(...) edit: achei uma documentação sobre a implementação do Passport: https://core.telegram.org/passportembora não diga como é feita a encriptação, mostra como é feita a desencriptação.. imagino que o processo seja o inverso da encriptação.. Cara, a menos que eles tenham mudado depois desses caras falarem mal, as criticas deles não fazem sentido. o hash512 é usado em conjunto com um sistema de chaves privadas (RSA) para gerar uma senha a ser usada por AES. O sha512 é usado exatamente como deve, sem risco de segurança nenhum. |
|
|
|
(...) Sim, era isso mesmo, girino. Obrigado. Tinha demasiados TRs e TDs no inicio, não era?  Na verdade o maior problema era o tamanho das fontes. Em especial o tamanho da "|". Os trs e tds acabaram sendo necessários pra poder manter a proporção. |
|
|
|
Recebi umas duvidas em inbox, vou trazer aqui pra responder. Apontaram que o SHA512 usado nas senhas do Telegram Passport é vulnerável a ataques de força bruta..
Qual a diferença entre usar o SHA512 para encriptar senhas e nas private keys de alguma moeda? É por que as private keys usam outras técnicas em conjunto? como ECDSA, etc?
Por que ele é não é(ou é) tão seguro para encriptar senhas? Por conta de senhas fracas?
Quanto tempo levaria para encontrar tal hash sem conhecer nenhuma parte da senha com uma GPU normal? Esse tempo depende do comprimento da senha? SHA512: SHA512 (SHA2 com 512 bits) é um algoritmo de hash. Ele é não reversível. Você cria um "hash", um "resumo", da informação (senha, arquivo, etc) e é impossível (literalmente) recuperar a informação criptografada porque parte da informação é perdida no processo. Mas o SHA512 não é projetado para usar como hash de senhas. Ele é projetado para processar grandes quantidades de dados e gerar um identificador único, como por exemplo, os hashes das transações de bitcoin, ou os identificadores de blocos. Força bruta: Para o uso com senha, ele fica suscetível a ataques de força bruta porque senhas são pequenas. A tabela abaixo mostra o tempo necessário para uma força bruta com varios tipos de senha: Tipo de senha | Tempo
--------------------------+------------------
6 dígitos ASCII | 40 minutos
8 dígitos ASCII | 18 meses
8 dígitos alfanuméricos | 2 dias
A maioria das senhas encaixaria na terceira categoria. Enfim, sha512 não é apropriado pra isso. Mas como eu disse, tem de ver como ele é usado. Se for usado apenas tirando um hash da senha, é realmente inseguro. Se for usado em combinação com sistemas de resistencia a força bruta (como scrypt, bcrypt ou hashcash) ele é tão bom quanto qualquer outro. Criptografia de chave privada: Criptografia de chave privada é outra coisa completamente diferente. É uma criptografia reversível e assimétrica. isso quer dizer que não há perda de informação e é possível recuperar a mensagem original completa. O processo usa duas chaves, uma delas para cifrar e a outra para decifrar a informação. A produção da chave publica a partir da privada é trivial, mas a recuperação da chave privada através da publica é virtualmente impossivel. O mesmo dá pra dizer da mensagem cifrada: é impossível recuperar a chave privada a partir da mensagem cifrada. Essa criptografia serve também para fazer assinaturas eletronicas. A assinatura eletronica é simplesmente uma mensagem criptografada com a chave privada que pode ser decifrada co ma chave pública. Assim vc consegue garantir que apenas o destinatário lê a mensagem, e o destinatário pode ter certeza de que quem enviou a mensagem foi realmente o remetente, sem ninguem no meio do caminho ler o alterar a mensagem. Ainda assim, gerenciar as chaves privadas é algo complexo. Você precisa trazer a segurança para dentro do computador/celular do usuário. por isso hardware wallets são tão comuns. Ela também não é apropriada para armazenar senhas de segura, e sim para troca de mensagens assinadas entre usuários. São bastante resistentes a força bruta por serem lentas e difíceis de calcular. Por esse mesmo motivo, ninguem usa elas diretamente. Você usa a cripto de chave privada para cifrar uma senha aleatória e usa essa senha aleatória com um algoritmo mais rápido, de chave secreta (onde a mesma chave cifra e decifra a mensagem), como o AES. Ai envia junto da mensagem cifrada com AES a chave aleatória cifrada com a chave publica do remetente. ECDSA: ECDSA é um variação de sistemas de chave publica que não permite cifrar ou decifrar mensagens, apenas assiná-las. (DSA = Digital Signature Algorithm). Ele usa chaves mais curtas que outros sistemas de chave privada, mas ainda tem os mesmos problemas de gerenciamento de chaves. No bitcoin ele é usado como prova de posse dos bitcoins. Ao emitir uma transação, você assina usando a chave privada correspondente ao endereço (chave publica) do destinatário da transação anterior. Como se fosse o "endosso" de um cheque: Você recebe um cheque nominal, e assina no verso desse cheque, indicando que ele deve ser pago a um terceiro. Não serve também para guardar senhas de forma segura (a informação pode ser recuperada). Minha opinião sobre a suposta falha de segurança está no post anterior. |
|
|
|
|
li o artigo, e aqui vão minhas considerações:
1- sha2/sha512 é seguro. O que eles provavelmente estão dizendo é que com GPUs vc consegue fazer um ataque de força bruta qualificado (i.e. reduzindo o espaço de busca com dados estatisticos e informações anteriores) com alguma chance de sucesso. Se for bem implementado, não vejo esse risco.
