Autor Tema: JCBenCrypt => El Sistema de encriptación mucho mas seguro que md5 y otros muchos (Leído 5411 veces)

Tope · « **en:** 12 de Abril de 2008, 23:36:35 pm »

Aqui teneis la v2 del sistema de encriptacion

- La longitud del texto encriptado es de 56 caracteres de logintud alfa-numéricos (numeros y letras con distinción entre mayusculas y minusculas).
- No existe una capacidad máxima de texto a encriptar, pero por seguridad no se permite la introducción de 120 (5!) caracteres.
- Si no quieres, no tienes porque subirlo/ejecutarlo en tu servidor, tambien puedes conectar contra el script mediante file_get_contents, fsockopen, o para abrir el xml con simplexml

http://jcb.ukysoft.es/

Podeis subirlo a vuestro servidor y asi os ahorrais un poco de ancho de banda (yo tambien, pero yo tengo ilimitada porque es un dedicado)

Tambien puedo crearos mirror's, tengo en total 8 mirrors (el principal + 7)
estan en diferentes servidores (2 de ellos son dedicados alojados en francia y otro en madrid), otros 3 alojados en madrid, otro en valencia y 2 en USA

CarlosRdrz · « **Respuesta #1 en:** 12 de Abril de 2008, 23:51:55 pm »

Como metodo de encriptacion, he de decir que, si esta es la clave:
sD1D:d100498adcd9b0e7089efee0ba0ba1b9d3b3350d:9U93

Solo nos sirve la parte de:
d100498adcd9b0e7089efee0ba0ba1b9d3b3350d

Ya que el resto de la cadena cambia absolutamente.

http://www.ukysoft.es/encriptacion.php?txt=Hola
Solo prueba a darle actualizar varias veces.

Otro minipunto negativo, es el utilizar file_get_contents, ya que si esa web cae, ¿Que pasara con el resto de paginas que usen este sistema? Definitavamente tenemos el sistema caido.
Estaria bien que proporcionaras el sistema para poder usar en cada web si tener que depender de otra.

Conclusion: Supongo que te habra servido muchisimo para aumentar tus conocimientos sobre el tema, y si dieras el codigo fuente aumentarias los conocimientos de los demas, pero como sistema de encriptacion me quedo con otros, simplemente porque no tienen la falla de los 4 primeros y 4 ultimos, y porque es mucho mas dificil de implementar que cualquier otro sistema como md5, y ademas, al pasar los datos por tu archivo "encriptacion.php" no se tiene ni idea de que haces con los datos que se te envian via $_GET, por lo tanto, lo de "mas seguro" es muy relativo.

Saludos

Sebas · « **Respuesta #2 en:** 13 de Abril de 2008, 00:47:10 am »

Por lo menos te han dado duro en esa web y no voy a venir ha repetir nada de lo que ya te han dicho por allá.

Como esfuerzo está bien y algo de humildad tampoco viene mal, por lo menos evita que te llamen crío

PD:

Dices que contiene 9 cifras ¿9 cifras más X letras? ¿no contiene letras? ¿quisiste decir 9 carácteres alfanuméricos?

Tope · « **Respuesta #3 en:** 13 de Abril de 2008, 12:34:25 pm »

TLX, no almacenamos dato de ningun tipo... (no hacemos como los codificadores de md5, que codifican y guardan la palabra y el hash para luego tener una gran base de datos...)

TuPaginaWeb -> llama al servidor jcbcrypt y le envia el parámetro texto -> encriptar.php?texto=$_POST['passw']
JCBCrypt -> recibe $_GET['texto'], lo encripta y lo devuelve ya encriptado
Ej, en un registro de usuarios, antes de guardar la contraseña en la base de datos..

$user = $_POST['user'];
// $pass = md5($_POST['passw']);
$pass = file_get_contents("servidor.es/encriptar.php?texto=".$_POST['passw']);
mysql_query("INSERT INTO..");

lo comprendeis?

CarlosRdrz · « **Respuesta #4 en:** 13 de Abril de 2008, 14:24:01 pm »

Se perfectamente como funciona el asunto Tope.

