Tweakimp
2016-07-13 02:25:39 UTC
我沒有任何安全方面的經驗或科學知識,我只是想問一問這是否可行,因為我對此感興趣。
如果我加密數據並且每個密碼都將其解密怎麼辦,但是只有正確的登錄帳戶才不會造成毫無意義的數據混亂?登錄可以做到這一點:錯誤的登錄數據會導致虛假的虛擬帳戶,只有正確的登錄詳細信息才能將您定向到正確的帳戶。
將“這不是一種更好的加密方法,因為您不能只是嘗試使用密碼,而必須查看結果以查看是否正確?
聽起來像[一次性墊](https://en.wikipedia.org/wiki/一次性墊)。
[蜜罐](https://en.wikipedia.org/wiki/Honeypot_(計算))或[垃圾郵件](https://en.wikipedia.org/wiki/Spamtrap)是一個旨在浪費的系統機器人的時間。
它只能在線運行,並且您應該不能在第一位強行使用在線密碼...
好吧,當您嘗試強行加密文本時,這是您必須要做的。當您正確地進行解密時,沒有神奇的鈴鐺會告訴您,您必須查看輸出並進行檢查。如果有人加密了壓縮文件,而您僅檢查嘗試是否生成純文本,即使嘗試所有可能的密鑰,也將永遠無法解密該文本。
@Bakuriu:對於較差的加密系統,您可以僅解密前四個字節(精確稱為魔術數字,[我不是在開玩笑](https://en.wikipedia.org/wiki/File_format#Magic_number);)!)和檢查您是否獲得了正確的ZIP文件頭(不是我認為ZIP實際上提供了一個糟糕的系統,但我只是在重用您的示例)。使用好的加密系統,您必須首先解密*整個*文件,然後,您才能檢查解密密鑰是否確實正確。
@WhiteWinterWolf您的發言很明顯,但您沒有明白我的意思。重新閱讀。
@Bakuriu:最實用的加密系統包括一個哈希,它會告訴您何時正確解密。此外,某些加密方案,例如全磁盤加密的目的是使您可以高效地進行隨機訪問,因此無需解密整個卷即可知道擁有正確的解密密鑰。
@LieRyan我看不到您的評論有何意義。就像我說的那樣:如果僅檢查**,以查看解密是否正確,就是檢查結果(如純文本ASCII **)是否可理解,那麼您將永遠無法解密壓縮的加密消息。期。在這種情況下沒有哈希。我的觀點是,按照定義,通過蠻力進行解密需要您查看“解密的數據”並確定是否正確,有時很容易,有時很難或不可能做到。
不要忘記您的用戶。您的加密方案是否可以處理“愚蠢的軟件,偶爾解密我的文件時會產生垃圾”問題?如果您只有少數幾個足夠了解的技術用戶,那麼它可能會有用。但是,如果您要針對許多未受過教育的用戶,那麼出於您自己的理智,請輸入“錯誤的密碼!”。對話框 :)
值得一提的是,Vim在加密文件上使用錯誤的加密密鑰時會產生垃圾。但是,由於輸出結束時充滿了控製字符,因此很容易看出來。
@LieRyan在正確構建的加密系統中,對數據進行加密,然後應用MAC(使用哈希)。如果採取其他方法,則MAC [Hash]然後進行加密,然後是的,您可以使用MAC來告訴您是否具有有效的解密。這使暴力攻擊更加容易。因此,這就是為什麼現代系統不這樣做的原因(FYI,這是SSL中眾所周知的錯誤)。有關更多詳細信息,請參見https://moxie.org/blog/the-cryptographic-doom-principle/。
這應該隨機發生,而不是始終如一。例如。大約100次錯誤登錄時,會出現誤報。
除了出色的答案外,還請看一下相對較新的Honey加密:https://en.wikipedia.org/wiki/Honey_Encryption
有一種方法可以處理公共論壇上的垃圾郵件,烈火等內容,這使我想起了OP的建議:這個想法不是要告訴發布者論壇軟件認為他的帖子是不可接受的,而是要展示他的帖子。郵寄給他,並且僅郵寄給他,就好像已被接受一樣。他將是唯一看到歷史記錄的人,但認為他成功了。