- C#で暗号化のキーどこに置けばいいの?
- レジストリ
- >>2
レジストリに書き込む前の話 - コードに直書き
- >>3
解析されたらすぐわかっちゃうじゃん - 毎回コンソールから手打ち
- コードから打ち込む
- 公開鍵を採用して、どこにでも置く
- >>8
秘密鍵の保管場所 - >>11
Yubikey - どんな用途で使われるソフトウェアなの
- >>9
ゲーム - >>10
スマートフォン向けとPC向けどちらかな
前者だとプラットフォームの縛りとかが結論に影響あるかも - なお通信はしないのでサーバーに保管はできないものとする
- ローカルのゲームアプリ内のどこにキーを保存するか
- さあ後出し条件が盛り上がってきました。取り敢えず、出てきたアイデア全否定ね
- レジストリに書き込む前の話ってのが意味わからん
- ローカルで完結しているものを完全に暗号化するのは無理
どこかしらに復元用のキーを置かなければならないから - >>17
そのキーをどこに置くかって話 - 頭で覚えとく
- Bluetoothのプログラミングやったけどペアリングしとくだけで別の端末と直通信出来て便利やったで
- あんま詳しくないけどC#の暗号化は脆弱って聞いたが
暗号化のとこはC++使えよ - >>23
暗号化自体が脆弱なのか - *開発時
マスターデータ
↓
キーで暗号化
↓
アプリに含める*配布後
アプリ起動
↓
暗号化されたマスターデータをキーで複合化さてこのキーをアプリの一体どこに置いたらいいのか
- >>24
通信できない以上配布するファイルに含めるしかないじゃん
そもそも解析するやつはどこに置いても見つけるだろうよ
2重3重に暗号化したり解析しづらいように独自形式で格納するくらいしか防衛策無くね - >>31
だから解析しづらくすることに意味がある
解析者が諦めるようにすることにねその上でどこに含めるかって話
- インストール先
- >>25
インストール先に保存する前の話 - どこにどう置くかなんて何の意味もないと思うが
- >>28
それなら暗号化自体が意味ないことになる
でも意味はあるでしょ - >>29
そもそも誰に対して秘匿したい情報なの? - >>34
悪意のある解析者 - >>37
計算量無制限なんでしょ? - >>38
何の計算量? - >>39
暗号理論で前提とされる攻撃者の計算量 - >>42
攻撃者の計算量がどれくらいかはわからん>>44
両方 - >>47
無制限だと生成暗号全部の表を作って、暗号文からテーブルサーチで逆引きすると、あらゆる暗号は解読できるので、この議論は終了 - >>60
できるかできないかじゃない
できにくくすることに意味がある - 暗号キーを暗号化関数にめちゃくちゃ通してローカルに置いておくしかない
真剣に解析すれば分かるけどそこまでやる人はいないでしょ - >>30
その暗号化関数がわかったらめちゃくちゃ通してるのもわかるし何回通してるのもわかるから復号化できるんじゃね - リバースアセンブリングは多くの場合規約違反だしな
- >>32
規約違反とか関係なくね - C#でゲーム書いてるネット上の先人を参考にしたらいいんじゃないの
彼らもほとんどの場合で暗号破られてないだろうし
暗号破る価値のあるゲームなんて存在しないだろう - >>45
このキーの隠し場所についての情報があまり出てこない暗号化を破る意味が結構ある
暗号化を破れたら改造し放題だしね
ガチャゲーで無限にレアアイテム手に入れられたり - >>51
それはそもそもサーバーサイドで防げよ - C#だからUnityかとも思ったがWindowsアプリのことっぽい
普通環境とか書くんだよエスパーさせるな - >>46
Unityだよ - そういうのは破られないようにするのではなく破られても問題ないようにするんじゃないかなって
見られて困る情報そのものを持つ作り自体に問題があるよ
どうしようもないよ - >>48