2- Sim, é verdade que usar scrypt ou bcrypt vai reduzir a chance de ataques de força bruta, isso pode ser feito em cima do sha512 numa boa (são algoritmos de resistencia a GPU). Ainda assim, para saber se é necessário, é preciso ver como eles usam o sha512.
3- “a ausência de assinatura digital permite que seus dados sejam modificados sem que você ou o destinatário seja capaz de identificar”. Verdade, mas não vi evidencias de que não há assinatura digital. o sha512 pode ser usado pra gerar assinatura digital também.
4- essa tal virgil está tentando vender as ferramentas deles (brainkey e pithya sugeridos são deles, imagino que os outros sejam deles ou tenham implementações comerciais feitas por eles).
5- é de desonestidade intelectual MUITO grande dizer que sites que usam sha1 foram hackeados. sha1 e sha2 só tem em comum o nome. O sha1 foi quebrado, mas o sha2 nunca foi. FUD imenso!
Eu levaria com um pé atrás essa afirmação de que o serviço é inseguro, até que outras fontes confirmem.
|
|
|
|
ach oque dei uma ajeitada pra vc. imagem:  codigo: [table][tr][td]
[table][tr][td][/td][/tr][tr][td][/td][/tr][tr][td][center][size=2pt][color=#cb2329]█[/color][color=#d5212a]█[/color][color=#7f2a2a]█[/color][color=transparent]█████[/color][color=#000000]█[/color][color=#cf2129]█
[/color][color=#d52027]█[/color][color=#d62028]█[/color][color=#240000]█[/color][color=transparent]█████[/color][color=#611e24]█[/color][color=transparent]██[/color][color=#981f28]█[/color][color=#cf2026]█[/color][color=#551515]█[/color][color=transparent]██[/color][color=#7d1c1f]█[/color][color=transparent]█████[/color][color=#661919]█[/color][color=#ce2127]█
[/color][color=#b62228]█[/color][color=#6d1212]█[/color][color=transparent]█████[/color][color=#d12229]█[/color][color=#6d0024]█[/color][color=transparent]██[/color][color=#a42127]█[/color][color=transparent]██[/color][color=#912424]█[/color][color=#e12028]█[/color][color=transparent]██████
[/color][color=#a31e22]█[/color][color=#df1f26]█[/color][color=#9f1a1f]█[/color][color=transparent]███[/color][color=#89181c]█[/color][color=#aa1e24]█[/color][color=#a4252b]█[/color][color=#781a28]█[/color][color=#ac1f24]█[/color][color=#c61e25]█[/color][color=#550000]█[/color][color=#9b1f1f]█[/color][color=#e01f26]█[/color][color=#ea1d24]█[/color][color=#991a1f]█[/color][color=transparent]████[/color][color=#a42129]█
[/color][color=#ce1f26]█[/color][color=#c71d24]█[/color][color=#bc1e26]█[/color][color=transparent]█[/color][color=#5f0f0f]█[/color][color=#9e252a]█[/color][color=#000000]█[/color][color=transparent]█[/color][color=#af1d25]█[/color][color=#ab1e24]█[/color][color=transparent]█[/color][color=#c12229]█[/color][color=#8f1818]█[/color][color=#e81e25]█[/color][color=#ec1c25]█[/color][color=#e41d24]█[/color][color=#7f141c]█[/color][color=transparent]█[/color][color=#8b1722]█[/color][color=#c02329]█
[/color][color=#b62126]█[/color][color=#a31e23]█[/color][color=#86151c]█[/color][color=#d61f28]█[/color][color=#c72027]█[/color][color=#a6181d]█[/color][color=#b81d24]█[/color][color=#e01e26]█[/color][color=#921b1f]█[/color][color=transparent]███[/color][color=#740a0a]█[/color][color=#9c262b]█[/color][color=#881f21]█[/color][color=#cb2028]█[/color][color=#d72128]█[/color][color=#c32027]█[/color][color=#7c131a]█[/color][color=transparent]█
[/color][color=#4c0000]█[/color][color=#95282b]█[/color][color=transparent]██████████████████[/color][/size][/center][/td][/tr][/table][/td][td][size=26pt][url=http://betking.io/?ref=btctalk][font=Arial][b][color=#ddcc00]B[color=#ccbb00]E[color=#bbaa00]T[color=#EE1B22]KING[/b][/url][/td] [td][size=24pt] | [/td][td][table][tr][td][url=http://betking.io/?ref=btctalk][font=Arial][b][size=6pt][color=black]Bitcoin[color=#EE1B22] Sports[/url][/td][/tr][tr][td][url=http://betking.io/?ref=btctalk][font=Arial][b][size=6pt][color=black]Bitcoin[color=#EE1B22] Casino[/url][/td][/tr][tr][td][url=http://betking.io/?ref=btctalk][font=Arial][b][size=6pt][color=black]Bitcoin[color=#EE1B22] Dice[/url][/td][/tr][/table][/td][/tr][/table]
como fica: | | ██████████
████████████████████████
██████████████████████
██████████████████████
████████████████████
████████████████████
████████████████████ |
| BETKING | | | |
|
|
|
|
que tal ficou?  |
|
|
|
Boa tarde acontece o mesmo comigo,gostaria de saber se alguém pode me ajudar?
