অ্যান্ড্রয়েড এনক্রিপশন এবং ঝুঁকির দক্ষতার ব্যাখ্যা

দ্রষ্টব্য: ভাল, অনুগ্রহের মেয়াদ শেষ হয়ে গেছে এবং আমি মন্তব্যগুলি থেকে সংগ্রহ করার সাথে সাথে সম্বোধনের জন্য প্রয়োজনীয় প্রচেষ্টা হতে পারে। উক্ত সংখ্যার সংখ্যা দেখে এটি অন্যের পক্ষেও আগ্রহী বলে মনে হয়। আমি এখনও একটি উত্তর পেতে চাই তাই আমি যা প্রস্তাব করছি তা এখানে- এক মাসের মধ্যে একটি ভাল উত্তর, 50 বোনাস পাবেন This এটি আমি আশা করি পর্যাপ্ত সময় এবং উত্সাহ দেবেন

আমি অ্যান্ড্রয়েড এনক্রিপশন প্রক্রিয়া এবং এর দুর্বলতাগুলি কিছু সময়ের জন্য বোঝার চেষ্টা করছি

এই সাইটে এবং বোন সাইটে এই বিষয়ের অংশগুলি সম্বোধন করার জন্য অনেকগুলি প্রশ্ন রয়েছে । আমার পয়েন্ট ফেরার আকুতি করার জন্য, এই প্রশ্নের সুরাহা অংশ এবং পুরো না এর (স্মরণ করিয়ে দেয় " অন্ধ পুরুষ ও একটি হাতির ?" :)

• মার্শম্যালো এনক্রিপশন কী রক্ষা করছে?
• পুরো ডিভাইস এনক্রিপশনটি কি গুগল এবং সরকার থেকে আমার ডেটা সুরক্ষিত করে?
• /android/137334/if-we-encrypt-our-device-can-user-connecting-to-adb-get-it
• এসডি কার্ড এনক্রিপশন সম্পর্কিত প্রশ্নাবলী
• অ্যান্ড্রয়েড-এনক্রিপশন-ফোন যখন অন-
• অ্যান্ড্রয়েড-cyanogenmod-এনক্রিপশন-বনাম-GNU
• is-সেখানে-ক্রিপ্টোগ্রাফিক-উপাদান-ইন-এ-ফোনের-সিম-কার্ড-যে-CAN-করা ব্যবহৃত-সঙ্গে-RSA
• অ্যান্ড্রয়েড-ডিভাইস-এনক্রিপশন

আমার বোঝাপড়া (বা ভুল বোঝাবুঝি?)

1. ব্যবহারকারী লক স্ক্রিন পিন এবং এনক্রিপশন অ্যালগরিদমের সংমিশ্রণ থেকে এনক্রিপশন পাসওয়ার্ড তৈরি করা হয়েছে (এতে পিনের সীমিত দৈর্ঘ্যের কারণে অন্তর্নিহিত দুর্বলতা রয়েছে)
2. এটি লবণযুক্ত এবং মূল স্থানে সংরক্ষণ করা হয়, এটি ব্যবহারকারীদের জন্য অ্যাক্সেসযোগ্য নয়
3. এটি এনক্রিপ্ট / ডিক্রিপ্টে প্রকৃত পাসওয়ার্ড তৈরি করতে ব্যবহৃত হয় এবং প্রকৃত পাসওয়ার্ডটি র‍্যামে সংরক্ষিত থাকে
4. পদক্ষেপটি 1 টি ডিভাইসের সাথে যুক্ত করে এটি শক্তিশালী হয়েছিল ( কোন অ্যান্ড্রয়েড সংস্করণ? কোনটি এমন হার্ডওয়্যার উপাদান যা ডিভাইসটিকে স্বতন্ত্রভাবে সনাক্ত করে? কী তা জালিতে প্রতিস্থাপন করা যায়? )
5. অতএব, এনক্রিপশন কী এবং ডিভাইস ছাড়াই ডেটা ডিক্রিপ্ট করা সম্ভব নয় (পাশাপাশি বাহ্যিক এসডিও ধারণ করে)
6. সম্ভাব্য পুনরুদ্ধার পদ্ধতি - জোর বল, কী পেতে র্যামের তথ্য (3 ধাপ) ক্যাপচার করছে
7. শিকড় ডিভাইসগুলি কাস্টম পুনরুদ্ধার / সম্ভবত আরওএম এবং কার্নেল ফ্ল্যাশিংয়ের মাধ্যমে পদক্ষেপ 2 ডেটা অ্যাক্সেস করতে আরও বেশি সংবেদনশীল বলে মনে হচ্ছে ?? ( যদি সত্য হয় তবে এটিকে কেন বড় ঝুঁকি হিসাবে চিহ্নিত করা হয় না? )
8. এমনকি যদি এই তথ্যটি পাওয়া যায়, তবে আমি অনুমান করছি যে আসল পাসওয়ার্ড তৈরি করা তুচ্ছ-তুচ্ছ প্রচেষ্টা নয়
9. মার্শম্যালো বাহ্যিক এসডিটিকে "অভ্যন্তরীণ স্টোরেজ" বা "পোর্টেবল স্টোরেজ" হিসাবে বিবেচনা করতে পারে। যৌক্তিকভাবে, এটি কোনও পার্থক্য করা উচিত নয় তবে নিশ্চিত নয়

