abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 14:55 | Zajímavý software

Byla vydána verze Alpha 1.0 otevřeného operačního systému pro chytré hodinky AsteroidOS. Podporovány jsou hodinky LG G Watch, LG G Watch Urbane, Asus ZenWatch 2 a Sony Smartwatch 3. Ukázka ovládání hodinek na YouTube. Jaroslav Řezník přednášel o AsteroidOS na chytrých hodinkách (videozáznam) na letošní konferenci OpenAlt.

Ladislav Hagara | Komentářů: 0
dnes 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
dnes 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
včera 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
včera 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
včera 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
včera 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 808 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory

1.8.2014 13:53 faktnevim
Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory
Přečteno: 710×

Ahoj. Mám centrální aplikaci, která si v databázi ukládá uživatelské údaje - uživatelská jména, hesla, ... Tato aplikace pak podle potřeby vytváří účty ve spravovaných systémech a aktualizuje uživatelské údaje. Spravované systémy se občas připojí, zjistí si seznam úkolů (vytvoř účet, uprav, nastav heslo apod.) a ty lokálně provedou. Problém nastává, pokud se admin rozhodne, že chce daný účet přidat do dalšího spravovaného systému - pokud má centrální aplikace k dispozici jen hash hesla, pak musí vytvořit účet s náhodným heslem, uživatel se pak musí příhlásit k centrální aplikaci a heslo si manuálně nastavit. To se ukázalo jako docela komplikované a těžkopádné. Chtěl bych, aby centrální aplikace mohla nastavit do spravovaného systému heslo, které by měla k dispozici. Nechci ale ukládat hesla v plaintextu (pro případ jednorázového nabourání do db), proto přemýšlím, jak je šifrovat. Fungovat by to mělo nějak takto:

*****                                 ******************     <----------------------       *******
admin   ------------------------>     centrální aplikace                co mám dělat?      systém1
*****    přidej pepu do systému1      ******************     ----------------------->      *******
                                                             vytvoř účet pepa s heslem 123

centrální aplikace musí provést toto:
1. dešifrovat heslo pro pepa, toto heslo je uložené v její databázi
2. uložit si příkaz pro systém1, aby založil účet pepa s dešifrovaným heslem

Problém je bod 1. Napadlo mě následující řešení: mějme asymetrický klíč K1, symetrický K2. Pokud uživatel mění svoje heslo nebo admin vytváří nový účet v centrální aplikaci, pak toto heslo zašifrovat veřejnou částí K1. Admin pak toto heslo může dešifrovat privátní částí K1. Jenže adminů je více, proto by privátní část K1 byla šifrovaná klíčem K2. K2 by byl uložen několikrát v zašifrované podobě a dešifroval by ho každý admin vlastním heslem. To má výhodu tu, že klíč ani heslo nikdy neopustí server (pokud se zrovna nikde nepřidává do systému).

Jdu na to správně? Nebo neexistuje už nějaký algoritmus, jak toto řešit?

Odpovědi

Jendа avatar 1.8.2014 14:07 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory
Řešení hodné třetího tisíciletí by bylo ověřovat uživatele pomocí asymetrické kryptografie. Pak bys nemusel řešit ukládání hesel, stačily by ti veřejné klíče uživatelů.

Zjevný problém tvého řešení je, že nabourám server, počkám si, až se nějaký admin přihlásí, poslechnu si K2, dešifruju K1 a dešifruju všechna hesla.

Nejde v "systém1" vytvořit účet rovnou s tím hashem?
1.8.2014 23:57 faktnevim
Rozbalit Rozbalit vše Re: Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory
Řešení hodné třetího tisíciletí by bylo ověřovat uživatele pomocí asymetrické kryptografie. Pak bys nemusel řešit ukládání hesel, stačily by ti veřejné klíče uživatelů.
Takové řešení by se mi líbilo, jenomže koncové systémy to neumí.
Zjevný problém tvého řešení je, že nabourám server, počkám si, až se nějaký admin přihlásí, poslechnu si K2, dešifruju K1 a dešifruju všechna hesla.
Je to spíše veliká nepříjemnost, protože pokud se někdo nabourá na server, pak si bude stějně moci nastavit jakákoliv hesla komukoliv v jakémkoliv systému. Ono jde o to, jak se nabourá na server - pokud nepřevezme kontrolu nebo pokud ukradne "jen" zálohu někde uloženou, pak to toto šifrování řeší. Ještě by to šlo vylepšit dalším klíčem, který by měl k dispozici pouze admin, tzn. nejprve by v první fázi dešifroval admin, poté server => útočník by musel "bojovat na 2 frontách". Rád bych ale našel nějaké již vymyšlené řešení, abych nakonec znovu nevymýšlel kolo ...
Nejde v "systém1" vytvořit účet rovnou s tím hashem?
Bohužel nejde.
Josef Kufner avatar 4.8.2014 16:45 Josef Kufner | skóre: 66
Rozbalit Rozbalit vše Re: Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory
Celkem běžně je možné cílový systém rozšířit o konektor pro ověřování proti cizímu serveru/aplikaci. Pak by se jen při přihlášení ptala, zda poskytnuté jméno a heslo je správné.
Hello world ! Segmentation fault (core dumped)
1.8.2014 14:39 Radek Isa | skóre: 11
Rozbalit Rozbalit vše Re: Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory

nevim jestli jsem to pochopil spravne, ale neslo by to udelat tak ze budes mit aplikace jeden klic a ukladala by hesla v sifrovane podobe. a ped pouzitia

**************                                              ****************
system                 --------------------------->            databaze
**************         vytvor ucet pepa heslo aes(1234)     ****************

pokud by system vedel klic k sifrovani hesla, mohlo by se heslo posilat do databaze jiz zasifrovane. A v pripade potreby muze aplikace pozadat o heslo a rozsifrovat si ho.

