タグ付けされた質問 「security」

コンピュータ、ソフトウェア、通信のセキュリティ、つまりシステムを攻撃から保護する方法についての質問。

6
(オープン)ソースコードでの文字列の秘密の保持
Android用のアプリの開発が完了し、GPLで公開するつもりです-オープンソースにしたいです。ただし、アプリケーション(ゲーム)の性質は、なぞを尋ね、文字列リソースにコード化された回答を持っていることです。答えを公開できません!パスワードを安全に保存することを検討するように言われましたが、適切なものが見つかりませんでした。 隠された、暗号化された、または隠された文字列配列を使用してソースコードを公開することは可能ですか?たぶんオンラインデータベースから答えを読むことで? 更新 以下のYuval Filmusのソリューションが機能しました。私が最初にそれを読んだとき、私はまだそれをする方法がわかりませんでした。2番目のオプションに対するいくつかのソリューションを見つけました。ハッシュされたソリューションをソースに保存し、ユーザーが推測するたびにハッシュを計算します。javascriptでこれを行うには、http: //code.google.com/p/crypto-js/にcrypto-jsライブラリがあります。Androidの場合、MessageDigest関数を使用します。呼ばれる(fdroid / githubの上の)アプリケーションがありHashPassこれを行います。
50 arrays  security 

2
オペレーティングシステムは、ランダムシードのエントロピーをどのように作成しますか?
Linuxでは、ファイル/dev/randomと/dev/urandomファイルは、それぞれ、擬似ランダムバイトのブロックおよび非ブロック(それぞれ)ソースです。 それらは通常のファイルとして読むことができます: $ hexdump /dev/random 0000000 28eb d9e7 44bb 1ac9 d06f b943 f904 8ffa 0000010 5652 1f08 ccb8 9ee2 d85c 7c6b ddb2 bcbe 0000020 f841 bd90 9e7c 5be2 eecc e395 5971 ab7f 0000030 864f d402 74dd 1aa8 925d 8a80 de75 a0e3 0000040 cb64 4422 02f7 0c50 6174 f725 0653 2444 …

2
wifiパスワードはWEPとWPAを使用してデータをどのように暗号化しますか?
(ワイヤレスネットワークに接続するために)入力するパスワードは、ワイヤレスネットワーク上のデータをどのように暗号化しますか? 読んだところ、入力したパスワードがパスフレーズと同じかどうかわかりません。それが正しい場合、パスフレーズはどのようにして4つのWEPキーを生成できますか? 4つのキーがWEPでどのように機能し、どのようにデータを暗号化するかを理解しています。また、WPAのキーがデータを暗号化する方法は知っていますが、知っておく必要があるのは次のことだけです。 ネットワークにアクセスするために入力するパスワードの利点は何ですか?また、このパスワードはデータの暗号化にどのように役立ちますか?

1
スタック検査はどのように機能しますか?
これは、スタック検査に関する他のより高度な質問の前兆です。 スタック検査は、JVMに導入されたセキュリティメカニズムであり、信頼レベルの異なる場所から発信された実行コードを処理します。これは、その機能の簡単な説明を見つけることを目的とした質問です。そう: スタック検査はどのように機能しますか?

2
真ん中の男がメッセージを読むのを防ぐことができますか?
これらすべての中間者攻撃の防止について聞いたことがありますが、中間の男があなたのストリームだけを聞いていて、メッセージ自体を変更したくない場合、これがどのように機能するのか疑問に思っています。 真ん中の男は、対戦相手によって交換されたキーを取得するだけでなく、キーを変更してから、メッセージを再度復号化および暗号化できますか? 証明書はこれをどのように防ぐことができますか? 編集: 認証局が一般的に言っていると聞いたことがあります:「ええ、それは他のものです」。しかし、証明書の署名が不正でないことをどのように確認できますか?

1
忘却型RAMとは何ですか?
誰かが私に正確に気付かないRAMとは何かを私に説明できますか? 次のような説明がわかりましたが、技術的な側面を理解したいと思います。 暗号化は、プライバシーを確​​保するのに必ずしも十分ではありません。攻撃者が暗号化されたストレージへのアクセスパターンを観察できる場合でも、アプリケーションの動作に関する機密情報を知ることができます。Oblivious RAMは、アクセスされているメモリを継続的にシャッフルすることでこの問題を解決します。これにより、アクセスされているデータ、または以前にアクセスされたデータを完全に隠すことができます。

6
プログラム検証手法は、ハートブリードのジャンルのバグの発生を防ぐことができますか?
ハートブリードバグの問題について、ブルースシュナイアーは4月15日の暗号グラムで次のように書いています。「破滅的」は正しい言葉です。1から10のスケールで、これは11です。私は数年前に、特定のオペレーティングシステムのカーネルが最新のプログラム検証システムで厳密に検証されていることを読みました。したがって、今日のプログラム検証手法を適用することで、Heartbleedのジャンルのバグが発生するのを防ぐことができますか、それとも、これはまだ非現実的か、または基本的に不可能でしょうか。