破られにくくすることに意味がある - 商品にはならないだろ
- もういっそ、パスワード付きのzipに圧縮して、パスワードは電話で伝えれば
- アイコンの絵にでも埋め込んどけよ
- ./angou/himitu.txt
- >>57
割と実在してそうで笑えない - まあ平文をそのまま置かなければ大抵は諦めるでしょ
ビットシフトしたりXOR通したりしたものを置いておくとかさ
処理追えばどこから読み込んでるかなんてすぐ分かるしデータの置き場所変えてもあまり意味はない - >>59
かと言ってソースコードにキー直置きってのはなあ
もう一工夫ほしいんだよね - ガチャゲーの不正利用ユーザは
その前にアクセス頻度などから検知するていうかガチャゲーで完全ローカルとか昭和か
- >>61
サーバーを使わないからね
そりゃサーバー使ったらいろいろチェックはできるだろうけどそういうコストはかけないからね - >>63
諦めろ - 例えば暗号化を解読できてしまうってことはセーブデータを改造し放題なわけよ
ガチャチケットも10000000枚にできてガチャし放題なわけよ - このケースですべきことは
① ゲームのソースコードを難読化する
② サーバーサイドでチート対策をする復号鍵がユーザーの手元にあるのに、解析対策でゲームのデータを暗号化するのは無意味
- >>64
別に難読化はするつもり
だけど難読化してもソースにキー直置きだったらすぐわかるんじゃないかとサーバーは使わない
あくまでローカルで対策する - そんなんどうあがいたってキーはコード直書きするかサーバーあるならサーバー見に行って取得するしかないわけで
ガチャゲーならサーバーにデータ保管しなよ
ローカル保存させたソシャゲそういやあったな
案の定データ改竄されまくったが - >>66
直置き以外にもキーを置く場所によって隠蔽できるでしょ直置き以上どうやって隠蔽するかって話
直置きのその先の隠蔽だよ - >>77
できないってお前が言ってるじゃん
解析されたらわかるんだから - >>78
できにくくすることに意味がある - そもそも完全ローカルでチート対策をする意味って
- >>70
解析をしにくくして解析者に諦めさせることが目的 - なので、一般的な暗号理論では解析可能でも現実的な時間で無理ならおkと言う立場でやってる
- HSMつかえ
- よく分からんけどそこまでしないといけないものなの?そこまでする人を想定する必要があるほどのゲームなの?
ローカルのガチャゲーでしょ?
あなた(もしくは会社)の利益を著しく損なう可能性があるの?単に開発者としてイヤなだけ? - >>75
こだわりかな - 無限に暗号化の処理書けばいいだろwwwwwwww
- >>76
復号化に時間かかる - 分かったこれは仕事任せた上司が悪い
- 絶対に近い強力さで破られない事を求めるならば外部のソリューションに頼る
そこらの少し齧ったくらいのハッカーを弾くくらいでいいならC++でこねこねする - >>83
こねこねとは - これは本物のアスペですわ
- 何がしたいのかよく分からんけどDPAPIじゃダメなの??
- >>87
だめ
>>24を見て - RASISだっけ、安全性を上げ過ぎたら他に影響が出るから実現可能な範囲でバランス取るのが大事なんちゃうん
安全性の前にリスク評価して「これくらいやったらええか」なのか「こいつぁやべぇ」かを適切に判断してそれに応じて安全性を設計するべきちゃうん - 解析をしにくくすることで
解析する価値<解析する手間
にすることが目的
- (最初から解析する価値なんてあんのかよ)
- 一度丁寧に解析を終えて鍵が明らかになったところで
その時点で鍵がもう古くて使えない
そんな仕組みだったらいいのだろうね - >>93
>>24
配布前にキーで暗号化してるから配布後にこのキーが変わることはない - >>94
その固定値である鍵文字列を求める為の
関数の鍵を流動的にしてしまえばいいのでは - >>97
どうやって? - じゃあC#やめれば?