আমার বোঝার ফাঁক আছে, সম্ভবত অন্যান্য মূল দিকগুলিও হারিয়ে যাচ্ছে।

সুতরাং, আমি ব্যবহারকারীর দৃষ্টিকোণ থেকে বোঝার জন্য একটি প্রচলিত ব্যাখ্যা খুঁজছি

• সম্পূর্ণ এনক্রিপশন প্রক্রিয়া (বহিরাগত এসডি সহ)

• অ্যান্ড্রয়েড সংস্করণগুলি জুড়ে বাস্তবায়নের প্রকরণ - কিটকাট থেকে মার্শমালো (মার্শমেলোতে বাহ্যিক এসডি জন্য দ্বৈত বিকল্প সহ)

• ব্যবহারকারীর পর্যায়ে দুর্বলতা

বিঃদ্রঃ

• প্রশ্নটি খুব বিস্তৃত হিসাবে বিবেচিত হওয়ার ঝুঁকি সম্পর্কে আমি সচেতন তবে আইএমও একটি বিস্তৃত চিকিত্সার আদেশ দেয়

• যোগাযোগ সুরক্ষায় কিছুটা অভিজ্ঞতা থাকার পরে, আমি ক্রিপ্টোগ্রাফিক ধারণাটি ব্যবহারকারীর পর্যায়ে অনুবাদ করার চ্যালেঞ্জটি বুঝতে পারি। আমি গভীরতর বোঝার জন্য ব্যাখ্যামূলক পয়েন্টার সহ, এটিকে সম্বোধনের উত্তরটি পছন্দ করব। প্রক্রিয়াটির উদাহরণগুলি কঠোর অর্থে ক্রিপ্টোগ্রাফিকভাবে সঠিক হওয়া উচিত নয় তবে তার সারমর্মটি প্রকাশ করা উচিত

• সম্ভাব্য সুবিধা হ'ল সম্পর্কিত বিষয়গুলিতে ভবিষ্যতের প্রশ্নগুলি "ডুপিং" করতে পারে

• পুনরাবৃত্তির ব্যয়ে উত্তরগুলি প্রাথমিকভাবে ব্যবহারকারী পর্যায়ে হওয়া উচিত , তবে গভীর বোঝার জন্য পর্যাপ্ত ব্যাখ্যা সহ। উত্তর দুটি অংশে বিভক্ত করা একটি উপযুক্ত উপায় হতে পারে।

• আমি বিস্তৃত উত্তর উত্সাহিত করার জন্য ভোটের তুচ্ছ / নৈমিত্তিক / প্যাচ কাজের উত্তরগুলি নীচে রাখার বিষয়টি উল্লেখ করব

আমি কল্পনা করি এটি এর মতো কাজ করে:

• স্টোরেজ সিঙ্ক্রোনাস এলোমেলো কী ব্যবহার করে এনক্রিপ্ট করা হয়।
• ব্যবহারকারী যখন কোনও পাসওয়ার্ড চয়ন বা পরিবর্তন করে যা যা কোনও ইনপুটের উপর ভিত্তি করে তৈরি করা হয়, তা অক্ষর এবং সংখ্যা এবং অক্ষরের সমন্বিত পাসওয়ার্ড হোক বা পিন কোড, বা প্যাটার্ন সোয়াইপ, বা আঙুলের মুদ্রণ, বা অন্য কোনও ইনপুট, অ্যাসিঙ্ক্রোনাস এনক্রিপশন হোক অ্যালগরিদম মাস্টার কী এনক্রিপ্ট করতে ব্যবহৃত হয়, যেমন সঠিক পরিচয়টি মাস্টার কী এর ফলে ইনপুট ডিক্রিপ্ট করে শেষ হয়, যার ফলে স্টোরেজ এনক্রিপ্ট করা এবং ডিক্রিপ্ট করা সম্ভব হয়।
• ব্যবহারকারী যে মুহুর্তে লগ আউট করবেন, সেই মাস্টার কী ধরে থাকা মেমরিটি ওভাররাইট করা হবে

এখানে বড় কৌশলটি হ'ল মাস্টার কীটি অ্যাসিঙ্ক্রোনাস এনক্রিপ্ট করা। অ্যান্ড্রয়েডের একবার মাস্টার কী হয়ে গেলে এটি স্টোরেজের সাথে ডেটা বিনিময় করার ক্ষমতা রাখে। যখন ব্যবহারকারী লগ ইন থাকে কেবল তখনই সেই মাস্টার কীটি জানা যায়। অ্যাসিঙ্ক্রোনাস এনক্রিপশন যাকে পাবলিক কী এনক্রিপশন বলা হয়। যা ঘটে তা হ'ল একটি সর্বজনীন কী ডেটা এনক্রিপ্ট করে (এই ক্ষেত্রে মাস্টার কী), এবং একটি ব্যক্তিগত কী ডেটা ডিক্রিপ্ট করে। এখানে স্টোরেজ এনক্রিপশনের সাথে বিভ্রান্ত হওয়ার দরকার নেই। স্টোরেজটি কেবল সিঙ্ক্রোনাস এনক্রিপশন। এনক্রিপ্ট এবং ডিক্রিপ্ট করতে একই কী ব্যবহার করা হয়। তবে সেই "মাস্টার" কীটি সন্ধান / পুনরুদ্ধার হ'ল বিগ। এর অর্থ হল যে যদি এক পর্যায়ে আপনার কাছে দুর্বল লগইন পদ্ধতি থাকে যেমন পিনকোড হিসাবে "1234" ইন্টেন্টেন্সের মতো, এবং আপনি আপনার মন পরিবর্তন করেন এবং পিনকোডটিকে "5364" তে পরিবর্তন করেন, তবে অনুমান করা শক্ত, "পূর্ববর্তী" 1234 " যে কোনও সময়ে চুরি হয়েছিল, ছিনতাই করা হয়েছিল, সুরক্ষাটি আরও ভাল হয়ে গেছে। সম্পূর্ণ পাসওয়ার্ডে লগইন পদ্ধতি পরিবর্তন করার সময় একই চুক্তি যা অনুমান করা বা অভিধান আক্রমণটি অসম্ভব। স্টোরেজটি নিজেই মোটেও পুনরায় এনক্রিপ্ট করার দরকার নেই। অভ্যন্তরীণভাবে - এই মাস্টার কীটি গোপন করার বিষয়ে। ব্যবহারকারী কখনই সেই মাস্টার কীটি দেখতে পায় না, কারণ এটি সম্ভবত একটি এলোমেলো হ্যাশ কোড প্রকারের - এটি হ্যাশ কোডটি কখনও "সন্ধান" বা "অনুমান" করতে পারে না। এমনকি এনএসএ বা গ্রহের অন্য কোনও সুরক্ষা সংস্থাও এর মতো মিলে যাওয়া চাবিটি খুঁজে পায় না। একমাত্র আক্রমণকারী ভেক্টর ব্যবহারকারীর পক্ষ থেকে দুর্বলতার আশা করছেন। সম্ভবত ব্যবহারকারী একটি পিনকোড লগইন পছন্দ করেছেন। যদি এটি 4 ডিজিট হয়, তবে এটি সর্বোচ্চ 10000 সম্ভাব্য পিনকোড। অল্প সময়ের মধ্যে কয়েকটি চেষ্টা করার পরে ওএস ডিভাইসটিকে "ব্লক" করতে পারে। সমাধানটি তখন ওএসকে "হ্যাক" করা, যাতে ওএস হস্তক্ষেপ না করে এবং ডিভাইসটি অবরুদ্ধ না করে সমস্ত সম্ভাব্য পিনকোড চেষ্টা করে দেখা সম্ভব হয়। আমি বিশ্বাস করি যে শেষ পর্যন্ত এফবিআই কোনও অপরাধীর ফোনে অ্যাক্সেস পেয়েছিল। তৃতীয় পক্ষের একটি সংস্থা (আমার মনে পড়ে যা কিছু ইস্রায়েলি সংস্থা) আমার মনে হয় এফবিআইয়ের জন্য হ্যাকিং করেছিল। তারা সেই পিনকোড-চেষ্টা সীমাটি বাইপাস করেছিল। লগইনটি যদি একটি পূর্ণ পাসওয়ার্ড হয় এবং যদি ব্যবহারকারী কোনও শক্তিশালী পাসওয়ার্ড বেছে নিয়ে থাকে এবং আপনি একান্তই হন। গ্রহের সমস্ত সিপিইউ শক্তি সহ একটি জীবন সময় নয় যে এটি এক মিলিয়ন বছরে হ্যাক করবে। আমি কোনও এনএসএ কিনছি না এমন কোনও গুজব ডিক্রিপ্ট করতে পারে। আমি মনে করি people লোকেরা একটিতে অনেকগুলি পুরুষের মধ্যে কালো সিনেমা দেখেছিল। সমস্ত কিছু করতে হবে বিভিন্ন এনক্রিপশন অ্যালগরিদমগুলি (যেমন। এইএস) সম্পর্কিত বৈজ্ঞানিক দলিলগুলি দেখুন এবং আপনি জানবেন যে হ্যাকিং কেবল ঘটবে না, পুরানো দিনগুলি বাদে যখন 40 বিট কী ছিল। অমন দিন অনেক আগেই চলে গেছে। AES128 ইতিমধ্যে অভাবনীয় আমার ধারণা, এবং যদি কেউ উদ্বিগ্ন হয় তবে AES256 এ ঝাঁপিয়ে পড়া মহাবিশ্বের আকারের পরিমাণে আরও সুরক্ষিত করে তোলে। হয়তো একদিন কোয়ান্টাম কম্পিউটারগুলি এটি ডিক্রিপ্ট করতে পারে তবে আমি সন্দেহবাদী। কোনও সম্ভাব্যতা সিস্টেমটি কেবল সমাধানটি হাইলাইট করা সম্ভব কিনা তা নিশ্চিত নয়। আমরা অবশেষে এটি সম্পর্কে দেখতে পাবেন। সম্ভবত এটি যাইহোক কয়েক জীবনকাল দূরে। এখনই চিন্তার কিছু নেই to