3
アンチウイルスプログラムがどのように機能するかを研究するコンピューターサイエンスの分野は何ですか?
すべてのウイルスを検出できるアルゴリズムがないことを示すのは、有限オートマトンでの簡単な作業ですが、アンチウイルスソフトウェアを販売しているソフトウェア会社はたくさんあります。 ウイルスとアンチウイルスを扱うCSの部分はありますか? PS:私はAVを持っているかどうかのCSに関連しない正当化について尋ねているのではなく、CS内のどのカテゴリ/サブジェクトがあるかについてのみ尋ねています。AVがCS内の主題ではない場合、それも許容される回答です。CSコンテキスト内でウイルスとAVに対する何らかの反省はありますか?

1
事前共有キーを備えたWPA2はゼロ知識証明の例ですか?
アクセスポイントをセットアップしてWPA2を選択する場合、事前共有キー(パスワード)、PSKを手動でAPとSTAの両方に入力する必要があります。 APとSTAの両方がお互いを認証する必要があります。しかし、彼らはPSKを明らかにせずにそうしなければなりません。どちらも相手に、実際に送信することなくPSKを知っていることを証明する必要があります。 それはゼロ知識証明の例ですか? そうだと思ったのですが、知識ゼロの証明とWPA2またはEPA-PSK(使用されている認証方法)をググるときに合法的なものは何も表示されません。

2
データに対してリモートでアルゴリズムを実行し、回答が改ざんされていないことを確認する
私はこの特定のコンピューティング/暗号/データベースの問題について何年も考えてきましたが、すでに解決策があるかどうか知りたいだけです。正直なところ、この問題がどの分野に属しているかはわかりません。 一言で言えば、人物Aはデータのリストを持ち、別の人物(B)はこのリストの各アイテムにスコアを与え、これらすべてのスコアを合計してリスト全体の総合スコアを提供するアルゴリズムを持っています。データが非常に安全に保たれるように(できれば人物Aを離れないように)、データリストでアルゴリズムを実行して、人物Bがアルゴリズムが適切に実行され、改ざんされていないことを確認するにはどうすればよいでしょうか。 ここに例があります:アンナとボブは大きな村に住んでいます。アンナは自分のコンピューターに、村で行ったすべての良いことと悪いことのリストを持っています。ボブは、そのようなリストの非常に単純なスコアリングアルゴリズムを作成しました。これは、リストの各項目で実行され、スコアを与え、これらすべての数値を加算して、アンナに最終スコアを与えます。このスコアにより、ボブはアンナが村のコミュニティにとってどれほど有益であり、ボブの意見に固有のものであるかを知ることができます。(これは実際に私が作りたいシステムなので、これは単なる例ではありません) しかし、アンナはボブに彼女のリストを与えることを望んでいません。ボブはそこに潜在的に恥ずかしい情報にアクセスできるからです(誰もが自分のクローゼットにスケルトンを持っています)。ただし、ボブは嘘をついてボブにスコアが非常に高いのでボブが彼女を助ける可能性が高いと伝えるため、ボブは自分でアルゴリズムを実行することをアンナに信頼していません。 私がすでに考えたいくつかの解決策がありますが、すべて問題があります: A.ランダムな人物を見つけてデータを取得し、アルゴリズムを実行してスコアを送り返しますが、このランダムな人物がアンナを知らず、アンナを助けたり、データのコピーを作成したりして、後で試すのは難しい場合があります。それをたどってアンナを脅迫します。 B.アンナにアルゴリズムを実行させますが、たとえば、イベントを1と評価する代わりに、チェックコードをスコアにエンコードして1.0000000000797と評価します。これにより、ボブが後でこれをチェックコードとして使用して、指定されているかどうかを確認できます。スコアは正しいです。ただし、このチェックはボナによって誤用され、アンナが何をしたかを示すこともできます。また、アンナがボブのアルゴリズムを実行するにはフルアクセスが必要であることを考えると、このようなシステムはリバースエンジニアリングが簡単で、アンナが正しいチェックコードで誤ったスコアを出すことができると想像できます。 C.村は、そのようなデータとアルゴリズムを取得して一緒に実行するための安全なサーバーを作成します。ただし、AnnaとBobはどちらも、これを実行するのに十分なほど信頼しておらず、データのコピーを作成したり、スコアを変更したりすることはありません。また、私はこれがP2Pシステムであることを望みます。

