web-dev-qa-db-ja.com

「社内ハッシュ関数」とはどういう意味ですか?

セキュリティニュースで、ハッシュ関数に関連する新しい用語に直面しました: "社内ハッシュ関数"[〜#〜] iota [〜#〜]で使用されていると報告されています プラットフォームが壊れています(つまり、Curl-Pハッシュ関数)。脆弱性を紹介する完全な論文 here を見つけることができます。

しかし、「社内」という用語が特定のタイプのハッシュ関数を表すかどうかはわかりません。そして一般的に、ここで「社内」とはどういう意味ですか?

33
Questioner

in-houseの説明から Cambridge Directory "Something that is社内で行われるのは、組織またはビジネス内で、他の人ではなく従業員によって行われる」

ここでは、パブリックアルゴリズムを使用する代わりに、独自のハッシュアルゴリズムを開発することを意味します。通常、これは、問題の分野での専門知識が限られており、一般の人々からのインプットがまったくない、ほんの数人の人々によって開発されたことを意味します。したがって、暗号化の専門家がそれを見てみると、自己開発したものが最終的に壊れる可能性が非常に高いです。

なぜ私たち自身をロールバックすべきではないのですか?アルゴリズムの機密性はどれほど価値があるのか​​? も参照してください。

91
Steffen Ullrich

暗号化の文脈では、「社内」は「疑わしい起源と検証されていない強さ」の同義語です。

具体的には、独自のハッシュ関数(または他の場合では暗号化、鍵交換スキームなど)を開発したことを意味します。

これは、暗号法では、大文字の悪い考えです。一般的な関数のライブラリまたは独自のWebサービスフレームワークなど、完全に優れたユースケースを備えたものを開発している間、暗号化は、小さな間違いが全体を信じられないほど壊れやすくする可能性がある分野の1つです見つけることは決してありません。独自のウェブサーバー(「当社の高性能社内ウェブサーバー...」)を構築していて問題が発生した場合、クラッシュしたり、間違ったファイルを送信したり、実行したりするため、後ではなく早く発見できる可能性が高くなります。ひどく。しかし、暗号アルゴリズムにその暗号強度を破壊する問題がある場合、それを解読した人が実際にあなたに告げるのは非常に幸運でなければなりません。社内の暗号ハックに時間を浪費している暗号技術者はほとんどいないので、それを破ろうとする人々は攻撃者であることはほぼ確実です。彼らは、複数の企業に対して、何かを見つけた場合に実際に重要な場所にある公開アルゴリズムを使用することを知っています。

3
Tom