1. Ruby / Говнокод #21971

    −96

    1. 1
    2. 2
    3. 3
    4. 4
    5. 5
    6. 6
    7. 7
    require 'aes'

message = "Super secret message"
key = "password"

encrypted = AES.encrypt(message, key)    # RZhMg/RzyTXK4QKOJDhGJg==$BYAvRONIsfKjX+uYiZ8TCsW7C2Ug9fH7cfRG9mbvx9o=
decrypted = AES.decrypt(encrypted, key)  # Super secret message

    https://blog.elpassion.com/simple-and-terrifying-encryption-story-c1f1d6707c07#.lryae7h7b

    Simple and Terrifying Encryption Story
    I wanted to build an app where users can encrypt and decrypt messages.
    ...
    I found an important bug and felt like it’s the right thing to do to share it.

    Господи, как страшно жыть. Один мудак пишет шифрование, не зная разницы между ключём и паролем, второй толком не валидирует пользовательский инпут в либе для шифрования. Действительно, TERRIFYING STORY, BRO.

    Запостил: roman-kashitsyn, 13 Января 2017

    Комментарии (100) RSS

    • ava roman-kashitsyn 13.01.2017 22:31 # +3

      #SEO #Криптография #СамыйЛучшийЯзыкИзЯпонии
      Ответить

    • ava barop 13.01.2017 22:38 # +2

      Я бы вообще принимал не строку, а какой-нить ByteArray. И он у меня умел бы создаваться fromHexString, хотя я не знаю философию руби. Может быть там так не принято.

      С другой стороны автор поста открыл для себя хекс, и узнал что протоколы шифрования обычно оперируют байтами, а не буквами хуйпоймикакой кодировки, а это полезное знание для программиста.
      Ответить

      • ava 1024-- 14.01.2017 02:34 # −1

        > протоколы шифрования обычно оперируют байтами, а не буквами
        Но ведь это протоколы, а не конкретные реализации.

        А вообще, пример поучителен и полезен. Бесед о потенциальных дырах никогда не бывает много.
        Ответить

    • ava CHayT 13.01.2017 22:55 # +2

      Ничего не понял, но статический питух рулит.
      Ответить

      • ava barop 13.01.2017 22:57 # 0

        да, будь тут стат тупизация -- такого бы не произошло скорее всего
        Ответить

        • ava guest 13.01.2017 23:41 # 0

          Почему? Статичность типизации перестала играть роль ровно в тот момент, когда автор впервые запустил свой код.
          Ответить

          • ava barop 13.01.2017 23:50 # 0

            Это если бы автор проверял типы)

            Просто в ЯП со стат типизацией никто не стал бы принимать ключ как String с hex-encoded.
            Ответить

            • ava guest 14.01.2017 00:00 # +1

              Мне кажется, в сишочке в 90% случаев используют (char|void)* и int.
              Ответить

              • ava barop 14.01.2017 00:05 # +3

                в сишечке -- да. Но сишечка на то и сишечка чтобы страд читать мануал, а не пихать строковой литерал туда где ожидается char *.

                А вот в жабе и .NET стопудово не так.

                Кстати, во многих криптолибах есть фреймворк для криптографии, и там вообще отдельно работать с AES не нужно.

                Ты говоришь примерно: ШифруйМеня(данные, ключ, провайдер=AES)
                И пофиг там AES или 3DES
                Ответить

                • ava Dr_Stertor 14.01.2017 00:24 # −3

                  С новым годом. Скажи, просвети идиота, чем разнится ** char и char * ??
                  Ответить

                  • ava barop 14.01.2017 00:31 # +2

                    char** это указатель на указатель на чар. Например чтобы сделать некое подобие двумертного массива байт, либо массива строк

                    char * это указатель на чар. Например чтобы сделать строку или одномерный массив байт.
                    Ответить

