Diciamo che voglio usare un algoritmo di hashing di sicurezza, come bcrypt, e voglio usare una giovane implementazione bcrypt, ad es. chiamato libfancybcrypt
, invece di un'implementazione ben stabilita.
Naturalmente, posso semplicemente generare alcune migliaia o milioni di stringhe casuali, cancellarle con libfancybcrypt
e con la vecchia libreria ben stabilita e confrontare gli hash alla fine. Supponiamo, l'ho fatto e la nuova libreria in questione produce lo stesso risultato di quello ben consolidato per tutti gli input casuali.
La mia domanda ha due parti:
-
Supponiamo che l'autore della libreria possa essere considerato affidabile. Dato il mio test di inserimento casuale sopra: quanto è probabile , che l'autore accidentalmente introduca un bug con l'effetto che ci sono input per i quali viene calcolato l'hash sbagliato?
-
Supponendo che l'autore della libreria non possa essere considerato attendibile. Dato il mio test di inserimento casuale sopra: quanto è probabile , che l'autore abbia introdotto di proposito una backdoor di qualche tipo?
Correlati ma ancora diversi: