Mastodawn

Blog post from the past:
In which I explore the impact of SQL Server 2025’s #PBKDF2 hashing algorithm on password cracking and compare it with SQL Server 2022
https://vladdba.com/2025/06/23/looking-into-sql-server-2025s-new-pbkdf2-hashing-algorithm/
#sqlserver #sqldba #microsoftsqlserver #mssqlserver #mssql #mssqldba

Looking into SQL Server 2025's new PBKDF2 hashing algorithm

In this post I explore the impact of SQL Server 2025's PBKDF2 hashing algorithm on password cracking and compare it with SQL Server 2022.

VladDBA

Habr Jan 27

GreatEasyCert или как реализовать контейнер ключа по ГОСТу

Привет, Хабр! Меня зовут Гоша, я старший инженер-программист в Контуре. Практически любой сценарий ЭДО связан с использованием криптографии, будь то ЭДО с государством или контрагентами: где-то нужно подписать документы, где-то зашифровать архив с отчетом, где-то проверить подпись документа от контрагента. Каждый из таких сценариев хочется тестировать не на реальных данных, но на наиболее похожих в реальности. Помимо самих данных нам нужны сертификаты, имитирующие сертификаты участников ЭДО: организаций, физлиц, государственных органов. Ранее для генерации тестовых сертификатов мы использовали сервис на базе ПАК УЦ , проприетарной штуки, выпускающей сертификаты по определённым правилам, не позволяя издеваться над сроками действия серта как хочется. Отсюда появилась идея в качестве эксперимента написать небольшой сервис, который мог бы генерировать какие угодно сертификаты с ГОСТ-алгоритмами, но при этом успешно работающие с КриптоПро. В этой статье хочу поделиться, какая техника скрывается под капотом такой функциональности.

https://habr.com/ru/companies/skbkontur/articles/989090/

#net #криптография #криптопро #сертификаты #pki #гост_34 #pfx #pbkdf2 #pbes2 #криптопровайдер

GreatEasyCert или как реализовать контейнер ключа по ГОСТу

Практически любой сценарий ЭДО связан с использованием криптографии, будь то ЭДО с государством или контрагентами: где-то нужно подписать документы, где-то зашифровать архив с отчетом, где-то...

Хабр

аккаунт более неактивен Nov 3

Компьютер с полностью шифрованным SSD/NVMe?
Вполне полноценно через #LUKS — рабочее решение, без дырок от вендоров для криминалистов (#forensics).
Т.е. получается комп на #Linux с файловой системой #btrfs на «жёстком диске» с LUKSv2 для шифрования. Годно и для игр и для нескольких лет работы.

Именно вторая версия LUKS ради другой #PBKDF — обработке вводимого пароля через #argon2id в рамках #PBKDF2 для извлечения ключа шифрования из заголовка раздела на «диске».

Суеверные люди предпочитают молчать о том, как работают их сложные и навороченные системы. Однако, когда прошло несколько лет эксплуатации, то можно просто констатировать как свершившийся факт качество работы системы.

Ноутбуки иногда теряются или крадутся, а из десктопов не всегда удаётся извлечь носитель («диск»). Оперативно-следственные службы не всегда добросовестно опечатывают технику при изъятии и абы кто может докинуть на ваши носители данных непонятно какие материалы, перед тем как устройства поступят в «ЭКЦ МВД России».

И помните, что если следователь показывает распоряжение о проведении экспертизы содержимого ваших носителей данных. Требуя при этом предоставить пароль, то знать о наличии пароля он как бы и не должен. А может оказаться в курсе лишь в том случае, если на этом постановлении имеется отметка от ЭКЦ о приёме на экспертизу ваших устройств.
А если же такой отметки нету, то значит следак в курсе неудачной попытки что-то эдакое подкинуть на ваши носители данных. Т.е. устройства ваши находятся всё ещё у него в закромах, а не были переданы в ЭКЦ. И если выдать пароль, то неизвестно что нового появится на них перед отправкой в ЭКЦ.