                    • ava Dr_Stertor 14.01.2017 00:37 # +1

                      Ясно. Ты говоришь о PPСhar и PChar.
                      @Указатель на указатель
                      Так его ж два раза придётся разыменовывать?
                      Первым разыменованием получаем адрес второго указателя, а вторым разыменованием создаём ссылку на память. Так?
                      Ответить

                      • ava barop 14.01.2017 00:44 # 0

                        чтобы получить данные в памяти - да, два раза
                        Ответить

                    • ava bormand 14.01.2017 09:04 # +1

                      Ещё char ** используют для возврата char* из функции. Примерно как var в паскале.
                      int test(char** out) {
    *out = ...;
}

char* p  = NULL;
int res = test(&p);
                      Ответить

                      • ava defecate-plusplus 14.01.2017 12:39 # +3

                        Ой плохому учишь.
                        Ответить

                        • ava bormand 14.01.2017 12:44 # −1

                          Как-будто в сишке есть другие варианты...
                          Ответить

                          • ava defecate-plusplus 14.01.2017 12:46 # +1

                            Выделить память самому, рассказать функции об адресе в памяти и предельном размере буфера, в ответ она вернет сколько памяти на самом деле пригодилось (или не хватило). Так все винапи работает, например.

                            Просто хороший тон (и единственно правильно в некоторых случаях) память освобождать там же, где и выделял.
                            Ответить

                            • ava bormand 14.01.2017 12:48 # +4

                              > Выделить память самому
                              > Так все винапи работает
                              Попросить функцию оценить, сколько ей надо памяти, выделить память, позвать функцию ещё раз, обломаться, потому что условия изменились, реаллокнуть память. Плавали, знаем. Тьфублядь.
                              Ответить

                              • ava defecate-plusplus 14.01.2017 12:54 # 0

                                Как ты внешней либе подсунешь свой "аллокатор". Если она в дллке вообще будет, а дллку аля кернел какой нить в 100 щячел сношают, что будет спустя 1 месяц аптайма. "Дефрагментацияъ кучиъ". На всё есть причины
                                Ответить

                                • ava bormand 14.01.2017 13:03 # 0

                                  > подсунешь свой "аллокатор"
                                  Некоторые либы позволяют. Но редко, да.

                                  Твой способ, кстати, ещё рулит когда структура заранее известного и не плавающего размера - можно вообще кучу не лапать.

                                  > На всё есть причины
                                  +1. Оба способа имеют свои недостатки, достоинства и право на жизнь.
                                  Ответить

                            • ava bormand 14.01.2017 12:50 # +2

                              > память освобождать там же, где и выделял
                              Да, но описанный мной приём этому правилу не противоречит. И позволяет вернуть что-то посложнее и поинкапсулированнее, чем просто буфер (какую-нибудь древовидную структуру, к примеру).
                              int load_foo(foo** out);
void free_foo(foo* p);
                              Ответить

                            • ava roman-kashitsyn 14.01.2017 14:28 # +4

                              > Так все винапи работает, например.

                              Мне кажется, приводить винапи как образец хорошего дизайна интерфейсов -- не самая удачная стратегия.
                              Ответить

                            • ava barop 16.01.2017 18:39 # 0

                              А если время жизни объекта мне не ведомо, а его знает только библиотечная функция?

                              Когда я его удалять буду?
                              Ответить

                              • ava bormand 16.01.2017 18:40 # 0

                                > а его знает только библиотечная функция
                                То как ты вообще сможешь им пользоваться? Он же в любой момент может сдохнуть.

                                В таком случае тебе какие-нибудь AddRef и Release дадут.
                                Ответить

                                • ava barop 16.01.2017 18:49 # 0

                                  >>В таком случае тебе какие-нибудь AddRef и Release дадут

                                  Вот ты сам и ответил -- как)

                                  попользовался -- сказал Release.

                                  А он остался жив, пока его в соседнем треде через полтора часа не релизнут, и тогда он окончательно даст дуба.

