上周,我不得不为家庭作业创建一个小GUI.我的同学都没有这样做.他们从我们上传它的地方偷了我的那个,然后他们再次上传它们作为他们的.当我告诉老师这是我的全部工作时他并不相信我.
所以我想把一个无用的方法或其他东西放在我编码的证据中.我想到了加密.到目前为止我最好的主意:
String key = ("ZGV2ZWxvcGVkIGJ5IFdhckdvZE5U"); //My proof in base64
你能想到其他更好的方法吗?
我正在生成一个密钥并需要将其存储在DB中,因此我将其转换为String,但要从String中获取密钥.有哪些可能的方法来实现这一目标?
我的代码是,
SecretKey key = KeyGenerator.getInstance("AES").generateKey();
String stringKey=key.toString();
System.out.println(stringKey);
如何从String获取密钥?
不推荐使用的mcrypt-extension 将根据此处发布的评论在PHP 7.2中删除.所以我正在寻找一种加密密码的替代方法.
现在我正在使用类似的东西
mcrypt_encrypt(MCRYPT_RIJNDAEL_128, md5($key, true), $string, MCRYPT_MODE_CBC, $iv)
我需要您对加密密码的最佳/最强方式的意见,加密密码当然应该由PHP 7.xx支持,并且还应该是可解密的,因为我的客户确实想要选择"恢复"他们的密码而不生成新的密码一.
一个比另一个更安全吗?
为什么我问这个问题:
我知道有很多关于AES加密的问题,即使对于Android也是如此.如果你在网上搜索,有很多代码片段.但是在每一个页面上,在每个Stack Overflow问题中,我都发现了另一个具有重大差异的实现.
所以我创建了这个问题以找到"最佳实践".我希望我们可以收集最重要的要求列表,并建立一个非常安全的实施!
我读到了初始化载体和盐.并非我发现的所有实现都具有这些功能.所以你需要它吗?它是否会增加安全性?你是如何实现它的?如果加密数据无法解密,算法是否应该引发异常?或者这是不安全的,它应该只返回一个不可读的字符串?算法可以使用Bcrypt而不是SHA吗?
我发现这两个实现怎么样?他们还好吗?缺少完美或一些重要的事情?这些是安全的吗?
算法应该使用字符串和"密码"进行加密,然后使用该密码加密字符串.输出应该是一个字符串(十六进制或base64?).当然,解密也应该是可能的.
什么是Android的完美AES实现?
实施#1:
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.NoSuchProviderException;
import java.security.SecureRandom;
import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.PBEKeySpec;
import javax.crypto.spec.SecretKeySpec;
public class AdvancedCrypto implements ICrypto {
public static final String PROVIDER = "BC";
public static final int SALT_LENGTH = 20;
public static final int IV_LENGTH = 16;
public static final int PBE_ITERATION_COUNT = 100;
private static final String RANDOM_ALGORITHM = "SHA1PRNG";
private static final String HASH_ALGORITHM = "SHA-512";
private static final …背景:我的老板尝试使用公共和私有部分向我输出ASC密钥,但每当我收到文件时,私有部分永远不会加载,它不会解密任何文件.
我们尝试使用以下方法导出ASC密钥:
Windows应用程序GNU隐私助手(包含在gpg4win中)
Error: "Decryption failed. Secret Key Not available."
如何正确导出秘密或私有asc密钥来解密gpg文件?
我被许多不幸的iPhone用户请求帮助他们从iTunes备份中恢复数据.这些在未加密时很容易,但不是在加密时,无论密码是否已知.
因此,我试图找出加密时mddata和mdinfo文件上使用的加密方案.否则,我没有读取这些文件的问题,并且已经构建了一些强大的C#库.(如果你能够提供帮助,我不在乎你使用哪种语言.这是我在这之后的原则!)
Apple"iPhone OS企业部署指南"指出"通过在iTunes的设备摘要窗格中选择加密iPhone备份选项,可以以加密格式存储设备备份.文件使用带有256位密钥的AES128进行加密.关键是安全地存放在iPhone钥匙串中."
这是一个非常好的线索,这里有关于iPhone AES/Rijndael互操作性的 Stackoverflow的一些很好的信息,表明可以使用128和CBC模式的密钥.
除了任何其他混淆之外,还需要密钥和初始化向量(IV)/盐.
人们可能会认为关键是操纵"备份密码",用户被提示通过iTunes输入并传递给" AppleMobileBackup.exe ",以CBC规定的方式填充.但是,考虑到对iPhone钥匙串的引用,我想知道"备份密码"是否可能不会用作X509证书或对称私钥的密码,并且证书或私钥本身可能会被用作密钥.(AES和iTunes加密/解密过程是对称的.)
IV是另一回事,它可能是一些事情.也许它是硬编码到iTunes或设备本身的密钥之一.
虽然Apple上面的评论表明该设备的钥匙链上有钥匙,但我认为这并不重要.可以将加密的备份恢复到不同的设备,这表明与解密相关的所有信息都存在于备份和iTunes配置中,并且仅在设备上的任何内容都是无关紧要的,并且在此上下文中可以替换.所以关键在哪里?
我在Windows机器上列出了下面的路径,但无论我们使用哪种操作系统,它都非常多.
"\ appdata\Roaming\Apple Computer\iTunes\itunesprefs.xml"包含一个带有"Keychain"dict条目的PList."\ programdata\apple\Lockdown\09037027da8f4bdefdea97d706703ca034c88bab.plist"包含带有"DeviceCertificate","HostCertificate"和"RootCertificate"的PList,所有这些看起来都是有效的X509证书.同一个文件似乎也包含非对称密钥"RootPrivateKey"和"HostPrivateKey"(我的阅读建议这些可能是PKCS#7-enveloped).此外,在每个备份中,Manifest.plist文件中都有"AuthSignature"和"AuthData"值,尽管这些值似乎在每个文件逐步备份时轮换,表明它们不是一个有用的键,除非确实有什么相关的工作正在进行中.
有很多误导性的东西表明从加密备份中获取数据很容易.它不是,据我所知,它还没有完成.绕过或禁用备份加密完全是另一回事,而不是我想做的事情.
这不是关于黑客攻击iPhone或类似的东西.我在这里的所有内容都是从加密的iTunes备份中提取数据(照片,联系人等)的方法,因为我可以解密.我已经尝试了各种各样的排列信息,我已经在上面提到了这些信息,但却无处可去.我很欣赏我可能错过的任何想法或技巧.
是否有单向加密,可以采用任意长度的字符串并产生一个10字符以下的哈希?我想生成合理的唯一ID,但是基于消息内容,而不是随机的.
但是,如果不能使用任意长度的字符串,我可以将消息约束为整数值.但是,在这种情况下,对于两个连续的整数,散列必须不相似.
我正在寻找一种方法来将整数ID加密/混淆为另一个整数.更准确地说,我需要一个功能int F(int x),所以
x ^ 0x1234不起作用为清楚起见,我不是在寻找强大的加密解决方案,它只是混淆.想象一下,像URL的Web应用程序example.com/profile/1,example.com/profile/2等型材本身并不是秘密,但我想,以防止随意偷窥查看/读取所有配置了一个又一个,所以我宁愿躲在他们身后像example.com/profile/23423,example.com/profile/80980234等等.虽然数据库存储的令牌可以很容易地完成工作,我很好奇是否有一些简单的数学可用于此.
我不清楚的一个重要要求是结果看起来应该是"随机的",也就是说,给定一个序列x,x+1,...,x+n,F(x),F(x+1)...F(x+n)不应该形成任何类型的进展.