Gast Geplaatst: 5 april 2003 Geplaatst: 5 april 2003 @Johnnny1, das goed en dan zal ik het proberen te kraken <img src="/ubbthreads/images/graemlins/wink.gif" alt="" /> Bepaalde bytes controleren lijkt mij niet voldoende. Best controleer je alle bytes en tenzij je wilt vermijden dat je controle programma net zo groot wordt als de image zelf, kan je beter gebruik maken van md5sum of PGP signatures. Ohja, en zie dan maar dat dit "controle programma" secure is. Het mag dus zeker niet meegeleverd worden bij de image. Greetz
Gast Geplaatst: 5 april 2003 Geplaatst: 5 april 2003 @Trav, Volgens mij is niet iedereen op de hoogte van pgp etc, dus knal maar gewoon een signature filetje erbij voor hen die dit waarderen. (kzou zowieso bij releases van wat dan ook een sig doen) En die key hacken.... veel succes <img src="/ubbthreads/images/graemlins/smile.gif" alt="" /> Zij die het niet snappen hebben er geen last van dus... laterz,
Gast Geplaatst: 5 april 2003 Geplaatst: 5 april 2003 @__Animator__, Citaat: En die key hacken.... veel succes ik weet niet of het tegen mij was, maar van een key hacken heb ik niks gezegd. Dat zie ik trouwens niet zitten. PGP is "vrij stevig". Greetz
Johnnny1 Geplaatst: 5 april 2003 Geplaatst: 5 april 2003 Ja ok. Maar waneer is iets te vertrouwen. <img src="/ubbthreads/images/graemlins/biggthumpdown.gif" alt="" /> Zal ik het zo zeggen. Trav kan als hij wilt gewoon de PGPkey meeverzenden. Dat is geen probleem. Programma wat ik ga maken controlleerd puur als extra controlle of het inderdaad om een image gaat van Trav. En ik ga uiteraard de controlles coderen met MD5 zodat deze niet zomaar te kraken is. Maar wil de uitdaging gerust aangaan <img src="/ubbthreads/images/graemlins/biggthumpup.gif" alt="" /> Johnnny1 Met Vriendelijke Groet, John
Gast Geplaatst: 5 april 2003 Geplaatst: 5 april 2003 @mcduff, Iemand zij dat het wel met een hele stevige key moest, daar had ik het tegen, maar daar heb je dus niets aan. De pgp signature geeft alleen maar aan dat het stukje text /code /software dat gesigned is, niet gewijzigd is sinds het gesigned is. Met de Public key van Trav kan je verifieren of die door hem gesigned is. en die Public key is, ja.. hoe moet ik het zeggen, publiek <img src="/ubbthreads/images/graemlins/smile.gif" alt="" />
Gast Geplaatst: 5 april 2003 Geplaatst: 5 april 2003 @__Animator__, Citaat: en die Public key is, ja.. hoe moet ik het zeggen, publiek Dat houdt geen security risico in. Dat is juist de eigenschap van een public/private key algo. RSA of DH/DSS die gebruikt worden in PGP als het public/private key algo zijn algemeen bekend als sterke algoritmes. Dus je ma er vrij gerust in zijn. De key hoeft ook niet extreem groot te zijn hoor. Ik denk niet dat de NSA (nationale veiligheidsdienst van de VS) zijn resources wil aanspreken om de key van traveller te hacken <img src="/ubbthreads/images/graemlins/wink.gif" alt="" /> Greetz
bbbb Geplaatst: 5 april 2003 Geplaatst: 5 april 2003 Traveller ik vind het een goed idee maar als je een camd (gbox)gebruik die iemand anders gemaak heb .En dat je de image zo heb aangepast dat je bij jouw realse doet is er dan geen gevaar dat er een time bom in zit vriendelijke groeten bbbb
Gast Geplaatst: 5 april 2003 Geplaatst: 5 april 2003 @Johnnny1, Citaat: Trav kan als hij wilt gewoon de PGPkey meeverzenden Neen dat gaat hij zeker niet doen. Enkel de signature. De public key meesturen is uiteraard onnozel want dan vervangt de "aanvaller" simpelweg ook de public key met de zijne. Vandaar mijn opmerking van secure publicatie in vorig bericht. Citaat: En ik ga uiteraard de controlles coderen met MD5 zodat deze niet zomaar te kraken is. Maar wil de uitdaging gerust aangaan Dan raad ik je aan van de MD5 sums niet in je programma te steken. Maar ergens te gaan halen waardat "aanvallers" niet zomaar de sums kunnen veranderen. Dus "secure" publicatie van de MD5sums. Maar in dat geval hebben we je programma niet nodig. Gebruik dan gewoon md5sum dat je overal kan vastkrijgen. Ik zie m.a.w. nog niet waar je programma de veiligheid gaat verhogen. Het kan zelfs security holes beschikbaar stellen voor de aanvaller: stel je programma automatiseert de controle van de MD5 hash/sum door zelf op het internet de sums te gaan afhalen. De aanvaller hackt je programma zodat dit naar zijn site gaat en de valse sums afhaalt. Let op met wat voor security programma je komt. Stel misschien eerst hier iets voor en zie dan of ik en anderen er geen gaten in zien. Ik heb er ervaring in <img src="/ubbthreads/images/graemlins/wink.gif" alt="" /> Voorlopig zie ik het nut niet in van zo'n programma. Uiteraard wel van een MD5sum en/of PGP signatures. Greetz
Johnnny1 Geplaatst: 5 april 2003 Geplaatst: 5 april 2003 Nut van zo'n programma. Nou wat dacht je van makelijk. uiteraard zit overal een risico aan vast. Dat zal altijd zo blijven natuurlijk. Programma controlleerd gewoon op de echtheid van de image. En dat is zeker nodig in deze tijd. Hoe ik het ga controlleren ben ik nu over aan het brainstormen. Ik de Humax tijd, heeft PH ook ooit zo'n programma gemaakt om te laten controlleren of de image echt van PH was. Zie het maar als hetzelde. Maar als iemand een idee heeft , hoe ik dit moet aanpakken dan hoor ik het altijd graag. Opbouwende kritiek kan ik goed tegen <img src="/ubbthreads/images/graemlins/biggthumpup.gif" alt="" /> En daar komt nog bij dat je het programma bij een erkende website moet gaan downloaden en niet bij FUS bevoorbeeld Met Vriendelijke Groet, John
Gast Geplaatst: 5 april 2003 Geplaatst: 5 april 2003 Citaat: erkende website Dream.nl ? <img src="/ubbthreads/images/graemlins/tongue.gif" alt="" />
thomask Geplaatst: 5 april 2003 Geplaatst: 5 april 2003 Citaat: Citaat: erkende website Dream.nl ? <img src="/ubbthreads/images/graemlins/tongue.gif" alt="" /> De officiele releases staan op http://www.satcity.nl en op http://www.dreamboxsettings.nl Daar worden ze door Traveller zelf geplaatst, lijkt me redelijk veilig....
