为了怕用市面上的通讯 app 会泄露国家机密,政府好像打算禁用其它通讯软件
https://www.youtube.com/watch?v=TA5qS8nndr4
除此之外,打算推工研院自己搞的一套 Juiker
号称资安做得一级棒,身为不务正业的业余资安人,好奇在网络上找到一份 API 文件,
档名
"31.Juiker社群通讯服务平台.doc"
看了一下惊为天人,截录一小段加密方式 http://imgur.com/Vml2psm
"将密文加在Random key后传送如下"
有没有好棒棒的政府为了加强资安保密,做出一套好棒棒的系统
产生出来的密钥是跟密文一起传送的八卦?金钥产生的方式就不提了
加密方法用的也是好棒棒被认为已经有问题的 RC4
http://0rz.tw/C2EnG
还有根据官网 https://www.juiker.tw 这套好棒棒好安全的软件
因为用了 HTTPS 就无敌了,可是 Android client 连凭证都没验
http://www.cvedetails.com/cve/CVE-2014-6693/
有没有这个国家前途无可限量的感觉?
###############
更新:
根据 FB 上有人的回应是,那份 API 是以前某个活动开放给学生使用的而已
并非真正的产品 API
###############
作者: jk47tai 2014-09-30 14:00:00
这个真的不意外,因为政府单位做事情的多数都是一知半解,时常文件都写的很奇特。
作者:
ccpz (OoOoOo)
2014-09-30 14:54:00还有可能文件和实作是两回事
作者:
yr (Sooner Born Sooner Bred)
2014-09-30 16:17:00泄漏以后就不算机密了,所以也就没泄密问题 XD
楼楼上 它是先base64再RC4 虽然还是....
作者:
alog (A肉哥)
2014-09-30 18:12:00这api的document写得好差
作者:
Obb (有趣的世界)
2014-09-30 18:15:00作者:
joybee (IDAHACK)
2014-09-30 18:49:00感觉他得安全性是建立在https之上的这一段传送random key根本多于 要编码base64就够了
作者: noonOut (中午外出) 2014-09-30 19:04:00
可以理解RC4->base64 无法理解base64->RC4 RC4完又烂了吧然后HTTPS里头用RC4...到底意义是什么 不相信HTTPS?
作者:
robler (章鱼丸)
2014-09-30 19:52:00又是圾垃外包 里面不知道多少回扣 选举要到了 快找立委
作者:
siriusu (かがみは俺の嫁。)
2014-09-30 20:03:00硬要加密再放KEY该不会是要符合spec吧 还是真的一知半解
作者:
cpper (韩立)
2014-09-30 20:13:00这真的是工研院资通所的团队自己写出来的并非外包啊.....其它就bj4 XD
规格并没有讲fixed key对收送双方如何fixed!没那么笨啦!别忽略任何国家都要手机通话能被合法监听,否则就不放照!
作者: drinker (冒烟中...) 2014-10-01 02:24:00
虽然这系统真的满鸟的不过楼主看不出这流程根本是学WEP的也的确很业余通讯软件用这种方式,最大的洞就是没有合适方式做key交换用hardcode根本是找死我也不太懂做菜,也算业余的但我不会看到厨师加上看不懂的调味料就说 "他要下毒"BTW,google一下文件来源就知道,那应该是示范或加题
那张图不是Desktop APP, 是Android APP的问题最新版App或许有更正了有空的人可以测看看