                                  Ref Counting, короче.
                                  Ответить

    • ava guest 13.01.2017 23:36 # 0

      > не зная разницы между ключём и паролем
      А какая разница?
      Ответить

      • ava barop 13.01.2017 23:43 # +2

        Ключ можно использовать в алгоритме напрямую, а пароль -- нет. Потому что ключ достаточно криптостоек, а пароль нет.

        Отсюда вытекают их особенности:
        * Ключ обычно имеет фиксированную длину, жестко прописанную в алгоритме, и обычно она слишком большая чтобы человек вводил ее с клавиатуры. А пароль таких ограничений не имеет и напротив: должен быть доступен для ввода с клавиатуры.
        * Ключ может состоять из любых байт, а пароль это человекочитаемый текст, и в большинстве раскладок он не будет использовать, скажем, байт 0x1.
        * Пароль имеет смысл брудфорсить, а ключ нет.

        зы: полагаю что пароль можно превратить в некоторое подобие ключа, если сложить его со случайным числом и взять от этого хеш.
        Ответить

        • ava guest 13.01.2017 23:50 # 0

          Как все это относится к задаче автора поста - шифровать сообщения по паролю?
          Ответить

          • ava barop 13.01.2017 23:54 # +2

            Я не знаю что такое "шифровать сообщения по паролю".
            Возможно есть такая библиотека. Но AES не имеет понятия "пароль", и потому ожидает ключ.
            Ответить

            • ava 1024-- 14.01.2017 02:30 # −1

              > Я не знаю что такое "шифровать сообщения по паролю".
              Придираст!

              > полагаю что пароль можно превратить в некоторое подобие ключа, если сложить его со случайным числом и взять от этого хеш.
              Кстати, что обычно используют для выжимки пароля в ключ?
              Ответить

              • ava barop 14.01.2017 05:04 # +2

                Обычно всё таки ключ генерируют на основе случайных чисел: датчиков проца, стучания пользователя по клавиатуре, мак адресов пролетающих на ethernet кадров итд.

                Случайное число все равно нужно.
                Люди не смогу создать пароль длиннее чем 10 символов, и ни одна кодировка не даст тебе использовать все 255 символов для букв, а значит пароль у тебя даже не 10 байт, а меньше.

                В ключ у AES, например, 192 байта. Это значит что десяти байт явно мало.
                Ответить

              • ava bormand 14.01.2017 08:57 # +3

                > для выжимки пароля в ключ
                PBKDF2, bcrypt, scrypt и т.п. Пыхомакаки - одну итерацию первого попавшегося хеша.
                Ответить

                • ava bormand 14.01.2017 09:38 # +1

                  З.Ы. И пока ты не побежал писать код - полученный ключ не стоит юзать для шифрования данных. Им можно шифровать только ключи, сгенерённые криптостойким ГПСЧ.
                  Ответить

                  • ava bormand 14.01.2017 10:36 # +1

                    Хотя... PKCS #5 утверждает, что можно и сразу данные. Но только 1 раз для каждого значения соли.
                    Ответить

                  • ava guestinho 14.01.2017 13:33 # +1

                    Почему? Расшифровать данные, зашированные таким ключом, проще, чем подобрать пароль?
                    Ответить

                    • ava bormand 14.01.2017 13:47 # +1

                      Большой риск залететь на переиспользование пары ключ-IV. Long-term симметричными ключами вообще не советуют данные шифровать, даже если они не из пароля сделаны.

                      З.Ы. Если как в PKCS #5 каждый раз делать новую соль - всё норм, ключ уже не long-term.
                      Ответить

                      • ava guestinho 15.01.2017 19:28 # +2

                        > Большой риск залететь на переиспользование пары ключ-IV.
                        Если у разных юзеров пароли совпадут? Или о чем речь?
                        Ответить

                        • ava bormand 15.01.2017 19:56 # +1

                          > Или о чем речь?
                          Если ты юзаешь PBKDF(salt, password) напрямую как ключ (не меняя соль на каждое сообщение), то ты, по сути, юзаешь один ключ для всех данных. Такая схема очень чувствительна к выбору IV, особенно если шифр потоковый (аля AES в режиме CTR). Повторился IV - одинаковая пара (ключ, IV) - кровь-кишки (можно узнать инфу о плейнтексте не зная ключа).