O seu caso em especifico parece ser que está postando em portugues nos foruns em ingles. Vi varios casos desse tipo no seu histórico. |
|
|
|
Você deve ter infringido alguma regra do fórum. As mais comum são: - Spam, quando você comenta algo que não agrega nada ao tópico, muitas vezes de algumas poucas palavras. - Postagem de tópico em lugar errado, principalmente se você tentar anunciar alguma altcoin na aba geral. - "Ressuscitar" tópicos, quando você comenta em um tópico que já está parado a meses sem um bom motivo ou discussão relevante. O @adriano, moderador aqui da aba local é uma pessoa bem aberta pra conversar, caso você REALMENTE não saiba os motivos e queira explicações, manda uma MP pra ele, só não o incomode por pouca coisa  A mais comum na verdade é usar a lingua errada nos foruns. postar em portugues nos foruns extrangeiros, ou em ingles nesse daqui. Outro erro comum é postar links referidos. |
|
|
|
vit05,
Excelente teu artigo.
Uma pequena observação. Percebi que não usa se o termo "minerar" para PoS, somente para PoW. Pelo menos nunca vi...
(...)
O termo correto pra quanto se usa PoS é "mint". Em portugues a tradução literal seria "cunhar", mas ninguem usa. A gente usa "minerar" pros dois em PT. |
|
|
|
"Girinada" foi um termo cunhado pelo pessoal da faculdade pras histórias fantásticas que eu inventava e contava como se fossem verdade (por exemplo, que o catupiry não é um queijo e sim um crustaceo que nasce nas praias de santa catarina, que está em extinção). Acabou colando pra querer dizer qualquer história que eu conte, verídica ou não! |
|
|
|
E ae, Girino.
Eu tive a honra de assistir a sua palestra aqui em BH.
Realmente muito boa. Parabéns
Vocês foram os primeiros! :-D estava fazendo um "beta test" da palestra :-D |
|
|
|
(...) Estava gastando os milhões apurados até hoje  Abraço !!! é aquele lance do sobe e desce do bitcoin: em dezembro eram milhões, em janeiro centenas de milhares, em fevereiro dezenas... hj são centavinhos só... quem sabe em dezembro desse ano não volte ao patamar dos milhões? :-D |
|
|
|
Artigo publicado no meu blog: http://blog.girino.org/2018/07/27/descentralizando-tudo/Aqui vai um trechinho: Esse artigo é Baseado na palestra de mesmo título criada por mim e pelo Gabriel Rhama para a campus party de Brasília1. Como o conteúdo é bem legal, achei que colocar ele por escrito seria também interessante. Pra facilitar, devo escrever em várias partes, uma pra cada um dos temas que abordamos na palestra. IntroduçãoA primeira coisa que vem a mente quando falamos de criptomoedas 2 é descentralização 3. Criptomoedas são descentralizadas, Blockchain é consenso descentralizado. Mas o que isso quer dizer? Pra que serve isso? Porque isso é tão importante? TCP/IP4Vamos voltar um pouco no passado e falar sobre a internet. Na década de 1960 o governo americano financiou um projeto de pesquisa para a criação de uma rede de computadores. Não é a primeira rede, já existiam outras, abrangendo universidades, empresas, etc. Essa nova rede tinha um objetivo específico: resistir a ataques nucleares que tirassem do um ou mais dos computadores envolvidos. Até então, as redes eram estruturadas de forma centralizada (um computador central que se comunica com vários terminais) ou hierárquica (sem apenas um computador central, mas computadores ligados de forma em que alguns são concentradores das informações vindas dos outros). redes com esses formatos são extremamente frágeis em caso de ataque. Atacando um único computador você interrompe toda a rede. A Darpa 5, agencia de pesquisa do departamento de defesa dos EUA, junto com algumas universidades norte-americanas, desenvolveu então a ARPANET, e seu protocolo de comunicação, o TCP/IP. A ARPANET, que depois evoluiu e veio a se chamar Internet 6, usava de um protocolo descentralizado, onde nenhum computador é mais importante que o outro e onde os caminhos entre um computador e outro se adaptavam de acordo com a disponibilidade