1
adrianzhang 77 天前
缺点 2 ,用现有的证书体系不就能避免中间人攻击了吗?
|
2
e4fjui OP @adrianzhang 现有的话得需要域名才能签发,太麻烦了,现在用的是直接本地生成的 rsa 密钥对
|
3
adrianzhang 77 天前
@e4fjui 中间人攻击是非常普遍的,作为一款加密用途的软件,这是一个大坑。域名只需要申请一个,当你的域名得到了上级机构签发的证书后,用域名的私钥对所有手机发出来的公钥签名就行。而且现在免费证书都是三个月更新,保障性很高。
|
4
e4fjui OP @adrianzhang 可以通过截图确认下发送的公钥是否被篡改,除非微信官方连截图都伪造一个然后把真实的截图给修改掉,感觉可能性不大,微信官方都作为中间人攻击的话,那 CA 又怎么确保一定不会泄漏证书呢
|
5
GeekGao 77 天前
有点意思
|
6
adrianzhang 77 天前
@e4fjui #4 截图的问题,一是明文,二是增加用户人工对比的复杂度,就算老油条,哪有时时刻刻注意检查的。中间人攻击一般不会是微信这种官方。举个简单例子,你在家里,好巧不巧无线路由器因为有个默认密码漏洞被人掌握了,能够抓包,看到这种明文的 rsa ,那篡改一个就行了,难度很低。公钥体系中的根 CA 本就不会去签发用户证书,只给中间 CA 签发,再怎么中间人攻击,得拿到根 CA 私钥才行。把整个公钥体系再找资料读一读,理解一下这个体系怎么防止中间人攻击。
|
7
SteveRogers 77 天前
厉害啊
|
8
XiLingHost 77 天前
@e4fjui #4 其实不需要截图,再互相发一下 fingerprint 然后交叉签名重发一下就可以了,可以实现一个密钥交换,这样除非中间人也实现同样的逻辑并且持续篡改,这就产生很高的成本了
|
9
e4fjui OP @adrianzhang rsa 是用微信发的,除非微信没有做加密,软件本身不负责发信息的,除了上传文件以外不联网
|
10
adrianzhang 77 天前
@e4fjui #9 哦,明白这个意思了,微信作为公钥交换渠道了,不仅仅是自己的加密信息。那就是公钥安全靠微信的安全性来保证。这样也行,除非微信作恶,或者微信成了明文,否则公钥是安全的。
|
11
adrianzhang 77 天前
@e4fjui #9 那用户使用的时候,即使是用别的 IM ,也得开着微信来交换公钥,是这样吗?
|
12
e4fjui OP @adrianzhang 随便什么 IM 都可以,不只是微信,没有基于任何 IM 单独写代码,交换密钥只要该 IM 安全就行
|
13
adrianzhang 77 天前
@e4fjui #12 明白了,挺巧妙的设计。相当于 Android IM 版的 GPG mail
|
14
adrianzhang 77 天前
来,这是我的公钥,x︋︎︁︄︉︍︄︍︍︋️︋︁︎︇︁︊︍︇︆︅︍︎︅︎︉︇︉︈️︈︁︂︆︅︆︄︀︂︁︇︃︊︀︊︄︂︎︊︆︃︄️︃︆︉︇︋︊︁︇︅︋️︁︆︃︇︉︈︉︇️︃︇︂️︆︊︈︍︉︆️︄︈︂︌︂︋︆︈︇︊︈︉︋︈︆︇︌︀︇︆︍︅︁️︇︂︍︈︆︋︄︃︌️︂︄︎︂︍︃︅︈︊︃︊︎︎︇︂︆︉︇︎︇︍︂︌︆︁︎︁︃︆︂︇︃︄️︂︇︇︊︌︉︆︀︃︂︀︍︂︉︀︈︁︂︇︌︁︌︁︉︆︃︋︈︊︆︁︁︌︎︌︋︉︅︊︄︍︋︂︄︄︍︊︇️︊︎︌︉︌︍︃︇︎︆︅️️️︅︊︀︃︅︈︇︈️︉︃︊︆︂︆︈︄︎︀︀︎️︍️︋︀︉︅︍︊︌︍