Шифрование данных. Обмен данных с Flash

[Aetbaev]

Шифрование данных. Обмен данных с Flash

Кто-нибудь может подсказать алгоритм шифрования с ключом.

Проблема связана с тем, что с Flash в php передаются данные.
)) сами понимаете, что их можно легко подменить.


Заранее благодарен.

 

[Alexandre]

Кто-нибудь может подсказать алгоритм шифрования с ключом.

RSA, DES, TripleDES, AES, GOST, DH
ЗЫ. каков вопрос, таков ответ
http://phpclub.ru/talk/search.php?s=&action=showresults&searchid=1331761&sortby=after&sortorder=descending

 

[Aetbaev]

Автор оригинала: Alexandre
RSA, DES, TripleDES, AES, GOST, DH

А по проще способа нет?

 

[corda]

Re: Шифрование данных. Обмен данных с Flash

Автор оригинала: Aetbaev
Кто-нибудь может подсказать алгоритм шифрования с ключом.

Проблема связана с тем, что с Flash в php передаются данные.
)) сами понимаете, что их можно легко подменить.

Даже после шифрования эти данные можно будет легко подменить.

 

[Aetbaev]

Re: Re: Шифрование данных. Обмен данных с Flash

Автор оригинала: corda
Даже после шифрования эти данные можно будет легко подменить.

Да, подменить можно, если только зная ключ и формат в котором передаются данные.

 

[Alexandre]

Даже после шифрования эти данные можно будет легко подменить.

подменить-то можно, но будет чушь...

А по проще способа нет?

есть стандартные алгоритмы шифрования, есть для них стандартные библиотеки.
Паровоз изобретаем или велосипед?

 

[Wicked]

https ?

 

[Gas]

Даже после шифрования эти данные можно будет легко подменить.

подменить-то можно, но будет чушь...

их можно подменить не после шифрования, а до шифрования. AFAIK, получить исходник actionscript'а из swf'а не проблема, а вместе с ним все ключи и алгоритмы шифрования. То-есть посылать фейковые данные с правильными подписями не проблема.

https ?

тоже решает проблему только передачи данных, а не изменения на стороне клиента.

 

[Aetbaev]

Автор оригинала: Gas
их можно подменить не после шифрования, а до шифрования. AFAIK, получить исходник actionscript'а из swf'а не проблема, а вместе с ним все ключи и алгоритмы шифрования. То-есть посылать фейковые данные с правильными подписями не проблема.

Флешка сама по себе уже закодирована утилитами.
Дополнительно после стандартного компилирования.

 

[Gas]

И ничем нельзя получить исходный код?

Если нельзя, то Alexandre и Wicked тебе ответили.

 

[Aetbaev]

Автор оригинала: Gas
И ничем нельзя получить исходный код?

Надеюсь что нет. ))

 

[corda]

Автор оригинала: Aetbaev

Автор оригинала: Gas
И ничем нельзя получить исходный код?

Надеюсь что нет. ))

Ты ошибаешься.

 

[Alexandre]

их можно подменить не после шифрования, а до шифрования. AFAIK, получить исходник actionscript'а из swf'а не проблема, а вместе с ним все ключи и алгоритмы шифрования. То-есть посылать фейковые данные с правильными подписями не проблема.

из флешки вытащить то можно, но данные не подменишь, если использовать RSA (шифруем на сервере закрытым ключом, расшифровываем на флешке открытым).
есть библиотеки реализации RSA на яваскрипте, можно использовать аплеты или COM.
вся прелесть криптоалгоритмов в том, что сами алгоритмы - открытые, а вот код они защищать умеют.

 

[Gas]

но данные не подменишь

Почему? Хм, данные отправляются из флеша (клиента) на сервер. Не понимаю каким образом тут поможет RSA. Хранить закрытый ключ во флеше или же его получать с сервера? Допустим, c флешем можно делать что угодно, в том числе достать этот ключ и посылать свои данные подписанные закрытым ключом, полностью эмулируя работу клиента.

Я что-то упустил?

p.s. Alexandre у автора вопрос не проверить правильность данных полученных клиентом с сервера, а проверить на сервере данные клиента от подделки.

 

[Alexandre]

так-так, мы тут не выснили одну вещь - кто-кому посылает данные,
сервер - во флеш или флеш на сервер,

если сервер во флеш, то во флеше хранится публичный ключ сервера, которым открываются данные.

если флеш в сервер, то флеш в ходе сеанса, принимая данные с сервера, генерит сессионный ключ и закрывает данные уже им.

вообще надо у автора выяснить, что же он хочет? для чего нужен этот огород? может есть другие пути решения, таже java или COM, хотя есть и дизассемблеры, и декомпиляторы классов.

 

[Aetbaev]

Автор оригинала: Alexandre
так-так, мы тут не выснили одну вещь - кто-кому посылает данные,
сервер - во флеш или флеш на сервер,

если сервер во флеш, то во флеше хранится публичный ключ сервера, которым открываются данные.

если флеш в сервер, то флеш в ходе сеанса, принимая данные с сервера, генерит сессионный ключ и закрывает данные уже им.

Именно в данном случае данные передаются с флеш серверу.
На старте флешки, сервер передает ему ключ.

 

[Alexandre]

На старте флешки, сервер передает ему ключ

ключ как я понял сеансовый - генерится индивидуально на сеанс.
можно обойтись и без RSA, а например простой DES, но еще предварительно нужно использовать методы авторизации пользователя.
т.е. злоумышленник не получит ни саму флеш, ни адрес - куда постить данные, не пройдя авторизацию. Этого вполне предостаточно

 

[Aetbaev]

Автор оригинала: Alexandre
ключ как я понял сеансовый - генерится индивидуально на сеанс.
можно обойтись и без RSA, а например простой DES, но еще предварительно нужно использовать методы авторизации пользователя.
т.е. злоумышленник не получит ни саму флеш, ни адрес - куда постить данные, не пройдя авторизацию. Этого вполне предостаточно

Идентификация пользователя уже реализована.
Буду разбираться с DES.

 

[Gas]

Aetbaev, передаваемые данные связаны с деньгами? on-line казино или ещё что-то?

 

[Alexandre]

Идентификация пользователя уже реализована.

и как?