dos mesmos. Com isso, se um computador saísse do ar por qualquer motivo, os outros continuavam se comunicando normalmente. Não havia um ponto central de falha. Tínhamos ai o primeiro uso da descentralização: Resistência a falhas e ataques. O TCP/IP Foi o primeiro passo em direção a descentralização, a descentralização dos canais de comunicação. Bitcoin78Em 2008, Satoshi Nakamoto 9 deu mais um passo em direção a descentralização: O Bitcoin 10. Bitcoin é uma moeda digital descentralizada que funciona sobre um protocolo criptográfico. Era logo depois da crise de 2008 11, onde os bancos haviam criado uma bolha econômica e depois recorreram aos governos dos seus países para evitarem a falência, enriquecendo com dinheiro público ao mesmo tempo em que transformavam em pó as economias da população. A ideia do Satoshi era dar ao cidadão comum uma alternativa ao dinheiro digital que não fosse controlada pelos bancos. Não tenho certeza se o Satoshi tinha noção de quão revolucionário era o sistema que ele criou. Acredito que pra ele, era só mais uma evolução dos sistemas de moedas criptográficas que tinham vindo antes, como o bit-gold 12 ou o hashcash 13. Inclusive, muitas das ideias que ele usou foram tiradas dessas precursoras. Com o Bitcoin, o Satoshi se aproveita de mais uma vantagem da descentralização: Resistência a censura. Os bancos não podem mais fechar sua conta e recusar seu crédito, eles não tem mais controle sobre seu dinheiro. O Bitcoin trouxe a descentralização do dinheiro!(...) Leia o restante em http://blog.girino.org/2018/07/27/descentralizando-tudo/ |
|
|
|
Muito obrigado pelos Merits. Eu lembrava que o charlie lee havia "criado" um algoritimo, só que não encontrei qual. Excelente, vou adicionar. E imagino que Decred é um dos que mais pode fornecer material de qualidade em português, já que possui uma das comunidades mais ativas. O girino imagino que não precisa dos Merits. Mas todos que contribuirem com artigos em PORTUGUÊS de qualidade vão ganhar 2 merits. não desperdice merits comigo, passe pra alguem que ainda nao esteja no nivel maximo do forum... |
|
|
|
Migração da base de dados.. Então todas as senhas foram perdidas..
ASSUSTADOR! Opa, não é nada assustador isso já que na migração da base dados para uma nova base dados que possui regras diferentes não é como se eles soubessem sua senha, isso até dá mais um motivo para confiar na mesma. normalmente, nesse tipo de migração, vc faz um serviço de migração de senhas, onde o usuário, ao entrar a primeira vez, é redirecionado pra ele e confirma senha antiga junto ao sistema antigo, e recadastra a nova senha no sistema novo. O que imagino possa ter acontecido é que a blinktrade não deu acesso a eles para fazerem isso. (não exportou o hash das senhas ou não forneceu o algoritmo de hash usado na exportação) |
|
|
|
|
acabei de mandar 10 merits por esse post fan-fucking-tástico!
Se eu achar mais informações (artigos, etc) para completá-lo, trago aqui
|
|
|
|
sacaneou, hein? O entrevistador ficava toda hora me cobrando de olhar pra camera, ai eu perdia o fio da meada  |
|
|
|
(...)
Sobre a mineração ser exponencial, isso não reflete no preço também?
Não necessáriamente. Ela é exponencial porque o avanço das asics e mais o preço, esses dois fatores somados, tem uma progressão exponencial. Se as asics baterem numa barreira tecnologica, a diff vai aumentar de forma sub-exponencial. Mas numa entrevista de poucos minutos não dá pra entrar tanto em detalhes. Por coincidência, vi essa matéria essa semana.. A mineração é exponencial apenas analisando a dificuldade ou tem a ver com o hardware? Tentando clarificar a pergunta, amanhã pode surgir uma ASIC "barata" de 1000th/s para minerar BTC, todavia numa blockchain anti-ASIC, vão existir apenas GPUs minerando(com o mesmo hashrate de sempre).. Nas blockchains "anti-asic" a diff tem tido um crescimento exponencial também, porque as GPUs também tem melhorado de forma exponencial. |
|
|
|
|
Show Posts
