовательским ключом, после этого эти данные мне нужно передавать на сервер, но я не хочу их передавать в том виде в котором они есть на данный момент. Потому уже зашифрованные пользовательские данные шифрую своим алгоритмом шифрования (который типа алгоритма цезаря) с заложенным в программу ключом по умолчанию и передаю на сервер. На сервере для расшифровки используются точно такой же ключ который заложен в программе, для получения зашифрованных пользовательских данных. После расшифровки данные заносятся в БД. Минус этого способа в том, что если программу декомпилировать, то этот пароль заложенный в программу можно достать и расшифровать данные. Конечно злоумышленник все равно в итоге получит мусор, т.к. данные будут зашифрованы по алгоритму AES с пользовательским ключом, который знает только он один, но все же хотелось бы избежать этого. Как можно сделать безопасную транспортировку данных от программы до php файла на хостинге не боясь декомпиляции программы которая передает эти данные?

В идеале хотелось бы чтобы данные передавались настолько безопасно, что даже если программа будет с открытым исходным кодом, то злоумышленнику это ничем не поможет.

@Hikari · 19.09.2016, 21:15

Не шифруй а хешируй. Тогда не возникнет вопросов "что делать если угнали при схеме вор-по-середине".

@Nalik · 19.09.2016, 21:37 **[ТС]**

Сообщение от Hikari

Не шифруй а хешируй. Тогда не возникнет вопросов "что делать если угнали при схеме вор-по-середине"

Данные должны расшифровываться

В этом вся суть программы)

@bbq · 19.09.2016, 21:52

Сообщение от Nalik

В идеале хотелось бы чтобы данные передавались настолько безопасно, что даже если программа будет с открытым исходным кодом, то злоумышленнику это ничем не поможет.

Смотрите в сторону RSA

@Nalik · 19.09.2016, 23:19 **[ТС]**

Сообщение от bbq

Смотрите в сторону RSA

RSA не подойдет, т.к. программа будет передавать открытый ключ на сервер, который в свою очередь будет с помощью этого ключа шифровать данные и возвращает обратно, которые будут расшифровываться в программе с помощью закрытого ключа. А нужно наоборот

Хотя вы меня натолкнули на мысль, что если от программы посылать данные не сразу, а лишь запрос на отправку данных, в ответ на который будет высылаться открытый ключ. В этом случае может получиться как раз то что нужно

Есть еще варианты?

Добавлено через 6 минут
Хотя если честно, я не понимаю как это будет работать. php файл же не может хранить данные о закрытом ключе, а создавать временный файл для хранения закрытого ключа по моему не лучшая идея..

Убежденный · 20.09.2016, 09:03

Во-первых, зачем на сервере расшифровывать данные? Это же потенциальная дыра и
лишний головняк для пользователей. Лично я бы не стал ни с кем делиться своими
ключами шифрования, тем более от своих паролей. Сервер нужно использовать
только как хранилище уже шифрованных данных.

Во-вторых, что мешает не зашивать ключ в программу, а генерировать его на
основе пароля пользователя, например?

@Nalik · 20.09.2016, 09:44 **[ТС]**

Сообщение от Убежденный

Во-первых, зачем на сервере расшифровывать данные? Это же потенциальная дыра и
лишний головняк для пользователей. Лично я бы не стал ни с кем делиться своими
ключами шифрования, тем более от своих паролей.

Вы наверное меня не так поняли. Пользовательские ключи шифрования никуда не уходят и нигде не хранятся.
1. В программе используется шифрование пользовательское, т.е. шифруются именно данные пользователя.
2. Уже зашифрованные данные шифруются самой программой лишь для передачи от программы к хостингу, чтобы "между" никто не получил "зашифрованные" пользовательские данные и сохраняются в БД зашифрованные данные. Это всего лишь лишняя перестраховка.

