Передаете по ICQ интимные фото? А зря!

А кто мешает шифровать передаваемые файлы? Всё равно не безопасно, однако уменьшает вероятность «расшарить в паблик» что-нибудь приватное.

никто не мешает. Шифруют, и лепят в конец файла - с виду порнуха, а там внутри секретные документы. Удобно и безопасно.

XOR со случайным ключом (передаваемым вторым параметром в том же GET-запросе) было бы достаточно.

можно поподробнее про эту схему?

Лол, зашёл в кои-то веки на хабр, думал, там уже знатный срач на эту тему развели. А там и ни намёка. Зато справа висит баннер, что сегодня компания дня у них - mail.ru. тонко.

блжад, этому бояну уже лет 10.

Но вот живых пользователей ICQ я давно не видел.

я - пользователь ICQ. И что?

Конечно. Маленький, слабый, но есть. Все равно еще недельку будут баловаться

hint: man bc

посчитай, сколько Т тебе надо будет проверить, и за сколько миллионов лет.

Си Исходники? Да вот релизнусь и выложу.

пока ты слоупучил, я уже давно на баше написал минут за 20. Так то.

Движок, скорей всего, Opensource, а вот алгоритмы шифрования хз.

Ты решил изобрести собственный алгоритм шифрования?

Живой? А можно тебя потрогать? А то аж не верится. :)

Живой? А можно тебя потрогать? А то аж не верится.

ну ничем помочь не могу. номер аськи тоже не дам.

Блин. С таким же успехом можно сгенерировать этот фаил читая его из /dev/random

mail.ru - suxx

А разве можно таким что-то доверять?

кошмар какой

Ну-у-у-у-у, барин...)))

писал бы уже на этой вашей йаве штоли

С жабой не сильно дружу (только-только подползаю). Во-вторых, Си там больше по теме.

она консольная?

Да. Гуй сверху.

я уже давно на баше

Молодец! Пирожки слева на полочке.

Ты решил изобрести собственный алгоритм шифрования?

Why not?

Тут кто-то уже анонсировал p2p мессенджер, кто-то из местных, достаточно недавно.

Вот ссылка http://picapica.im/?lang=ru

Да у меня отдельный интерес, по вопросу применения алгоритма шифрования.

Спасибо за ссылку.

Мессенжер - не основной мой интерес, побочный.

правило номер, непомню какое, но звучит как-то так

только криптоаналитик может судить о стойкости шифра

Молодец! Пирожки слева на полочке.

так ты IM пишешь? А я про скрипт для закачки порнухифотографий из IM и других файлопомоек. Ну пиши, удачи.

Why not?

такой ответ может дать только человек, за плечами которого максимум 100 строк на php. ИЧСХ именно такой ответ он и даст. Абсолютный детектор. Больше не говори, и даже НЕ ДУМАЙ такого, лучше почитай что-нить на тему криптографии. Их много, а некоторые даже доказанно невзламываемые. Впрочем, ты можешь и свой велосипед с квадратными чугуниевыми колёсами изобрести.

только криптоаналитик, который взломал шифр, может судить о стойкости шифра

//починил.

Впрочем, 99.9% шифров от новичков взламывать не нужно - они уже взломаны, и в любой книжке рассказано как. Меня удивляет, почему новички пишут свои шифры, похожие как две капли воды? Почему колёса у их велосипедов всегда квадратные? Почему не кардиоида?

Да у меня отдельный интерес, по вопросу применения алгоритма шифрования.

у меня тоже вопрос: чем тебе не нравится GnuPG?

Си там больше по теме

ага, а месседжи в аски только будут? )) я в том смысле, что с у йавы куча плюшек уже из коробки. типа кроссплатформенности, мордостроительства и всё такое.

на счёт йавы как раз был бы стимул освоить.

ага, а месседжи в аски только будут? )

кто запрещает гонять в UTF-8?

да никто. просто может у меня стереотип такой, С и utf8 - как-то не вяжутся.

