V2EX › 8520ccc 的所有回复 › 第 18 页 / 共 20 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 10 11 12 13 14 15 16 17 18 19 ... 20

❮

❯

2022-05-03 16:12:58 +08:00

回复了 Skeleies 创建的主题 › 程序员 › 聊天软件端对端加密疑问

我的理解

现有的用户不自行保存私钥的情况下实现的端到端加密方式如下：

用户 A 用户 B 分别生成私钥+公钥

然后将公钥发送到中心化的服务端

A B 之间通讯时需要先去查询获取对方的公钥

然后彼此的消息使用对方的公钥加密，对方使用私钥解密

当然了这样性能不够好，可以按时间生成对称加密密钥，两者仅需在一段时间内协商好对称密钥即可

此时会存在一个小问题，如果 A 或 B 用户完全退出登录 APP 清楚数据

重新登录后将失去查看历史记录消息的能力

因为私钥是不可以上传的服务器的

即仅可以在客户端可见

同时若多客户端同时登录一账户也会存在问题，新的设备没办法获取当前的私钥

当前服务商可以选择从旧设备上面加密获取

但是此操作可能会被服务商利用

比较好的处理方式就是，新设备登录时需要任意一个旧设备点击确认（点击确认就代表把旧设备的私钥以安全的方式传输给新设备）

这样可以实现多客户端同时登录

-----------------------------------------------------------

回归原题，检测是否为端到端加密，那就是审核客户端代码了，只要客户端的代码中没有将客户端生成的公钥上传的服务端那就没问题！或者说即使有上传私钥的情况也是必须经过用户确认授权然后加密传输到新设备的！

PS：事实上这种确认授权的方式依旧可能被服务商利用，然后获取你本地的私钥，即使需要用户确认（因为服务商可以返回一个伪装的新的客户端的公钥）

除非旧设备直接扫码获得新设备的公钥，然后直接上传服务商传输

那么此时的私钥传输是安全的

---------------------------------------------------------------

事实上对于普通用户，想要完全验证几乎不可能的！！！

因为即使客户端代码开源，但是上架到 app store ，google play 以及其他平台的客户端编译后的软件你没办法确认是否携带了私货

此时大概能有以下几种方案进行解决
一，抓包验证，客户端的所有请求都是可以被抓包后解密出原文的，可以通过此 APP 的全部网络通讯来确定不存在上传额外的信息
二，自行编译源码

--------------------------------------------------------------

其实也有另外的实现方式，那就是用户自行保存私钥的模式

这就是目前 web3 社交 /聊天项目的实现了

2022-02-24 12:28:22 +08:00

回复了 justNoBody 创建的主题 › 程序员 › 求一个高带宽的低价云服务器做内网穿透

预算多少啊？一个月要多大宽带啊每月流量多少啊？

2022-02-19 09:31:33 +08:00

回复了 netnr 创建的主题 › 问与答 › http3 quic 和 http2 的对比

@wellsc 都内网了还缺宽带嘛。。。。quic CPU 消耗更高而且速度不一定比 TCP 更快（我 windows 本地测试 quic-go ）才 40M/s CPU50%了（ I5 11500 ）

Linux 上面才 200M/s

TCP 多少？

而且 Quic 强制 tls 内网是否需要 tls 也是有待商榷

quic 适用于非超高宽带，低延迟，较差的网络（或者延迟高的）

quic 主要优势在于基于 UDP 可以降低 TCP 三次握手延迟

2022-02-18 11:03:27 +08:00

回复了 netnr 创建的主题 › 问与答 › http3 quic 和 http2 的对比

@wellsc 内网反而没需求，内网 tcp 不香嘛……

2022-01-10 21:28:03 +08:00

回复了 8520ccc 创建的主题 › 程序员 › 如何自己实现一门脚本语言？并且内置注入一些函数什么的？

@mxT52CRuqR6o5 而且是闭源的

2022-01-10 21:22:06 +08:00

回复了 8520ccc 创建的主题 › 程序员 › 如何自己实现一门脚本语言？并且内置注入一些函数什么的？

@mxT52CRuqR6o5 别人原创的……

2022-01-10 08:33:28 +08:00

回复了 8520ccc 创建的主题 › 程序员 › 如何自己实现一门脚本语言？并且内置注入一些函数什么的？

@murmur 我想兼容别人的脚本语言！即按它的逻辑实现一个我自己的解释器

2021-12-30 17:54:00 +08:00

回复了 y35u 创建的主题 › 分享创造 › 虚拟币 K 线分析😜-k 线导演，完全免费

怎么联系？加个微信吧 c2t5cXFjYw==

2021-12-30 17:46:33 +08:00

回复了 y35u 创建的主题 › 分享创造 › 虚拟币 K 线分析😜-k 线导演，完全免费

视频不清晰呀推荐使用

https://obsproject.com/zh-tw

obs 进行屏幕录制。。。。

2021-10-19 22:24:43 +08:00

回复了 qdwang 创建的主题 › Apple › 据说 M1 Max 性能可以挖矿

@dejavuwind 相对更保值吧，应该

2021-08-30 10:06:57 +08:00

回复了 Skmgo 创建的主题 › 程序员 › 如果钱包不做尝试失败限制, 是不是理论上有个足够强大字典文件就可以破解私钥?

在很久以后可能可以实现另类的彩虹表

输入钱包地址即可返回钱包私钥

不过真到哪个时代，这些早就没有价值了

2021-08-30 10:05:06 +08:00

回复了 Skmgo 创建的主题 › 程序员 › 如果钱包不做尝试失败限制, 是不是理论上有个足够强大字典文件就可以破解私钥?

区块链的，主要是空间太大了，你的尝试变得毫无意义（现阶段而言

楼上已经说了空间为 2^256 但是实际应该没有这么大（具体记不太清但是就算小一点也小得有限，还是对现今而言是无穷大的数字

再者，现今的几个公链：
ETH/BSC/BTC/TRoN

其实总共的有效地址也没有多少

并且大多数资金都在一小部分地址里面

就算每个链有价值的地址为：30 万个地址

那么每次随机获得有效地址的可能性为

30 万 /2^256

大概就是 2^240 分之一左右

这个数字……意义真的不大，就算你现今能集结很多设备一起

又能消除几个零呢？

这个方案以后会有用的……

2021-08-24 20:01:55 +08:00

回复了 8520ccc 创建的主题 › 职场话题 › 应届毕业生，即将去北京找工作，我能拿 30K 以上吗？来打醒我

@rxswift 我学校比较垃圾，东西都是自学的，从高二开始在网上做业务（从 PHP 开始，这 5 年一直在自己搞事情

2021-08-24 19:39:47 +08:00

回复了 8520ccc 创建的主题 › 职场话题 › 应届毕业生，即将去北京找工作，我能拿 30K 以上吗？来打醒我

@young1lin Boss 上智能合约方面的问题不大，Golang 的话看那方面了

2021-08-24 19:26:47 +08:00

回复了 8520ccc 创建的主题 › 职场话题 › 应届毕业生，即将去北京找工作，我能拿 30K 以上吗？来打醒我

@ClutchBear 运气比较好罢了，现在又得从头来过了，挺难的

2021-08-24 18:49:48 +08:00

回复了 8520ccc 创建的主题 › 职场话题 › 应届毕业生，即将去北京找工作，我能拿 30K 以上吗？来打醒我

@HUNYXV 我的室友应该不会在这个站