Как это выглядит на примере:
Пользователь шифрует свои данные "Логин:Пароль" на основе своего ключа который знает только он (который никуда не передается), получается к примеру такой результат шифровки "dgpc-HkXIGES_Zjt3", потом эти данные нужно передать на сервер, для хранения в БД. Для лишней перестраховки я эти уже шифрованные данные шифрую еще раз, но используя ключ встроенные в программу, получается такой результат "Xzul_hQWjRlwqYhtG", данные в этом виде доходят до сервера и снова расшифровываются в вид "dgpc-HkXIGES_Zjt3" и в таком виде заносятся в БД.

Таким образом получается я пытаюсь максимально обезопасить обезопасить пользователя от потенциального взлома или перехвата данных

Сообщение от Убежденный

Во-вторых, что мешает не зашивать ключ в программу, а генерировать его на
основе пароля пользователя, например?

Не вижу разницы если честно, если декомпилировать программу и узнать как именно составляется этот программный ключ шифрования, то получится тоже самое.

Убежденный · 20.09.2016, 09:52

Nalik, если все так, как ты описал, то беспокоиться не о чем.

Пользователь шифрует свои данные ключом, известным только ему одному.
Надеюсь, алгоритм шифрования, а также способ получения ключа на основе
пароля, были выбраны достаточно стойкие. Если у злоумышленника нет
доступа к компьютеру пользователя, - физического или удаленного, - то
расшифровать эти данные он не сможет.

Далее зашифрованные данные снова шифруются, - лишнее, на мой взгляд, - и
уже в таком виде отправляются на сервер. И хранятся на сервере как BLOB-ы
("черный ящик": что там внутри - я не знаю).

@Nalik · 20.09.2016, 10:14 **[ТС]**

Сообщение от Убежденный

("черный ящик": что там внутри - я не знаю).

Это понятно, но я читал, что даже AES уже расшифровывали, в википедии описано 3 известных случая взлома этого метода шифрования, да конечно много ресурсов на это было затрачено, но все же

Убежденный · 20.09.2016, 10:19

Неужели ты думаешь, что человека, который смог взломать AES, остановит
самодельный шифр с защитым в программу ключом?

@Nalik · 20.09.2016, 10:45 **[ТС]**

Сообщение от Убежденный

Неужели ты думаешь, что человека, который смог взломать AES, остановит
самодельный шифр с защитым в программу ключом?

Конечно нет

Ладно, я вас понял, спасибо)

Новые блоги и статьи
Книги и учебные ресурсы по C# InfoMaster 08.01.2025 Базовые учебники и руководства Одной из лучших книг для начинающих является "C# 10 и . NET 6 для начинающих" Эндрю Троелсена и Филиппа Джепикса . Книга последовательно раскрывает основные концепции. . .	Что такое NullReferenceException и как исправить? InfoMaster 08.01.2025 NullReferenceException - одно из самых распространенных исключений, с которым сталкиваются разработчики на C#. Это исключение возникает при попытке обратиться к членам объекта (методам, свойствам или. . .	Что такое Null Pointer Exception (NPE) и как это исправить? InfoMaster 08.01.2025 Null Pointer Exception (NPE) - это одно из самых распространенных исключений в Java, которое возникает при попытке использовать ссылку на объект, значение которой равно null. Это исключение относится. . .	Русский язык в консоли C++ InfoMaster 08.01.2025 При разработке программ на C++ одной из частых проблем, с которой сталкиваются русскоязычные программисты, является корректное отображение кириллицы в консольных приложениях. Эта проблема особенно. . .	Telegram бот на C# InfoMaster 08.01.2025 Разработка ботов для Telegram стала неотъемлемой частью современной экосистемы мессенджеров. C# предоставляет мощный и удобный инструментарий для создания разнообразных ботов, от простых. . .	Использование GraphQL в Go (Golang) InfoMaster 08.01.2025 Go (Golang) является одним из наиболее популярных языков программирования, используемых для создания высокопроизводительных серверных приложений. Его архитектурные особенности и встроенные. . .
Что лучше использовать при создании класса в Java: сеттеры или конструктор? Alexander-7 08.01.2025 Вопрос подробнее: На вопрос: «Когда одновременно создаются конструктор и сеттеры в классе – это нормально?» куратор уточнил: «Ваш класс может вообще не иметь сеттеров, а только конструктор и геттеры. . .	Как работать с GraphQL на TypeScript InfoMaster 08.01.2025 Введение в GraphQL и TypeScript В современной разработке веб-приложений GraphQL стал мощным инструментом для создания гибких и эффективных API. В сочетании с TypeScript, эта технология. . .	Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .

@Nalik 175 / 123 / 48 Регистрация: 30.11.2012 Сообщений: 1,324
		1
	Безопасная передача данных на сервер 19.09.2016, 21:06. Показов 2938. Ответов 10 Метки нет (Все метки) Здравствуйте, интересует безопасная передача зашифрованных данных на сервер. Делаю программу запоминания паролей с привязкой к БД (через php файл). В данный момент у меня в программе данные шифруются простеньким алгоритмом шифрования написанным мной, типа алгоритма цезаря только с использованием пользовательского ключа, после чего эти данные шифруются AES с тем же пользовательским ключом, после этого эти данные мне нужно передавать на сервер, но я не хочу их передавать в том виде в котором они есть на данный момент. Потому уже зашифрованные пользовательские данные шифрую своим алгоритмом шифрования (который типа алгоритма цезаря) с заложенным в программу ключом по умолчанию и передаю на сервер. На сервере для расшифровки используются точно такой же ключ который заложен в программе, для получения зашифрованных пользовательских данных. После расшифровки данные заносятся в БД. Минус этого способа в том, что если программу декомпилировать, то этот пароль заложенный в программу можно достать и расшифровать данные. Конечно злоумышленник все равно в итоге получит мусор, т.к. данные будут зашифрованы по алгоритму AES с пользовательским ключом, который знает только он один, но все же хотелось бы избежать этого. Как можно сделать безопасную транспортировку данных от программы до php файла на хостинге не боясь декомпиляции программы которая передает эти данные? В идеале хотелось бы чтобы данные передавались настолько безопасно, что даже если программа будет с открытым исходным кодом, то злоумышленнику это ничем не поможет. 0

@Hikari Хитрая блондиночка $) 1472 / 988 / 399 Регистрация: 21.12.2015 Сообщений: 3,785
	19.09.2016, 21:15	2
	Не шифруй а хешируй. Тогда не возникнет вопросов "что делать если угнали при схеме вор-по-середине". 0

@Nalik 175 / 123 / 48 Регистрация: 30.11.2012 Сообщений: 1,324
	19.09.2016, 21:37 [ТС]	3
	Сообщение от Hikari Не шифруй а хешируй. Тогда не возникнет вопросов "что делать если угнали при схеме вор-по-середине" Данные должны расшифровываться В этом вся суть программы) 0

@bbq 215 / 211 / 146 Регистрация: 20.11.2014 Сообщений: 1,161
	19.09.2016, 21:52	4
	Сообщение от Nalik В идеале хотелось бы чтобы данные передавались настолько безопасно, что даже если программа будет с открытым исходным кодом, то злоумышленнику это ничем не поможет. Смотрите в сторону RSA 0

@Nalik 175 / 123 / 48 Регистрация: 30.11.2012 Сообщений: 1,324
	19.09.2016, 23:19 [ТС]	5
	Сообщение от bbq Смотрите в сторону RSA RSA не подойдет, т.к. программа будет передавать открытый ключ на сервер, который в свою очередь будет с помощью этого ключа шифровать данные и возвращает обратно, которые будут расшифровываться в программе с помощью закрытого ключа. А нужно наоборот Хотя вы меня натолкнули на мысль, что если от программы посылать данные не сразу, а лишь запрос на отправку данных, в ответ на который будет высылаться открытый ключ. В этом случае может получиться как раз то что нужно Есть еще варианты? Добавлено через 6 минут Хотя если честно, я не понимаю как это будет работать. php файл же не может хранить данные о закрытом ключе, а создавать временный файл для хранения закрытого ключа по моему не лучшая идея.. 0