#cryptsetup #Argon2 #FDE #crypto #криптография #security #ИБ #infosec

аккаунт более неактивен Aug 16, 2025

Что такое VeraCrypt, вынужденный форк от TrueCrypt.
Шифрованные контейнеры умел делать и #PGPDisk — подключаемые в системе как диски, но именно TrueCrypt вывел это на новый уровень, являясь при этом open source.
Помимо криптоконтейнеров TrueCrypt предлагал вариант целиком шифровать отдельные разделы на дисках. Как дополнительные, так и системные — где стоит ОС.
Так же, можно создавать скрытые шифрованные разделы (правдоподобное отрицание), т.е. шифрование разделов или криптоконтейнеров могло быть с двойным дном.

На смену пришёл VeraCrypt, потому что в цивилизованных и развитых странах государственные органы были крайне недовольны TrueCrypt. Службисты демократических и свободных стран 11 лет назад таки разыскали авторов в США и принудили закрыть проект. Как результат, за год появился VeraCrypt — результат форка и доработки французами. Исходники прошли аудиты, а методы и реализация шифрования — доработку и соответствие реалиям.
Например, использование #PBKDF2 доработано с учётом появления целых ферм специализированного оборудования для вычисления хеш-сумм (криптовалютный майнинг).

Устанавливать VeraCrypt в Linux'ах не требуется, поскольку LUKS поддерживает работу с TrueCrypt и VeraCrypt контейнерами и шифрованными разделами. Можно вставлять в комп флешку целиком шифрованную VeraCrypt и монтировать как и LUKS-раздел:

cryptsetup tcryptOpen /dev/sdA1 somename
mount /dev/mapper/somename /mnt/anothername

Указывать раздел /dev/sdA1 на диске, а не сам диск /dev/sdA.

В случай Windows'ов установка VeraCrypt не обязательна, можно пользоваться portable-вариантом.

Тем самым с одним и тем же носителем данных с зашифрованным контейнером или разделом можно работать то на машинах с линуксами, то на машинах с виндоусами.
Не обязательно шифровать весь раздел на флешке, можно держать файл-контейнер, монтируемый как диск лишь когда это надо, а рядом директорию с portable-вариантом VeraCrypt.

Лет 10 назад для широких слоёв населения это было шоком, что власти развитых\цивилизованных\демократических стран используют такие методы и способы борьбы с неугодными проектами. Воспринималось как отъявленная конспирология и неадекватность любого человека транслирующего эту историю. Время показывает, что право на гражданскую криптографию быстрее всего аннулируется именно в Британии и Австралии (официальном доминионе Британской Империи). Британия уже давно людей сажает на несколько лет в тюрьму, если судья видит в подсудимом нежелание выдать ключ шифрования от изъятых носителей данных. Теперь же внедрили интернет по паспорту, а чуть ранее запрет на любое шифрование для защиты частной жизни или переписки.

#криптография #шифрование #privacy #security #XTSAES #VeraCrypt #TrueCrypt #Linux #Windows #LUKS @russian_mastodon @[email protected] @rur

🚀 Несерьёзный Выдумщик 👨‍🔬 (@grumb)

Зашифрованные флешки и переносные hdd, поддерживаются почти всеми линуксами «из коробки». Если на windows’ах для работы с флешкой использовалось #VeraCrypt или даже #TrueCrypt, то на linux-системах с этой же флешкой можно и через #cryptsetup работать. Без надобности устанавливать дополнительные приложения, сродни того же VeraCrypt. Подключить целиком зашифрованную флешку: ```shell $ sudo cryptsetup open --type tcrypt /dev/sdXY myconfidential или же $ sudo cryptsetup tcryptOpen /dev/sdXY myconfidential ``` Будет запрос пароля для sudo и потом уже пароль к зашифрованному разделу. Содержимое доступно после монтирования: ```shell $ sudo mkdir /mnt/secureflash $ sudo mount /dev/mapper/myconfidential /mnt/secureflash ``` Несколько лет назад #VeraCrypt пришло на замену #TrueCrypt, но поддержка старых контейнеров TrueCrypt’а имеется ещё везде. Можно поставить удобства ради и VeraCrypt, кросс-платформенное, но если не установлено на машине с линуксом, то это и не проблема. Прекращение работы с зашифрованным носителем данных: размонтировать из файловой системы (записать все закешированное), закрыть сам по себе крипто-контейнер. Выполняется в две команды: ```shell $ sudo umount /mnt/secureflash $ sudo cryptsetup close myconfidential ``` Точнее в три команды, если удалять ставшим не нужным `/mnt/secureflash`. Когда непонятно под каким `/dev/sdXY` числится флешка, то поможет: `lsblk -f` или что-то схожее, на вкус и цвет более подходящее. #криптография #инфобез #infosec #linux #opensource

