怎样判断在线工具的安全性?
向各位技术大牛提问,在线工具固然方便,但是作为初次解除的技术白痴,要如何判断某在线工具的安全性呢?拿树洞里BE4提过的PGP加密实现公开私聊举例,此君推荐过的在线工具是:
谷歌可得很多类似的在线工具,例如:
要如何取舍呢?
再扩展一下,如何向不熟悉技术的人推销有认知门槛和技术门槛的内容呢?
页面加载完成后用的时候让想办法浏览器断网(比如改成无效的代理之类), 必须联网才能正常使用说明有数据要上传到服务器.
这种情况最好是学学python自己写个程序, python是一门很容易学习和使用的编程语言.
主要看推销目标是否愿意折腾, 如果目标不愿折腾你基本上怎么努力都没用.
参考Tor Browser那凄惨的使用率就知道了.
所有的在线工具都是过家家的,要真正做到强加密需要离线工具,RSA加密解密算法本身很简单,就是求幂或对数,懂原理的自己写都可以,github上也有很多开源项目,技术大牛可以找一些来分享 比如 https://ssh-vault.com/ 。非对称加密靠谱的用法肯定是私钥必须只能放在本地的,然后用离线的程序对消息进行加密解密。
但是“在线RSA工具”同“阅后即焚”组合起来确实就很牛逼了,因为只要是靠谱的“阅后即焚”,那黑客只能在你读取消息的时候监听并破解https这一条路获取你的消息了。所以你用这种方法的时候,还要在消息发送上做点文章,不要一开始就发送重要消息。比如你总共发送N条消息,其中大部分都是无关紧要的内容,只有两三条是重要的内容,那么只要黑客中间点开你的阅后即焚一次,你就知道不安全了。更高级的用法还可以把阅后即焚的内容加密,分成5次发送,中间只要丢一个就无法还原。
所以这个组合方法不能够用来对付掌握整个网络的国家级对手,如果你的互联网本身被中间人攻击了,你收发的所有消息都被中间人看到那就没意义。最关键还是找到靠谱的阅后即焚网站。另外加密阅后即焚url的时候在前面随便打几个没意义的字母或汉字,加大暴力破解RSA的难度。因为如果我知道你的加密消息一定是 以https://zerobin.net/开头的,那暴力破解起来就容易多了,但你随便在前面加点文字那就很难了。
那些核平核平,要灭这灭那,宣扬暴力,武器,炸药,暗杀…,暴力恐怖分子们是要注意安全性,最好躲在山洞里,如鼠。
全球都抓。
@pzwgfalr #1
主要看推销目标是否愿意折腾, 如果目标不愿折腾你基本上怎么努力都没用.
生也有涯而知也无涯,直接让人“学学python”,实在是懒人的答案,相当于没说嘛……如果要愿意折腾作为准入资格,可就太不适合用于政治了。
@鹅鹅鹅 #2
感谢添加说明,我举BE4这个例子,其实是把它当作反面案例的。前几日在隔壁水区又看见二位冤家打架,有一些物是人非的感慨,又想起此君推广技术失败的事情。一方面,场景不合适,在那样的context下,我不可能接受私聊的请求。一方面,也就是本楼主楼提到的,技术白痴无法判断一个陌生工具的安全性。另一方面,即使场景合适、双方互信,技术门槛本身也是一个确实存在的问题。在连登和品葱看到港人集思广益时,总会有人不断提出,要降低技术门槛。如果想要达到一定的普及度,降低门槛是非常重要的原则。
@鹅鹅鹅 #2 为什么知道固定开头暴力破解就会很容易?求科普相关资料
@zlqkniwlgqktbbi #7 并不会,因为只要有你的Public Key,我就可以产生任意多个消息m和密文M,所以就算知道整个消息都不会对破解有任何帮助
https://crypto.stackexchange.com/questions/43810/reverse-engineering-secret-key-in-rsa-encryption-with-the-help-of-signature
阅后即焚并不一定用 zerobin, 替代品不少
https://bin.privacytools.io/
https://privnote.com
https://safenote.co/
https://temp.pm/