1.- Si guardas $pass, obteniendo de file_get_contents, obtienes una cadena como por ejemplo:
sD1D:d100498adcd9b0e7089efee0ba0ba1b9d3b3350d:9U93
Luego, si para loguear un usuario (por ejemplo) comparamos la cadena encriptada guardada en la DB con la encriptacion de la cadena que el usuario introdujo en el campo de texto, el if SIEMPRE DEVOLVERA FALSE, ya que
sD1D y 9U93 cambian continuamente.

2.- De las palabras muy poca gente se fia, tu dices que no almacenas datos y solo encriptas y yo de ti me fio, pero como ya te han dicho en meneame:
"Estamos hablando de seguridad informática, la primera regla es desconfiar."

Ademas, ya te he dicho que aun tiene el incoveniente de que si el servidor JCBCrypt como tu le llamas esta caído, todo tu sistema esta caido, y esto se arreglaria simplemente dando el codigo fuente de tu sistema.

Saludos

Tope · « **Respuesta #5 en:** 13 de Abril de 2008, 14:49:10 pm »

TLX, el sistema ya lo he mejorado, en breve lo publicare de nuevo (la url nueva solo la se yo) piensa que aunque guardase los datos no serviria de nada xk si no tengo aceso a la db donde estan los usuarios por asi decirlo.

ahora son 76 caracteres y lo hace de forma inteligente, porque si haceis
if($_POST['passw'] == file_get_contents()...
como tu dices devolvera false, por eso ahora se ejecuta mas codigo en jcb.. y ofrezco las funciones para que sea todo mas facil... en un rato lo colgare para que lo veais

CarlosRdrz · « **Respuesta #6 en:** 13 de Abril de 2008, 16:36:42 pm »

La nueva version es exactamente lo mismo pero con mas caracteres.
No se si tu empeño es que contra mas caracteres mejor, pero ami me parece totalmente al contrario, contra MENOS caracteres MEJOR, ahorras mas espacio en disco.

El resto es lo mismo, no das codigo fuente, el desarrollador tiene que depender de tus servidores.

Sin embargo, lo mejor de todo es que si por ejemplo introduzco la palabra "Hola"
La primera encriptacion que me proporciona es:
E4f010b3c1c9fe63bef597598909069a7ce9709c86ff6c4ca4238a0b923820dcc509a6f75849b
La segunda:
0P3e28ca15be2f5a7cd2d9b03500c9d5be12e06a66cd6c81e728d9d4c2f636f067f89cc14862c
La tercera:
1k0u34736c5a3c1bcb281a3b4be5e999dcbb53bcd61baeccbc87e4b5ce2fe28308fd9f2a7baf3

Lo que por tanto, me da a pensar que los primeros caracteres de la cadena los utilizas para señalar un algoritmo de entre varios que tienes elegidos para encriptar la cadena "Hola", y por tanto, la cadena que ofreces encriptada no es un hash, sino simplemente una encriptacion base, que puede ser desencriptada si se sabe como, cosa que con otros sistemas, pues no pasa.

"El sistema de encriptacion mas seguro que jamas hayas visto" me parece totalmente excesivo.

Saludos

Tope · « **Respuesta #7 en:** 13 de Abril de 2008, 17:00:43 pm »

El codigo ha sido estudiado por decenas de hackers hace mas de 6 meses y aun estoy esperando a que me digan lo que ponia, y eso que les deje el codigo y todo Pd. se os acabo el reto, la palabra era `enhorabuena´
---
Yo uso la codificación base creada por mi, y luego le añado el identificador + la codificación correspondiente que no tiene nada que ver ninguna con la otra.
---
Hay explico que quien lo quiera, que me lo pida por msn y le doy los 7 servidores que tengo como mirrors o SE LO ENVIO
---
Pd. md5 es decodificable por fuera bruta, mi script no

---
Lo del sistema mas seguro, esque tu NO has visto otro más seguro que este al alcanze de todos
Ejemplo: bill gates, el estado etc.. tendra sus SUPER-SUPER-SUPER sistemas, pero no los podemos usar nosotros

---
¿Y los que usan open id, que sus passwords solo estan en md5, que lo hackeo cuando quiero?

