SG
Хэш подписи передаётся в зашифрованном виде
Size: a a a
2020 December 28
SG
А лучше — вообще идентификатор сессии приложения
SG
Шифровать можно ассиметричным алгоритмом с частичным обменом ключами по протоколу Диффи-Хеллмана
V
Хэш подписи передаётся в зашифрованном виде
Ага, как в Инстаграме. Хеш на нейтиве генерируется, только толку от этого было как написали выше...на 15 минут
SG
Ага, как в Инстаграме. Хеш на нейтиве генерируется, только толку от этого было как написали выше...на 15 минут
А больше и не нужно для подтверждения кода
d
Хэш подписи передаётся в зашифрованном виде
я произведу реверс, посмотрю на хеш, посмотрю как шифруется, сделаю все также через api
SG
я произведу реверс, посмотрю на хеш, посмотрю как шифруется, сделаю все также через api
Вот только одно но
V
А больше и не нужно для подтверждения кода
Я про воспроизведение генерации хеша
SG
Ключ вычисляется в рантайме
SG
По протоколу Диффи-Хеллмана клиент и сервер обмениваются только частичными ключами, благодаря которым воспроизводится общий
SG
Но из-за применения модульности чисел взлом займёт больше времени, чем будет жить зашифрованный идентификатор
SG
Там количество возможных вариантов стремится к бесконечности при большой длине числа
SG
И таким образом ключ для дешифровки/шифрования в приложении не хранится
SG
Этот алгоритм — одно из составляющих звеньев MTProto для телеги
SG
Формул в инете навалом, дерзай:)
SG
А если ещё и подсолить — то вообще красота будет
SG
И можешь хоть выкладывать в открытый доступ свой алгоритм — время на переборку вариантов превысит время жизни токена
SG
Ну если только у чела не квантовый комп. Но челу с квантовым ПК, мне кажется, насрать на взлом вашего сервиса:)
V
И таким образом ключ для дешифровки/шифрования в приложении не хранится
вообще никакого? вроде как у каждого должен свой ключ храниться
SG
вообще никакого? вроде как у каждого должен свой ключ храниться
Свой ключ, конечно, будет сохранен. Но его можно генерить хот в рантайме — ибо цель просто вывести общий ключ шифрования