V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
xinyana
V2EX  ›  分享创造

[踢楼送码] 一个 DES 加密的云日记

  •  
  •   xinyana · 2021-04-19 12:29:58 +08:00 · 5898 次点击
    这是一个创建于 1339 天前的主题,其中的信息可能已经有所发展或是发生改变。

    本地日记很多,而今天介绍的是一个云日记 而云日记最忌讳的就是隐私, 特意采用的 DES 加密,保证任何人看不到日记,开发者也看不到

    https://riji.youzibe.com/

    主要特点:

    数据完全加密

    服务器不保存明文,日记采用 DES 加密手段,无人能解

    支持图片加密

    图片也采用 DES 加密,查看时客户端解密

    云存储

    服务器由阿里云&Dcloud 长期赞助,稳定长久

    多端支持

    网页版,Android,微信小程序,Apple(上架中),随时随地可记录

    加密原理

    见官网 https://riji.youzibe.com/

    [踢楼送码]

    每间隔 8 楼一个 VIP(长期)

    楼层,明天随机选一个吧

    领取方法,中奖楼层,加群私聊群主

    另外群内也会不定期抢红包送长期 VIP

    第 1 条附言  ·  2021-04-19 21:06:50 +08:00

    注:加密算法更新为AES,密码算法默认SHA3,虽然只是个私人日记,却用最顶级的加密算法

    第 2 条附言  ·  2021-04-20 10:13:10 +08:00

    [附言二 - 20210420]

    好多大牛质疑加密算法的保密性,特此补充

    前端全部代码:

    https://wwa.lanzous.com/ihXvJo92myb

    加密示意图,求解?请大牛贴出解密步骤

    第 3 条附言  ·  2021-04-21 12:55:00 +08:00
    楼层数除 8 余数为 6 的请进群联系我领 vip
    111 条回复    2021-06-05 11:25:12 +08:00
    1  2  
    EasonC
        1
    EasonC  
       2021-04-19 12:43:48 +08:00 via iPhone
    有点丑,但是隐私好
    estbbq
        2
    estbbq  
       2021-04-19 12:44:05 +08:00 via Android
    test
    qiyuanshouji
        3
    qiyuanshouji  
       2021-04-19 12:54:19 +08:00 via iPhone
    嘿嘿 想试试
    520zhuzhu
        4
    520zhuzhu  
       2021-04-19 12:58:14 +08:00 via iPad
    想看看自己的运气咋样
    dingdangnao
        5
    dingdangnao  
       2021-04-19 12:58:18 +08:00
    这个配色也。。太。。。。。。。。
    xinyana
        6
    xinyana  
    OP
       2021-04-19 13:02:09 +08:00
    @EasonC
    @dingdangnao
    很抱歉,个人比较喜欢深色, 不费眼
    ho121
        7
    ho121  
       2021-04-19 13:04:58 +08:00
    DES 不是据说不安全么
    xinyana
        8
    xinyana  
    OP
       2021-04-19 13:06:33 +08:00
    @ho121 DES+盐+MD5 够了吧,FBI 也破解不了
    man1
        9
    man1  
       2021-04-19 13:16:04 +08:00 via Android
    支持
    honeycomb
        10
    honeycomb  
       2021-04-19 13:47:42 +08:00 via Android   ❤️ 3
    @xinyana 想问一下,既然有现成的 AES,配合适合储存文档的 XTS 密码本模式或者更好的 GCM 模式,为何要使用已经淘汰的 DES 呢?
    即便是 3DES 也在三年前淘汰了。

    类似的,MD5 是已知有安全问题的算法,应当换到 SHA2 或者 SHA3,此外还有密钥生成算法之类的
    yeeyeung
        11
    yeeyeung  
       2021-04-19 13:50:05 +08:00
    666
    danshendog
        12
    danshendog  
       2021-04-19 13:56:29 +08:00
    凑分母
    x86
        13
    x86  
       2021-04-19 14:10:05 +08:00
    在乎隐私的话,为什么不做单机版呢
    Lemeng
        14
    Lemeng  
       2021-04-19 14:30:09 +08:00
    来了,支持一下
    gefranks
        15
    gefranks  
       2021-04-19 14:56:16 +08:00   ❤️ 5
    已经很久没看见有人如此正经的用 DES 做加密了......,都被废弃这么多年了的加密方法.
    xinyana
        16
    xinyana  
    OP
       2021-04-19 15:16:25 +08:00 via Android
    @gefranks 已经增加 aes 加密
    xinyana
        17
    xinyana  
    OP
       2021-04-19 15:19:06 +08:00 via Android
    @x86 单机版数据安全是个问题,手机丢,全没了
    cheese
        18
    cheese  
       2021-04-19 15:20:10 +08:00
    功能挺好的,就是这个配色确实过于。。。深色也可以有比较和谐的配色的
    hancats
        19
    hancats  
       2021-04-19 15:45:34 +08:00 via iPhone
    体验下
    wwwcomcn
        20
    wwwcomcn  
       2021-04-19 15:53:43 +08:00
    支持一下
    lockheart
        21
    lockheart  
       2021-04-19 16:18:42 +08:00 via iPhone
    支持
    saimax
        22
    saimax  
       2021-04-19 17:03:46 +08:00
    试试吧
    ppl
        23
    ppl  
       2021-04-19 17:22:20 +08:00
    妖艳紫色...
    sanks666
        24
    sanks666  
       2021-04-19 17:35:48 +08:00 via iPhone
    插一楼
    Shum1n
        25
    Shum1n  
       2021-04-19 21:04:01 +08:00
    来试试
    dingwen07
        26
    dingwen07  
       2021-04-20 04:53:10 +08:00 via iPhone
    上架 Google play 了吗?
    GeruzoniAnsasu
        27
    GeruzoniAnsasu  
       2021-04-20 05:13:22 +08:00
    “最顶级的加密算法”

    。。无力吐槽

    我猜用 des 的原因是那个 des 是自己实现的(
    wizjin
        28
    wizjin  
       2021-04-20 06:18:49 +08:00
    首先谢谢楼主分享,下面一点点个人小看法:

    1. 服务器只保存了"加盐"的 SHA3 密码
    2. 密码不能修改

    就我的知识而言只需要上面这 2 条的组合,理论上保证了可破解吧!至于有没有价值、值不值得感觉就是另外的话题了。
    domodomo
        29
    domodomo  
       2021-04-20 06:42:26 +08:00
    即便有绝对安全的算法,也做不到绝对安全的系统,况且世上并没有绝对安全的算法。
    AES128,AES256 都是被破解过的。
    虽然知道你是在营销,但是请不要使用“绝对”,“无人能解”这种词语。

    另外产品 UI 做得真的很丑,你喜欢的只能你自己用,大家喜欢的才能卖出去。
    xinyana
        30
    xinyana  
    OP
       2021-04-20 09:30:32 +08:00 via Android
    @wizjin 那咱们讨论一下,怎么就能根据这个破解?别满嘴跑火车
    xinyana
        31
    xinyana  
    OP
       2021-04-20 09:34:32 +08:00 via Android
    @domodomo 你是杠精吗?我在宣传,要用自己的词语,总不能用你的吧?另外,你看看你这句话有没有毛病 [况且世上并没有绝对安全的算法]
    AkashicRecords
        32
    AkashicRecords  
       2021-04-20 09:35:07 +08:00
    用的什么分组加密工作模式?
    wizjin
        33
    wizjin  
       2021-04-20 09:37:29 +08:00   ❤️ 4
    1. 服务器保存加盐的密码主要目的是为了抗彩虹表攻击,就是万一被拖库了,给用户时间来修改密码保障安全。
    2. 密码不能修改,这条直接把上面一条废了,也就是说服务器保存的密码没办法保证安全。
    3. 无论是 DES 还是 AES 都是对称加密,对称加密的安全取决于密钥的安全,因为上面两条所以这条也废了。

    是不是满嘴跑火车大家心里有数吧!
    xinyana
        34
    xinyana  
    OP
       2021-04-20 09:38:22 +08:00 via Android
    @AkashicRecords 前端代码公开,都在里头
    xinyana
        35
    xinyana  
    OP
       2021-04-20 09:42:20 +08:00 via Android
    @wizjin 怎么联系你?既然你这么说了,咱俩必须整明白,你现场演示怎么破,理论步骤也行,破不开,请你道歉
    Rheinmetal
        36
    Rheinmetal  
       2021-04-20 09:46:29 +08:00
    真的是 Digital Encryption Standard 么 我还以为是什么新的玩意
    不要自己设计加密系统看来还不够 不要自己实现加密算法就急着上生产环境
    吹的这么厉害 知道广告法么 治不了大厂还治不了你?
    AkashicRecords
        37
    AkashicRecords  
       2021-04-20 10:02:44 +08:00
    @xinyana #34 你确定使用了?😅
    xinyana
        38
    xinyana  
    OP
       2021-04-20 10:09:47 +08:00
    @AkashicRecords 这里技术大牛很多,这不可能骗人,前端代码地址:https://wwa.lanzous.com/ihXvJo92myb
    xinyana
        39
    xinyana  
    OP
       2021-04-20 10:15:50 +08:00
    @wizjin 好的哥们,看看谁满嘴跑火车,
    请大家看 [附言二图] ![]( https://z3.ax1x.com/2021/04/20/c7CIdx.png)
    你这么牛,麻烦你贴一下解密步骤?贴不出来麻烦道歉!!!
    xinyana
        40
    xinyana  
    OP
       2021-04-20 10:23:03 +08:00
    @Rheinmetal
    @AkashicRecords
    @domodomo
    @GeruzoniAnsasu
    楼上几位质疑者,喷之前,麻烦看一下附言二
    你们解出来我道歉+关站
    加油
    @wizjin 你这么牛,解一个呀,解不出来蔑视你!就会叭叭,还会啥?
    AkashicRecords
        41
    AkashicRecords  
       2021-04-20 10:25:43 +08:00
    @xinyana #38 你确定弄明白了分组加密工作模式?😅,很简单,不用 Show me the code,就直接说用的什么模式?
    xinyana
        42
    xinyana  
    OP
       2021-04-20 10:26:27 +08:00
    @AkashicRecords 前端代码还可以在网页版自己扒 https://riji.youzibe.com/web/
    xinyana
        43
    xinyana  
    OP
       2021-04-20 10:29:23 +08:00
    @AkashicRecords 都在代码里,我说啥你们也不信啊,F12 自己调试吧
    AkashicRecords
        44
    AkashicRecords  
       2021-04-20 10:31:27 +08:00
    @xinyana #43 你说啥我信呐,关键是你不说啊?你说说用到什么分组加密工作模式?
    wizjin
        45
    wizjin  
       2021-04-20 10:37:12 +08:00
    @xinyana 请不要火气那么大,希望大家还是理性讨论。

    1. 我承认自己不牛,特别是密码学这块也就只知道一些皮毛。
    2. 在我的理解里面,破解和解密还是有区别的,我并没有说有解密步骤。
    3. 方法我已经在上面论述里面讲了,彩虹表攻击,你只要论述一下你是怎么能扛住彩虹表攻击的,我的说法自然不攻自破了。
    4. 至于演示和说明实在没时间和义务,抱歉了。

    最后,当然如果你认为彩虹表攻击对你的系统来说不需要考虑,没有意义。那我可以为我回复了你的帖子道歉。
    adsltsee
        46
    adsltsee  
       2021-04-20 10:42:20 +08:00
    支持一下
    no1xsyzy
        47
    no1xsyzy  
       2021-04-20 10:42:46 +08:00
    @xinyana 保证任何人 无人能解 最顶级
    词汇的问题是不符合广告法(
    xinyana
        48
    xinyana  
    OP
       2021-04-20 10:46:10 +08:00
    @wizjin 简单点,根据附言二破解吧,多说无益
    你的彩虹表要多大可以破解我的加盐密码?"亿亿亿亿亿 T"级别的彩虹表?
    jadec0der
        49
    jadec0der  
       2021-04-20 10:47:21 +08:00   ❤️ 1
    我就不明白为啥总有对密码学一知半解的人出来造轮子,而且一被质疑就说你现场给我破解出来,破解不了我就是安全的。前阵子有个自己做密码管理工具的,和 lz 态度如出一辙。

    DES 是 1970 年代的算法,不安全已经是公认。对称加密用 AES 不是基本常识吗?用 AES 又不花钱,怎么“用最顶级的加密算法”还成卖点了?
    xinyana
        50
    xinyana  
    OP
       2021-04-20 10:48:08 +08:00
    @no1xsyzy 是的,不符合广告法,然后呢
    xinyana
        51
    xinyana  
    OP
       2021-04-20 10:49:33 +08:00
    @jadec0der 我就不明白为啥总有不看贴就出来长篇大论的人,昨天升级为 AES,AES,AES
    damean
        52
    damean  
       2021-04-20 10:50:13 +08:00
    虽然是学生作业的水平。
    但是这个加大加粗的字号,却由内而外的散发着自豪感。
    宣传词要违规哦。。。“最顶级”之类的广告用语要罚款的。
    no1xsyzy
        53
    no1xsyzy  
       2021-04-20 10:53:32 +08:00
    @wizjin 在被脱库的情况下,修改密码保护的是访问权而不是秘密
    因为数据破解目标是库被脱的一瞬间的快照,你无法修改攻击者手上的副本。
    xinyana
        54
    xinyana  
    OP
       2021-04-20 10:55:34 +08:00
    @damean 高傲,轻蔑,你这看世界的角度,有东方不败的风采,你让广告法来抓我啊
    xinyana
        55
    xinyana  
    OP
       2021-04-20 10:57:18 +08:00
    @no1xsyzy 本程序可以保证脱裤的情况下,依然无人可以破解,绝对安全,是的,我用词就是这么自信
    wizjin
        56
    wizjin  
       2021-04-20 10:59:24 +08:00
    @no1xsyzy 嗯嗯!你说很对,我只是为了说明服务器保存密码并不安全。另外我这样说是怕楼主反驳,因为做的好的话用户密码数据和实际业务数据是要分库存储的,这样用户密码数据被脱,业务数据还有一线希望。哈哈!
    no1xsyzy
        57
    no1xsyzy  
       2021-04-20 10:59:35 +08:00
    @xinyana 罚款啊
    管你加密如何如何,罚款你总免不了,粗略看了下法条,十万起步。
    担心你赔不起。

    “日记标签: 明文,用于搜索” 这个接受不了,你能改吗?
    no1xsyzy
        58
    no1xsyzy  
       2021-04-20 11:01:23 +08:00
    @xinyana 用户用弱密码,123456,不就秒解了?
    我都已经解出来了,现在只需要我注册一个账号,设置这个弱密码,然后让 @wizjin 拿着随便哪个弱密码字典,过一遍爆破,就成了。
    HTSdTt3WygdgQQGe
        59
    HTSdTt3WygdgQQGe  
       2021-04-20 11:08:41 +08:00 via Android
    @no1xsyzy 据我所知,弱密码破解,在穷举法范围内吧,不符合楼主命题吧,我瞎说的,别连我都喷
    domodomo
        60
    domodomo  
       2021-04-20 11:21:02 +08:00
    @xinyana 好好跟你说,你到来劲了?你吹牛逼的本事比你写代码的本事高多了。一开始你自己说用的 DES,连 3DES 都是不是,还号称“DES 加密手段,无人能解”,我都不知道你怎么说的出口。

    全平台 App 是用的 uni-app ?服务端用的 uniCloud 吧?这个框架是你写的吗?或者你是这个公司员工?
    我去看了半天混淆了函数名的代码,实在没找到你自己实现的 AES 加密代码,可能是我眼拙了。
    只在你的前端代码里面发现了一句这个“/Users/guoshengqiang/Documents/dcloud-plugins-new/release/uniapp-cli”
    嗯,guoshengqiang 用 macos 开发的框架。
    wizjin
        61
    wizjin  
       2021-04-20 11:21:14 +08:00   ❤️ 1
    @q409640976 这个问题看你怎么看了:

    1. 弱密码是一个有限集合,也就是一共就那么多。而穷举法是穷举作用域里面的所有可能。所以通过改良 Hash 算法可以扩大需要穷举的作用域,但是对弱密码的有限集合无效。
    2. 用彩虹表不是说可以破解所有数据,而是说只能对有限集合下的密码有效。但是我用一个强密码安全是因为我用的是强密码,而不是因为系统安全。换句话说如果我是用一个足够强的密码,你哪怕用最简单的 Hash 算法也是一样的。并不能说明系统安全性。
    3. 如果强行要认为弱密码破解是不符合楼主命题的话,那我之前的论述都是废话。哈哈!

    所以我上面说了,如果楼主认为彩虹表攻击没有意义,我可以道歉。:)
    jadec0der
        62
    jadec0der  
       2021-04-20 11:22:31 +08:00
    @xinyana 那句“用最顶级的加密算法”说的就是你升级 AES 啊,你不觉得很滑稽吗?一个免费的,行业标准的算法怎么还成卖点了。
    HTSdTt3WygdgQQGe
        63
    HTSdTt3WygdgQQGe  
       2021-04-20 11:30:41 +08:00 via Android
    @wizjin 别喷我,目前看程序逻辑还可以吧,这么多大牛也没找出破绽
    xinyana
        64
    xinyana  
    OP
       2021-04-20 11:48:35 +08:00
    @wizjin #45(穷举破解不归我管)
    @no1xsyzy #57(明文可以不填的)
    @domodomo #60(用了很多轮子,一个小东西你要求我从二进制开始写吗?)

    好了,回归主题
    1. 宣传语,我说了算,有人看不惯吗?活该
    2. 目前看用户数据是安全的,加密效果达到预期,程序可用,这就足够了
    很简单的小东西,没工夫跟你们争了,有安全性问题欢迎讨论
    wizjin
        65
    wizjin  
       2021-04-20 11:50:24 +08:00
    @q409640976 这个问题没法回答你,我不是大牛,楼主的程序也没看,不知道程序里面有没有破绽。话说我上来是来摸鱼的,不是 code review 的。等真等大牛来回答你吧!:)
    straymax
        66
    straymax  
       2021-04-20 12:07:33 +08:00 via iPhone   ❤️ 1
    支持下
    yryc
        67
    yryc  
       2021-04-20 12:19:14 +08:00
    +1
    no1xsyzy
        68
    no1xsyzy  
       2021-04-20 12:20:28 +08:00
    @q409640976 我什么时候喷过人?我就通过陈述事实来调戏楼主罢了。楼主的广告词可没排除穷举啊。
    没源码,发的文件是个编译后的。

    @xinyana …… 我就是要求一下密文标签,有什么困难吗?如果真要说的话,我希望每一篇日记的相同标签在服务器采用不同的密文,以免在没有破解密码的情况下发现关联。
    倒是只发个编译后的文件,我怀疑你真的是从二进制开始写的(
    宣传语,当然你说了算,但违不违规,工商局说了算。先搁个 “你被罚款了吗?活该” 在这儿。
    opp
        69
    opp  
       2021-04-20 12:28:25 +08:00 via Android
    这么一升级,之前 des 加密的日记肿么办
    no1xsyzy
        70
    no1xsyzy  
       2021-04-20 12:33:19 +08:00
    动态加载代码?你确定把代码放全了?

    xinyana
        71
    xinyana  
    OP
       2021-04-20 12:37:42 +08:00
    @opp #69
    升级前的账号做了判断,整个账号依然 DES 加密和解密

    @no1xsyzy #70
    多谢查验代码,我将会为你提供一对一服务
    据我所知没有动态代码,有的话也是 unicloud 框架的,用 F12 网络抓包一下,加载的什么代码
    no1xsyzy
        72
    no1xsyzy  
       2021-04-20 12:43:01 +08:00
    @xinyana 不用抓包,我给的图片里看得很清楚,是 webpack code splitting 提供的异步加载代码,总计 15 个 JS 文件,都在 /web/static/js/ 下面,以 名称[.]hash[.]js 为文件名。
    别整这些编译混淆后的机器码,你给源代码不行吗?
    xinyana
        73
    xinyana  
    OP
       2021-04-20 12:44:24 +08:00
    @no1xsyzy 请教,你是怎么贴图的?
    这里应该是用一个函数,确定请求哪个静态 js,跑不出前端代码的范畴
    https://z3.ax1x.com/2021/04/20/c78ZnI.png
    xinyana
        74
    xinyana  
    OP
       2021-04-20 12:49:00 +08:00
    混淆后的代码,除了难看一点,逻辑没有任何差异
    源代码是万万不能给的,这不是一个开源福利项目
    你需要查验的话,开源远程我桌面给你解惑 加我 wx jiamiriji
    xinyana
        75
    xinyana  
    OP
       2021-04-20 12:55:11 +08:00
    @no1xsyzy 这里是加密 & 解密 的核心代码
    <a href="https://imgtu.com/i/c7Gla6"><img src="https://z3.ax1x.com/2021/04/20/c7Gla6.png" alt="c7Gla6.png" border="0" /></a>
    xinyana
        76
    xinyana  
    OP
       2021-04-20 13:13:58 +08:00 via Android
    @AkashicRecords #41 你要的答案在 75 楼
    no1xsyzy
        77
    no1xsyzy  
       2021-04-20 14:09:00 +08:00   ❤️ 1
    @xinyana 拿 imgur 、新浪和 v2 的图床(未竭)直接放图片地址。其他图床你放个链接问题其实不大。
    那首先你就已经是代码没给全。
    Code Review 就是在看啊?你整个 “难看一点” 就是给 Review 添麻烦。又不肯放源码又装作放了源码 = 又当又立。
    Code Review 让你放源代码又不是让你开源(参考 Mega Sync 、以及最近的 Elastic Search 和 Redis,有源代码但不是开源的)。就是个 “很简单的小东西”,为什么源代码不能给?加密方面不给完整源码,什么动机先摆个问号在上面。
    我不用也没有计划用任何 IM 。
    你这代码,你确定 jiemi(jiami("Message")) 能还原吗? ciphertext 貌似信息不全的吧。
    ECB 就算了吧…… 请阅读: https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Electronic_codebook_(ECB) 默认不加任何选项是 CBC,你怎么还加参数降安全性了?
    GeruzoniAnsasu
        78
    GeruzoniAnsasu  
       2021-04-20 14:12:50 +08:00
    @xinyana 你可真搞笑,我在说你这东西就是个初中编程作业,你告诉我老师给你打了 100 分
    no1xsyzy
        79
    no1xsyzy  
       2021-04-20 14:13:42 +08:00
    @no1xsyzy 搞错了,Redis 本体是开源的,Redis Labs 不开源(虽然没怎么听说过人用,我甚至不知道那是干什么的)。MongoDB 是不开源的。
    no1xsyzy
        80
    no1xsyzy  
       2021-04-20 14:15:28 +08:00
    @no1xsyzy 又搞错了,Redis Labs 是公司,是 Redis Cloud 不开源(算了再错也不订正了
    xinyana
        81
    xinyana  
    OP
       2021-04-20 14:19:42 +08:00 via Android
    @no1xsyzy 加密解密代码不全?还不能还原?能看懂代码吗老弟?你看不懂,不代表所有人看不懂!我敢放出来,就敢接受各种高手审查。
    ECB 速度快,这种 app 没必要最高加密等级而牺牲速度
    xinyana
        82
    xinyana  
    OP
       2021-04-20 14:26:24 +08:00 via Android
    @GeruzoniAnsasu 莫名其妙的跑出来个啥东西?冷嘲热讽的一点礼貌也不懂,你主人没管好吧?你哪个主人告诉你 100 分了?
    no1xsyzy
        83
    no1xsyzy  
       2021-04-20 14:32:43 +08:00
    @xinyana 我实际用了下,发现不能还原。https://jsfiddle.net/ta0c9mz5/17/
    你不应该 encrypted.ciphertext.toString() 而应该是 encrypted.toString(),否则 salt 和 iv 都丢失了。
    一来你没有并行计算,不会快多少的。你付费就 2000 字你要多快加密速度?你觉得要是速度差异够明显默认会是 CBC 吗?你这是自认为比全世界的安全专家还聪明呐
    xinyana
        84
    xinyana  
    OP
       2021-04-20 14:35:38 +08:00
    @no1xsyzy 10M 的图片加密解密,需要速度
    xinyana
        85
    xinyana  
    OP
       2021-04-20 14:48:53 +08:00
    @no1xsyzy 实测没有问题,你的代码有问题,基础知识没学扎实
    https://jsfiddle.net/zhaopp/5sjwfmLv/1/
    xinyana
        86
    xinyana  
    OP
       2021-04-20 14:51:55 +08:00
    @no1xsyzy 才看到,你的回复里带刺啊,代码都不会调试,AES 不会用,不行换人吧
    GeruzoniAnsasu
        87
    GeruzoniAnsasu  
       2021-04-20 14:58:13 +08:00
    @xinyana 我把我们仅有的一人 2 句对话放在这里,你自己看看你自己都在说些啥:

    #27
    “最顶级的加密算法”

    。。无力吐槽

    我猜用 des 的原因是那个 des 是自己实现的(

    ---------

    #40
    @(id)
    @(id)
    @(id)
    @(id)
    楼上几位质疑者,喷之前,麻烦看一下附言二
    你们解出来我道歉+关站
    加油
    @(id) 你这么牛,解一个呀,解不出来蔑视你!就会叭叭,还会啥?

    --------

    #78
    @xinyana 你可真搞笑,我在说你这东西就是个初中编程作业,你告诉我老师给你打了 100 分

    --------

    #82
    @(me) 莫名其妙的跑出来个啥东西?冷嘲热讽的一点礼貌也不懂,你主人没管好吧?你哪个主人告诉你 100 分了?

    --------

    其实我猜你也没仔细看这楼里的回复,你只会觉得“我辛苦做的作品为什么没人承认就算了还有一堆人喷我”,你也捋不出有些时候别人其实说话委婉一点没有表达出来的意思,直说你又觉得自己是人格受辱必须要加倍奉还才行。

    还是那句话,我也就网上敢对 lz 这种人多说两局,现实生活中我 tm 怂得要死,生怕等会真被人剁了
    Rheinmetal
        88
    Rheinmetal  
       2021-04-20 15:09:15 +08:00
    @xinyana @no1xsyzy 用动态类型搞密码学不看文档不行的

    The Cipher Input
    For the plaintext message, the cipher algorithms accept either strings or instances of CryptoJS.lib.WordArray.
    For the key, when you pass a string, it's treated as a passphrase and used to derive an actual key and IV. Or you can pass a WordArray that represents the actual key. If you pass the actual key, you must also pass the actual IV.
    For the ciphertext, the cipher algorithms accept either strings or instances of CryptoJS.lib.CipherParams. A CipherParams object represents a collection of parameters such as the IV, a salt, and the raw ciphertext itself. When you pass a string, it's automatically converted to a CipherParams object according to a configurable format strategy.
    The Cipher Output
    The plaintext you get back after decryption is a WordArray object. See Hashing's Output for more detail.
    The ciphertext you get back after encryption isn't a string yet. It's a CipherParams object. A CipherParams object gives you access to all the parameters used during encryption. When you use a CipherParams object in a string context, it's automatically converted to a string according to a format strategy. The default is an OpenSSL-compatible format.
    xinyana
        89
    xinyana  
    OP
       2021-04-20 15:09:21 +08:00
    @GeruzoniAnsasu
    "我猜用 des 的原因是那个 des 是自己实现的"
    这句你说的? 质疑别人要用猜的? 你主人没教你礼貌很正常

