怎样判断在线工具的安全性? 观点

向各位技术大牛提问,在线工具固然方便,但是作为初次解除的技术白痴,要如何判断某在线工具的安全性呢?拿树洞里BE4提过的PGP加密实现公开私聊举例,此君推荐过的在线工具是:

谷歌可得很多类似的在线工具,例如:

要如何取舍呢?

再扩展一下,如何向不熟悉技术的人推销有认知门槛和技术门槛的内容呢?

2019年12月23日 11 次浏览
11 个评论

页面加载完成后用的时候让想办法浏览器断网(比如改成无效的代理之类), 必须联网才能正常使用说明有数据要上传到服务器.
这种情况最好是学学python自己写个程序, python是一门很容易学习和使用的编程语言.
主要看推销目标是否愿意折腾, 如果目标不愿折腾你基本上怎么努力都没用.
参考Tor Browser那凄惨的使用率就知道了.

所有的在线工具都是过家家的,要真正做到强加密需要离线工具,RSA加密解密算法本身很简单,就是求幂或对数,懂原理的自己写都可以,github上也有很多开源项目,技术大牛可以找一些来分享 比如 https://ssh-vault.com/ 。非对称加密靠谱的用法肯定是私钥必须只能放在本地的,然后用离线的程序对消息进行加密解密。

但是“在线RSA工具”同“阅后即焚”组合起来确实就很牛逼了,因为只要是靠谱的“阅后即焚”,那黑客只能在你读取消息的时候监听并破解https这一条路获取你的消息了。所以你用这种方法的时候,还要在消息发送上做点文章,不要一开始就发送重要消息。比如你总共发送N条消息,其中大部分都是无关紧要的内容,只有两三条是重要的内容,那么只要黑客中间点开你的阅后即焚一次,你就知道不安全了。更高级的用法还可以把阅后即焚的内容加密,分成5次发送,中间只要丢一个就无法还原。

所以这个组合方法不能够用来对付掌握整个网络的国家级对手,如果你的互联网本身被中间人攻击了,你收发的所有消息都被中间人看到那就没意义。最关键还是找到靠谱的阅后即焚网站。另外加密阅后即焚url的时候在前面随便打几个没意义的字母或汉字,加大暴力破解RSA的难度。因为如果我知道你的加密消息一定是 以https://zerobin.net/开头的,那暴力破解起来就容易多了,但你随便在前面加点文字那就很难了。

那些核平核平,要灭这灭那,宣扬暴力,武器,炸药,暗杀…,暴力恐怖分子们是要注意安全性,最好躲在山洞里,如鼠。

全球都抓。

@pzwgfalr #1

主要看推销目标是否愿意折腾, 如果目标不愿折腾你基本上怎么努力都没用.

生也有涯而知也无涯,直接让人“学学python”,实在是懒人的答案,相当于没说嘛……如果要愿意折腾作为准入资格,可就太不适合用于政治了。

@鹅鹅鹅 #2

感谢添加说明,我举BE4这个例子,其实是把它当作反面案例的。前几日在隔壁水区又看见二位冤家打架,有一些物是人非的感慨,又想起此君推广技术失败的事情。一方面,场景不合适,在那样的context下,我不可能接受私聊的请求。一方面,也就是本楼主楼提到的,技术白痴无法判断一个陌生工具的安全性。另一方面,即使场景合适、双方互信,技术门槛本身也是一个确实存在的问题。在连登和品葱看到港人集思广益时,总会有人不断提出,要降低技术门槛。如果想要达到一定的普及度,降低门槛是非常重要的原则。

@鹅鹅鹅 #2 为什么知道固定开头暴力破解就会很容易?求科普相关资料

@zlqkniwlgqktbbi #7 并不会,因为只要有你的Public Key,我就可以产生任意多个消息m和密文M,所以就算知道整个消息都不会对破解有任何帮助

https://crypto.stackexchange.com/questions/43810/reverse-engineering-secret-key-in-rsa-encryption-with-the-help-of-signature

阅后即焚并不一定用 zerobin, 替代品不少

https://bin.privacytools.io/

https://privnote.com

@pzwgfalr #1 @懦夫斯基 #6 RSA的主要弱点并非原理,而是具体实现的过程中很多不懂加密的普通软件工程师为了省事而在参数选择等实现过程中留下重大隐患。

简单来说,你就算通过Signal,whatsapp,telegram,FB messenger 等发送阅后即焚的链接安全性都很高。

https://temp.pm/

https://safenote.co/

RSA 在过去20年受到过的攻击

博文

论文

欲参与讨论,请 登录注册

example notif text