সুতরাং, দিনের শেষে, সুরক্ষা সীমাবদ্ধতা ব্যবহৃত লগইন পদ্ধতিতে সম্পূর্ণভাবে থাকে। স্টোরেজটি পুনরায় এনক্রিপ্ট না করেই কেউ পদ্ধতি পরিবর্তন করতে পারেন। এই সমস্ত কারণ মাস্টার কী এর অবিচ্ছিন্ন পাবলিক কী এনক্রিপশন।

আপডেটগুলি ঘন ঘন হওয়ার কারণে, ফোনে এনক্রিপশন (অ্যান্ড্রয়েড-ভিত্তিক ওএস) যেভাবে পরিচালিত হয় তা এক বিল্ড থেকে অন্য বিল্ডে পরিবর্তিত হতে পারে। অতএব, প্রাথমিক উদ্বেগ স্বয়ং এনক্রিপশন নিয়ে নয়, যেখানে প্রক্রিয়াটি চলছে is এবং যদি সেই প্ল্যাটফর্মটির দুর্বলতা থাকে তবে এনক্রিপশন অ্যালগরিদমের শক্তি নিজেই অল্প বা কোনও গুরুত্বের হয়ে যায়।

মূলত, একবার আপনার ডিভাইস ফাইল (গুলি) ডিক্রিপ্ট করে নিলে, সুপার ব্যবহারকারীর সুবিধাগুলি সহ কোনও প্রক্রিয়া সরাসরি তাদের অ্যাক্সেস করতে পারে। এই প্রক্রিয়াটি নিজেই রমের (অ্যান্ড্রয়েড ওএস) দুর্বলতা কাজে লাগিয়ে আপনার ডিভাইসে অ্যাক্সেস পেতে পারে। (উইকিলিক্সের দ্বারা কিছু ত্রুটি প্রকাশিত হওয়ায় এটি সম্প্রতি সংবাদে প্রকাশিত হয়েছিল)