Esque creo que vais todos contra mi, pareceis "mentes cerradas" (con perdon), pero siempre repitiendo lo mismo , cuando no es lo mismo y no se porque doy explicaciones de todos modos ya se lo he vendido a ukysoft y mañana iran al registro de patentes y marcas

asi que bueno, me la suda, pero no quiere decir que pase de esto xD

REGALO MI SERVIDOR DEDICADO A QUIEN/QUIENES HAVERIGUEN ALGO MAS SOBRE EL SCRIPT, es decir, que estudieis como funciona y que puedo estar usando, como y si encontrais el 100%, enhorabuena + DEDICADO

Sebas · « **Respuesta #8 en:** 13 de Abril de 2008, 17:01:30 pm »

Cita de: TLX en 13 de Abril de 2008, 16:36:42 pm

La nueva version es exactamente lo mismo pero con mas caracteres.
No se si tu empeño es que contra mas caracteres mejor, pero ami me parece totalmente al contrario, contra MENOS caracteres MEJOR, ahorras mas espacio en disco.

El tamaño del hash si es importante para varias cosas, todas ligadas con la seguridad; lo que no quiere decir que "más grande más seguridad" porque claro que no todo depende del tamaño.

Cita de: TLX en 13 de Abril de 2008, 16:36:42 pm

Sin embargo, lo mejor de todo es que si por ejemplo introduzco la palabra "Hola"
La primera encriptacion que me proporciona es:
E4f010b3c1c9fe63bef597598909069a7ce9709c86ff6c4ca4238a0b923820dcc509a6f75849b
La segunda:
0P3e28ca15be2f5a7cd2d9b03500c9d5be12e06a66cd6c81e728d9d4c2f636f067f89cc14862c
La tercera:
1k0u34736c5a3c1bcb281a3b4be5e999dcbb53bcd61baeccbc87e4b5ce2fe28308fd9f2a7baf3

Es cierto y a todas es algo descabellado, pero en su página se lee que es algo intencional y "para más seguridad". Aunque parece un claro error, prefiero dejar que diga su comentario antes de decir algo.

Cita de: TLX en 13 de Abril de 2008, 16:36:42 pm

Lo que por tanto, me da a pensar que los primeros caracteres de la cadena los utilizas para señalar un algoritmo de entre varios que tienes elegidos para encriptar la cadena "Hola", y por tanto, la cadena que ofreces encriptada no es un hash, sino simplemente una encriptacion base, que puede ser desencriptada si se sabe como, cosa que con otros sistemas, pues no pasa.

Eso no lo entendí ¿los primeros caracteres de quien? ¿de hola? si fuera así siempre se elegiría el mismo algortimo.

Cita de: Tope en 13 de Abril de 2008, 17:00:43 pm

El codigo ha sido estudiado por decenas de hackers hace mas de 6 meses y aun estoy esperando a que me digan lo que ponia, y eso que les deje el codigo y todo Pd. se os acabo el reto, la palabra era `enhorabuena´

Primero ¿que hackers?, en este mundo hay mucho que se dice hackers, encriptador xD, programador, experto y cosas por el estilo y no lo es.

Además hay muchos tipos de hackers, yo conozco a muchos crakers que hacen keygen y parches y eso no quiere decir que si les diera un algoritmo de encriptación lo van a descifrar, sin mencionar que eso es trabajo más para matemáticos que para hackers.

PD: ¿se acabo el reto? y te dejé unas preguntas que nunca respondiste, estaba dispuesto a encontrar la palabra. Veo que hice bien en preguntar, porque habías dicho 9 cifras y eran 11 letras.

Cita de: Tope en 13 de Abril de 2008, 17:00:43 pm

Hay explico que quien lo quiera, que me lo pida por msn y le doy los 7 servidores que tengo como mirrors o SE LO ENVIO

Cuenta conmigo, pásamelo por PM.

Cita de: Tope en 13 de Abril de 2008, 17:00:43 pm

Pd. md5 es decodificable por fuera bruta, mi script no

Es muy temprano para decir que no, más cuando el algoritmo casi no ha salido a la calle. Y MD5 que yo sepa no es "decodificable".

