アカウント名:
パスワード:
ワンタイムパッドもXOR暗号だが。何かややこしそうな操作したほうが安全そうなんて思い込んでたらそれこそ詐欺のカモだろ。むろんこの特定の件に限って言えばその他の点でダメすぎるが「XOR暗号だから」というだけでは理由になってない。
いやいや、XOR暗号の単独使用はリバースエンジニアリングが簡単なので他に比べて危険ですよ。場合によってはコードを読む必要すら無いですし。
# 昔、Flashベースの某漫画配信サイトでXOR暗号を使っているのを発見して解いてみたことがあります…
くだんのアプリは、鍵はユーザー入力のために保管されていませんが、入力値を単純にXORするために鍵長が短すぎ(1byte!)、ヘッダの固定値やブルートフォースで解読できる、という話ですね。
>十分に鍵長を長く(平文と同じ長さが望ましい)して鍵の秘密を秘匿できれば一般的に解読は不可能そして鍵の使いまわしをしないことも重要です。ワンタイムパッドを利用したXOR暗号が安全だというのは正しいですが、ワンタイムパッドを利用しないXOR暗号は弱いです。
いや、XOR暗号は保管目的で使う限り、どんだけ工夫しても鍵の秘匿方法以上にはセキュアにならないと思うが。そして完全な秘匿は不可能(可能ならB-CASやBlu-rayがクラックされることもなかった)だから、解読は可能。復号のためにキーをいつでも読み出せないといけないわけだから、鍵を使いまわししない場合でも暗号文と鍵は常にセットで存在しているわけだから、鍵をクラックする方法を考えればいいだけ。
それはどんなアルゴリズムを採用しても同じことだからXOR暗号が特段に弱い理由になってない。それともまさか鍵は秘匿できないけどアルゴリズムなら秘匿できるとでも?
「解読が不可能」を否定したら、「じゃぁ特段に弱いのかよ」って、あなた数学の命題の真偽とか苦手だったでしょう?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
簡単なXOR暗号を使用しており (スコア:0)
ワンタイムパッドもXOR暗号だが。何かややこしそうな操作したほうが安全そうなんて思い込んでたらそれこそ詐欺のカモだろ。むろんこの特定の件に限って言えばその他の点でダメすぎるが「XOR暗号だから」というだけでは理由になってない。
Re: (スコア:0)
いやいや、XOR暗号の単独使用はリバースエンジニアリングが簡単なので他に比べて危険ですよ。場合によってはコードを読む必要すら無いですし。
# 昔、Flashベースの某漫画配信サイトでXOR暗号を使っているのを発見して解いてみたことがあります…
Re:簡単なXOR暗号を使用しており (スコア:1)
Re:簡単なXOR暗号を使用しており (スコア:1)
くだんのアプリは、鍵はユーザー入力のために保管されていませんが、入力値を単純にXORするために鍵長が短すぎ(1byte!)、ヘッダの固定値やブルートフォースで解読できる、という話ですね。
>十分に鍵長を長く(平文と同じ長さが望ましい)して鍵の秘密を秘匿できれば一般的に解読は不可能
そして鍵の使いまわしをしないことも重要です。
ワンタイムパッドを利用したXOR暗号が安全だというのは正しいですが、ワンタイムパッドを利用しないXOR暗号は弱いです。
Re: (スコア:0)
いや、XOR暗号は保管目的で使う限り、どんだけ工夫しても鍵の秘匿方法以上にはセキュアにならないと思うが。そして完全な秘匿は不可能(可能ならB-CASやBlu-rayがクラックされることもなかった)だから、解読は可能。
復号のためにキーをいつでも読み出せないといけないわけだから、鍵を使いまわししない場合でも暗号文と鍵は常にセットで存在しているわけだから、鍵をクラックする方法を考えればいいだけ。
Re: (スコア:0)
それはどんなアルゴリズムを採用しても同じことだからXOR暗号が特段に弱い理由になってない。それともまさか鍵は秘匿できないけどアルゴリズムなら秘匿できるとでも?
Re: (スコア:0)
「解読が不可能」を否定したら、「じゃぁ特段に弱いのかよ」って、あなた数学の命題の真偽とか苦手だったでしょう?