Gast Geplaatst: 5 april 2003 Geplaatst: 5 april 2003 Yo, Bedankt voor de vele suggesties. Ik heb er een paar uit gepikt: - Een apart controle-programma is een leuk extraatje, maar moet inderdaad een veilige manier van checksumming gebruiken en van een vertrouwde site gedownload zijn. - MD5sums worden standaard al gebruikt in het "upgrade"-menu, maar die zijn uiteraard ook alleen te vertrouwen als ze vanaf een betrouwbare plek komen, zoals de "catalog.xml" op mijn upgrade web-site. - Als ik PGP ga gebruiken, zal ik mijn key fingerprint hier in mijn board-info plakken en ook vermelden bij elke nieuwe release. Verder zet ik mijn public key ook op de key-servers. Voordeel is, zoals anderen al op merkten, dat je deze public key maar 1x hoeft te verifieeren en vervolgens alle toekomstige releases ermee kunt controleren. Ik hoef er alleen voor te zorgen dat zo veel mogelijk mensen deze geverifieerde key kennen, zodat vervalsingen snel aan het licht komen. - Dit alles neemt inderdaad niet weg dat er van allerlei verrassingen verstopt kunnen zitten in onderdelen van mijn image die ik niet zelf geschreven heb en waar ik wellicht zelfs geen source van heb. Ik haal deze onderdelen (emu's, drivers, kernel, Enigma, etc.) echter zo veel mogelijk van de oorspronkelijke auteurs, dus de kans is veel kleiner dat hier onaangename verrassingen in verstopt zouden kunnen zitten. - Hou er rekening mee dat de meeste bovengenoemde veiligheids-maatregelen vallen en staan bij de veiligheid van de sites waar controle-programma's en MD5sums gedownload worden. Zelfs een zgn. "veilige bron" (dit forum, Satcity, mijn update-site, etc.) kan door kwaadwillende personen gehacked en aangepast worden. Alleen PGP (mits goed gebruikt) is hiertegen bestand. Grtz, Traveller
Gast Geplaatst: 6 april 2003 Geplaatst: 6 april 2003 Yo, Hier is mijn nieuwe PGP-key, die ik ga gebruiken voor het signen. De fingerprint staat in als het goed is nu onder al mijn postings en de key staat ook op de key-servers. -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org mQGiBD6O/KsRBACPz5HaxTm5VeALMPB5aSteDn4aHzBhiDOdjBYAiWuFQBvHNLPK tBEONMbCE/YQIZjbALLyj1qFo8zngM1jy4WuWkl8J71TpeJNJElhfOaz3pCzHTXF sUvoe/4SAoDNzZVTT05EcrJCM5mv1p0KsuJE0+M59jNVAk8UjmaqSWw7hwCg2xNJ Kp0pgqqAAuM8HIbQMzMk/RkD+wa6Cq56HUFa83T8uZR5Ep4d5wa3RVsaYoPXCh8A 8cby70yh/GLuoVXS9NVBmd7n0AgeKSSUAe/v43axqEm5/7+d1dh1iaywvK9HGUJG EWotr/NdRJSnapa2WdTOh7jEfEIpVR4QnIuiSO0hLZKYDQ++OUH8eGDRJIcVSnyP MuZQBACA7YBI8Q4xfbdPY88ch228FWXdCYDw8g2Q0IuC4BY+dkrNTKs70ciWILoq 0WyQYe3wNi02uriDGqAVbirXuPXsck10ZYDMoMIrbrTmVwH7zfJgoc7bP8Fj7452 7/Kp9bgaVzom05mHAYeFS1MGjtvssMiAaiv0pkRsIO/6dV0eu7Q7VGhlIFRyYXZl bGxlciAoUmVsZWFzZSBzaWduaW5nLWtleSkgPHRyYXZlbGxlckBzYXQ0YWxsLmNv bT6IVwQTEQIAFwUCPo78qwULBwoDBAMVAwIDFgIBAheAAAoJEKxkNo5oTkT9V1gA oJPwHLaUxjEd/bXp8ZpAgR/KgKjlAKCFqI5iqq0OPGEAvtx0A8MJyvauhLkEDQQ+ jwPZEBAArIEL6L8kELSpQCKvoA2q70JZX+413tIUb2pon6TCbRcZNAEgyvhVLX29 ToqEruAgsUZyprA12ZV9eR271zEESNJW81Vb+zMPT0rklsSBkXJYjGSlh1lnGy7u G2oHMt52vd80xAZS35lgW2IxarvIkl03zYHwuLZ3R0h4XGQsVorOk4REeB8pMfj1 gIsVlAepKb2eTeS1vqa6gqJI73YJHxhAyalhTaZUx6K/NTDyvJB9lahBRzgsEM25 yJZv1zW/TF55Rzyjjo0NPVhJCss1HhqrVuWbmHNKm8SRQaohlV2gHgWEqJTXYjWJ 95YnHzXs8/9d+TwQkemqAXoBmHhJxMm4I/QvFS2Mdvd229SMKzZxTcYZ5zLeGR6t jC9EChhXJBX6aI1Zz5+2AqhdTNSbu8HKVpuZeXtf+qL44X7Kt8LKzZKXUMV37Di0 xURNc/ogT6S6ZOq+WMabVj9b3iwLn0mdd35Dda6/oBOCEJET/zxT3R+11HDekN1f IUdJRhtfnHVtp53/4TKFXG91d4gc0MBZ4pjkVCkAMBiK76rSuMkf0zO8dwvyVb/s q2LsiE2qIwokVcO8pX1GbEHFzs2oGC4vLuJauZ2WVuFFPXCVKXY8yBwSXNjemiUY 6crGeq/okGmsyQuhTaCXE03O06cIpgcWTXQMhmIHgmxWg8EwvAcAAwUP/Rwh0nyU smhzljrVl8f8Zlf3IDhPCmTqwwpE0x8QNbS01OJdriX5U5JfjZt1FV4T3nNN5R9T zGyQNXXa75BooPyVuOUTpxp3lVfIB9KMAK0ZTugmrgM4RU2S3231ZGgH96VQkJbp HcpnvApm1sfNOXLuSx7exY5S9cMAvAryMFLUqAFWOXvz1yczIvKr0e2oyN6D/zeR NfOzBzZ/Gv+tMk3YYUSM6VkGmFSAmvOnb2jENgtVmHBi7AF8XXkmDkyTuN5otrKm EAg0c1FJFQG1ZN0yqITTbjdCk0MMDuAD5yyuGNhv8VLKyjX1PZgg9FXG+/DZp70B 8c6VTzZ7zoqNOrf0BMFLJnuKlWURN4L+yH104LCxRRpmx4EfdSI9ksfQmjLia7+H O2/J+nuLyABTPsy8jqOH9IRlpO/aBA15tC7JIXRG3TlY7+Bb7iOuJpeVAY4DAt4i RL2RlldHnxYxtk+/ihfxAEItRyxzHZyp+2kOXxBVWLxpRG3EiKKiqGggGqRFftVW jWLsPxf09KOBMlh9+gwjayrLqjddc2pLWO8+MbU/bNr7UWBDsUGWCQ6T4ypne/KU xMVIQD2nqlK1lK7TOBmK6os//toIfpgy9I7U7mKQ34gSrQQDH9CJAjNDBJXwxlX7 1wejeON7tF8uNqWRqF+wxjBtYnr6PIChFzpJiEYEGBECAAYFAj6PA9kACgkQrGQ2 jmhORP2PsACgjgNxvSyEMNIp15Q/UUM8thbFk08An0aZ1fy7NdWKT2BW7fQbXN/U Mhau =1EY7 -----END PGP PUBLIC KEY BLOCK----- Grtz, Traveller
Johnnny1 Geplaatst: 6 april 2003 Geplaatst: 6 april 2003 Nou ik heb de Gui van het programma af. Nu komt het erop aan hoe ik ga controlleren. Ik kan de bestandgrote controlleren, dus kijken of het bestand nog steeds exact even groot is als orgineel. Ik kan bepaalde bytes controlleren in de image. Deze bytes zijn in ieder bestand anders. deze 2 testen, lijkt me voldoende. De controllebytes zijn in het programma gecodeerd zodat aleen het programma dit kan decoderen en verifieren of de bytes overeenkomen met de image. CRC Checksum is geen optie,gezien dat aan te passen in. Dus valt de controlle in duigen <img src="/ubbthreads/images/graemlins/frown.gif" alt="" /> Wat ook nog kan, is de controllebytes als binair gecodeerde file laten downloaden. zodat het programma dat weer decodeerd en deze gaat controlleren. Voordeel van bestand downloaden is dat je maar 1x het programma hoeft uit te geven. en dan voor iedere image uit te breiden is. Doen we dit niet,dan moet iedere keer zodra trav een image af heeft ook programma aanpassen Wat is volgens jullie het beste ??? Met Vriendelijke Groet, John
Gast Geplaatst: 6 april 2003 Geplaatst: 6 april 2003 hebbes... wel even van de keyserver afgehaald, want je weet het maar nooit met die ongesignde postings <img src="/ubbthreads/images/graemlins/wink.gif" alt="" /> greetz tonytee
Aanbevolen berichten
Maak een account aan of log in om te reageren
Je moet een lid zijn om een reactie te kunnen achterlaten
Account aanmaken
Registreer voor een nieuwe account in onze community. Het is erg gemakkelijk!
Registreer een nieuwe accountInloggen
Heb je reeds een account? Log hier in.
Nu inloggen