it-swarm.com.de

Was bedeutet "Inhouse-Hash-Funktion"?

In Sicherheitsnachrichten wurde ich mit einem neuen Begriff im Zusammenhang mit Hash-Funktionen konfrontiert: Es wird berichtet, dass die "interne Hash-Funktion" in [~ # ~] iota [~ # ~] verwendet wird). Plattform ist kaputt (dh Curl-P-Hash-Funktion). Das vollständige Dokument zur Einführung der Sicherheitsanfälligkeit finden Sie hier .

Aber ich verstehe nicht, ob der Begriff "Inhouse" eine bestimmte Art von Hash-Funktion darstellt? Und was bedeutet hier generell "Inhouse"?

33
Questioner

Aus der Erklärung von Inhouse in dem Cambridge Directory : "Etwas, das ist Inhouse erledigt wird innerhalb einer Organisation oder eines Unternehmens von ihren Mitarbeitern und nicht von anderen Personen ".

Hier bedeutet es, einen eigenen Hash-Algorithmus zu entwickeln, anstatt einen öffentlichen zu verwenden. In der Regel bedeutet dies, dass es nur von wenigen Personen mit nur begrenztem Fachwissen auf dem Problembereich und ohne öffentlichen Beitrag entwickelt wird. Daher ist es sehr wahrscheinlich, dass der Selbstentwickelte irgendwann kaputt geht, wenn sich noch einmal Experten für Kryptographie damit befassen.

Siehe auch Warum sollten wir nicht unsere eigenen würfeln? und Wie wertvoll ist die Geheimhaltung eines Algorithmus? .

91
Steffen Ullrich

Im Kontext der Kryptographie ist "Inhouse" ein Synonym für "fragwürdige Herkunft und unbestätigte Stärke".

Dies bedeutet insbesondere, dass sie ihre eigene Hashing-Funktion entwickelt haben (oder in anderen Fällen Verschlüsselung, Schlüsselaustauschschema usw.).

In der Kryptographie ist dies eine schlechte Idee mit Großbuchstaben. Während Sie Ihre eigene Bibliothek mit allgemeinen Funktionen oder Ihr eigenes Webservice-Framework entwickeln oder was auch immer einen vollkommen guten Anwendungsfall haben kann, ist Kryptografie eines der Felder, in denen ein kleiner Fehler das Ganze in gewisser Weise unglaublich zerbrechlich machen kann das Sie werde es nie herausfinden. Wenn Sie Ihren eigenen Webserver erstellen ("unseren leistungsstarken internen Webserver ...") und ein Problem auftritt, haben Sie gute Chancen, dies eher früher als später herauszufinden, da er abstürzt oder die falschen Dateien sendet oder ausgeführt wird schlecht. Aber wenn Ihr Krypto-Algorithmus ein Problem hat, das seine kryptografische Stärke zerstört, müssen Sie sehr glücklich sein, dass jemand, der ihn bricht, es Ihnen tatsächlich sagt. Die Leute, die versuchen, es zu brechen, sind mit ziemlicher Sicherheit Angreifer, da nur sehr wenige Kryptographen ihre Zeit mit einem internen Krypto-Hack verschwenden. Sie wissen, dass sie sich an öffentliche Algorithmen halten müssen, bei denen es tatsächlich darauf ankommt, ob sie etwas finden, für mehr als ein Unternehmen.

3
Tom