[Shitpost] PoridgeClub

Vlad

Jun 23, 2025

New blog post:
In which I explore the impact of SQL Server 2025’s PBKDF2 hashing algorithm on password cracking and compare it with SQL Server 2022.
#sqlserver #sqldba #microsoftsqlserver #mssqlserver #mssql #mssqldba #sql #security #pbkdf2
https://vladdba.com/2025/06/23/looking-into-sql-server-2025s-new-pbkdf2-hashing-algorithm/

Looking into SQL Server 2025's new PBKDF2 hashing algorithm

In this post I explore the impact of SQL Server 2025's PBKDF2 hashing algorithm on password cracking and compare it with SQL Server 2022.

VladDBA

Habr Jan 19, 2025

Извлечение паролей из разных браузеров

Если пользователь забыл мастер-пароль от парольного менеджера Bitwarden , 1Password , KeepassXC , то пароли невозможно восстановить. Другое дело — встроенные парольные менеджеры браузеров Chrome и Firefox, для расшифровки которых есть специальные инструменты. Этот факт следует иметь в виду при хранении пользовательских данных — и не допускать, чтобы злоумышленник получил физический или удалённый доступ к компьютеру с правами пользователя. Примечание: перечисленные ниже инструменты не работают с последними версиями браузеров и приведены исключительно в информационно-образовательных целях.

https://habr.com/ru/companies/globalsign/articles/874804/

#парольные_менеджеры #взлом_паролей #парольные_хранилища #PBKDF2 #SHA256 #Chrome #Firefox #AES #Triple_DES #Firefox_Passwords_Decryptor #Browser_Cookie #куки #SQLite #cookiejar #CryptProtectData #CryptUnprotectData

Извлечение паролей из разных браузеров

Хабр

Habr Dec 22, 2024

Парольная защита статичной HTML-страницы на JS

Обычно парольная защита производится через веб-сервер, который проверяет пароль и выдаёт контент. Стандартный способ: .htaccess и htpasswd . Но что, если нужно выложить зашифрованную веб-страницу и файлы на публичном хостинге, где у нас нет контроля над сервером? Эту проблему решают инструменты StatiCrypt и Portable Secret . Для шифрования HTML перед публикацией StatiCrypt использует AES-256 и WebCrypto, а расшифровка происходит с помощью ввода пароля в браузере на стороне клиента, как показано в демо (пароль test ). StatiCrypt генерирует статическую страницу, которую можно безопасно заливать на любой хостинг, в том числе бесплатный сторонний хостинг, такой как GitHub Pages.

https://habr.com/ru/companies/globalsign/articles/868780/

#StatiCrypt #AES256 #WebCrypto #парольная_защита #PBKDF2 #Portable_Secret #шифрование_файлов

Парольная защита статичной HTML-страницы на JS

Хабр

🅴🆁🆄🅰 🇷🇺Nov 3, 2024

Про #GRUB можно позабыть уже несколько лет как — явно находится под чьим-то влиянием и до сих пор отказывается реализовать поддержку #LUKS 2-й версии, в части использования #Argon2 / #Argon2id.

Важно это потому, что в мире полно ферм для майнинга криптовалют, так или иначе арестованных органами общественного правопорядка. Это изначально специализированные #ASIC для перебора значений hash-функций. В результате, стало возможным взламывать грубой силой почти все варианты дискового шифрования, если для хранения пароля используются обычные #PBKDF2 / #PBKDF, не адаптированные под противодействие крипто-майнинговым фермам. Примером, нормальной современной #PBKDF является тот же #Argon2 и его вариации.

Альтернатива в том, что позволяет тот же #systemd-boot. Например, для полнодискового шифрование через LUKS берётся SSD/NVMe разбитый через #GPT с выделением раздела EFI System Partition, на котором размещаются образы #initrd / #initramfs и бинарники загрузчика systemd-boot являющиеся EFI-приложением.