---------------------------------------------------------------------------------------------------------------------------------------
Dalsi moznosti je centralni databaze uzivatelu. U kterych bys mel ulozeno v kterych systemech jsou registrovani a v pripade potreby by jsi zmenil pouze tuto hodnotu

2.8.2014 00:01 faktnevim
Rozbalit Rozbalit vše Re: Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory
Ne, takhle jsem to nemyslel. Ta moje aplikace v podstatě dělá takový hodně specifický a jednoduchý identity management.
2.8.2014 09:08 Filip Jirsák
Rozbalit Rozbalit vše Re: Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory
Podle mne jsou tam K2 zbytečné. Stejně stačí prolomení kteréhokoli z nich k dešifrování všech hesel. Navíc všechna ta hesla stejně nejspíš mohou znát i ty další systémy, takže je stejně zbytečné řešit v jednom místě tu bezpečnost výrazně více. Pokud byste chtěl bezpečnost dál zvyšovat, musel byste jít spíš cestou naučit ty další systémy třeba Kerberos a žádná hesla jim nikdy nepředávat.
2.8.2014 13:46 faktnevim
Rozbalit Rozbalit vše Re: Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory
Ostatní systémy ta hesla znají jen ve formě hashe. Je to paradox - ta hesla na ně nejdou zapsat rovnou jako hash, ale ve výsledku je stejně jako hash uloží.
2.8.2014 14:59 Filip Jirsák
Rozbalit Rozbalit vše Re: Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory
Tedy ty systémy v určitém okamžiku znají hesla v plaintextu, ale jejich autoři vám tvrdí, že z hesla v plaintextu okamžitě vytvoří hash a heslo zapomenou. To jim můžete ale taky nemusíte věřit.
Jendа avatar 2.8.2014 15:03 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory
Ano, my chápeme, že je to všechno strašně špatně, ale co chcete dělat, když v roce 2014 skoro nikdo nepodporuje challenge-response bez předání hesla nebo dokonce asymetrickou kryptografii? Samozřejmě, že nejlepší by bylo sednout si a do všech těch systémů (a klientů!) to doimplementovat, ale na to nejspíš nikdo jako jednotlivec nemá.
2.8.2014 12:45 Milan Roubal | skóre: 25
Rozbalit Rozbalit vše Re: Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory
Jak si uzivatel meni heslo / musi si ho menit pravidelne? Pokud ano, pak by stacilo pri jakekoliv akci, ktera pozaduje znalost uzivatelova hesla jen nastavit uzivateli priznak "Heslo platne do vcera". Uzivatel je pri prihlaseni vyzvan ke zmene hesla, ktere se pak propaguje do vsech systemu i toho nove pripojeneho.
4.8.2014 18:59 Filip Jirsák
Rozbalit Rozbalit vše Re: Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory
To ale nebude fungovat, pokud první systém, do kterého se uživatel pokusí přihlásit, bude ten nový. Navíc pochybuju o tom, že by se informace o nutnosti změny hesla propagovala do těch dalších systémů. Uživatel si musí změnit heslo v tom centrálním systému, a pokud ten další systém neumí delegovat autentizaci uživatelů, už vůbec nebude umět režim "platnost hesla vypršela, heslo je nutné změnit někdy úplně jinde".
xkucf03 avatar 9.8.2014 20:33 xkucf03 | skóre: 45 | blog: xkucf03
Rozbalit Rozbalit vše Re: Jak šifrovat hesla v DB tak, aby je šlo dešifrovat vícero administrátory

Pokud se ty systémy moc nemění a znáš všechny používané algoritmy pro hashování hesel, tak bys to mohl udělat tak, že jednotlivé systémy nebudou přijímat jen heslo v čistém tvaru, ale i hash. V centrální aplikaci pak budeš mít hashe ve všech možných tvarech (připravené pro jednotlivé systémy).

Druhá možnost je vložit mezi centrální aplikaci a každý systém novou komponentu, takovou černou skříňku, která poběží na samostatném stroji (nebo alespoň nějak rozumně oddělena) a bude spravovaná někým jiným než správcem centrální aplikace (třeba správcem daného systému) a bude mít svůj soukromý klíč. V centrální aplikaci pak budeš mít veřejné klíče jednotlivých skříněk a při vytváření hesla si to heslo zašifruješ všemi těmito klíči. Při nastavování hesla pak pošleš zašifrované heslo (kterému centrální aplikace nerozumí) do skříňky, ta ho dešifruje a heslo předá danému systému.

Nebo použij něco jiného než hesla – asymetrickou kryptografii, každý uživatel bude mít svůj soukromý a veřejný klíč, ať už SSH, X.509, GPG atd.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.