タグ付けされた質問 「cryptography」

1
Gitでコミットとタグに暗号で署名することの利点と欠点は何ですか?
だから誰かが私の仕事をレビューし、彼は私にいつも私のコミットとタグに暗号で署名するべきだと言った。理由を尋ねられたとき、彼はそれを私に説明することを知らず、「やるのは良いことだ」と言った。 明らかなチンパンジーのシナリオを回避しようとすると、なぜ本当に必要なのでしょうか?本当に多くの明確な利点があり、欠点はありませんか? 私が作成するすべてのコミットとタグに署名したいと思う実用的な理由は何ですか?
109 git  cryptography 

7
Webのコンテンツを保護して、私がそれを最初に作成したことを保証するアルゴリズムパターンはありますか?
数年前、特定のシステムの脆弱性を完全に開示したハッカーがいた(彼が誰であったか覚えていない)が、誰も信用していないことを確認するために、彼は何らかのPGPキーを作成した。 当時私が理解していたのは、彼がそれを発見した人であることを保証するためのキーを作成したが、実際に誰であるかを開示せず、彼が開示を作成した人であることを証明できるメカニズムを作成したことです。 OK。アルゴリズムと暗号化の仕組みを理解しています。しかし、ウェブで公開された特定のコンテンツを保護するためのキーを作成して、それが最初に作成されたものであることを証明する方法をまだ理解していません!言葉だけです! 本当に可能ですか?経験的に証明できるようにするためのプロセスは何ですか?私はそれを正しく理解しましたか、またはおそらくこのケースに関する何かを見逃しましたか? この質問が十分具体的であることを願っています。基本的には、Webで作成したコンテンツ(段落、コード、単語など)を保護する方法であり、与えられたコンテキスト。 私の知る限り、それがどのように可能かはわかりませんが、実用的な方法があれば興味をそそられます。ある?

7
Webプログラマーは暗号化について何を知るべきですか?[閉まっている]
Webサイト/ Webアプリケーションを構築するプログラマーは暗号化を理解すべきですか?ほとんどの暗号アルゴリズムがどのように機能するのか分かりませんし、md5 / des / aes / etcの違いを本当に理解していません。暗号化の詳細な理解が必要な人はいますか? 私はそれを必要としませんでした、しかし、私はおそらく私が何かを見逃しているのではないかと思います。パスワードを暗号化するためにsalt + md5ハッシュを使用し、WebサーバーにSSLを使用するように指示しました。それを超えて、私は他の多くを使用したとは言えず、これらの方法がどれほど安全であるかを確実に言うこともできません。他の人が彼らが安全だと主張するので、私はそれらを使うだけです。 これらの2つの単純な例とは別に、Webプログラミングで暗号化を使用する必要性を発見したことがありますか?

5
秘密鍵を保存する場所は?
ソフトウェアの一部を暗号化するとします。たとえば、データベースなどの資格情報。これらの値をどこかに保存する必要がありますが、クリアテキストで保存すると、攻撃者が簡単に不正アクセスを取得できます。 ただし、クリアテキストを暗号化する場合、キーはどこに保存しますか?難読化のレベルに関係なく、ソフトウェアがアクセスできるものはすべて、意欲的な攻撃者はアクセスできます。 キーがファイルシステムのセキュリティモデルによって保護されているとします。しかし、(悪意のある)スーパーユーザー、またはそのような忠実度を提供しないプラットフォームはどうでしょうか? または、キーはソフトウェアバイナリにハードコードされていますが、常にデコンパイルできます。オープンソースソフトウェアや解釈されたコードについてはどうでしょうか。 キーが生成される場合、そのようなアルゴリズムは決定的(おそらく)である必要があり、同じ問題がシードに適用されます。 等 暗号化は、チェーン内の最も弱いリンクと同じくらい強力であり、これはかなり緩いもののようです!それが仕事にふさわしいツールだと思い込んで(ユーモア)、そのような情報を堅牢に保護するにはどうすればよいでしょうか? ジョブに適したツールについて:おそらく、たとえば-サービスアクセス(DB、認証サーバーなど)の場合、サービスアカウントを使用してこの層でのアクセスを制限します。監査などのように、クリアテキストで資格情報を持っていることはそれほど心配ではありません。 しかし、私にはそれでも不十分だと思われます。だれもいるべきではないところをぶらぶらしたくないのです!

4
米国からの輸出制限に関するプログラマーの懸念
この質問は、Software Engineering Stack Exchangeで回答できるため、Stack Overflowから移行されました。 7年前に移行され ました。 暗号化ソフトウェアに関する米国の輸出規制を満たさなければならないソフトウェアを設計および公開するとき、どの側面を考慮する必要がありますか? ウィキペディアでは、暗号化ソフトウェアに割り当てることができるさまざまなカテゴリがあると述べています。また、輸出先(中国、ロシアなど)も大きな役割を果たしています。しかし、私はこれらの制限と私の仕事への影響を本当に理解していませんでした。 誰も私にそれを説明できますか? アプリケーションを公開しようとすると(たとえば、AppleのApp StoreやAndroidのマーケットで)、アプリケーションが米国の輸出規制を満たしていることを確認する必要があるからです。また、パスワードなどの安全な情報ストレージを提供する多くのアプリケーションがあります。 彼ら全員が政府に通知し、レビューを求めましたか?もちろん、彼らがそうしたかどうかはわかりません。しかし、彼らはこれを行う必要がありますか?

1
Java暗号化拡張機能
Javaアプリ内でAES256暗号化をサポートするには、JCEとUnlimited Strength Jurisdiction Policy Filesが必要だと言われました。 これをOracleからダウンロードして解凍すると、2つのJARしか表示されません。 local_policy.jar; そして US_export_polic.jar ここで何も見逃していないことを確認したいだけです!私の理解(読んだ後README.txt)は、これら2つを<JAVA_HOME>/lib/security/ディレクトリにドロップするだけで、インストールする必要があるということです。 これらのJARの名前からすると、AES256を処理できないJava Crypto APIではないと仮定する必要がありますが、実際には法的な問題です。そして、これら2つのJARは基本的にJREに「はい、このレベルの暗号(AES256)を実行することは法的に受け入れられます。」と言います。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.