                          Ещё есть ограничения на объём и количество сообщений, которые допустимо шифровать одним ключом. Ты не сможешь этот объём контролировать при такой схеме.

                          Поэтому проще сгенерить/породить новый ключ и не лезть на поле с граблями (хоть и теоретическими).
                          Ответить

                          • ava guestinho 15.01.2017 20:02 # 0

                            Ясно. Спасибо.
                            Ответить

                            • ava bormand 15.01.2017 20:04 # +1

                              З.Ы. Я могу и заблуждаться, криптография она такая. Почитай какие-нибудь авторитетные источники и проверь.
                              Ответить

                  • ava 1024-- 15.01.2017 19:08 # +1

                    А что делать? Шифровать случайным ключом и прикладывать его в зашифрованном виде?
                    ENCRYPT(password, data) = concat(AES(PBKDF2(password), random_key), AES(random_key, data))
                    Ответить

                    • ava bormand 15.01.2017 19:14 # 0

                      Ну да, схема примерно такая. Вроде ещё можно ключ породить как KDF(случайная_хуйня + PBKDF2(password)).

                      З.Ы. Надо ещё аутентификацию добавить, чтобы знать, что никто не помял сообщение по дороге. Ибо шифрование не спасает от изменения данных.
                      Ответить

                      • ava 1024-- 15.01.2017 19:23 # 0

                        > аутентификацию добавить, чтобы знать, что никто не помял сообщение по дороге
                        Добавить к данным перед шифрованием их дайджест?
                        Ответить

                        • ava bormand 15.01.2017 19:30 # 0

                          > Добавить к данным перед шифрованием их дайджест?
                          Нет. Это плохой, дырявый способ.

                          Много холиваров на эту тему было... Погугли на тему hash-than-encrypt, encrypt-than-mac и т.п.
                          Ответить

    • ava guestinho 13.01.2017 23:42 # 0

      Объясните в чём прекол
      Ответить

      • ava guest 14.01.2017 00:02 # +6

        Автор поста не прочитал документацию к библиотеке и передал в функцию хуйню вместо ключа.
        Ответить

        • ava bormand 14.01.2017 08:50 # +6

          А автор библиотеки не выдал ошибку, а молча поюзал эту хуйню. Оба хороши.
          Ответить

    • ava Dr_Stertor 13.01.2017 23:48 # +1

      @Один мудак пишет шифрование, не зная разницы между ключём и паролем,

      :-/
      Ответить

      • ava barop 13.01.2017 23:49 # 0

        Стертор, а у вас в дельфях симметричное шифрование как реализовано?
        Ответить

        • ava Dr_Stertor 14.01.2017 00:29 # 0

          Средствами VCL - никак, только сесть и самому написать.
          Ещё можно прибегнуть к Indy, там наверняка есть.
          Ответить

          • ava barop 14.01.2017 05:09 # +1

            А у вас же там доступ к Win32Api нормальный, значит можно Crypto API
            Ответить

            • ava Dr_Stertor 14.01.2017 13:23 # +1

              @Стертор, а у вас в дельфях симметричное шифрование как реализовано?
              @А у вас же там доступ к Win32Api нормальный, значит можно Crypto API

              Далеко пойдёшь.
              Ответить

              • ava bormand 14.01.2017 14:38 # 0

                А в чем проблема? Начиная с семерки там даже набор алгоритмов актуальный изкоробки.
                Ответить

