Score:1

จะเป็นการดีไหมที่จะสร้างฟังก์ชันแฮชการเข้ารหัสใหม่

ธง gb

จะเป็นประโยชน์หรือไม่หากสร้างฟังก์ชันแฮชการเข้ารหัสเพื่อความปลอดภัยที่มากขึ้น ฟังก์ชันแฮชการเข้ารหัสเป็นเหมือนอัลกอริทึมการสร้างสตริงสุ่มเทียม และอาจทำให้ยากต่อการแตกได้ง่ายโดยการเพิ่มจำนวนแฮชที่เป็นไปได้ที่สามารถสร้างขึ้นได้

เหตุใดจึงต้องสร้างฟังก์ชันแฮชการเข้ารหัสอื่น

ฉันต้องการแฮชรหัสผ่านในฐานข้อมูลเพื่อให้ผู้โจมตีไม่สามารถค้นหาค่าเดิมได้ ฉันสามารถใช้พริกไทยและ/หรือเกลือในขณะที่สร้างแฮชได้ แต่ฉันต้องการให้ปลอดภัยมากขึ้น เมื่อฉันจะทำให้ ที่เป็นกรรมสิทธิ์ ฟังก์ชันแฮชที่ไม่สามารถใช้ได้กับบุคคลทั่วไป ผู้โจมตีจะสร้างตารางสายรุ้งสำหรับรหัสผ่านได้อย่างไร

kelalaka avatar
in flag
ยินดีต้อนรับสู่ Cryptography.SE. ขั้นแรก ตรวจสอบให้แน่ใจว่าคุณเข้าใจว่าไม่มีการรักษาความปลอดภัยโดยความสับสน จะไม่มีใครใช้ฟังก์ชันแฮชของคุณ ประการที่สอง เมื่อพวกเขาเริ่มใช้งาน พวกเขาจะขโมยการออกแบบ ประการที่สาม คุณจะมีคำกล่าวอ้างที่ยิ่งใหญ่ที่คุณสามารถทำได้ดีกว่า Argon2 ฯลฯ ได้อย่างไร
kelalaka avatar
in flag
เราสามารถเรียกสิ่งนี้ว่าหลอก [ความแตกต่างระหว่างการเข้ารหัสทางอุตสาหกรรมและการทหาร](https://crypto.stackexchange.com/q/62511/18298)
kelalaka avatar
in flag
เเละอีกอย่าง; [เหตุใดจึงไม่สนับสนุนการเขียนการเข้ารหัสของคุณเอง](https://crypto.stackexchange.com/q/43272/18298)
Hargunbeer Singh avatar
gb flag
ขอบคุณ @kelalaka สำหรับแหล่งข้อมูล
Score:2
ธง us

ในขณะที่คุณสามารถสร้างฟังก์ชันแฮชของคุณเอง การเข้ารหัสแบบสมมาตร แผนการเข้ารหัสคีย์สาธารณะ และอื่นๆ ที่ไม่มีใครรู้ถึงการออกแบบของมัน อาจเป็นความคิดที่ดีที่จะพึ่งพาความคลุมเครือ (ตามที่ @kelalaka แสดงความคิดเห็น) เพื่อรับความปลอดภัย

ในศตวรรษที่ 19 Auguste Kerckhoffs ได้กล่าวถึงหลักการที่เราเรียกว่า "หลักการของเคิร์กฮอฟฟ์":

ระบบการเข้ารหัสควรมีความปลอดภัยแม้ว่าทุกอย่างเกี่ยวกับระบบจะเปิดเผยต่อสาธารณชน ยกเว้นคีย์ก็ตาม

นอกจากนี้ แม็กซิมของแชนนอน ถูกกำหนดขึ้นในศตวรรษที่ 20 และระบุว่า:

เราควรออกแบบระบบภายใต้สมมติฐานที่ว่าศัตรูจะคุ้นเคยกับพวกเขาอย่างเต็มที่ในทันที

หรืออีกนัยหนึ่ง - เมื่อคุณออกแบบระบบเพื่อความปลอดภัย คุณต้องถือว่าผู้โจมตีรู้ว่าระบบทำงานอย่างไร

ในตัวอย่างฟังก์ชันแฮชที่เป็นกรรมสิทธิ์ของคุณ ผู้โจมตีอาจเข้าถึงซอฟต์แวร์หรือฮาร์ดแวร์ที่คำนวณฟังก์ชันแฮชดังกล่าวได้ และใช้การวิเคราะห์การเข้ารหัสลับหรือวิศวกรรมย้อนกลับเพื่อจัดการเพื่อค้นหาช่องโหว่ เช่น การโจมตีแบบชนกันหรือการกู้คืนอิมเมจล่วงหน้า เทคนิค

อีกเหตุผลหนึ่งที่ไม่ควรพึ่งพาเทคนิคที่เป็นกรรมสิทธิ์หรือความลับก็คือความไว้วางใจของผู้บริโภค: เหตุใดผู้บริโภคจึงไว้วางใจว่าคุณรักษารหัสผ่าน (แฮช) ของพวกเขาให้ปลอดภัย หากคุณยอมรับว่าความปลอดภัยนั้นมาจากการไม่รู้จักการนำไปใช้

นี่เป็นเหตุผลว่าทำไมในอุตสาหกรรม การเข้ารหัสดั้งเดิม (ฟังก์ชันแฮช การเข้ารหัส แผนลายเซ็น ฯลฯ) มักจะถูกนำมาใช้หลังจากการตรวจสอบข้อเท็จจริงที่สำคัญจากชุมชนวิทยาศาสตร์เท่านั้น จากนั้น RFCs และมาตรฐานต่างๆ จะได้รับการร่างขึ้นเพื่อให้ผู้ขายและผู้ให้บริการสามารถวัดปริมาณความปลอดภัยของตนโดยระบุว่าพวกเขาปฏิบัติตามมาตรฐานใด

kelalaka avatar
in flag
Kerckhoffs เป็นคนแรกใน [หลักการของพวกเขา](https://en.wikipedia.org/wiki/Kerckhoffs%27s_principle)
yacovm avatar
us flag
ขอบคุณฉันเพิ่มมัน

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา