問題タブ [blowfish]

Blowfish エンコーディングで少しテストを行ったところ、何かに気づきました。エンコードされた文字列は、必ずしもソース文字列と同じ長さではありません。短いこともあります。

エンコードされた文字列をデコードしたい場合は、openssl 関数でデコードする長さが必要です。

ここでの問題はlength_to_decode、ソース文字列の長さがわからないと、デコードされた文字列の長さを length_to_decode として使用すると、これは短すぎる可能性があります。

より長い長さを使用すると、デコードされた文字列が正しくありません。では、blowfish エンコーディングでデコードする長さを知る必要がありますか?

インターネット上のすべてのコード例では、エンコードとデコードは常に 1 つの関数で行われ、デコードの例ではデコードにハードコードされた長さを使用します。しかし、実際には、エンコードされた文字列の長さはわかりません。

以下に例を示します。

次のようにキーを初期化します。

これは一種の非常に基本的な質問です。これに関するヘルプを検索しましたが、具体的な答えが見つかりませんでした。したがって、私はここで具体的に尋ねています。

ユースケースは、利用可能なハッシュのリストを参照して脆弱なパスワードを見つけたいです。そのためには、既知の/一般的な各単語のハッシュを使用可能なハッシュと比較する必要があります。これはすべて、openssl/blowfish.h を使用して C++ for Unix で実行されます。

ただし、この推測ワードのハッシュを作成するには、パスワード ハッシュに使用されたものと同じソルトを使用して生成する必要があります。

ここでの私の質問は、パスワード ハッシュからソルトを抽出する方法です。以下が私のハッシュであるとします。

$2a$10$FTx8T5QrEbxYVe.NJ6iOhuei.V9qgl60xF8/8s7iZRDIlOl.ibDEW

この中の塩は何ですか？またはどうすれば目標を達成できますか？どんなポインタでも素晴らしいでしょう!!

前もって感謝します。

APIプロバイダーからいくつかのテストデータキー/テキスト/暗号化を取得し、以下の関数で同じ暗号化結果を生成しようとしていますが、結果は241桁の最後の16桁で提供されたものとは異なります。あなたは考えを持っていますか、その理由は何でしょうか？'bf-ecb'が正しいモードであることを確認し、urlエンコードを試しましたが、これまでのところ成功していません。

アップデート

また、サンプル結果を復号化しようとすると、OpenSSL :: Cipher::CipherError「不正な復号化」が発生します

埋め込みコードにある文字列値をマスクしたいと考えています。Blowfish などを使用して暗号化できると思いました。安全ではないことは気にしません。基本的に、誰かが私の埋め込みコードから暗号化された文字列をコピーして結果を得ることを望んでいません。だから、塩を少し入れると固くなると思いました。少なくとも、salt を取得するには、私の swf を逆コンパイルする必要があります。

as3cryto の Google コードを調べましたが、書き方がわかりません。クラスをインポートする必要があると思われます...どのクラスをインポートするのか、また、フグの暗号化および復号化関数を呼び出すための構文が何であるかもわかりません。

as3 フグの復号化と暗号化の例はありますか? 私が検索したところ、as3crypto に基づいて独自のクラスを変更および作成している人だけが見つかりました。1 つの単純な行だと確信していますが、特定する例はありません。

php を使用して暗号化文字列を生成し、次に as3 を使用して復号化し、フラッシュ ファイルで使用する必要がある文字列を取得します。

ありがとう。

Rails/Devise アプリケーションをテストするために、100 人のユーザーを作成してログインしたいと考えています。

私は次のことを試しました：

の場合encrypted_password、パスワードが である別のユーザーから値をコピーしましたtesttest

test1@example.com問題:パスワードでログインできませんtesttest

私encrypted_passwordは塩を持っていると思うので、それを生成するためのツールが必要です。config.encryptorですbcrypt。bcrypt (Linux) をインストールしましたが、man ページは非常に短く、ファイルを暗号化する方法しか説明していないため、パスワードをソルトするのに最も便利なツールではないと思います。

ソルト化された 100 個のパスワードをすばやく作成するには?
100回サインアップするよりも速い何か。

Openfireは、blowfish暗号化を使用して暗号化されたパスワードをデータベースに保存します。

http://svn.igniterealtime.org/svn/repos/openfire/trunk/src/java/org/jivesoftware/util/Blowfish.javaは、openfireで暗号化/復号化関数がどのように機能するかを示すJava実装です。

私の目標は、PHPとMySQLIを介してデータベースに新しいユーザーエントリを作成することです。私が試したすべてのバリエーションは、データベースにすでに存在するものと一致しない結果をもたらしました。例えば：

d3f499857b40ac45c41828ccaa5ee1f90b19ca4e0560d1e2dcf4a305f219a4a2342aa7364e9950db暗号化されたパスワードの1つです。クリアテキスト、これはstackoverflow

私はいくつかのバリエーションを試しました：

Javaや.netと比較した場合、mcryptblowfishphpに基づく別の結果はわずかに異なります

賢いアイデア、または明白な問題はありますか？Blowfish.encryptString()この質問の最初のリンクで参照されているように実装したいだけです。

多くのスクリプト言語 (Python/PHP/etc...) には、Blowfish をパスワードの一方向ハッシュとして使用できる機能が (拡張機能を介して) 含まれています。私は C++ の同様の実装を見つけようとしていますが、私が遭遇したものはすべて暗号化/復号化ソリューションです。

同じ機能を提供する C++ 用のライブラリを推奨できますか?

javax.crypto.IllegalBlockSizeException: doFinal メソッドによって末尾の 7 バイトがスローされます。何が問題ですか？最も興味深いのは、キー文字列の長さに関係なく、例外は常に同じで、末尾の 7 バイトです。

MD5はパスワードストレージ（MySQL）に対して安全ではないと聞いた後、私はPHPのcrypt（）をBlowfishで使用することにしました（より良いアルゴリズムを知っているかどうか教えてください）。そこで、ランダムに32文字のソルトを生成し、指定された文字列を暗号化します。コードは次のとおりです。

私が得ている結果は本当に奇妙です...このようないくつかの構成では、暗号化された結果には複数のドルが連続して$を歌っています。このコードでは、$工学（結果）には実際に与えられたソルトが含まれ、$encryptedの前にはBlowfishインジケーター$2a$が付きます。

ちなみに、私のバージョンのPHPはBlowfishをサポートしています。結果の例を次に示します。

私は何が間違っているのですか？ご協力いただきありがとうございます。

編集：おっ、私は何かを考えました：私はいつも同じソルトを使うべきではありませんか、それともランダムに生成してMySQLの各ユーザーアカウントに保存するべきですか？

暗号化するには:

$ usesomesillystringforsalt $部分をランダム化するか修正する必要がありますか? （修正されたと思いますが、確認したいです）。

結果の例:

これは正しい暗号化された値ですか?

ユーザーがログインするために指定したパスワードが正しいかどうかを確認するには:

( という名前の入力フィールドがあり、それをデータベースから取得しpasswordた値と比較するとします):$password