︈︄︆︊︂︅︁︋︊︊︌︂︂︊︄︍︆︀︂︍︄︊︁︊︇︈️︌︅︍︅︈︁︉︇︃︅︍︅︂︉︊︇︀︃︋︃︎︀︇︅︇︌︈︆︊️︊︋︇︂️︅︊︀︇︉︄︅︇︀︈︄︎︄︂︅︌︂︌︇︇️︀︉︇︈︇︋︈︌︈︀︁︎︋︁︅︃︎︀︁︇︇︍︈︁︎︍︁︁︉️︆︋︃︁︋︉︁︋︉︎︃︈︂︂︉︂︃︌︀︄︂︇︀︊︀︊︋︃︋️︍︂︊︁︉︌︁︀︂︋︅︊︇︀︍︃︀︄︂︋︉︉︁︁︌︀︅︃︌︃︃︇︋︌︀︃︌︅︀︊️︆︍︆︎︇︋︉︆︎️︀︂︂︎︋︀︈️︈︍️︇︍︌︀︈︃︇︆︅︌︄︁︊︌︌︇︃︍︁︆︉︁︀︆︅︂︆︈︍︍︎︍︌︈︂︀︄︍︍︍︊︍︈︆︉︋︄︃︅️︎︅️︉️︎︈︂︊︃︆︍︆︌︄︎︀︊︊︄︊︍︎︂︂︋︋︂︎︌︌︈️︊︇︆︁︊︍︉︌︂︍︆︀︂︍︀︎︇︂︉︀︈︊︇︉︁︋︈︋︊️︁︂︍︀︀︀︅︈︅︅︃︁︄︃︊︁︇︆︃︋️️︄︊︀︌︈︊︌︂︎︃︌︋︈︉︈︌︄︇︊︀︈︀︄︌︍︃︊︉︄︃︁︃︅︂︆︉︌︎︊︅︉︆︍︋︄︊︂︄︋︇︀︂︂︃︌︊︉︁︅︎︊︊︊︂︋︎︈︂︀︋︉︈︋︁︋︆︎︉︂︋︎︊︉︎︃️︅︆︂️︆︀︇️︇︍︎︅︂︋︎︅︃︋︃︆︇︃︆︊︃︌︁︇︈️︍︅︂︋︆︁︅︊︁︀︍︁︈︄︍︎︊︆︌︌︌︌️︄︅︂︊︂︊︉︇︃︀️︋︆︉︁︆︁︈︂︇︇︈︌︀︄︍︄︃︎︋︆︂︅︍︎︈︉︋︌︊︈︊︁︍︂︆︎️︁︉︃︉︄︈︃︃︆︉︀︅︄︈︈︀️︂︋︀︍︈︊︉︄︃︅︅︇︆︆︁︉︃︉︈️︃︄︄︈︂︌︊︈︄︃︁︉︅︌︂︇︊︌︁︊︀︊︎︁︉︃︀︈︊︃︎️︆︅️︍︄︁︉︆︍︂︇︅︈︌︋︊︀︅️︊︁︄︄︂︂︅︃︄︋︄︊827 ,发个加密信息出来。
|
15
e4fjui OP @adrianzhang x︋︈︀︅︇︌︉︂︇︅︎︈︅︉︍︍︂︉︉︃︅︈︋︎︉︀︍︇︃︄︄︄︈︀︆︆︍︊︊︈︇︂︄︍︀︇︍︅️︁︇︄︉︃︍︀︆︌︀︃︉︇︈︌︍︌︉️︋︎︎︌︍︌︊︂︄︋︆️︌︃︋︌︎︅︎︀︅︌︁︃︎︅︁︎︇︍︇︌︅️︉︍︉︃︄︃︍︎︌︀︅︌︄︃︃︍︉︃️️︅️︂︃︎︆︉︀︋︂︋︉︅︆︇︋︂︍︎︊︊︁︉︅︅︅︁︋︃️︋︍︉︅︅︄︆︈︇︉︅︁︌️︎︊︀︊︅︉︈︂︋︂︅︈︋︅︈︄︀︃︂︆︆︄︌︉︍︅︋︍︀︌︅︃︁︄︋︂︄︇️︆️︃︍︆︊︉︇︊︄️︇︂︉︈︉︍︇︎︆︍︁︃︈︋︅︄︀︆︍︆︇︍︈︆︂︍︆︁︈︌︆︁︍︋︄︁︌︉︃︋︆︅️︂︊️︃︃︎︅︋︃️︂︇︃︌︁︎︁︋️︎︉︁︎︃️︈︌︁︂︋︊︋︁︉︃︁︂︀︇︋︍︁️︆︍︇︍︁︇︌︀︂︈︍︇︍︁︋︂︃︅︍︆︋︎︍︆︆︍︃︀︌︀︎︂︎︎︆︉︁︍︁︁︁︀︉︌︈︍︇️︀︌︂︌︂︅︌︇︂︌︄︇︊︉︂︄︁︀︀︉︁︃︀︅︃︉︇︉︉︋︊︄︎️︎️︈︇︉︇︎︄︁︇︌️︊︈︇︊︆︂️︇︅︁️︀︁︄️︍︁︀︉︍︄︍︂︅︈︊︃︁︄︊︌︈︎️︁︇️︋︆️︂︅︇︃︉︈︉︅︁︍︆︋︂︁︍︀️︇︃︋︅︆︌︌︇︌︋︂︂︎︎︅︍︅︂︍︌︌️︆︆︄︎︍︊︉︄︆︄︇︃︂︄︂︄︀︁︉︄︁︁︃︃︌︈︃︁︈︊︌︁︄︄︌︉︎︇︃︆︍︂︎︈︄️︁︅︍︊︃︋︃︄︈︃︍︌︅︎︆︆︎︅︍️︍︀︎︉︄︂︄︃︀︆︌︃︌︉︅️︇︊︀︌︅︈︄︆︂︈︈︇︍︄︃︆️︈︀︋︇︂︈︄︉︂︌︆︋︇︉︎︌︀︊︄︀︉︋︌︂︊︁️︉︂︊️︄︋︄︀️︇️︍︋︆︆︍︃︈︁︋︇︎️︋︈︊️︀︁︍️︆︇︀︇︇︃︀︋︂︀︆︈︁︆︅︂︅︆︎︍︈︇︂︊︀︍︆︌︍︃︁︊︇︌︎︎︆︊︁︃︉︃︆︊︋︂︄︇︌︋︊️︊️︂︊︅︁︃︂︍︈︅︀️︇︊︊︃︂︁︃︆︀︅︂︈︎︆︌︊︍︆︇︊︃︆︋︃︈︇︎︀︅︌︂︀︋︎︃︊︉︈︁︆︉︃︉︊︂️️︂︊︁︆︌️︁️︌︇️︋️️︆︆︃︎︄︅︍︇︂︊️︋︆︎︎︁︍︇︄︆︈︎︎️︁️︄︆︃︃650
|
16
adrianzhang 77 天前