Cita de: Tope en 13 de Abril de 2008, 17:00:43 pm

¿Y los que usan open id, que sus passwords solo estan en md5, que lo hackeo cuando quiero?

a8dbe8373f232b45dd85f5b7b7657a80

Cita de: Tope en 13 de Abril de 2008, 17:00:43 pm

Esque creo que vais todos contra mi, pareceis "mentes cerradas" (con perdon), pero siempre repitiendo lo mismo , cuando no es lo mismo y no se porque doy explicaciones de todos modos ya se lo he vendido a ukysoft y mañana iran al registro de patentes y marcas

asi que bueno, me la suda, pero no quiere decir que pase de esto xD

Si te resultó pesado perdón, si acaso contribuí en eso.

Tope · « **Respuesta #9 en:** 13 de Abril de 2008, 17:19:27 pm »

Eso de las 9 letras sigo sin entenderlo, al final he dejado puesta la misma que publique en ocutubre en todos los foros de hackers en la seccion criptologia y codificaciones xD 56 caracteres (creo ke los he contado bien jajaja)

He dicho msn porque me tienes que pasar tu tambien algo... en la pagina esta mi msn

Tope · « **Respuesta #10 en:** 13 de Abril de 2008, 17:26:05 pm »

con este mensaje voy parecer que "no puedo hackear los md5's cuando quiero"

necesito algun "hash" si bien dice TLX, los hashes no son decodificables... y en este caso con md5 si lo son...
no me puedo poner a decodificar una cadena asi como asi porque "no me compensa" si esque fuera alguna pass tuya de algun sitio importante o algo pues si, pero hackear por hackear no...

CarlosRdrz · « **Respuesta #11 en:** 13 de Abril de 2008, 17:28:07 pm »

Citar

Pd. md5 es decodificable por fuera bruta, mi script no Wink

MD5 no se puede DESENCRIPTAR.
Se puede obtener por fuerza bruta como tu dices.
Sin embargo, yo tambien puedo obtener la palabra desencriptada si obtengo la encriptada, de dos formas.

1.- Cojo una clave encriptada, por ejemplo:
E4f010b3c1c9fe63bef597598909069a7ce9709c86ff6c4ca4238a0b923820dcc509a6f75849b
Luego elijo una palabra, y la encripto muchos veces, hasta que me de 25 casos distintos de encriptado.
Si ninguno de los casos encriptados es igual a la clave encriptada que yo tenia, probamos con otra palabra.

2.- Creo una base de datos, y voy introduciendo palabras en tu script.
Por ejemplo, escribo "Hola", y voy actualizando hasta que me de 25 encriptaciones diferentes (Sustituyase 25 por el numero de algoritmos que usas para encriptar), y ya tengo todas las posibles encriptacions de la palabra "Hola" en mi base de datos. Luego simplemente escribo SELECT * FROM encriptaciones WHERE palabra = 'Hola' y tendria las 25 encriptaciones, suponiendo que estemos en una BD mysql.

Con la fuerza bruta tambien se puede echar abajo tu sistema, pero no significa que se desencripte.

No somos mentes cerradas, somos mentes REALISTAS.

Citar

Eso no lo entendí ¿los primeros caracteres de quien? ¿de hola? si fuera así siempre se elegiría el mismo algortimo.

Los primeros caracteres de la cadena encriptada.
E4f010b3c1c9fe63bef597598909069a7ce9709c86ff6c4ca4238a0b923820dcc509a6f75849b

En realidad no se si son los primeros, pero me parece que si.
Imagina que su script tiene 25 sistemas de encriptacion totalmente distintos.
Los primeros caracteres de esa cadena son los que señala cual de los 25 sistemas (25 por poner un numero, aunque creo que no son mas de 10) se a utilizado para encriptar esa cadena, y asi poder desencriptarla, o encriptar una nueva cadena con el mismo sistema, no se si me explico.