на счёт йавы как раз был бы стимул освоить

Стимул освоить джаву есть, но он в другой задаче зашит. А тут больше джастфорфанщины.

icu всех спасет

да, стереотип. На С можно какой угодно кодировкой пользоваться

чем тебе не нравится GnuPG?

Да кагбэ всем нравится. Юзаю сабж, кстати, с файрбёрдом.

Отдельный интерес, говорю же. В т.ч. научный. Рчь не идёт о замене чего-либо.

можно поподробнее про эту схему?

Алиса отправляет Тренту файл, который должен быть доставлен Бобу. Трент шифрует файл на случайном ключе R и записывает по публично доступному адресу L. Трент отправляет Бобу адрес файла L и ключ R. Боб запрашивает файл по адресу L и расшифровывает его с помощью ключа R.

Очевидно, эта схема не имеет уязвимости, описанной в том ЖЖ. Про XOR я упомянул потому что: 1) очень просто в реализации 2) очень быстро шифруется/расшифровывается. Хотя вообще можно взять любую симметричную криптосистему.

При такой схеме ссылку можно свободно копировать своим друзьям вместе с ключом, никакой привязки к логину не существует. Такая схема заведомо лучше удлиннения адреса L тем, что верный ключ R заведомо только один, и при росте числа хранимых файлов никаких проблем не возникнет.

у меня стереотип такой

С этого и начинай.

С и utf8 - как-то не вяжутся.

4.2

Алиса отправляет Тренту файл, который должен быть доставлен Бобу. Трент шифрует файл на случайном ключе R и записывает по публично доступному адресу L. Трент отправляет Бобу адрес файла L и ключ R. Боб запрашивает файл по адресу L и расшифровывает его с помощью ключа R.

Очевидно, эта схема не имеет уязвимости, описанной в том ЖЖ.

имеет. Если у тебя L это 3 символа, и R это 3 символа, то получаем LR как в mail.ru, вида XXXXXX. Дело в том, что у mail.ru очень маленькое пространство допустимых ключей, и потому мы тупо попадаем пальцем в небо по случайному ключу. Очевидный способ - расширить множество ключей. На самом деле тут мы наблюдаем брутфорс чистой воды, просто рандомный ключ. Ну а брутфорс рано или поздно сломает ЛЮБУЮ схему. В данном случае - почти сразу.

Про XOR я упомянул потому что: 1) очень просто в реализации 2) очень быстро шифруется/расшифровывается.

ага. А ещё количество информации НЕ меняется от XOR. Т.е. если у тебя есть число XXXXXX, которая с вероятностью 10% попадает на картинку, то ЛЮБОЕ YYYYYY полученное после XOR XXXXXX тоже попадает, и с той же вероятностью. Впрочем, как и любая другая схема. В том числе - отсутствие XOR(XOR 0).

При такой схеме ссылку можно свободно копировать своим друзьям вместе с ключом, никакой привязки к логину не существует. Такая схема заведомо лучше удлиннения адреса L тем, что верный ключ R заведомо только один, и при росте числа хранимых файлов никаких проблем не возникнет.

на самом деле, такая схема даёт только одну гарантию: что файл смогут получить только Трент и Боб. И то, только в том случае, если ключи достаточно длинны (хотя-бы не меньше 2^128). Но зачем это надо? Фактически, ты просто бортанул Алису, которая теперь не видит свой же файл. А мог-бы не парится, и просто дать и Алисе и Бобу персональный ключ(это самое XXXXXX).

имеет. Если у тебя L это 3 символа, и R это 3 символа, то получаем LR как в mail.ru, вида XXXXXX.

Я уже писал, в чём разница.

Но зачем это надо?

Сам догадаешься?

Фактически, ты просто бортанул Алису

Алису и кучу леваков точнее.

Алису и кучу леваков точнее.

ты вообще мой пост читал? Если Алиса зашлёт на мылору фотку, то МЫ её и так не найдём. Речь идёт ВООБЩЕ о фотках. ЛЮБЫХ. А их мы найдём с вероятностью N/M, где M размер поля ключей, а N - число фоток. В твоей схеме попросту две части ключа, одна из которых зачем-то отправляется Алисе. Если размер поля твоего составного ключа равна M, то вероятность никак не меняется.

На самом деле, проще создавать случайный ключ, и отправлять его только Бобу, ибо Алисе её кусочек всё равно не нужен.

О, Федя, ты ли это?

В моей схеме длина ключей фиксирована. В оригинальной чем больше фоток, тем меньше остаётся незадействованных ID — N/M. В результате в моей схеме ситуация более управляема — для каждого ID придётся перебрать фиксированное число ключей, с ростом числа фоток это число заведомо не станет меньше. Алисе ничего не отправляется, кстати.

да, но тут начинаеются вопрос типа «боб через 10 дней потерял файл, полез в логи асечки, скачал файл, а там фигня какая-то!!» боб расстроился, написал про это в своём жж. ещё куча бобов пошла проверять файлы из логов. О, и правда фигня. майл ру говноооооооооооо. хм.. вроде как результат тот же :)

Только после переполнения ID-шников. Но для этого на подобных сервисах устанавливается срок хранения.

Годно. Тогда буду ждать релиза, ибо идея весьма нужная, как на меня.

Ты решил изобрести собственный алгоритм шифрования?

Why not?

Надеюсь, ты это не серьезно. Ну там, скажем, в качестве курсовой работы или просто для самообразования.

В моей схеме длина ключей фиксирована.

обоснуй. я всегда думал, что число ключей равно 2^l, где l длинна ключа в битах.

Алисе ничего не отправляется, кстати.

в мылору генерируется один ключ XXXXXX, который доступен Бобу. Доступен он Алисе или нет - не очень важно, это её файл. Всем остальным он недоступен. Т.е. Алиска снимает свою киску, и её никто кроме Боба не увидит.

действительно ли хабр настолько плох что там всё что противоречит комунизму удаляют, трут?

Не в первые читаю что на хабре что то удалили, потёрли.

А вообще mail.ru зло. Огромная русская уёбищьная контора которая хочет наёбывать и на этом наживаться.

Если есть какие то моральные принципы то работать в гавне с говном не стоит. Если моральные принципы отсутствуют, тогда, конечно не важно где работать, можно и в mail.ru ;)

я всегда думал, что число ключей равно 2^l, где l длинна ключа в битах.

Правильно. Длина поля R в моём случае. В случае mail.ru просто L и R объединены в единое поле, потому так просто найти какой-нибудь файл (всего лишь 2 565 726 409 комбинаций ключа, что вполне сравнимо с числом файлов). Именно для этого я разделил поля, чтобы ключ был всегда фиксированной длины, и не возникало такой ситуации при переполнении базы. В крайнем случае будут затёрты старые файлы.

в мылору генерируется один ключ XXXXXX, который доступен Бобу. Доступен он Алисе или нет - не очень важно, это её файл.

И в чём возражение? Я лишь чуть-чуть доработал мылорушную схему. Трент, если что, это сервер mail.ru .

действительно ли хабр настолько плох что там всё что противоречит комунизму удаляют, трут?

да. Но это даже не самое плохое, лично меня бесит, когда целиком статьи закрывают, вот это уже плохо (причём я натыкаюсь на темы без всякого танцпола и прочей религии. За что - непонятно.)

Если есть какие то моральные принципы то работать в гавне с говном не стоит. Если моральные принципы отсутствуют, тогда, конечно не важно где работать, можно и в mail.ru

тут не в принципе дело, а в жадности. Если задачу выполнит один программист за один день и за N рублей, то он и решает. Хотя ежу ясно, что сделать это нереально даже гению(тем более за N рублей).

Надеюсь, ты это не серьезно. Ну там, скажем, в качестве курсовой работы или просто для самообразования.

Ну ясен пень не для промышленной эксплуатации.

просто для

Научные исследования типа.

Написал скриптик. Ждемс. Пока ничего.