直接CPU語にコンパイルしろ
ほとんどのアプリはそうしてるだろ? - ゲームプログラムやマスターデータのバイナリ自体 + 起動のたびに変わる情報(システム時刻など)をキーに暗号化する
復号したら①は破棄して、新しいキーを作り、それで暗号化する
当然、保存場所も毎回変わる - >>96
>>24を見て
配布前にキーで暗号化してる
キーをいかなるものにしても配布時にはキーをアプリに含めて渡す必要があるあと起動時に暗号化するにしても
起動前は暗号化されてないわけだから意味がない - >>98
答えそのまま書かないとできない系かよ - まぁキーの"置き場所"とか言ってる時点で無理かw
何でも良いけどradikoのキーは俺だと抜けるけどお前が抜けないんなら実装も無理なんじゃないの? - >>101
解析ツール使ってドヤってそう - >>102
"解析ツール"って何?
例えば何のことを言ってるの?
相当低いレベルのものをお前は言ってるんだろうけど - >>103
ぐぐればすぐ出てくるじゃん
http://search.vector.co.jp/vsearch/vsearch.php?key=c%23+%E3%83%84%E3%83%AA%E3%83%BC+%E8%A7%A3%E6%9E%90 - >>110
ベクターってアンタ…
dotnet decompileとかのワードですらググれないのか!!?
LINEのブログでも貼ってあげようかと思ったけど無意味だと確信したからやめとく - >>112
ただ一番上の貼っただけな
結局デコンパイラ使ってドヤってるだけじゃん
解析は既存のツール使えばいいだけだから簡単でいいね
隠蔽は難しいんだわ - >>114
もう言葉も出ないわ
自分で何を言ってるのかすら分かってなさそうだなw
その理屈だとwidevineのL1も簡単に破られてもおかしくないんですか~~?? - >>102
人に教えを乞う態度じゃねえな…… - 手元の紙
- 相手に安全な経路で渡した共通鍵を相手がそこら中にばら撒く、あるいはダークウェブで売る可能性があるだろ
- さまざまな種類の解析が自分がやりたいことであれば何でもできるようなツールが存在するとでも思っている系か
- まぁ別に何でも良いけどLINEのブログでも読んでみたら?
- このレベルのアスペって普段目にしないだけでそこら中にいるのかな
- 難読化されたコードが現時刻等の情報を元にしたハッシュ的なクソデカ文字列を吐きます
その文字列の大半はソルトデータですがどの桁がソルトであるかは不定です
その文字列を突っ込むと本来の鍵が得られますこんなんじゃダメ?
- >>113
まず現時点の時刻を元にした難読化されたコードをどうやって用意するのか
デコンパイラに対して - デコンパイル自体はどうせできるから諦める
デコンパイルした所で人間がまともに読み進められない
コードを自動生成で作る - >>116
どうやって作るのか - スレの勢いもないし素直に落とせよ
次はもっと面白い他のネタで頼むぞ - >>1
デコンパイラーって何するものか知ってる? - >>120
デコンパイルするものだろたとえばこのスレだと「ソースに直置き」くらいしか実現可能なまともな案が出てないわけだけど
案ともいえるかも怪しいものだけどデコンパイルしたらすぐわかるだろ
別の案があるなら出してみなよ
デコンパイラ使ってソースに直置きしたキー見つけてドヤってないでさ - >>121
えっ???
俺のレス読んだ上でそのレスしてんの???デコンパイラ使ってソースに直置きしたキーなんてプログラムは人生で一度も見たことがないんだけど、お前のプログラム以外で存在するの??????
- >>123
訂正する
入門用CrackMeの第一問目であればこのレベルはある言っとくと第二問目の時点でこのレベルは超える
- >>124
少なくともこのスレではお前も含めて直置き以上の実現可能な案は出せてないよ - いるよね
こういう思い浮かんだことが何でもできる魔法のツールが存在すると信じてる人
エンジニアの中にはそんな人いないとは思うけど?w - 毎回変わる情報としては、システム時刻の他に、全プロセスの状態などでも可
- 攻撃者の対象レベルが>>1と同レベルなので良ければキーをソースコードに直書きしないだけでいいのでは?w
- 当然、キーの保存場所も毎回変える
- 現在時刻を使ってキーを生成する案がたまに出るけど
いかなる方法でキー作っても意味がない
配布前に「固定のキー」で暗号化するわけだからね - おちんちん
- アホなのかこいつ
暗号化の意味もわかってなさそう
プログラミング詳しい人ちょっときてえええええええええええええええええええええええええ
VIP
コメント