@e4fjui #15 在主页-解码-输入内容,粘贴 x650 ,但解码还是 x650……
|
17
adrianzhang 77 天前
@e4fjui #15 测试 233 ?
|
18
e4fjui OP @adrianzhang 那就是解码失败了,我这里看长度是 793 ,你可能复制的信息的空白字符内容被过滤掉了
|
19
e4fjui OP @adrianzhang 对,不过 rsa 是用来传输对称加密使用的密钥的,不是直接发信息的,效率太低了
|
20
adrianzhang 77 天前
@e4fjui 所以这个“测试 233”应该存到密钥列表?
|
21
e4fjui OP @adrianzhang 对,然后用这个当密钥,来完成对称加密发送信息,对方密钥列表也有这个就能自动解密
|
22
adrianzhang 77 天前
@e4fjui 好玩!不过对一般用户来说门槛可不低。最好做成步骤 1 ,2 ,3 。
|
23
forvvvv123 77 天前
看是不是要跟所有人都搞端对端加密,如果不是的话就当面交换密钥,更放心
|
24
e4fjui OP @adrianzhang 也可以直接通过其他安全的途径交换密钥,不一定非得用 rsa
|
25
adrianzhang 77 天前
@e4fjui 还是 rsa 好玩,就像咱们这个交换信息的过程。v2 上经常有人需要别人的联系信息,而别人可能会不想公开,那么用这个软件,求的人 po 出自己的公钥,给的人加密后给出来。这个应用场景除了你这个软件,还没有哪个软件能做到。
|
26
e4fjui OP @adrianzhang 主要是用来在 im 里面聊天的,能做到自动解密,点击信息就能显示解密内容,目前 rsa 的缺点就是只能发送文字,如果是对称密钥可以发图片视频和 20M 大小的任意文件,文件内容也是用对称密钥使用 aes 算法加密的
|
27
adrianzhang 77 天前
@e4fjui #26 思路打开一下嘛。广大论坛上求联系方式,求梯子的,这些应用场景非常合适。IM 加密反而不是特别强的需求,因为有替代方法,当面说个密码,或者用其他渠道传密码,都可以。
|
28
adrianzhang 77 天前
配合摸鱼论文: https://www.v2ex.com/t/1055809 ,这个软件会无敌的。
|
29
bluedawn 77 天前 via iPhone
这也太棒了,可惜现在用的 iOS 没法体验,请问自己和好友的密钥有备份和恢复渠道嘛?如果有 one drive 之类的用 master key 加密存储就好了
|
32
busier 77 天前
对于中间人攻击,通过其它通道与目标核对一下公钥指纹不就可以了
|
33
hhacker 77 天前
哈哈哈哈, 建议口头传递密钥
|
34
92DISPfZMyn9IZaw 77 天前
这比 gnupg 好在哪?
|
35
iminto 77 天前 via Android
类似这样的软件很多年前就有了,不过是用的输入法,输入法加密更自然一些
|
37
adrianzhang 77 天前
@TrembleBeforeMe 这玩意一看密文就知道它算法不行,能被破解。
|
38
yshtcn 76 天前 via iPhone
iOS 可以做成输入法(类似于 pin )
|
40
godall 75 天前
你发公钥的时候,被别人(比如马化腾)截取了,那他不是也可以解密你的文本信息?
|