Всё содержимое EFI System Partition может проверяться Secure Boot'ом — быть заверены своим собственным сертификатом в дереве. Не только бинарники, но и текстовые *.conf файлы в /boot/loader/entries/ описывающие каждый вариант загрузки. Поскольку они содержат такие вещи как:

title    ... — как зовётся в меню загрузочном
linux    /vmlinuz-6.6-x86_64 — какое ядро ОС использовать
initrd    /intel-ucode.img — какой микрокод процессора грузить
initrd    /initramfs-6.6-x86_64.img — сам загрузочный образ
...
options quiet — могут быть и в одну строчку все сразу
options splash
options rd.udev.log_level=3
options systemd.show_status=auto
options sysrq_always_enabled=1
options intel_iommu=on
options iommu=pt
...

Т.е. файлы *.conf могут содержать всякие опции/параметры ядра, отвечающие за безопасность работы системы. Например, раздачей таких рекомендаций недавно развлекался #ФСТЭК (вот оригинал официальной публикации).

Про различия в вариантах #Argon2, почему собственно RFC 9106 рекомендует использовать #Argon2id

#Argon2d maximizes resistance to GPU cracking attacks. It accesses the memory array in a password dependent order, which reduces the possibility of time–memory trade-off (TMTO) attacks, but introduces possible side-channel attacks.
#Argon2i is optimized to resist side-channel attacks. It accesses the memory array in a password independent order.
#Argon2id is a hybrid version. It follows the #Argon2i approach for the first half pass over memory and the #Argon2d approach for subsequent passes.

#linux #crypto #lang_ru

Hubzilla.de

Dantali0n

Oct 26, 2024

Its been, I've lost count, 6 years? And still GRUB2 does not support #argon2 while #pbkdf2 absolutely gets stomped .

Effectively rendering #fde with encrypted boot insecure on Linux (X86). While with u-boot on ARM you can use argon2

I do not understand why this isn't like a high priority issues for GNU

Show thread

🅴🆁🆄🅰 🇷🇺Jul 21, 2024

@sun_rise дык есть же #^https://manjaro.org/ — вполне стабильный вариант arch'а не для школьников. а рабочих ноутов с десктопами.

можно поставить и так же как обычный Arch — тупо в текстовом режиме засетапить поэтапно всё, что полагаешь нужным и необходимым для себя.

Например, тебе надо чтобы диск шифровался полностью и при этом хочется именно через LUKS v2, а не 1-й версии предлагаемый гуёвыми инсталляторами дистрибутивов.

а предлагают они это потому, что по умолчанию пихают GRUB в качестве загрузчика, который имеет не полную поддержку LUKS2 — не умеет работать с такой #PBKDF2 как Argon2

потому отказываешься от GRUB, используешь systemd-boot вместо этого, расположив его на ESP (EFI System Partition) вместе с парой текстовых файлов и initramfs-образами и vmlinuz образами.

на диске же у тебя и swap и корневой раздел являются LUKS2-томами с Argon2 в качестве PBKDF2. незашифрованным является лишь этот самый ESP. располагающиеся файлы на нём можно подписать и валидировать при загрузке компа средствами Secure Boot.

если же использовать GRUB, то он умеет держать на ESP лишь себя любимого (EFI-приложение), а грузить initramfs с основного раздела на диске, зашифрованного LUKS1 или же LUKS2, но с PBKDF2 отличной от Argon2.
таким образом, вроде бы как большая безопасность системы, меньше шансов, что тебе подпихнут пропатченный initramfs. но полнодисковое шифрование используется не только в целях «доверенной загрузки», но и тупо на случай утраты контроля над жёстким диском. в ходе кражи, обыска или чего-то подобного.

а когда очень надо, тот же ESP размером в сто-двести мегабайт можно вообще хоть на флешке или карте памяти держать, и как резервную копию, и чтобы при загрузке компа не использовался ESP на диске, а брался с флешки :)

Manjaro Linux Official

This page provides an overview of Manjaro Linux, an open source operating system designed for ease of use. Learn about its features, installation, and support options. Get the most out of Manjaro Linux with the latest news, downloads, and tips from our helpful community.