C 소스 코드로 암호 암호화

Question

컴파일 된 응용 프로그램에서 찾을 수없는 방식으로 정적 암호를 저장하는 방법이 있습니까?

필요한 두 가지 앱이 있습니다. 하나는 하드 코드 된 서버에만 연결하는 Windows 용 경량 FTP 클라이언트입니다. 다른 하나는 레벨 팩을 만들고 암호를 사용하여 저장하는 Objective C 게임입니다. 비밀번호 없이도 재생할 수 있지만 레벨 편집기에서는 열 수 없습니다. AES로 암호를 암호화하고 있지만 암호 해독을 위해 암호를 저장해야합니다.

지금까지 발견 한 유일한 아이디어는 암호를 하나의 문자열이 아닌 여러 문자열로 저장하는 것입니다. 이미 존재하는 문자열을 연결할 수 있기 때문에 게임에서 실제로 잘 작동 할 수 있습니다. 또는 긴 문자열로 저장하고 비밀 알고리즘을 사용하여 해당 문자열에서 암호를 가져올 수 있습니다. Windows 또는 C OS에서의 C 응용 프로그램을 디 컴파일하여 해당 알고리즘을 찾을 수 있습니까?

더 안전한 방법이 있습니까?

Answer 1

문자열 리터럴은 일반적으로 컴파일 된 C 소스에서도 바이너리 어딘가에 보관되고 저장됩니다.

당신이 할 수있는 일은 (적절히 구현 된) 웹 앱이 로그인 정보의 유효성을 검사하는 방법 (데이터베이스에 정보가 저장된 곳)과 비슷한 방법입니다. 암호를 해쉬 형식으로 저장하면됩니다. 종종이 방법은 MD5 + 소금 (here is a description and some sample PHP code)을 사용하는 것입니다. 당신이 할 수있는 것은 일반 텍스트 암호를 전송하거나 저장하는 대신 사용자 입력을 해시하고 저장된 해시 값에 대해 해시를 확인하는 것입니다. 일치하는 해시는 일치하는 비밀번호와 일치합니다.

편집

당신은 소스 코드를 수정할 수 없기 때문에 이것은, 비록 FTP 서버의 경우에 도움이되지 않습니다 ...

Answer 2

할 수있는 OS X에서 Windows에서 C 애플리케이션 또는 코코아 애플 리케이션 단순히 알고리즘을 찾을 수 decompiled 수 있습니까?

예, 모든 사람이 만든 것은 다른 사람이 만들 수 있습니다. 절대은 민감한 데이터를 저장하기위한 가역 알고리즘을 사용합니다. - 은 리버스 엔지니어링됩니다. sidran32 쓴대로, 해시를 저장할 수 있지만, 클라이언트 도움이되지 않습니다

Answer 3

왜 디 컴파일의 고통을 통해 이동 - : 간단한

$strings <binary> 

이 그것을 할 것입니다 코드에 암호를 저장 절대로 작동하지 않을 것입니다 : 당신은 그들을 분할하고, 인코딩하고, 원하는 방식으로 그들을 암호화 할 수 있습니다 - 당신이 그들을 검증하기 위해 부품을 재 조립해야 할 시점이 있습니다. 바로 그 부분이 공격자가 디버거를 사용하는 곳입니다. 나는 비슷한 질문에 answer을 주었다.

유일하게 정말 안전한 방법은 암호 (또는 해당 이진 파일) 외부에 암호를 대역 외 정보로 저장하는 것입니다. 수백만 가지의 금이 간 Microsoft 또는 다른 제품이 입증됨에 따라 사용자가 염두에두고있는 이러한 종류의 DRM은 더 오랜 기간 동안 작동하지 않습니다.