5
コンピュータウイルスが新しい「遺伝子」を進化させて、自分の仕事を実行することは可能でしょうか。
Aレベルの生物学の学生として、私は生物学とコンピューターサイエンスとの関連について多くのことを考えてきました。よく頭に浮かぶのは、免疫学とコンピューターセキュリティ/ウイルスのリンクです。たとえば、私は(ウイルス対策プログラムのしくみを読んで)、免疫システムがウイルスを処理する方法はウイルス対策プログラムと非常によく似ていると判断しました(どちらにもウイルス定義のデータベースが含まれています(メモリセルまたはウイルス)署名)と両方に外挿法が含まれています)。私にとっての自然な進歩は、コンピュータウイルスと比較したウイルスの自然な進化について考えていました。だから私の質問に:ββ\beta コンピュータウイルスが新しい「遺伝子」を所有する新しい株に進化して、自分の仕事を実行することは可能でしょうか。 この種の考え方は本当にウイルスにのみ当てはまるようです。つまり、通常の古い計算機が「自然選択」の対象になることは決してないでしょう。しかし、私が知る限り、ウイルスはアンチウイルスプログラムを回避するために自分自身を突然変異させますが、おそらくこれらはかなり制御されているため、ウイルスは、他の方法では役に立たなくなる可能性のある非有益な突然変異を獲得しません。自然の真のランダムな性質がウイルスに適用される可能性がある場合、それらは、たとえば、アンチウイルスプログラムを引き継ぐレトロウイルスになる、またはそれを可能にする新しいコードを含めるように変化するなど、新しい機能を進化させることができるでしょうか?ファイアウォールをダウンさせる?彼らは、ある種の計算上の自然淘汰に関与するでしょうか?そこでは、最強のウイルスが生き残り、その有益な遺伝子を伝えます。

3
キーの秘密性とアルゴリズムの秘密性
それはよく知られている声明です 「暗号化セキュリティは、秘密アルゴリズムではなく秘密鍵に依存する必要があります。」 詳細についてお伺いします。そして、それらの違いは何ですか? マルチユーザーシステムの場合、すべてのユーザーペアに対して明確なアルゴリズムを生成するよりも、キーを生成する方が圧倒的に簡単であることは明らかです(ユーザーの1つのペアであっても、キーを更新する方が簡単であると主張できます)。 しかし、それは唯一の議論ですか? つまり、定義すると AlgorithmA = AlgorithmX + key A AlgorithmB = AlgorithmX + key B その場合、キーの変更はアルゴリズムの変更と変わりません。 私が見る唯一の違いは、新しいユーザー/キーのペアの場合です 秘密鍵の場合、ほとんどのアルゴリズム構造は一定のままですが、 秘密のアルゴリズムの場合、ほとんどのアルゴリズム構造を変更する必要があります しかし、限界はどこですか?「ほとんど」の意味? この区別が通常言及される理由を理解するために、より多くの見解と手がかりを持ちたいと思います。

2
スタック検査の制限
これは、スタック検査の仕組みのフォローアップです。概念をより詳細に探索します スタック検査は、外部からダウンロードされた信頼レベルの異なるコードモジュールが一緒に実行されている可能性がある場合に、JVMおよびCLR仮想マシンのコンテキストでセキュリティを確保するためのメカニズムです。そのシステムライブラリには、信頼されていないコードからの呼び出しと、信頼されたアプリケーション自体からの呼び出しを区別する方法が必要です。これは、その起源に対応するプリンシパルをコードに関連付けることによって行われます。次に、アクセス許可がスタックに記録され、機密のシステムメソッドへの呼び出しが行われるたびに、スタックがトラバースされ、呼び出しを行うプリンシパルに適切なアクセス許可がスタックに存在するかどうかが確認されます。 スタック検査の制限は何ですか?それを置き換えるためにどのようなメカニズムが提案されていますか?90年代後半に導入されてから、モデルに大きな変更が加えられましたか?

2
ゼロ知識証明:抽象例
だから私はウィキペディアでZKPについて読んでいました、要約の抽象的な例は次のようになります: ペギーはビクターに秘密の言葉をビクターに明かさずにAとBを接続する洞窟内部のドアの秘密を知っていることをビクターに証明したいと考えています(図を参照)。 ペギーはビクターに知られていないランダムなエントリを取ります ビクターはペギーに叫び、パスAまたはBから出ます(ランダムに選択) そのため、ビクターに秘密の言葉を明かさずに、ビクターが選択した経路から抜け出すには、彼女が秘密の言葉を知っている必要があります。これが行われる回数が増えるほど、ビクターは信頼を築きます。 しかし、なぜビクターはペギーがどの道から入ってくるかを見ることができないのですか?これは秘密の言葉が何であるかについての追加情報を明らかにしないので。 どうしてビクターは彼女がどのように入るのかわからず、彼女に4つの可能性を示すように頼むことができません。 Aから入り、Aを出る Aから入り、Bを出る Bから入り、Aから出る Bから入り、Bを出る
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.