免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
123下一页
最近访问板块 发新帖
查看: 17513 | 回复: 21

[算法] 已知明文和密文,求算法 [复制链接]

论坛徽章:
0
发表于 2006-05-04 09:43 |显示全部楼层
最近在研究用Linux + Firefox 登陆网上银行的问题。在研究招商银行的时候发现,帐号和密码在提交(Post)之前被加密了,我在模拟环境中测试了4组数据,也就是4组明文和密文,想请各位研究一下他用的是什么算法。然后我要用JavaScript 实现该算法。
如果觉得采样的数量不够,我还可以生成任意多的明文和密文的对应关系。
我估计大概就是MD5 或sha 之类的东西,


密文和明文如下:
分为四组

Account  分别是 03171111 03172222 03173333 03174444  (必需8为数字)
pwd     分别是 111111    222222    333333 444444         (最多6位数字)

另外,每次用相同的明文,得到的密文是不同的,也就是说里边有些随机的因素。大概就是salt 的东西吧。

AccountNo=YHKix36Riy5ObeRpy-KQ07kGe*f7uPAsepi4JryvF9SpKlYVt5IancW5eMBtN-leV6NP2sEds-tlA0cBrPzC3g__
Pwd=A1DvtjXumSfLcbP6jdsNqOtlyec-uv1kEn-A*ef3Q3-B9llhUR8*gjsWiPVfiGG6Cyk40CK1bEooNpkJT8Lx-g__

AccountNo=iYw5-cnIcXbTRufJpGWtQiSiX15w*DTk5LzCTAUb5WLfXnVc8vZ0xvq1X951Xgeb*1TGIxyat*C2Br1FK9ztnw__
Pwd=FAtk93Wq03m4E9IvHKxBz3m75BEQF248b8GntgIBx5CbYS1JPxNSi8GUkLdoia1QolOGktju48rLBT19CMNtNQ__

AccountNo=RRcxDfWeEv0FKG7AKKhU*yV5lt0RZjObTAukN0nE3DyAXqMZK*4rciaERIXFnijKsgQnVmY112b69DiQA-ltzw__
Pwd=FC8wxcjCo1rU*UHe6NIdLiC-yWQFKR3T-ohnMTqLeZmDBcAUGAEWtr3g5Eyn-hsNJfLx7uSR1cJjk**vEysUSA__

AccountNo=igQW94wGutoQlea50s68ecKvD-GcGGeSVQkkxBkAbRasHY96rdE3BWZzE1lvi-uC*nGsSiqjybhvyzRUNrsEFA__
Pwd=Q3GtjJvrZPOGgYf1ptzfScLmyvxL3S*78GiPwHnpv5Ohsxp9NX47U*8TG1DOl4E-vmEWiIACa8ZEUAC7smsobA__Sample Text

[ 本帖最后由 maluyao 于 2006-5-4 12:36 编辑 ]

论坛徽章:
0
发表于 2006-05-04 17:17 |显示全部楼层
自己顶一下

加密是在客户机上由ActiveX完成的,既然密文随机,那么随机数一定就在密文之内。
应该是md5 sha之类的单向不可逆加密或变种。
对于银行来说,还有个问题,就是大概会使用“著名的”算法,如果使用”不著名的”算法,出了问题谁负责呢? 比方说。我采用rsa算法,如果某天rsa被攻克,肯定不是我的错。

这里有些别人的分析,不过感觉上有些错误。
http://blog.joycode.com/moslem/archive/2004/10/31/37529.aspx

这两天我也在分析这个招行的网上银行,目的只有一个
我这里大部分时间只能在linux上用firefox或mozilla,所以希望能够
绕过activeX,访问我的信用卡和大众版的个人银行。

我的几点新发现和猜想:
1.加密算法貌似使用了openssl,不知道是不是已经违背了openssl的license.
2.id和密码的加密结果应该是64bytes, 然后用base64的机制在补齐到66bytes后变为88bytes.
3.实际编码使用的keys不是base64标准的keys,所以会出现__结尾的样子。

其他的我以后再说,现在还没有成果,志同道合者一起努力!

[ 本帖最后由 maluyao 于 2006-5-5 20:39 编辑 ]

论坛徽章:
0
发表于 2006-10-19 09:22 |显示全部楼层
习惯的做法是用RSA公钥做密钥交换,用AES/3DES做私钥传递,这样的算法在理论上是无法被攻克的,除非能发现cmb在做这件事情的时候存在代码漏洞。

加上控件经过VeriSign的签名,那么破解后的控件应该是不能运行的。

总之cmb的目前我看到国内最安全的。

以下内容供楼主参考.... 诶亚,这里不能匿啊.....

AES http://de.wikipedia.org/wiki/Advanced_Encryption_Standard (偶们同事认为德文的写的比英文的好)
RSA http://en.wikipedia.org/wiki/RSA


非对称密码

过程
非对称密码体制,也称公钥密码体制。其显著特征是一次加解密过程,需要使用一个密码对,该密码对由一个公钥和一个私钥组成。其中公钥可以公开,私钥自己保存。


公钥加密的数据,只能用私钥解开,此过程通常用于数据加密。
私钥加密的数据,只能用公钥解开,此过程通常用于身份认证或数字签名。
相比于对称密码体制,安全的非对称密码体制通常基于数学上的公理或定理,如RSA算法的安全性基于大整数素因子分解的困难性,此种体制通常被成为是可被证明性安全。

显著缺点
非对称密码体制虽然比较安全,但安全带来的代价是其加解密过程的速度为对称密码体制的几千分之一。
所以目前通常的做法是公钥体制用于协商密钥,私钥体制用于真正的加解密过程。

