Mensajes

[The password and the MAC key are not actually present anywhere in the PFX.]

Hola,

los hashes se utilizan meramente para la integridad, normalmente en funciones MAC. Por ejemplo cuando quieres almacenar una clave privada RSA, no lo vas a hacer en plano, sino que la cifrarás con un algoritmo simétrico. Ahora, cada vez que descifres dicha clave RSA, tienes que comprobar que el MAC del descifrado sea equivalente al MAC inicial. Esto se hace utilizando la misma passhprase para derivar una clave simétrica para la MAC. Así tendrías que generar 2 salts, el nº de its puede ser el mismo.

Si un atacante roba dicha clave RSA privada cifrada por AES-256-CBC (por ejemplo) y quiere obtener la RSA privada original, ha de probar combinaciones de claves simétricas y verificar que la MAC original equivale a la MAC computada con la clave actual. No se incluye un hash sino un MAC o una firma digital. Un claro ejemplo es el estándar PKCS12:

As described in Appendix B, the MAC key is
       derived from the password, the macSalt, and the iterationCount;
       as described in Section 5, the MAC is computed from the authSafe
       value and the MAC key via HMAC [11] [20].  The password and the
       MAC key are not actually present anywhere in the PFX.  The salt
       and (to a certain extent) the iteration count thwarts dictionary
       attacks against the integrity password.

Ahora en los .zip, pasa lo mismo, las funciones hash se utilizan para KDF y MAC. Citando de Winzip:

The current consensus in the cryptographic community is that associating a message authentication code (or MAC) with encrypted data has strong security value because it makes a number of attacks more difficult to engineer. For AES CTR mode encryption in particular, a MAC is especially important because a number of trivial attacks are possible in its absence. The MAC used with WinZip's AES encryption is based on HMAC-SHA1-80, a mature and widely respected authentication algorithm.

Y un poco más arriba de ese texto dicen que la KDF también se basa en HMAC (sección C. Key generation).

Un ejemplo más para terminar, el handshake WPA-PSK, es un MAC también, no lo tomes como un hash sobre la contraseña así a pelo,

Saludos.

Hola,

he de comunicarte de que el hash que tu mencionas no se utiliza para almacenar una huella de la contraseña, sino que se utiliza para la derivación de la contraseña simétrica para su uso posterior en AES-256. Me explico: una contraseña de usuario (passphrase) no basta para cifrar, ha de aplicarse una KDF y para eso necesitamos concatenar passphrase + salt y hashear el resultado para pasarlo a otra ronda, asi n veces (iteraciones). Así se consigue una contraseña pseudo aleatoria y cada vez que cifras/descifras te pregunta el passphrase para generar dicha contraseña de nuevo.

¿Ahora, que pasaría si yo cambio varios bytes en tu archivo cifrado? ¿Detectará la falla de integridad o simplemente descifrará contaminando tu texto plano original? Bueno ellos dicen que usan SHA-256 para la integridad pero no se si guardan esa info en otro fichero que tu mantienes seguro en un USB por ejemplo, asi sí detectarías la falla.

Resumiendo, WinRar utiliza otra KDF basada en la descripción que he mencionado, no se guarda nada de la contraseña, sólo los parametros que identifican al algoritmo de cifrado simétrico, salt, función hash para la KDF y número de iteracciones. La passhprase la introduces tu. Sólo es posible mediante crackeo.

Aunque todavía se siguen viendo aplicaciones supuestamente crypto-friendly que utilizan mal la criptografía, conviertiendo a sus usuarios en perfiles vulnerables.

No olvidemos que LateX es nuestro amigo y se considera (casi) un estándar a la hora de redactar documentos académicos o educativos. El mismo compilador renderiza en base a ciertas macros de preprocesado y etiquetas que definen por ejemplo: estilos tipográficos, así como tablas o rúbricas, gráficos, lenguaje matemático de todo tipo etc.

Hoy día su integración en web es posible mediante la instalación de plugins y/o herramientas o bien mediante la interacción con otros servicios online que renderizan lo que deseas y lo devuelven como una imagen. Un claro ejemplo son los sitios de StackExchange (si, StackOverflow solo es el 1% de las sites el cual visita el 99% ) y aquí te dejo un poco de info sobre varias formas de integrarlo vía web. Personalmente yo no lo aprendí en ninguna institución, ya que solamente piden Word por norma. Le cogí el gusto en MathSE y desde ahí somos inseparables. Para escritorio yo uso TexStudio en GNU/Linux, va como la seda.

Saludos!

Pues parece que me has entendido porque lo que quería transmitirte es que estabas suprimiendo tus credenciales con las credenciales de red en caché. Ahora tus credenciales si están siendo enviadas. No está de más que evalues línea a línea el porque del código ajeno.

Saludos.

Veo que estás utilizando las DefaultCredentials después de instanciar NetworkCredentials con tus credenciales. Quita toda referencia a las DefaultCredentials y deja el UseDefaultCredentials en false. Por algún motivo (creo) que estás enviando la auth equivocada.

Claro, un char se puede convertir explicitamente a tipo int. Solo habría problema si el char es signed y la matriz de tipo unsigned. Si quieres introducir una X tendrías que introducir su valor ASCII y luego imprimirlo en pantalla como char.
Un ejemplo en C:

Código (c) [Seleccionar] Expandir


int v[5] = {0};
char c = 0x57; //W en ASCII
v[0] = (int) c;
printf("%c",v[0]);

Bueno, ya llega el gracioso a decirte que matemáticamente basta con computar el módulo 9 dado que estás con raíces digitales.

Con 12 años si sabes codear aunque sea en plan spaghetti sabes también hacer backups, una lección dura 

[MSI B450 Mortar Titanium]

Hola, hace ya tiempo que no escribo un post, pero como siempre digo, os leo en las sombras y todos los días.

Resulta que en 2014 opté por un procesador AMD FX-9370 cuyo TDP es de 220W y compré una Asrock chipset 970 que sólo soportaba 140W ademas con un diseño de VRM malo. Vamos que me colaron la placa base y luego rectificaron. Si mi equipo sigue aguantando a día de hoy, según expertos en el foro de Asrock, es porque el flujo del aire es bueno y en la VRM tengo otro ventilador. Lo malo que la cpu esta underclockeada.

Este año 2018, no tiene sentido renovar la mobo para que mi FX 9370 funcione al 100% o más, ya que mobos con el chipset 990FX no se fabrican y son las únicas que soportan las cpus de 220W (serie 9000). Existen mobos reacondicionadas o reparadas entre 100-150euros. Así que no tiene sentido comprar algo que salió en 2012 por 150€ para que la cpu vaya a su máximo, teniendo ryzen y el chipset b450 en el mercado a muy buen precio.

Se perfectamente que un ryzen 2600 incluso un 1600 le da vueltas a mi cpu AMD FX-9370 8core/8thread. He estado mirando el ryzen 1700X y el 1800X, siendo el 1800 un refrito del anterior pero con mas frecuencia. Ambos tienen 8core/16thread, mejor que un ryzen 2600 en multithreading ya que yo no soy gamer, necesito el PC para cómputo bruto y cosas nazis varias  

He visto la MSI B450 Mortar Titanium por buen precio y el Ryzen 1800X también. La placa base pone que es diseño militar, con eso quiere decir que el VRM esta bien protegido. PERO es micro-ATX.

No sé si eso tiene implicaciones a la hora de overclockear y no se siquiera si mi disipador va a entrar. Quisiera hacerle OC al 1800X en esa placa y saber si podrá.

Os pido opiniones sobre si mATX, ATX, OC en ryzen, memorias, chipset y si fuera posible responder mis cuestiones en negrita.

EDIT:

He leído que sale mejor el ryzen 1700 y overclockearlo ya que su rendimiento es casi el mismo al del 1800x al overclockearlo (aunque a 4.0Ghz no creo que llegue) y su precio bastante más económico.

EDIT2: Ya he comprado el PC al final opté por otra mobo. Quizá algun día suba una review a git y la enlace aquí, la verdad que tengo mucha info que aportar sobre el funcionamiento de las tecnologías internas del ryzen.

La piratería representa un gran problema en internet te dirán, y en parte el lobby tiene razón, es falta de educación y respeto por el trabajo ajeno, pero resulta que los que más se quejan son los jefazos de los autores. Los autores deberían decidir sobre si su contenido puede ser abierto o no. Lo que no me gusta es que te eduquen mediante el brazo de la ley y la autoridad.

En un vídeo (https://www.youtube.com/watch?v=9Rvr5q2VGww) escuché que España es uno de los paises europeos con el índice más bajo de delincuencia pero con índices de tiempo por condena muy altos, creo que se castiga demasiado por cierto tipo de delitos, que aunque parezcan menores en la justicia actual no lo son para nada. Como no, siempre pondremos de ejemplo a los políticos y su impunidad, pero hay de todo, empresas que roban información privada haciendo estudios secretos que se desvelan a la larga, y se les condena con multas irrisorias.


Saludos!