শিকড় ডিভাইসগুলি কাস্টম পুনরুদ্ধার / সম্ভবত রম এবং কার্নেল ফ্ল্যাশিংয়ের মাধ্যমে পদক্ষেপ 2 ডেটা অ্যাক্সেস করতে আরও বেশি সংবেদনশীল বলে মনে হচ্ছে ?? (যদি সত্য হয় তবে এটিকে কেন বড় ঝুঁকি হিসাবে চিহ্নিত করা হয় না?)

রুটের আগে : কোনও ডিভাইসকে রুট করতে আপনাকে বাহ্যিক সরঞ্জামগুলি ব্যবহার করতে হবে যার সমস্ত ডিভাইসের অভ্যন্তরীণ কাঠামোর গভীর অ্যাক্সেস রয়েছে। এই সরঞ্জামগুলির কয়েকটি প্রাক্পম্পাইল এবং মুক্ত উত্স নয়। তাদের কাছে "অফিসিয়াল" ওয়েবসাইট রয়েছে তবে এই লোকগুলি কে? (উদাহরণস্বরূপ twrp.me, supersu.com, তবে কিঙ্গো রুটের মতো আরও কিছু রয়েছে) আমরা কি তাদের সত্যই বিশ্বাস করতে পারি? আমি অন্যদের চেয়ে কিছু বেশি বিশ্বাস করি। উদাহরণস্বরূপ কিংআররুট আমার পিসিতে একটি প্রোগ্রাম ইনস্টল করে যা ভাইরাসের মতো ফ্যাশনে আচরণ করেছিল (এটি সরাতে ডুয়াল-বুট ব্যবহার করতে হয়েছিল)।

আপনি রুট করার পরে : একটি সংকলিত প্রোগ্রাম (এপিএপি) একটি এসইউ অ্যাক্সেস দেওয়ার অর্থ এটি কোনও উদ্দেশ্য বা নিষেধ ছাড়াই যা ইচ্ছা তা করতে পারে যা কোন ইন্টেন্টটি ব্যবহার করবে। (এন্টিগুলি APK এর ওয়াইফাই, ক্যামেরা ইত্যাদির মতো জিনিস অ্যাক্সেসের উপায়) সুতরাং একটি "ভাল বিশ্বস্ত অ্যাপ্লিকেশন", রুট অ্যাক্সেসের পরে সহজেই যে কোনও ধরণের তথ্য অ্যাক্সেস করতে পারে এবং এটি তার সার্ভারে ফিরে পাঠাতে পারে।

পুরো ডিভাইস এনক্রিপশনটি কি গুগল এবং সরকার থেকে আমার ডেটা সুরক্ষিত করে?

গুগল - হ্যাঁ আনলক করার কী নেই।

সরকার (বা হ্যাকার) - না। কারণ সরকার বা হ্যাকার মূলত একটি শোষণ ব্যবহার করতে পারে যা আমি উপরে উল্লিখিত হিসাবে ফাইল (গুলি) বাধা দেবে।

সুরক্ষা পদ্ধতি / অ্যালগরিদমগুলির জটিলতাগুলি যদি তাদের বাধা দেওয়া এবং বাইপাস করা যায় তবে অল্প ব্যবহার হয়।

সম্পাদনা করুন: এটি উল্লেখ করার মতো যে গুগলের আসলে আপনার অনুমতি জিজ্ঞাসা না করে, অথবা আপনাকে আপডেটটি হয়েছে তা জানিয়েও অ্যান্ড্রয়েড ডিভাইসে অ্যাপ্লিকেশনগুলি ডাউনলোড এবং ইনস্টল / আপডেট করার ক্ষমতা রয়েছে ability এমনকি মূলযুক্ত ডিভাইসেও কী ফাংশন (প্লে স্টোর, মানচিত্র, সিঙ্ক, ইত্যাদি) না হারিয়ে এটিকে ব্লক করার কোনও উপায় বলে মনে হচ্ছে না Play