浅析 Antiy Password Mixer 加密原理

最新推荐文章于 2024-05-29 17:46:55 发布
最新推荐文章于 2024-05-29 17:46:55 发布
阅读量1k 收藏
点赞数
分类专栏: Architecture 文章标签: 加密 算法 python ruby 扩展 语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linvo/article/details/7164878
版权

江海客(安天实验室首席技术架构师)的《由拖库攻击谈口令字段的加密策略》中简单列出了那些常见于程序员中的错误加密策略,以及一些推荐采用的比较安全的加密策略。同时他也顺带提到了由安天实验室开发的Antiy Password Mixer(算是一种通用的密码加密工具包吧),可供广大开发人员选择。

目前只提供了Python版本,后续还会提供PHP和Ruby版本,如果需要C/C++等其他语言版本的就要付费咯。
简单看了下源码,原理和想像的差不多:

密码密文采用了“sha256(用户名 + 32位随机salt + 密码明文)”,然后与salt以及经过RSA加密后的扩展信息,一同存入Kyoto Cabinet(TC的前身)。

如果硬要存储密码明文的话,会用RSA公钥加密“salt+密码明文”,然后存入KC;必要的时候可用私钥解出密码明文。

另外,在具体算法的选择上也尽可能做到较高安全度,例如hash算法没有选择常用的md5和sha1,而是选择了256bit的sha256;RSA的密钥证书用的是较长的4096位。

搞清楚了原理,大家就能在自己的项目中灵活地去实现了:)

Linvo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
邮件那些事4—浅析伪造发信人的原理与识别
信息安全
10-21 2万+
如果你接受到一封银行的邮件让你点击文档进行查账单、如果你接受工资条的文档,老板说给你涨工资了让你查看工资条~那么你极有可能收到了伪造发件人的假邮件!! 根据SMTP协议的规范,隐藏着一个安全漏洞,那就是,收信人是可以伪造的。在没有详细说明伪造过程之前我们先从如何通过命令行发送邮件说起。   通常我们多数人通过网页登陆邮箱,或者通过邮件客户端来发送和接受邮件,那么有了这些封装工具,更难让我们接
XCC Mixer 文件解密
09-03
解密软件
git命令总结
crazy_lizhen的博客
03-20 91
git init 命令把这个目录变成Git可以管理的仓库 git clone https://git.antiy.org.cn/dataexchanger-cncert/dexch2-dist.git git remote add updata https://github.com/cczhangxin/antiy.git 关联仓库 git fetch origin master:maste...
浅析互联网场景的身份认证方法(全本)
zgmzyr的专栏
03-31 1275
转载于:http://blog.csdn.net/antiy_seak/article/details/7391516   本篇原载《程序员》二月号,由于字数问题,我当时已经做了一些删节,编辑同志的二次删剪又导致了其中一处技术错误。贴出这份全本儿以分享更多信息。 浅析互联网场景的身份认证方法 江海客(http://weibo.com/seak) 互联网之前的身份认证 身份认
php中函数禁用绕过的原理与利用
蚁景网安学院
12-25 770
是否遇到过费劲九牛二虎之力拿了webshell却发现连个scandir都执行不了?拿了webshell确实是一件很欢乐的事情,但有时候却仅仅只是一个小阶段的结束;本文将会以webshell作为起点从头到尾来归纳bypass disable function的各种姿势。
antiy实习的日子(python验证页面存活)
王意林的专栏
10-12 1621
来安天之后还是接着研究这个jsunpackn,被安排写一个检测页面存活的脚本,由于对python不算特别熟,所以还是蛋疼了一小下的,吃饭时候听说在CNNVD上面提交漏洞前几,有安天,绿盟,晨星,什么360瑞星什么的反而没什么资格,顿时感觉自己牛鼻了很多,可能是这些公司是为政府工作的机会比较多,绿盟的前身也比较有趣,是绿盟军团,有兴趣的话可以看着篇文章http://www.hudong.com/wi
观成科技:Play勒索软件组织加密流量分析
最新发布
GCKJ_0824的博客
05-29 885
Play勒索软件组织使用CobaltStrike进行命令与控制操作,通过SystemBC、Empire、PsExec和RDP进行内网横向移动,并使用WinRAR压缩内网中敏感数据,利用WinSCP和Plink将数据窃取到远程服务器,最终通过AES和RSA算法加密文件,并将文件后缀修改为“.play”,完成窃密+勒索的攻击过程。C&C服务器下发给SystemBC的数据格式如下图所示,数据长度是数据部分的长度,地址类型包括“1”、“3”和“4”,1代表地址是域名,2代表地址是IP,3代表地址是IPv6。
由拖库攻击谈口令字段的加密策略
清风徐来,水波不兴
01-01 1730
原文地址:由拖库攻击谈口令字段的加密策略 我不得不惨痛地写在前面的是,这是一个安全崩盘的时代。过去一年,已经证实的遭遇入侵、并导致关键数据被窃或者被泄露的公司,包括索尼、世嘉这样的大型游戏设备厂商;包括花旗银行这样的金融机构,也包括了RSA这样的安全厂商。 这些事件中最令业界瞠目的是RSA被入侵,这直接导致多家工业巨头遭遇连锁的攻击,很多安全企业本身也使用RSA的令牌。比RSA弱小很多的荷兰电
安全崩盘的年代:由拖库攻击谈口令字段的加密策略
tianxiajianling的专栏
12-31 971
本文作者肖新光,网络ID江海客,安天实验室首席技术架构师,研究方向为反病毒和计算机犯罪取证等。如果有读者想要就安全问题和作者探讨,可以在微博@江海客。 我不得不惨痛地写在前面的是,这是一个安全崩盘的时代。过去一年,已经证实的遭遇入侵、并导致关键数据被窃或者被泄露的公司,包括索尼、世嘉这样的大型游戏设备厂商;包括花旗银行这样的金融机构,也包括了RSA这样的安全厂商。   这些事件中最令业界瞠
python下RSA 加密/解密,签名/验证
weixin_34162401的博客
03-04 97
基于win7 + python3.4   原文是py2环境,而我的环境是py3,所以对原代码做了修改:decode(), encode() import rsa # 生成密钥 (pubkey, privkey) = rsa.newkeys(1024) # 保存密钥 with open('public.pem','w+') as f: f.write(pubk...
JS到PHP使用RSA算法进行加密通讯
热门推荐
Linvo's blog
06-12 1万+
我们平时做用户登录表单提交,用户名密码都是明文直接POST到后端,这样很容易被别人从监听到。注:包括使用MD5等哈希函数处理后的数据,这里也算做明文(现在MD5爆破网站已经很多了~)。对安全性要求较高的网站,比如银行和大型企业等都会使用HTTPS对其进行加密通讯。但是由于效率原因,使用HTTPS的代价是及其昂贵的,对于访问量稍大的网站就会造成严重的性能瓶颈。解决方法一般只能采用专门的SSL硬件加速设备如F5的BIGIP等。所以很多网站选择了模拟SSL的做法,使用RSA来对密码等安全信息进行公钥加密,服务端用
RabbitMQ集群方案
Linvo's blog
07-27 1万+
RabbitMQ虽然是天生的分布式消息队列,但其本身并不支持负载均衡。 Connecting to Clusters from Clients A client can connect as normal to any node within a cluster. If that node should fail, and the rest of the cluster
Javascript到PHP加密通讯的简单实现
Linvo's blog
07-17 1万+
由于下周要向内部刊物交稿,因此才有了本文。 其实内容主要来源于上一篇博文,只是重新组织了语言,并做了原理性的阐述,更容易理解:P ----------------------------------------- 华丽的分割线 -----------------------------------------   互联网上大多数网站,用户的数据都是以明文形式直接提交到后端CGI,服务器之间
尝试用Gearman实现分布式处理(PHP)
Linvo's blog
02-09 6032
 本文需要你已对Gearman有个大致了解,如果不知该东东是何物,请参考之前一篇转帖日志《Gearman - 分布式远程过程处理框架》顺便再推荐两篇参考文章http://hi.baidu.com/thinkinginlamp/blog/item/ff49972b9e7378f3e6cd40aa.html(学学Gearman)http://www.ibm.com/develo
RabbitMQ+HAProxy
Linvo's blog
07-30 5704
原本打算直接用nginx反向代理,发现不好用,默认不支持长连接,见很多推荐HAProxy的,就试试吧~ wget http://haproxy.1wt.eu/download/1.4/src/haproxy-1.4.21.tar.gz tar -zxvf haproxy-1.4.21.tar.gz cd haproxy-1.4.21 make TARGET=linux26 PREFIX=/
关于PHP与Java AES加解密互通的Padding问题
Linvo's blog
02-29 5390
首先,通常情况下Java内部支持三种填充:NoPadding,PKCS5Padding(默认),ISO10126Padding。 如果选用NoPadding的话,对于数据长度不满16字节整数倍的情况下,Java是会报错的。 PHP貌似是使用NoPadding填充,但实际上对于上述情况PHP内部是会以“\0”来填充,其实是一种Zero填充。 表现在Java中,则是由Bouncy Castl
随机码容量计算
Linvo's blog
04-09 3528
假设有这么个场景: 给每个进入房间的人分配一个随机码(数字/字母),该随机码在一段时间内有效,那么在有效期内,为了让两个人分配同一个随机码的概率保持在指定值以下,那么随机码的长度最短需要多少个字符? 我是这么计算的: 设: 并发数:P(如:100个/s) 缓存时间:T(如:1800s) 碰撞率:R(如:1‰) 容量:C 则: C = P * T / R 以上面的测试用例代入计算
Linux中两款并发测试工具ab&webbench
Linvo's blog
02-23 3356
声明:1、目前我对“压力测试”和“负载测试”这两个概念的区别还不清楚,所以使用“并发测试”一词代替2、演示分别使用ab和webbench对phpinfo()的页面进行100并发持续5秒钟测试 首先来看一下最受欢迎的、随apache一起打包发布的ab,使用简单方便可以看出测试结果较为详细,除了几项主要数据外还包含很多项参考数据。 接下来看下使用起来更为简单易懂的web
npm ERR! code ERESOLVE npm ERR! ERESOLVE could not resolve npm ERR! npm ERR! While resolving: sass-loader@12.1.0 npm ERR! Found: webpack@3.12.0 npm ERR! node_modules/webpack npm ERR! peer webpack@"^1.9 || ^2 || ^2.1.0-beta || ^2.2.0-rc || ^3.0.0" from uglifyjs-webpack-plugin@0.4.6 npm ERR! node_modules/webpack/node_modules/uglifyjs-webpack-plugin npm ERR! uglifyjs-webpack-plugin@"^0.4.6" from webpack@3.12.0 npm ERR! peer webpack@"2 || 3 || 4" from babel-loader@7.1.5 npm ERR! node_modules/babel-loader npm ERR! dev babel-loader@"^7.1.1" from the root project npm ERR! 9 more (extract-text-webpack-plugin, file-loader, ...) npm ERR! npm ERR! Could not resolve dependency: npm ERR! peer webpack@"^5.0.0" from sass-loader@12.1.0 npm ERR! node_modules/sass-loader npm ERR! dev sass-loader@"^12.1.0" from the root project npm ERR! npm ERR! Conflicting peer dependency: webpack@5.88.2 npm ERR! node_modules/webpack npm ERR! peer webpack@"^5.0.0" from sass-loader@12.1.0 npm ERR! node_modules/sass-loader npm ERR! dev sass-loader@"^12.1.0" from the root project npm ERR! npm ERR! Fix the upstream dependency conflict, or retry npm ERR! this command with --force or --legacy-peer-deps npm ERR! to accept an incorrect (and potentially broken) dependency resolution. npm ERR! npm ERR! npm ERR! For a full report see: npm ERR! C:\Users\antiy\AppData\Local\npm-cache\_logs\2023-07-18T05_47_37_165Z-eresolve-report.txt npm ERR! A complete log of this run can be found in: npm ERR! C:\Users\antiy\AppData\Local\npm-cache\_logs\2023-07-18T05_47_37_165Z-debug-0.log
07-20
这段错误信息是由 npm 命令引起的,指出在解析依赖关系时出现了冲突。具体而言,发生了以下错误: - sass-loader@12.1.0 需要 peer 依赖 webpack@"^5.0.0"。 - 但是,当前项目已安装 webpack@3.12.0,并且某些其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值