Nelle notizie sulla sicurezza, ho affrontato un nuovo termine relativo alle funzioni hash: è stato riferito che " funzione hash interna " utilizzata in IOTA piattaforma è rotta (es. funzione hash di Curl-P). È possibile trovare il documento completo che introduce la vulnerabilità qui .
Ma non capisco se il termine "in-house" rappresenta un tipo specifico di funzione hash? E in generale, cosa significa "in-house" qui?
Dalla spiegazione di in-house in alla directory di Cambridge : "Qualcosa che viene fatto internamente è fatto all'interno di un'organizzazione o un'azienda dai suoi dipendenti piuttosto che da altre persone" .
Qui significa sviluppare il proprio algoritmo di hash invece di usarne uno pubblico. Di solito ciò significa che è sviluppato solo da poche persone con competenze limitate nell'area problematica e senza alcun input pubblico. Quindi è molto probabile che l'autosviluppo venga alla fine spezzato, una volta più esperti in crittografia danno un'occhiata a questo.
Vedi anche Perché non dovremmo eseguire il rollover? e Quanto è preziosa la segretezza di un algoritmo? .
Nel contesto della crittografia "in-house" è un sinonimo di "origine discutibile e forza non verificata".
Significa specificamente che hanno sviluppato una propria funzione di hashing (o in altri casi crittografia, schema di scambio di chiavi, ecc.).
Questo, in crittografia, è una cattiva idea con lettere maiuscole. Mentre si sviluppa la propria libreria di funzioni comuni o il proprio framework di servizio web o qualsiasi cosa possa avere un caso d'uso perfettamente valido, la crittografia è uno dei campi in cui un piccolo errore può rendere l'intera cosa incredibilmente fragile in un modo che si mai scoprire . Se crei il tuo server web ("il nostro server web in-house ad alte prestazioni ...") e c'è un problema, hai una buona possibilità di scoprirlo prima o poi perché si blocca, o invia i file sbagliati, o esegue male. Ma se il tuo algoritmo di crittografia ha un problema che distrugge la sua forza crittografica, devi essere molto fortunato che qualcuno che lo rompe in realtà ti dice. Le persone che tentano di romperlo sono quasi sicuramente degli attaccanti, perché pochissimi crittografi sprecano il loro tempo in qualche crypto hack interno. Sanno di attenersi agli algoritmi pubblici in cui conta davvero se trovano qualcosa, a più di una società.
Sono d'accordo con la risposta data un'ora prima di questa sul significato interno, "non standard e probabilmente non molto sofisticata o robusta". Potrebbe ancora esserci un argomento a favore dell'utilizzo di un hash interno. Cioè, potrebbe essere abbastanza diverso da quelli standard là fuori che un hacker potrebbe decidere che è troppo lavoro per capire come decodificarlo. Anche se accetti questo argomento, questo tipo di approccio fai-da-te dovrebbe sempre essere utilizzato solo per proteggere dati di valore molto basso.
Leggi altre domande sui tag terminology hash