    大家的质疑是程序进步的动力,目前面对诸多质疑,仍然没有发现漏洞,反而证明了程序的可靠性
    no1xsyzy
        90
    no1xsyzy  
       2021-04-20 16:40:34 +08:00 via Android
    @xinyana @Rheinmetal 那这是空 iv ?要被重放勒
    只要把漏洞写进 feature 就不算漏洞是吧
    no1xsyzy
        91
    no1xsyzy  
       2021-04-20 16:43:22 +08:00 via Android
    @xinyana 还是推荐你看下文档吧
    如果你觉得抗不住离线破解,抗不住重放,明文标签
    no1xsyzy
        92
    no1xsyzy  
       2021-04-20 16:51:03 +08:00 via Android
    @xinyana 还是推荐你看下文档吧,iv 为空的话没法保证 I 的。ECB 也破坏 I 。
    如果你觉得抗不住离线弱密码字典破解,抗不住重放,明文标签,为了图片性能连文本也一并 ECB 都算 feature 的话确实没什么好说的,我就一句垃圾软件,以及,不要用小作坊搞的加密软件。
    回头举报到工商了。
    以及 @livid,楼主将所有指出问题的人视为喷子并持续人身攻击
    xinyana
        93
    xinyana  
    OP
       2021-04-20 17:14:28 +08:00 via Android
    @no1xsyzy 随便举报,身正不怕影子斜,最好给我弄个微博热搜,没那个本事让我下架,真的鄙视你这种小人
    gyf304
        94
    gyf304  
       2021-04-20 17:15:47 +08:00
    用 Block Encryption 不说 mode 搞不好是 ECB 。
    ECB,或者非随机 IV CTR,用全零加密 XOR 一下任意秘文就出明文了。
    AkashicRecords
        95
    AkashicRecords  
       2021-04-20 17:26:59 +08:00   ❤️ 1
    @no1xsyzy #92 不用和楼主聊了,他完全没有密码学知识,问什么加密工作模式连 ECB 都没法回答,就只是会说看源码,结果还给一个混淆的源码,我是不信楼主自己能够找到哪一部分是 ECB 的;
    ECB 和其他工作模式相比完全不是速度的问题,而是 ECB 加密图片是可以暴露了轮廓信息的,这绝对不能说是安全了,任何一个学过密码学的人都不会选这个
    没做过相关实验,可以先看看维基 Block_cipher_mode_of_operation
    gyf304
        96
    gyf304  
       2021-04-20 17:28:02 +08:00
    订正:ECB XOR 不出来,这么说 ECB 可能还比没有 IV 的 CTR 稍微安全一些,但谈不上安全。
    xinyana
        97
    xinyana  
    OP
       2021-04-20 18:07:22 +08:00 via Android
    @AkashicRecords 你要的答案在 76 楼,怼人之前不做功课的吗?还特意 @你
    AkashicRecords
        98
    AkashicRecords  
       2021-04-20 18:22:21 +08:00   ❤️ 3
    @xinyana 那么请问,阁下回答了什么问题呢?
    问题 1:“不要展示代码”,“不用 Show me the code,就直接说用的什么模式”,直接说出加密工作模式——ECB 三个字都说不出来,你 75 楼发给我代码有什么意义呢?
    问题 2:退一步讲,我看看代码,结果你网站上发的是混淆的,居然有人能够从混淆后的代码中看出加密工作模式,我只能说是逆向大佬了,失敬失敬
    问题 3:再退一步讲,是逆向大佬,能够看出是 ECB 模式——那太好了,ECB 加密图片是有公认的安全性问题的,能够叫做“绝对安全”?
    wunonglin
        99
    wunonglin  
       2021-04-20 18:28:31 +08:00   ❤️ 1
    @AkashicRecords #98 别回复了。去打打游戏,陪陪孩子老婆比这浪费口水有意义
    wunonglin
        100
    wunonglin  
       2021-04-20 18:28:55 +08:00   ❤️ 1
    @AkashicRecords #98 他已经沉迷于自己的世界里了
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3044 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 43ms · UTC 14:09 · PVG 22:09 · LAX 06:09 · JFK 09:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.