Google, Dropbox, SkyDrive都不加密, Wuala是重要补充
现在这年头, 大家把什么都放在网上, FBI要定位一个人, 估计几秒钟就够了, 图片里面还在还带经纬度信息, 你去过哪直接从网盘取你的图片就够了。好像Dropbox就出过安全问题, 如果我说错了, 欢迎大家纠正。
我把一些网上下载的资料, 还有一些不涉及个人信息的资料都放在Dropbox, 另外, 银行帐单, 个人写的doc等有个人信息的都放在Wuala, 免费5G, Wuala会把文件本地加密后上传到服务器, 没有密码, 谁也打不开文件, 有密码还要知道Wuala怎么加密的才能破解。
另外Wuala支持版本控制, 所有PC和手机平台, 可以像dropbox同步, 也可以只作备份, 具体内容看帮助吧。
下面是我的链接, 点我的链接注册我会增加256M, 不过我现在7G了, 只用了1%, 而且增加的256M好像只有1年的期限, 所以我不是很Care大家点不点链接, 呐,做人呢,最要紧的就是开心。
http://www.wuala.com/referral/A55FPPPPB3NCK35H4KN6
常见问题如下:
http://www.wuala.com/zh/support/faq
我刚才试着点了一下那个链接http://www.wuala.com/referral/A55FPPPPB3NCK35H4KN6,
发现点我的链接注册可以有6G, 这种机制还不错, 双赢啊,呵呵 真要是需要保密的东西,比如个人证书啥的,怎么也得7zip加aes256压了之后再上传吧 moudy 发表于 2012-4-27 14:01 static/image/common/back.gif
真要是需要保密的东西,比如个人证书啥的,怎么也得7zip加aes256压了之后再上传吧
我想很多人在Dropbox里都会存很多私人的东西。
我的密码很多, 为了安全, 都不太一样, 用的是Keepass来管理的,
http://keepass.info/
keepass的数据文件本来就是SHA-256加密的, 放在dropbox应该是安全的,
但我觉得还是Wuala比较让人放心, 毕竟人家是把数据文件加密后分成N个小文件上传到服务器的。
安全问题的解决方案, 没有最好, 只有更好 怕丢怕看到东西我从来不会存到网上 truecrype... google, dropbox, skydrive都加密的。那个安全问题并不是出在加密上 呼唤斑竹来删广告封id pattonoriental 发表于 2012-4-27 15:28 static/image/common/back.gif
google, dropbox, skydrive都加密的。那个安全问题并不是出在加密上
google, dropbox, skydrive当然是不加密的, 我说的加密是指文件加密, 比如说我新建一个 abc.txt, 上传到google, dropbox, skydrive, 那google, dropbox, skydrive的服务器管理员是可以看到我的文件abc.txt, 内容也是可以读到的。
但Wuala就不同, 它会把abc.txt用我的密码加密后, 分成几个小文件块 abc.part1, abc.part2, abc.part3,..., 再把这些小文件块上传到服务器, 这样就算是服务器管理员也不能查看我的文件。
我加密abc.txt所用到的密码不会存在服务器, 就算有黑客把Wuala的服务器攻破了, 他也不能打开我的文件, 甚至他都不知道我的abc.txt由哪几个文件块组成。 kiro 发表于 2012-4-27 15:35 static/image/common/back.gif
呼唤斑竹来删广告封id
最讨厌这样的, 科普一点东西还被误解, 如果你拥有点权力还真不知道会发生什么事。
点我的链接你会有6G, 而不是5G, 他们通过这种方式增加点SNS功能, 可以分享文件之类的。
Wuala最多通过链接给我加3G, 我已经加了2.25G了, 并且只用了7.25G的1%, 我只存重要文件,
另外, 这种推广得来的2G空间只有一年有效, 我应该是不会用到这部分空间的, 你用得着这么激动吗。 密码从来只放在脑子里,要么在纸上,不会在网上放 zpvip 发表于 2012-4-27 14:11 static/image/common/back.gif
我想很多人在Dropbox里都会存很多私人的东西。
我的密码很多, 为了安全, 都不太一样, 用的是Keepas ...
SHA 256只是个hash方法 不是加密方法 不存在sha-256加密一说
milo_j 发表于 2012-4-27 18:51 static/image/common/back.gif
SHA 256只是个hash方法 不是加密方法 不存在sha-256加密一说
hash能够用来加密 SHA 也是最主流的加密方法,不过sha-1貌似被国人破解了 普及安全知识,任重道远 本帖最后由 milo_j 于 2012-4-28 11:10 编辑
富土通 发表于 2012-4-28 00:38 static/image/common/back.gif
hash能够用来加密 SHA 也是最主流的加密方法,不过sha-1貌似被国人破解了
hash函数是用来做离散效验的 网上所谓的sha256加密只是利用了hash函数的单向性而不是真正的加密算法。
真正主流的加密算法是三倍des也就是3des和从128bit起跳的aes。
严格定义的加密算法需要3个部分
1 密钥生成方法
2 加密方法
3 解密方法
而符合密码学要求的hash算法需要3个性质 我不知道如何合适的翻译成中文
1 单向性
2 第一碰撞免疫性
3 第二碰撞免疫性
sha256首先是个hash算法 ,具备单向性,也就是说对于ppt攻击者无法通过hash值逆算出输入值。这也就是说不存在解密方法,所以不可能是一种严格定义的加密算法。网上或者常用所说的sha256加密password之类的只不过是利用了把password加入padding或者其他的随机数之类 做一个hash计算。这样因为hash算法的单向性不会透露password的明文,接受方只需要比对最后的hash值来验证身份即可。
hash函数本身的出现也不是为了加密,最初的hash函数出现只是为了做离散效验,md5和sha1严格意义上来说就不是密码学级别。很多编程语言提供的库里却仍然把此类hash函数,而不称职的编程人员仍然利用此类hash函数做密码学有图,前年的黑客大会上已经展示了对于多种编程语言的hash函数攻击。
确定性加密函数提供了kpa级别的安全
非确定性加密函数提供了cpa级别的安全
非确定性加密函数外加mac提供了cca级别的安全 而当前的mac生成方法中hmac则占主流地位,hmac既由密码学级别的hash函数构成。
综上,单独的hash函数是不可能构成一个加密算法的,但是hash函数的确是构成一个安全加密算法的组成部分
最后一句话你说对了,sha-1和md5都是中国人最早宣布破解的,这件事如同crt定理一样,一直为我津津乐道
milo_j 发表于 2012-4-28 11:08 static/image/common/back.gif
hash函数是用来做离散效验的 网上所谓的sha256加密只是利用了hash函数的单向性而不是真正的加密算法。
...
呵呵,我知道你说的是什么了,cryptography和encryption中文都能叫加密。因特网上很多时候都不需要decryption。现在基本上什么数字签名,验证完整性什么的都统称加密。你要坚持的话,什么百度百科,wiki词条神马的那都要改了 富土通 发表于 2012-4-28 11:40 static/image/common/back.gif
呵呵,我知道你说的是什么了,cryptography和encryption中文都能叫加密。因特网上很多时候都不需要decryp ...
是搞这个的 所以对于词汇准确性很敏感 而且我个人也认为,正是对于密码学的一知半解或者错误的网上宣传,才会有那么多网站简单的用md5,sha1来hash密码,才会有那么多密码泄漏。如此种种错误太多了。我不要求每个开发人员掌握全部密码学只是,当时我希望他们能准确掌握他们需要的正确的密码学知识。如果我们自己都对安全问题不上心,得过且过,差不多就行,那么有什么资格抱怨之后出现的各种安全问题? 这个Code可以加1G, 不过只能到7月, 不知道还有没有效果
CONNECT-WITH-SUPPORT
另外我的空间足够多了, 建议注册了的朋友可以放自己的链接。
加密的事, 大家可以讨论讨论, 我不是专家, 我可能表达有误, 我想说的是Keepass的主密码是通过SHA 256变成密文存储的, 表达方式不是Info专家级别的。
加密这个词在中文其实真的和防火墙一样用得太广了, 比如说dolc用的discuz的用户密码是通过MD5+salt加密存储的, 这其实也不是milo_j说的加密。
milo_j是专家, 可以继续普及一下密码学。 zpvip 发表于 2012-4-28 12:00
这个Code可以加1G, 不过只能到7月, 不知道还有没有效果
CONNECT-WITH-SUPPORT
我觉得你的重点搞错了。admin不需要知道你文件在哪,只需要你的账号,就能通过客户端得到你整个文件系统。所以,黑客黑了wuala得到你的account,什么加密都是掰扯。
要是想根本解决问题,就要把密匙放在脑子里,并且加以训练,即使在梦中也形成防御机制,必要时刻宁可脑溢血也不能泄漏。 zpvip 发表于 2012-4-28 12:00 static/image/common/back.gif
这个Code可以加1G, 不过只能到7月, 不知道还有没有效果
CONNECT-WITH-SUPPORT
我可不是专家啊 ,还没到那个高度。我只是看到看到你的文字描述出于所学比较敏感罢了。 JulianKK 发表于 2012-4-28 15:21
我觉得你的重点搞错了。admin不需要知道你文件在哪,只需要你的账号,就能通过客户端得到你整个文件系统。 ...
Admin是不会知道我的密码的,我的密码不会离开我的电脑,离开电脑的是我的密码通过不可逆算法生成的字符串,除非黑客入侵我自己的电脑,不然黑客把wuala的服务器抗回家也破解不了我上传的文件。 没有破不开的门。 看描述来说,wuala在服务器端是不加密的,只是让客户自己加密完了上传到服务器,bad practice。客户自己用密码加密,能用多少位的密码?64位?256位?破hash其实没有想像中那么难,具体的方法可以google
pattonoriental 发表于 2012-4-29 08:26
看描述来说,wuala在服务器端是不加密的,只是让客户自己加密完了上传到服务器,bad practice。客户自己用密 ...
加密一定加salt, md5有库可查,但加salt就搞不定了,
另外,黑客要先攻入服务器才能看到hash 值
页:
[1]