论坛徽章:
0
发表于 2006-10-19 09:24 |显示全部楼层
推荐楼主把标题改改,这样的标题严重不尊重密码学研究者

论坛徽章:
38
2017金鸡报晓
日期:2017-02-08 10:39:4215-16赛季CBA联赛之深圳
日期:2023-02-16 14:39:0220周年集字徽章-年
日期:2022-08-31 14:25:28黑曼巴
日期:2022-08-17 18:57:0919周年集字徽章-年
日期:2022-04-25 13:02:5920周年集字徽章-20	
日期:2022-03-29 11:10:4620周年集字徽章-年
日期:2022-03-14 22:35:1820周年集字徽章-周	
日期:2022-03-09 12:51:3220周年集字徽章-年
日期:2022-02-10 13:13:4420周年集字徽章-周	
日期:2022-02-03 12:09:4420周年集字徽章-20	
日期:2022-01-25 20:14:2720周年集字徽章-周	
日期:2022-01-13 15:12:33
发表于 2006-10-19 11:19 |显示全部楼层
如果是我来做的话,我先用MD5,再用RSA,再用DES,然后SHA,最后再来个RC4,把两个算法做自己的一些修改,其他不动。传送时为了安全,再用SSL。然后就放心让你去破解吧。

你可以找到无限个明文/密文对,但你能猜出来我用了什么算法吗?标准算法我改了两个你怎么猜的到呢。

必须要跟踪代码,要把他的activex跟踪出来,银行的算法肯定是不公开的,也几乎肯定是秘密的。

论坛徽章:
0
发表于 2006-10-19 11:34 |显示全部楼层
原帖由 醉卧水云间 于 2006-10-19 11:19 发表
如果是我来做的话,我先用MD5,再用RSA,再用DES,然后SHA,最后再来个RC4,把两个算法做自己的一些修改,其他不动。传送时为了安全,再用SSL。然后就放心让你去破解吧。

你可以找到无限个明文/密文对,但你能 ...

恰恰相反,越是公开的密码算法越是可靠的,想自己用私有算法,除非你有NSA那样的密码学队伍来保证算法的可靠性,否则等于自寻死路,只有那些经过密码分析者充分考验的算法才能算可靠。密码学的安全性要求不是取决于算法的保密性,而是取决于密钥的保密性。与数学的可靠性相比,人的可靠性可以忽略不计,所以靠算法保密来保证安全是很愚蠢的。

论坛徽章:
38
2017金鸡报晓
日期:2017-02-08 10:39:4215-16赛季CBA联赛之深圳
日期:2023-02-16 14:39:0220周年集字徽章-年
日期:2022-08-31 14:25:28黑曼巴
日期:2022-08-17 18:57:0919周年集字徽章-年
日期:2022-04-25 13:02:5920周年集字徽章-20	
日期:2022-03-29 11:10:4620周年集字徽章-年
日期:2022-03-14 22:35:1820周年集字徽章-周	
日期:2022-03-09 12:51:3220周年集字徽章-年
日期:2022-02-10 13:13:4420周年集字徽章-周	
日期:2022-02-03 12:09:4420周年集字徽章-20	
日期:2022-01-25 20:14:2720周年集字徽章-周	
日期:2022-01-13 15:12:33
发表于 2006-10-19 13:03 |显示全部楼层
原帖由 mingyanguo 于 2006-10-19 11:34 发表

恰恰相反,越是公开的密码算法越是可靠的,想自己用私有算法,除非你有NSA那样的密码学队伍来保证算法的可靠性,否则等于自寻死路,只有那些经过密码分析者充分考验的算法才能算可靠。密码学的安全性要求不是取 ...



你没仔细看我写的,我留下了几个没改,单改2个,不会影响安全的,只要过程中有一个是安全算法,整个就是安全的,串联的嘛。改2个是做陷阱。而且了解算法时,做些小的修改不会太大的影响安全性的。

[ 本帖最后由 醉卧水云间 于 2006-10-19 13:04 编辑 ]

论坛徽章:
324
射手座
日期:2013-08-23 12:04:38射手座
日期:2013-08-23 16:18:12未羊
日期:2013-08-30 14:33:15水瓶座
日期:2013-09-02 16:44:31摩羯座
日期:2013-09-25 09:33:52双子座
日期:2013-09-26 12:21:10金牛座
日期:2013-10-14 09:08:49申猴
日期:2013-10-16 13:09:43子鼠
日期:2013-10-17 23:23:19射手座
日期:2013-10-18 13:00:27金牛座
日期:2013-10-18 15:47:57午马
日期:2013-10-18 21:43:38
发表于 2006-10-19 13:27 |显示全部楼层
看CMBEdit.dll里面的内容,里面有OpenSSL 0.9.4等字样

论坛徽章:
0
发表于 2006-10-19 13:28 |显示全部楼层
原帖由 醉卧水云间 于 2006-10-19 13:03 发表



你没仔细看我写的,我留下了几个没改,单改2个,不会影响安全的,只要过程中有一个是安全算法,整个就是安全的,串联的嘛。改2个是做陷阱。而且了解算法时,做些小的修改不会太大的影响安全性的。

你如何保证自己的修改不会带来安全问题?而且,加密的层数增加并不一定增加安全性,反倒使的加密过程变慢。

论坛徽章:
7
荣誉版主
日期:2011-11-23 16:44:17子鼠
日期:2014-07-24 15:38:07狮子座
日期:2014-07-24 11:00:54巨蟹座
日期:2014-07-21 19:03:10双子座
日期:2014-05-22 12:00:09卯兔
日期:2014-05-08 19:43:17卯兔
日期:2014-08-22 13:39:09
发表于 2006-10-19 13:34 |显示全部楼层
按常理,账号的加密是对称可逆的,密码通常是不可逆的。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP