回复一位用户关于安全性的来信

密宝的使用经验、技巧、加密原理、问题处置等,让你更深入了解这款你喜欢的程序,并和朋友一起分享。

回复一位用户关于安全性的来信

Postby Zax » 2013-06-28 18:48

有用户来信对密宝的安全性提出了担忧,觉得这样的问题很多用户都可能遇到,在这里将问题和回复都贴出来,供大家评鉴:

您好!我是密宝用户,有些问题忍不住想知道,也确实需要知道!

我有很重要的资料保存在iOS中的密宝中(例如很多密码)!我不了解黑客的破解技术也不了解加密技术!我从来不越狱!
我想知道如此存储的资料到底安全否!?安全到什么程度!?为此本人专门在网络找过黑客破解,我把我的ios设备及版本告知他们,提出要求,很多黑客都接受业务,本人看样子觉得貌似难度不大!只是钱的问题!
我想知道为何我的文件是安全的?有多安全!有前提条件没有?!如果有是什么?

讲讲我和一黑客对话
我要求他黑某部iphone并取得加密软件里的资料,其开价!并询问 目标是否用无线路由 qq等
最后他说 破解qq密码 安装木马……云云
给我感觉就是信息安全攻防(加密与破解)都在不断变化!希望你们能让我心里有个底!欢迎详细讲解!拜托!



秒酷团队的回复:

您好,

感谢您的关注和信任,现在加密的应用有很多,但每个app的买点和侧重点不同,有的强调体验,有的强调分享和同步的便捷,有的强调操作的简便,有的强调专一性,密宝和其它app最大不同就是我们最大的特点是完备的安全性设计,其次才是灵活性之类的。我们目前还没有看到一款加密软件提供比我们还丰富的安全配置。

我们在网上有专门的文章介绍了密宝的安全性设计,http://duweis.com/forums/viewtopic.php?f=17&t=123。文章详细论述密宝的安全性设计以及加密算法,表面上看是泄露了我们的安全性,其实也说明我们愿意将思路和算法让大家去考察、去验证、去检验。

任何加密技术都不可能绝对安全,只要了解了加密算法,再通过强大一点的计算机暴力破解,理论上可以破解世界上任何的加密。不过,我们相信密宝在加密方面,有下面几点设计是同类app里面独一无二的,也至少比同类app撑得更久。

1、不仅用AES,我们还用私有加密算法加密和随机格式化算法
目前最差的加密程序只是界面加个密码界面,数据存储是不加密的,这种app很多,即便是金山的同类软件,您可以试一个稍微大点的文件,是完全不加密存储的!高级一点的app有用iOS系统自带的AES加密(如一些文件管理应用),这种加密飞快,但iOS加密和系统是直接绑定的,如手机或系统被破解,或者当前没有锁定,加密也就失效或不安全。再复杂一点的app会用AES等算法自己加密并存储文件,这种加密使用流行算法,网上目前有很多针对性(如AES的)暴力破解程序,如你说的那些黑客们,只需要下载一个AES破解软件,然后配上一些密码字典,采用穷举法就能试出密码来。
与其它app不同,密宝首先使用AES256算法将数据加密到单一文件中,这保证了数据存储的基本安全,其次,您的每个密码以及字段内容,在AES256加密之前,还会使用密宝自己的另外一套私有算法先加密,然后使用我们研发的一种随机格式化算法打乱它的存储长度和内容,插入大量垃圾数据,这能使得同样的内容每次加密得到的存储结果都是不同的。破解人员不仅要破解AES256(我们使用了一个长达几十位的超长密钥来保护的),还要破解密宝自己的加密算法和格式化算法,而我们的算法是完全保密的,网上不可能有任何现成的暴力破解工具,也就是说黑客需要首先反编译整个密宝的代码,然后通过指令级分析弄清密宝的加密算法的详细逻辑,之后再自己开发出针对性的暴力破解工具,然后进行暴力尝试,这不是一般黑客有能力能完成的,也不是三两天就能弄清的。(iOS系统的反编译难度比Android等大的多的多)
形象的说,就是数据被锁在了3层门里面,第一是世面上最好的防盗门,第二层门使用了世面上没有出现过的锁具(没有地方配钥匙),第三层门的门上面有几十万个钥匙孔。

2、每个数据独立加密,使用随机超长密钥
不要以为您只是设置了一个4位数的登录密码,所有的加密就都是用4位。如果那样,暴力破解可能几分钟就能试探出来了。密宝所有数据,无论核心数据、字段内容、还是您的每个图片、视频、文件,都逐一使用完全独立的随机生成的超长密钥进行加密,这个加密密钥和您的登录密码可以做一致性校验,以保证是您的数据,但是它却比您的登录密码长的多的多,也复杂的多(保护不可见字符,复杂度是随机字符密码的10倍)。简单地说,即使黑客破解了您的某个加密后的文件,找到了解密密钥,但这个密钥对破解其它文件没有任何帮助,它还需要花同样多的时间和手段才能破解另一个文件。这样的设计使得您的数据安全级数按乘法方式叠加。
形象的说,就是每个放数据的门,使用的钥匙都不一样。

2、核心数据的数字签名
很多app以为使用一个加密算法软件就安全了,就可以宣传为AESxxx, 军用加密子类的噱头,但其实破解有时候不需要暴力破解那么复杂,很多安全软件都存在短板,这主要是因为密宝这样的客户端程序和支付宝、网银这样的程序有最大的不同:就是核心数据(解密需要的数据)和验证过程都在客户端,例如,一个程序加密技术再好,但如果它把解密密码存在一个文本里面(有的程序就是直接把解密的密钥存在那里),或者它的登录密码很容易被人替换(例如替换为一个空密码),那么破解这样的app只需要几秒种时间,根本无须去考虑它的加密技术。
密宝在寻找漏洞和短板方面做了大量的工作(安全技术的开发占据我们超过50%的时间),首先所有的核心数据(例如解密密钥)都是3重加密存储的,其次,每个3重加密后的数据中都带有一个唯一的标记(这个标记在初次安装或者每次导入数据后都会变化,并且其存储是按一种随机分配的方法隐藏在加密数据的不同位置),一旦黑客妄图通过替换、重置等方法去修改这些核心数据,都会被密宝检测到数据被修改,从而拒绝 解密。
形象的说,就是如果配钥匙的人不是指定的人,即使钥匙对了,也打不开门。

此外,密宝在界面和使用流程、多账户方面还有很多安全设计,就不多说了,总之一句话,密宝也许不是绝对安全的app,但绝对是我们已知的app中最安全的一款。

最后补充一点,如果电脑被安装了木马,又没有安全软件发现它,那么它可以监控您所有的键盘和鼠标操作,或者获得某个软件接受和发出的数据包,这时候的破解就轻松很多了。这就如同您使用密宝的时候输入密码的时候,旁边站了一个人看您输入密码一样,它不用懂技术也能破解。不过,iOS与Window或者Android最大的不同就是它是封闭系统,对应用权限限制非常大,只要您的iOS没有越狱,不使用第三方软件同步,基本上就不可能被安装木马或者恶意软件,您输入密码的时候也就不要担心被别人监听了。而密宝因为使用过程中没有任何网络传输,没有重置密码功能,网络数据的监控对密宝没有任何影响。
Zax Zeng
Duwei Technology
User avatar
Zax
★★★★★
 
Posts: 1131
Joined: 2011-07-27 0:54

Return to 密 宝 - 官方论坛

cron