Saludos

Tope · « **Respuesta #12 en:** 13 de Abril de 2008, 17:53:42 pm »

te he entendido perfectamente TLX,
pero bueno respecto a lo de file_get_contents() si quereis el archivo de funciones (encriptar y verificar) solo agregarme a mi msn (esta colgado en la web) y os lo pasare encantado. Más a parte unas lecciones de codigo para que aprendais a usarlo, (es super sencillo, pero yo dire todo lo que necesiteis

)

Sebas · « **Respuesta #13 en:** 13 de Abril de 2008, 18:04:56 pm »

Cita de: Tope en 13 de Abril de 2008, 17:19:27 pm

Eso de las 9 letras sigo sin entenderlo

En tu reto decias que dabas la pista que la palabra a encontrar tenia 9 cifras (no 11 letras)

Cita de: Tope en 13 de Abril de 2008, 17:19:27 pm

He dicho msn porque me tienes que pasar tu tambien algo... en la pagina esta mi msn

¿Pasarte que?

Primero pregunto para saber si lo tengo xD, y segundo que no entendí a que te refieres.

Cita de: Tope en 13 de Abril de 2008, 17:26:05 pm

no me puedo poner a decodificar una cadena asi como asi porque "no me compensa" si esque fuera alguna pass tuya de algun sitio importante o algo pues si, pero hackear por hackear no...

¿un sitio importante? ¿te parece la clave de esta cuenta del foro? :

Además es la clave que uso en todo.

Cita de: TLX en 13 de Abril de 2008, 17:28:07 pm

Los primeros caracteres de la cadena encriptada.
E4f010b3c1c9fe63bef597598909069a7ce9709c86ff6c4ca4238a0b923820dcc509a6f75849b

En realidad no se si son los primeros, pero me parece que si.
Imagina que su script tiene 25 sistemas de encriptacion totalmente distintos.
Los primeros caracteres de esa cadena son los que señala cual de los 25 sistemas (25 por poner un numero, aunque creo que no son mas de 10) se a utilizado para encriptar esa cadena, y asi poder desencriptarla, o encriptar una nueva cadena con el mismo sistema, no se si me explico.

Saludos

Ya entiendo, no lo había visto de esa forma.

Aunque yo suponía que:

1.- o bien pasaba por todos los algoritmos a ver si alguno coincidia.

2.- no pensaba en ningún "desencritpado", ya que el sistema solo da el "hash" no tiene porque "desencriptarlo".

Tope · « **Respuesta #14 en:** 13 de Abril de 2008, 18:17:36 pm »

claro, el script es un lio impresionante que lo codifica MUY bien, mejor que md5 te puedo asegurar (y nada de que con el tiempo... etc.. siempre sera mejor que md5) por eso he echo este que codifica asi de bien, porque no me interesa desencriptarlo...

Noticias:

Autor Tema: JCBenCrypt => El Sistema de encriptación mucho mas seguro que md5 y otros muchos (Leído 5411 veces)

Tope

JCBenCrypt => El Sistema de encriptación mucho mas seguro que md5 y otros muchos

Comunidad PHPeros

JCBenCrypt => El Sistema de encriptación mucho mas seguro que md5 y otros muchos

CarlosRdrz

Re: JCBCryp - El sistema de encriptación más seguro que jamas hayas visto

Sebas

Re: JCBCryp - El sistema de encriptación más seguro que jamas hayas visto

Tope

Re: JCBCryp - El sistema de encriptación más seguro que jamas hayas visto

CarlosRdrz

Re: JCBCryp - El sistema de encriptación más seguro que jamas hayas visto

Tope

Re: JCBCryp - El sistema de encriptación más seguro que jamas hayas visto

CarlosRdrz

Re: JCBenCrypt => El Sistema de encriptación mas seguro de todos

Tope

Re: JCBenCrypt => El Sistema de encriptación mas seguro de todos

Sebas

Re: JCBenCrypt => El Sistema de encriptación mas seguro de todos

Tope

Re: JCBenCrypt => El Sistema de encriptación mas seguro de todos

Tope

Re: JCBenCrypt => El Sistema de encriptación mas seguro de todos

CarlosRdrz

Re: JCBenCrypt => El Sistema de encriptación mas seguro de todos

Tope

Re: JCBenCrypt => El Sistema de encriptación mas seguro de todos

Sebas

Re: JCBenCrypt => El Sistema de encriptación mas seguro de todos

Tope

Re: JCBenCrypt => El Sistema de encriptación mas seguro de todos