                • ava Dr_Stertor 14.01.2017 14:53 # +6

                  Проблема в том, что Палочка с крючком сперва задаёт вопрос, потом сама же даёт исчерпывающий ответ. Вам это не кажется странным? Думаю, тут без инопланетного заговора не обошлось. Мы явно имеем дело с засланным марсианским шпионом.
                  Ответить

                  • ava guestinho 14.01.2017 15:50 # 0

                    просто ты шизик
                    Ответить

                    • ava Dr_Stertor 14.01.2017 16:00 # 0

                      А ты, вне сомнения, психиатр?
                      Ответить

                      • ava huge_cock 14.01.2017 16:34 # 0

                        Психанул тебе за щеку, проверь.
                        Ответить

                        • ava guest 14.01.2017 18:06 # 0

                          Бойсовый питух в жопу клюнул, проверь.
                          Ответить

                      • ava 1024-- 15.01.2017 18:49 # 0

                        > сперва задаёт вопрос, потом сама же даёт исчерпывающий ответ
                        > психиатр
                        В параллельной вселенной у психиатра раздвоение личности, а клиент здоров.
                        Ответить

                  • ava bormand 15.01.2017 08:29 # 0

                    Ну он про винду знал, а спрашивал есть ли что-то в VCL.
                    Ответить

    • ava guest 14.01.2017 00:45 # +4

      Если заглянуть в ту либу, то(или хотя бы прочитать ту статью до конца), станет ясно, что весь хоррор этой истории заключается в том, что автор гема ожидает на вход encrypt/decrypt 32-символьный ключ, но не в виде массива байт, а в виде строки.

      P.S я не рубист
      Ответить

    • ava Fike 14.01.2017 05:22 # +1

      team lead senior developer, как всегда
      Ответить

      • ava bormand 14.01.2017 09:35 # +2

        Ну хоть не ниндзя-евангелист, как любят сейчас писать хипстеры.
        Ответить

        • ava Fike 14.01.2017 23:38 # 0

          боже, неужели и тебя пересекло с великой вебстудией uprock?
          Ответить

    • ava gost 14.01.2017 12:29 # 0

      https://github.com/chicks/aes/issues/5
      Ответить

      • ava bormand 15.01.2017 07:18 # +2

        The keys being generated are only HALF as long as they need to be.
        Ответить

      • ava bormand 15.01.2017 07:47 # +1

        Truncating non-hex characters to zero seems like a valid design decision, albeit something the user should be made aware of.

        Ну да, чтобы всякие пробелы и т.п. убрать. Но посчитать то символы после этого можно было? :)
        Ответить

        • ava gost 15.01.2017 13:11 # 0

          Эм, а зачем убирать пробелы? Если в ключе есть какие-то иные символы, кроме hex-символов, это же ошибка?
          Ответить

          • ava bormand 15.01.2017 13:14 # +2

            Ключ - это биты. Хекс - просто одна из форм записи этих битов, удобная для транспортировки. Можно и пробелами разбавить для красоты и удобства, просто получится другое представление того же ключа. Вай нот? Тем более рядом он тот же ключ в бейс64 таскает.

            З.Ы. Т.е. пробелы не в самом ключе, пробелы в одном из его текстовых представлений.
            Ответить

      • ava bormand 15.01.2017 08:00 # 0

        Там ещё и расшифровка из base64 поломана, походу. При шифровании IV и шифротекст склеены через $, а при расшифровке их разделить забыли.
        Ответить

      • ava bormand 15.01.2017 08:18 # +2 

        # Generates a random seed value
def _random_seed(size=32)
    if defined? OpenSSL::Random
        return OpenSSL::Random.random_bytes(size)
    else
        chars = ("a".."z").to_a + ("A".."Z").to_a + ("0".."9").to_a
        (1..size).collect{|a| chars[rand(chars.size)] }.join        
    end
end
        Криптостойкий генератор случайных чисел. Блядь, как это развидеть... Лавры пхпшников переходят автору либы.
        Ответить

