Computational hardness assumption

خب لینک اول Computational hardness assumption داره چی میگه.
میگه در علم رمزنگاری مدرن دنبال این هستن که الگوریتم هایی ایجاد کنن که بشه امنیت اونا رو به روشی بقدر کافی قابل اطمینان ثابت کرد (طبیعتا با متدهای منطقی/ریاضی). چون میدونیم که در دنیای علم و منطق، تکیه بر حدس و تصور و احساسات اعتباری نداره و باید تاجاییکه شدنی هست به اثبات و روشنی و اطمینان رسید، که بالاترین حد این اثبات معمولا اثبات با ریاضیات است. اما حتی در این شکل هم سطوح اثبات با هم فرق میکنن. بعضی اثبات ها کامل و مطلق هستن، ولی خیلی دیگر اثبات های کامل و مطلق ندارن و مثلا بر یکسری فرض هایی بنا شدن که عموما تصور میشه و احتمال زیادی داده میشه که درست هستن و تجربه و شواهد بر این امر صحه میگذارند اما بهرحال اثبات منطقی/ریاضی براشون وجود نداره.
ادامه خواندن Continue reading

مباحث بنیادین در علم رمزنگاری

اینجا فعلا لیست یکسری مقاله های مهم رو میذارم جمع آوری و حفظ بشه، بعدا اگر وقت کردم شاید توضیح و مطلب بیشتری به فارسی هم بذارم.
این لیست رو به مرور زمان کاملتر میکنم؛ یعنی لینک های جدید رو به مرور بهش اضافه میکنم.

ادامه خواندن Continue reading

حملۀ مخوف بر روی AES!

میدونید که بی شک AES یکی از مشهورترین، پر استفاده ترین، و امن ترین الگوریتم های رمزنگاری متقارن است که سالهای سال هیچکس نتونسته بهش نفوذ جدی بکنه. یعنی درواقع میشه گفت به احتمال زیاد حتی در حال حاضر هم هنوز پراستفاده ترین و امن ترین الگوریتم بحساب میاد.

البته کم و بیش همینطوره، ولی یکی از خفن ترین حمله هایی که من تازگی دیدم انجام شده این هست: دانلود
ادامه خواندن Continue reading

تعیین مجوزهای دسترسی فایل در ویندوز مشابه پرمیشن فایلها در لینوکس

البته احتمالا اصطلاح پرمیشن و مقایسه با کارکرد فرمان chmod لینوکس، از نظر تخصصی در اینجا زیاد درست نباشه، چون این اصطلاح بیشتر به سیستم پرمیشن کلاسیک مثل سیستم پرمیشن فایل معروف در سیستم عاملهای بر مبنای یونیکس، مثل لینوکس، گفته میشه. اما بهرصورت بحث این هست که آیا ویندوز هم چیزی مثل سیستم پرمیشن فایل لینوکس داره و میتونیم برای فایلها بر اساس کاربران و گروههای مختلف مجوزهای دسترسی خواندن (read)، نوشتن (write)، اجرا (execute) و غیره تعیین کنیم یا نه!
ادامه خواندن Continue reading

چرا نباید در زمینهء امنیت و رمزنگاری از خودمان الگوریتم اختراع کنیم!

در این زمینه یه عبارت یا عبارتهای معروف مشابهی هست.
میتونید این عبارت رو در گوگل سرچ کنید تا براتون کلی نتیجه بیاره: don’t roll your own crypto
من سعی میکنم چند توضیح خوب در این مورد رو پیدا و ترجمه کنم.
ادامه خواندن Continue reading

امن ترین الگوریتم های هش پسورد – bcrypt

سه مورد از خفن ترین الگوریتم های هش پسورد اینا هستن (به ترتیب رتبه):

1- scrypt

2- bcrypt

3- PBKDF2

شاید بپرسید پس چرا از scrypt کم استفاده میشه و بیشتر افراد بجاش اسم از bcrypt میارن.
ادامه خواندن Continue reading

پاسخ به سوال «برای یادگیری حرفه ای امنیت باید چکار کنم از کجا شروع کنم منبع و سرفصل جامع میخوام!»

بارها افرادی از بنده منبع و سرفصل جامع در زمینهء یادگیری امنیت خواستن یا راهنمایی در یادگیری در این زمینه.
سعی میکنم یه جمع بندی از جوابها و نکاتی که در این بین مطرح شده بگم.

ادامه خواندن Continue reading

نکتهء امنیتی مهم درمورد ریدایرکت کردن کاربر با هدر Location

مربوط به برنامه نویسی وب (نمونه کد در زبان PHP)

هرجا دستور ‎header(“location: target.php”)‎ رو میذارید، حتما بلافاصله در خط بعدش دستور exit هم بذارید.
header(“location: target.php”)‎ به مرورگر دستور میده که به آدرس مشخص شده بره، اما باید بدونید که 1) کلاینت میتونه از این دستور سرپیچی کنه و در همون صفحه بمونه (مثلا با دستکاری مرورگر یا با استفاده از نرم افزارهای امنیتی و هک) و هرگونه خروجی صفحه رو هم (درصورت وجود) دریافت کنه. 2) کدهای برنامهء شما حتی بعد از خط header(“location: target.php”)‎ همچنان اجرا میشن، مگر اینکه خودتون با شرط یا دستور exit/die جلوی اجرای بقیهء برنامه رو بگیرید.

ادامه خواندن Continue reading

حفره امنیتی تزریق ایمیل در فرمهای تماس با ما

این حفره ای هست که در بعضی از فرمهای «تماس با ما» که اطلاعات وارد شده رو به ایمیل مدیر سایت ارسال میکنن ممکنه وجود داشته باشه.
با این حفره میشه از طریق سایتی که این حفره رو داره، به هر آدرس دلخواه ایمیل ارسال کرد؛ حتی همراه با فایلهای ضمیمه!

ادامه خواندن Continue reading

سیستمهایی که بجای یک پسورد از دو پسورد و لاگین دو مرحله ای استفاده میکنند

بارها دیدم که افراد درمورد قرار دادن دو پسورد و دو مرحلهء لاگین برای بعضی سیستمها یا عملیات صحبت کرده اند. بنظر میرسد که آنها فکر میکنند به این شکل امنیت بیشتری برقرار میشود.

حالا بنده تحلیل و نکات مهم اینطور سیستمهای دو پسوردی و دو مرحله ای رو براتون میگم:

ادامه خواندن Continue reading