base64 的安全性如何

这是一个专门讨论 idea 的地方。

每个人的时间，资源是有限的，有的时候你或许能够想到很多 idea，但是由于现实的限制，却并不是所有的 idea 都能够成为现实。

那这个时候，不妨可以把那些 idea 分享出来，启发别人。

This topic created in 3220 days ago, the information mentioned may be changed or developed.

base64 虽然只是编码文档，但也用到了编码字符表格：
"ABIDEFGHCJKLMNOPQujTUVWXYZabcdefghiSklmnopqrstRvwxyz0123456789+/"

如果把这个字符表随机打乱，比如
"/EXHYI6sc9RJPZyeqWi2QbNdh5uDL1MonwfS8VKxUrvF03lAGt7OgBk+zjC4Tmpa"

这样的话，有 64!（ 10^89 ）种可能。所以如果不知道打乱之后的字符表，而且这个字符表只有我自己知道，那是不是就已经实现了非常安全的加密？

应用：做了个网页文章的加密方法，生成随机字符表加密解密。

Supplement 1 · Aug 31, 2017

多谢众多 v 友科普。。的确不关 base64 的事

字符

base64

加密

编码

43 replies • 2017-09-01 20:10:21 +08:00

66beta

Aug 31, 2017

只有你知道，你打算用来干什么？

LeeSeoung

Aug 31, 2017

出现规律是可以统计的。。。如果能确定算法是 base64 编码表是可以被逆向出来的。

Mac

Aug 31, 2017

自带密码本的话，干嘛还要 BASE64，任何 ASCII 都可以啊，换成 BASE64 还占空间。

nazor

Aug 31, 2017

额，网页加密的话，那解密算法不就被知道了。

yidinghe

PRO

Aug 31, 2017

简单的用来躲避敏感词检查是可以的。

wevsty

Aug 31, 2017

数据经过密钥变换成密文，密文安全不安全这是加密算法的问题，和 base64 有毛关系？

aploium

Aug 31, 2017

虽然在知道加密方式的前提下非常容易攻破, 不过用来欺骗别人的 base64 解码器倒是可以的 (可是那为什么不简单地 AES 一下)

FanWall

Aug 31, 2017 via Android

无安全性可言

Leafove

Aug 31, 2017

base64 目前用来防止爬虫还可以,其他算了

learnshare

Aug 31, 2017

xiami 的 URL 规律就被猜出来了，当然加密步骤太少，逻辑太简单

terrawu

Aug 31, 2017

躲避敏感词检查也不行，比如过滤器可以直接把 “郭文贵” 预编码成 base64 可能的组合格式（不多），然后直接 AC 自动机识别即可。不需要解码了。

scriptB0y

Aug 31, 2017

跟 base64 没什么关系，原理就是个两个密码本，第一个是固定的（ base64 ）第二个是随机的。

base64 的部分也可以换成“将字符变成在键盘上的位置，比如 a 变成 3，1 表示第三行第一个”