Убежденный Ушел с форума 16478 / 7441 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	20.09.2016, 09:03	6
	Во-первых, зачем на сервере расшифровывать данные? Это же потенциальная дыра и лишний головняк для пользователей. Лично я бы не стал ни с кем делиться своими ключами шифрования, тем более от своих паролей. Сервер нужно использовать только как хранилище уже шифрованных данных. Во-вторых, что мешает не зашивать ключ в программу, а генерировать его на основе пароля пользователя, например? 0

@Nalik 175 / 123 / 48 Регистрация: 30.11.2012 Сообщений: 1,324
	20.09.2016, 09:44 [ТС]	7
	Сообщение от Убежденный Во-первых, зачем на сервере расшифровывать данные? Это же потенциальная дыра и лишний головняк для пользователей. Лично я бы не стал ни с кем делиться своими ключами шифрования, тем более от своих паролей. Вы наверное меня не так поняли. Пользовательские ключи шифрования никуда не уходят и нигде не хранятся. 1. В программе используется шифрование пользовательское, т.е. шифруются именно данные пользователя. 2. Уже зашифрованные данные шифруются самой программой лишь для передачи от программы к хостингу, чтобы "между" никто не получил "зашифрованные" пользовательские данные и сохраняются в БД зашифрованные данные. Это всего лишь лишняя перестраховка. Как это выглядит на примере: Пользователь шифрует свои данные "Логин:Пароль" на основе своего ключа который знает только он (который никуда не передается), получается к примеру такой результат шифровки "dgpc-HkXIGES_Zjt3", потом эти данные нужно передать на сервер, для хранения в БД. Для лишней перестраховки я эти уже шифрованные данные шифрую еще раз, но используя ключ встроенные в программу, получается такой результат "Xzul_hQWjRlwqYhtG", данные в этом виде доходят до сервера и снова расшифровываются в вид "dgpc-HkXIGES_Zjt3" и в таком виде заносятся в БД. Таким образом получается я пытаюсь максимально обезопасить обезопасить пользователя от потенциального взлома или перехвата данных Сообщение от Убежденный Во-вторых, что мешает не зашивать ключ в программу, а генерировать его на основе пароля пользователя, например? Не вижу разницы если честно, если декомпилировать программу и узнать как именно составляется этот программный ключ шифрования, то получится тоже самое. 0

Убежденный Ушел с форума 16478 / 7441 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	20.09.2016, 09:52	8
	Nalik, если все так, как ты описал, то беспокоиться не о чем. Пользователь шифрует свои данные ключом, известным только ему одному. Надеюсь, алгоритм шифрования, а также способ получения ключа на основе пароля, были выбраны достаточно стойкие. Если у злоумышленника нет доступа к компьютеру пользователя, - физического или удаленного, - то расшифровать эти данные он не сможет. Далее зашифрованные данные снова шифруются, - лишнее, на мой взгляд, - и уже в таком виде отправляются на сервер. И хранятся на сервере как BLOB-ы ("черный ящик": что там внутри - я не знаю). 0

@Nalik 175 / 123 / 48 Регистрация: 30.11.2012 Сообщений: 1,324
	20.09.2016, 10:14 [ТС]	9
	Сообщение от Убежденный ("черный ящик": что там внутри - я не знаю). Это понятно, но я читал, что даже AES уже расшифровывали, в википедии описано 3 известных случая взлома этого метода шифрования, да конечно много ресурсов на это было затрачено, но все же 0

Убежденный Ушел с форума 16478 / 7441 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	20.09.2016, 10:19	10
	Неужели ты думаешь, что человека, который смог взломать AES, остановит самодельный шифр с защитым в программу ключом? 0

	20.09.2016, 10:45

@Nalik 175 / 123 / 48 Регистрация: 30.11.2012 Сообщений: 1,324
	20.09.2016, 10:45 [ТС]	11
	Сообщение от Убежденный Неужели ты думаешь, что человека, который смог взломать AES, остановит самодельный шифр с защитым в программу ключом? Конечно нет Ладно, я вас понял, спасибо) 0