rulinux.net - Форум - Talks - шифрование ЛС в phpbb http://rulinux.net/ rulinux.net - Форум - Talks - шифрование ЛС в phpbb http://rulinux.net/ http://rulinux.net/rss_icon.png Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36910 https://rulinux.net/message.php?newsid=5709&page=1#36910 Fri, 15 Jan 2010 10:57:16 +0300 Ну значит нужно сменить пароль администратора, эту опцию выключить и пароль админа больше никому не давать. На случай своей смерти - пароль в запечатанном конверте в сейф к тому, кто у вас главный. Скорее всего этого и будет достаточно. Если же существует бэкдор, то параллельно можно искать и исправлять проблему безопасности в коде. Одного другого не отменяет.

]]> Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36909 https://rulinux.net/message.php?newsid=5709&page=1#36909 Fri, 15 Jan 2010 10:27:24 +0300 А доступа и нету, кроме меня. Точнее, есть подозрения, что кое у кого есть бекдор и каким-то образом есть и возможности... Вон в админке либрусека вообще, есть вон чего -  http://s001.radikal.ru/i196/1001/36/b45883a30bc0.jpg, уроды одним словом

]]> Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36908 https://rulinux.net/message.php?newsid=5709&page=1#36908 Fri, 15 Jan 2010 09:32:44 +0300 Ой.. Я не понял, что тебе это "внутри" нужно - думал просто надо с тамошним собеседником обмениваться приватными сообщениями. Тады, если проблема стоит серьёзно - можно подумать не присобачить ли вот это:  http://php.net/manual/en/book.gnupg.php (у вас там пых используется?), а ключи шифровать пользовательским паролем и грузить в сессию при логине например (хотя из сессии тогда можно будет выдернуть ведь). На клиенской стороне расшифрование сделать вроде не выйдет. Может вообще проблему можно решить административно - забрать у всех непосредственный доступ в базу и файловую систему, пусть ходят только через предусмотренные интерфейсы, с проверкой прав?

]]> Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36907 https://rulinux.net/message.php?newsid=5709&page=1#36907 Fri, 15 Jan 2010 08:14:50 +0300 Пролезает-то без проблем, но как ты себе представляешь обучение всех модераторов и админов этому процессу? К тому же линуха там, думаю, стоит только у меня :)

]]> Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36906 https://rulinux.net/message.php?newsid=5709&page=1#36906 Fri, 15 Jan 2010 01:04:14 +0300 base64 - это ASCII-символы, которые заталкиваются вообще везде. По размеру не пролезает штоле?

]]> Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36905 https://rulinux.net/message.php?newsid=5709&page=1#36905 Fri, 15 Jan 2010 00:42:52 +0300 Слушай, спасибо за мастер-класс :) Только вот.. в phpbb таки такое затолкать проблематично :) :)

]]> Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36904 https://rulinux.net/message.php?newsid=5709&page=1#36904 Thu, 14 Jan 2010 10:50:03 +0300
  1.  # генеришь свой сертификат (надо будет ответить на несколько вопросов):
  2.  gpg --gen-key
  3.  # смотришь чо получилось:
  4.  gpg --list-keys
  5.  # можешь даже попробовать подписать чего-нить своим сертификатом:
  6.  echo "test" | gpg --clearsign
  7.  # Кладёшь сертификат в общедоступное место:
  8.  gpg --keyserver keys.gnupg.net --send-keys 803BDAEF
  9.  # Оттуда же импортируешь ключи тех, с кем будешь работать:
  10.  gpg --keyserver keys.gnupg.net --search-key HEBECTb.KTO@example.com
  11.  # смотришь чо получилось:
  12.  gpg --list-keys
  13.  # дальше как выше описал
  14.  
  15.  

]]> Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36903 https://rulinux.net/message.php?newsid=5709&page=1#36903 Thu, 14 Jan 2010 10:11:08 +0300 Распиши, плиз, как создать ключи, данные, пароли и проч. в GPG без кед? в консольке

]]> Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36902 https://rulinux.net/message.php?newsid=5709&page=1#36902 Thu, 14 Jan 2010 10:10:11 +0300 > Я с GPG никогда не работал :(
Я можно подумать работал :)

]]> Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36901 https://rulinux.net/message.php?newsid=5709&page=1#36901 Thu, 14 Jan 2010 10:08:18 +0300 Нет, ключ у тебя хранится в gpg-шной базе, а ты просто идентифицируешь того, кому шлёшь мессидж. Идентифицировать получателя можно разными способами (см. ближе к концу man gpg)

]]> Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36900 https://rulinux.net/message.php?newsid=5709&page=1#36900 Thu, 14 Jan 2010 10:04:48 +0300 Все, читаю ту тему, сейчас все попробую

]]> Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36899 https://rulinux.net/message.php?newsid=5709&page=1#36899 Thu, 14 Jan 2010 09:59:56 +0300 Я с GPG никогда не работал :(

vit@cbt:~$ cat mess | gpg -r 803BDAEF -s -e | base64 > mess_sec

gpg: no default secret key: секретный ключ не найден

gpg: [stdin]: sign+encrypt failed: секретный ключ не найден

]]> Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36898 https://rulinux.net/message.php?newsid=5709&page=1#36898 Thu, 14 Jan 2010 09:57:27 +0300 то есть -r - это ключ?

]]> Re: шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36897 https://rulinux.net/message.php?newsid=5709&page=1#36897 Thu, 14 Jan 2010 09:10:25 +0300 Ключ надо хранить в секрете. Правильнее использовать gpg.

В продолжение вот этого треда:  http://www.lor-ng.org/message.php?newsid=5558

Послать зашифрованное и подписанное сообщение:

cat message.orig.txt | gpg -r 803BDAEF -s -e | base64 >message.txt

-r - это идентификатор реципиента, -s можно опустить

Получившиеся буквы из файла message.txt вставляешь в ЛС. Это зашифрованное подписанное сообщение. Получатель сделает на своей стороне что-то вида:

cat message.txt | base64 -d | gpg -v -d

Получит следующий выхлоп:

  1.  gpg: public key is 03C013CC
  2.  gpg: using subkey 03C013CC instead of primary key 803BDAEF
  3.  
  4.  You need a passphrase to unlock the secret key for
  5.  user: "Невесть Кто (no comment) <HEBECTb.KTO@example.org>"
  6.  gpg: using subkey 03C013CC instead of primary key 803BDAEF
  7.  4096-bit RSA key, ID 03C013CC, created 2009-12-25 (main key ID 803BDAEF)
  8.  
  9.  gpg: encrypted with 4096-bit RSA key, ID 03C013CC, created 2009-12-25
  10.   "Невесть Кто (no comment) <HEBECTb.KTO@example.org>"
  11.  gpg: AES256 encrypted data
  12.  gpg: original file name=''
  13.  
  14.  
  15.  Секретное сообщение
  16.  Далёкому другу
  17.  
  18.  Перед прочтением уничтожить
  19.  
  20.  
  21.  Докладываю: грузите апельсины бочками
  22.  
  23.  
  24.  gpg: Signature made Thu 14 Jan 2010 08:54:21 AM GMT using RSA key ID 803BDAEF
  25.  gpg: using PGP trust model
  26.  gpg: Good signature from "Невесть Кто (no comment) <HEBECTb.KTO@example.org>"
  27.  gpg: binary signature, digest algorithm SHA1
  28.  

Теперь получатель уверен что: 1. сообщение написал ты 2. сообщение никто не модифицировал 3. сообщение никто кроме него не читал, потому как оно зашифровано его ключом

]]> шифрование ЛС в phpbb https://rulinux.net/message.php?newsid=5709&page=1#36896 https://rulinux.net/message.php?newsid=5709&page=1#36896 Thu, 14 Jan 2010 07:58:00 +0300 Никто по этому поводу не в курсе? Есть желание поставить все тексты ЛС пользователей на форуме на конвейер шифрования. Двустороннего. Пусть ключем к расшифровке, к примеру, будет логин или ID пользователя. Насколько оно имеет смысл?

Задумался об этом, всвязи с тем, что на том же torrent.rus.ec все личные сообщения просматриваются. Кем конкретно, говорить не буду, но знаю.

]]>