BOYPT

Aug 31, 2017

自己开脑洞想出来的都不安全。

Valyrian

Aug 31, 2017

https://en.wikipedia.org/wiki/Caesar_cipher#Breaking_the_cipher

redtea

Aug 31, 2017

这不就是凯撒密码吗？即使是德军使用的恩尼格玛密码机，号称不可破解，最后还是被图灵破解了。

Daming

Aug 31, 2017

一般做下 rot13 就可以满足要求了。

helica

Aug 31, 2017 via iPhone

老老实实 sha aes 吧

40huo

Aug 31, 2017

单表加密没用的，还是用点现代的加密吧

jacy

Aug 31, 2017

@learnshare 有链接吗，想看看

learnshare

Aug 31, 2017

@jacy 相关资料能搜到的

billlee

Aug 31, 2017

单表密码，统计一下各个字符的频率，就破解了

KevZhi

Aug 31, 2017

凯撒密码已经被通过统计学方法破解，英文正文内每个字母出现的频率都是有大概的值的

caomu

Aug 31, 2017 via Android

有密码学入门的书推荐吗？

Shura

Aug 31, 2017

@caomu 《图解密码技术》

zhs227

Aug 31, 2017

针对英文的只要统计一下字母的使用频率就可以解出来。中文的可能复杂一些，但并不是不可解。
最好的还是非对称加密。

ctt

Aug 31, 2017

@zhs227 #25 我也是在想实践方面，中文文章的话还是可以一用的，特别是文本比较短的话，特征不太明显

zhs227

Aug 31, 2017

网页的其实没有用，因为还原算法是明文的。如果你做个 App 还算有点意义。
能防止 censorship，目前还没有看到其它优势。写来玩一下也还是可以的，至少方法上是可行的。

ctt

Aug 31, 2017 via Android

@zhs227 访问者持有密码本，然后浏览器里 js 解码，应该不会被窃吧

zhs227

Aug 31, 2017

原谅我实在脑洞没开那么大。如果你是说把上面 base64 那一长串东西输入到表单里，然后点击确定再查看的话，一般的用途还是可以了。

shuangguanQuail

Sep 1, 2017

信息安全准则之一：不要随意使用自己设计的加密算法。

而且，这个连加密算法都算不上吧

johnnie502

Sep 1, 2017

这和明文有区别？

yangqi

Sep 1, 2017

@ctt 访问者如何获得密码本？

loadinger

Sep 1, 2017

编码和加密

tghgffdgd

Sep 1, 2017 via Android

@yidinghe 说到躲避敏感词我就想笑，某网站在线加解密 based 因为编码文出现 tnt 直接被替代字符串了

chuanqirenwu

Sep 1, 2017

怎么解密？

ctt

Sep 1, 2017

@chuanqirenwu #35
写写小文章，偶尔需要加密，但我用的 github page 所以就纯静态的想用 js 实现下加密解密，之前感觉 aes 啥的太复杂，于是试了下 base64 更换那个编码表的方案。（现在已经用 aes 实现了一个）

方法是这样的：

一个 js 文件里面包括了 base64 编码函数。另一个 js 里面存放了根据特定编码表（就是那一长串 64 位字符）加密好的文章。

一个 html 文件实现文章的显示。通过识别 url 里的 hash，那个#后面的字符作为文章键值，找到 js 文件对应的加密字符串，然后需要输入密码，就是那一长串 64 位字符，然后浏览器中 base64 解码了。当然每次输密码也比较麻烦，url 里面如果同时包含了那一长串和文章的键值，那就可以直接解密显示。

至于如何添加文章，做一个生成器。可以把要加密的文章输进去，生成对应的一行加密后的内容，添加到那个存储文章的文件里。。。图片附件的我用 aes 实现了下。

chuanqirenwu

Sep 1, 2017

@ctt 放在 URL，URL 会不会有长度限制。我可以这样理解么？本质上是通过对照密码本解密的？

wizardforcel

Sep 1, 2017 via Android

@LeeSeoung 统计频率是最不靠谱的，因为可以混淆。

paragon

Sep 1, 2017

在统计学面前这些都是鶸~

nadoo

Sep 1, 2017

@learnshare 说到虾米，刚去看了下，虾米现在貌似不是数字 id 了，如： http://www.xiami.com/song/VdNH54440 您是说现在虾米 url 中的这个 id，和数字 id 的转换算法，有人公布了吗？

ctt

Sep 1, 2017

@chuanqirenwu #37 是的，就是换了套对照的密码本。大部分浏览器处理几百个字符长度的网址都是毫无压力的吧，密码本就是 64 位还可以。

learnshare

Sep 1, 2017

@nadoo 说的是 API 里 mp3 URL 的加密方法，不是音乐 ID

nadoo

Sep 1, 2017

@learnshare OK，收到！