    • ava kipar 14.01.2017 23:49 # 0

      Ну на реддите правильно ответили "если вам пришлось набирать в коде A-E-S, значит вы делаете что-то очень не то" https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2009/july/if-youre-typing-the-letters-a-e-s-into-your-code-youre-doing-it-wrong/
      Ответить

      • ava huesto 15.01.2017 00:07 # +6

        > But we just asked that to see how he thinks. We’re never going to let him implement crypto code anyways.
        Жиза. На собеседовании компьютерсайнс и паттерны проектирования, а на работе костыли и бойлерплейт на пхп.
        Ответить

      • ava Fike 15.01.2017 00:30 # +2

        Mike vomits onto the floor.
        Ответить

    • ava j123123 15.01.2017 15:54 # +2

      Ставить какие-то криптобиблиотеки "от Васяна" это очень хуевая идея. Думаете что рубихипстеры, попивая смузи у себя в старбаксах за макбуками, будут задумываться над всякой там хуйней, вроде акустического криптоанализа https://www.opennet.ru/opennews/art.shtml?num=38689 ?
      Вот еще про side-channel атаки https://www.youtube.com/watch?v=fJCSYL9jc7Y
      Ответить

      • ava huesto 15.01.2017 16:19 # +1

        Ты так сказал, как будто это что-то плохое. Этот твой криптоанализ никому не нужен. В бизнесе главное прибыль, а не абсолютная безопасность или нулевой технический долг.
        Ответить

        • ava bormand 15.01.2017 17:04 # +1

          > В бизнесе главное прибыль
          +1. Кого ебут эти side channel'ы, когда даже шифр цезаря с одним ключём на всех железках приносит профит:

          http://cybergibbons.com/security-2/csl-dualcom-cs2300-signalling-unit-vulnerabilities/
          Ответить

        • ava dxd 15.01.2017 17:35 # +2

          Вообще бизнесу даже код нахуй не нужен. Из чего следует, что мы все тут страдаем хуйнёй. Расходимся.
          Ответить

          • ava huesto 15.01.2017 17:43 # +3

            Все верно. Хочу только отметить, что программировать - это прикольно, а пилить костыли против тайминг атак и прочего говна - не прикольно.
            Ответить

            • ava Unnumbered 16.01.2017 12:27 # 0

              пфф.. нельзя исключать тот факт, что могут быть люди, которым всё-таки прикольно пилить эти самые костыли.
              Ответить

              • ava huesto 16.01.2017 13:25 # +1

                Ну и пускай пилят, а не пиздят, что это что-то абсолютно важное и что если ты не задумался об акустическом криптоанале, то ты лох и рабихипстер.
                Ответить

                • ava j123123 16.01.2017 14:03 # +1

                  > если ты не задумался об акустическом криптоанале, то ты лох и рабихипстер.
                  Будешь это рассказывать своим клиентам, когда кулхацкеры похакают твой сайт (если он у тебя конечно есть) с ценной инфой из-за кривой самопальной криптографии
                  Ответить

                  • ava barop 16.01.2017 15:09 # +3

                    мне кажется сайт хипстера скорее похакают потому что он пароли плейн текстом хранит и SQL инъекшен имеет, а не потому что он уязвим для акустического криптоанализа
                    Ответить

      • ava bormand 15.01.2017 20:05 # 0

        > side-channel
        Или padding oracle.
        Ответить

      • ava barop 16.01.2017 14:13 # +1

        >>акустического криптоанализа
        очень актуально когда твой сайт хостица на дижитал океане
        Ответить

        • ava bormand 16.01.2017 17:48 # 0

          > когда твой сайт хостица
          Угу, там актуальней side channel через обращение к кешу :)
          Ответить

          • ava barop 16.01.2017 18:02 # +2

            проще дать суппортеру денег, имхо, чтобы он тебе пароль рута сбросил
            Ответить

    Добавить комментарий