Цитата (MiksIr @ 25.07.2013 - 14:30) |
Цитата | Это можно считать security by obscurity? Ответ однозначен - нет. |
Ответ однозначен - да. Когда вы подмешиваете секретный ключ - вы меняете алгоритм. Алгоритм + какой-то неизвестный алгоритм (подмешивание неизвестных данных по неизвестному принципу) = новый неизвестный алгоритм.
|
Да почему он неизвестный то? Сам алогритм совершенно открыт, мы условились. Повешали его на самом видном месте огромными буквами. И принцип тоже на поверхности.
Возьмите любой криптографический алгоритм, там всегда куда то подмешиваются неизвестные данные (ключ). Однако это не значит, что он security by obscurity. Как раз ключ то и является тем единственным, что априори должно быть секретным.
Так что ответ однозначен - нет.
Цитата |
Желаетльно, правда, быть спецом в криптографии, ибо можно случайно сломать алгоритм. Я там приводил ссылку на хабр, где об этом в двух словах рассказано. По-этому лично я - не рискую. |
Да причем тут криптография. Её то как раз я и не касался в своей функции. Криптография, это если бы я начал выдумывать свои алгоритмы хэширования. А я использую стандартные. Что кстати рекомендовал дядка с рыжей бородой.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Цитата (MiksIr @ 25.07.2013 - 14:33) |
Спасибо, что решили все за меня. Это тоже характеризует вас определенным образом. Проблема в том, что пока ничего нового я от вас не услышал. Возможно в электронике можете мне что-то новое рассказать, хотя мое высшее - микроэлектроника, но, признаюсь, по профессии не работал и мало что помню. А в программировании пока - ничего. |
Я не решил, я предположил (находим в тексте слово "вряд ли").
Хотя. как понимаю, в предположениях не особо ошибся. Я ничего нового вам и не пытался рассказать, я просто отстаивал свою точку зрения. которую вы подвергли критике на грани нападок. А с очевидным так и не соглашаетесь. Ну вот как вы прокомментируете ваше заявление
Цитата |
Я тебе чего, думаешь, пример приводил вызова crypt? Блин, ты же ничего не понял. rounds=1000000 - это количество итераций. Админские пароли и я генерю rounds=3000000, больше уже не нужно, и так ксеон пару секунд считает. |
плюс рекомендацию Пол-Хеннинга
Цитата |
On a state of the art COTS computer, the algorithm should take at the very least 0.1 second (100 milliseconds) when implemented in software, preferably more. |
и время выполнения на моем стареньком ноуте примера из руководства по Yii
crypt('EgzamplPassword', '$2a$10$1qAz2wSx3eDc4rFv5tGb5e4jVuld5/KF2Kpy.B8D2XoC031sReFGi');
0,06c??? Я прокомментировал, вы стыдливо умолчали. Я понимаю, признаться в неправоте трудно, но я и не настаиваю. Мне это не важно. Мне важнее что я сам понял. А как вы к этому отнесетесь, дело двадцатое.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Цитата (MiksIr @ 25.07.2013 - 15:23) |
Используете blowfish? Увеличьте цену! |
Да не я!!! Ваш хваленый хэлпер из Yii. Которым вы тут недавно восторгались. Мне то как раз и не нужно этого делать, я и своими средствами обойдусь.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Цитата (MiksIr @ 25.07.2013 - 15:20) |
Не нужно смешивать шифрование и хеширование. В хешировании изначально нет никаких секретных ключей. Внося изменения в процесс - вы меняете алгоритм. В шифровании наличие ключа _изначально_ заложено в алгоритм. Это _часть_ алгоритма изначально. В получении хеша _изначально_ никакие ключи не заложены. Вводя какой-то ключ - вы меняете алгоритм. |
Но он же открыт
Пусть измененный, но открытый. Кроме значения ключа известно все. Где тут маскировка? Где тут security by obscurity???
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Фиксирован. На то и ключ. В другом проекте - другой. И вот это алгоритм:
Цитата |
взять строку, приклеить к ней wpriuh45, начать мешать байты |
И звучит не так. А вот так:
Цитата |
взять строку, приклеить к ней ключ, начать мешать байты |
И алгоритм этот открыт. А ключ - закрыт. Что вполне отвечает принципам.
Да и это не важно, это терминология. Важно то, что мой принцип в общем не противоречит нормам и правилам. Чего собственно я от вас и добивался:
Цитата |
Если вы вносите изменения в уже существующий алгоритм, в котором есть все защиты с целью добавить туда security by obscurity - это... ну нормально, в общем. |
Согласитесь, это несколько отличается от первончальной оценки:
Цитата |
Слуш, ты чо, дурак? |
В общем и целом я удовлетворен результатами. Еще раз спасибо, тему считаю исчерпаной.
UPD С хелпером был не прав, признаю.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Эли4ка
26.07.2013 - 04:47
Цитата |
все элементы защиты, а не только "неизвестность". |
а это как?
разве защита-это не то же,что и неизвестность для посторонних лиц?