информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медСтрашный баг в WindowsАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Могу ошибаться, но хэш-таблица, это когда каждому элементу... 24.05.05 11:01  Число просмотров: 3784
Автор: Heller <Heller> Статус: Elderman
<"чистая" ссылка>
> Дело в том, что карточки выпускаются ежедневно и так же
> ежедневно удаляются просроченные карточки. Использовать
> хеш-таблицу на все пространство серийников (12 десятичных
> разрядов) - никакой памяти не хватит. И это только на
> таблицу, нужно разместить еще сами данные. Вообще
> хеширование можно использовать для исключения нескольких
> начальных уровней в дереве, но на фига? 3 вместо 4-х? Ну
> дык при правильной организации хранения первые несколько
> уровней и так будут закешированы. И весь поиск будет
> вестись в памяти
Могу ошибаться, но хэш-таблица, это когда каждому элементу структуры однозначно соответствует ключ, по которому его можно найти, причём этот самый ключ прописывается в структуре. В данном случае ключ у нас выпадает и по факту это всё же массив. Ну да не важно.


> Я не совсем понимаю, что мы тут экономим. Сейчас 1 Мб DDR-а
> стоит $0.10, может еще на спичках предложите экономить?
> Теряем мы помимо процессорного времени, занятого
> вычислением криптографических функций, БЕЗОПАСНОСТЬ. То
> есть то, ради чего все затевалось. Можете считать, что
> табличная организация - это ноль, заксоренный одноразовой
> гаммой (одноразовый блокнот) - самый стойкий из известных
> на сегодня методов шифрования.

Я же не сказал, что я бы стал так делать :-), я сказал, что возможно они руководствовались такими соображениями. Естесственно, если у них там сидят плохие безопасники (а возможно, они на эту должность забили, набрав простых программистов - такое тоже бывает). Плюс к объёму, мы на этом экономим вычислительные мощности (если учесть мою провалившуюсю гипотезу о том, что карточки выпускают достаточно редко). Вычисление средней хэш-функции гораздо быстрее, чем обход дерева, каким бы оно ни было.

Где мы теряем в безопасности опять же не ясно. Как я писал выше, даже если номера карт "случайны", они всё равно представляют из себя _псевдо_случайную последовательность, которая генерится рекурсивно. Эту рекурсивную процедуру можно либо угадать (маловероятно), либо подсмотреть. Прирост в безопасности для меня не очевиден.

Причём тут одноразовый блокнот не понял вовсе. Кстати, одноразовый блокнот - это не "самый стойкий из известных на сегодня", а "абсолютно стойкий на все времена" (если ключ случаен). Доказано Шенноном.

ЗЫ. Я вот ещё что подумал: взлома скорее всего не было и у них действительно просто украли базу или сунули стопку карточек в топограф. Они ведь просили купить только карточки определённого номинала, а не любую. Если бы это был взлом, то им было бы без разницы. Конечно, они могли расчитывать на то, что если требовать только определённые карточки, то это будет больше похоже на лотерею, либо они не захотели размениваться по мелочам, но мне это кажется маловероятным. (Хотя они могли расчитывать и на конкретный ход мыслей как у меня, что бы отвести внимание следствия от себя).

ЗЗЫ. Однако я подозреваю главным образом топ-менеджеров. Кому нужно СТОЛЬКО денег на мобильнике? Забрать-то их, как я знаю, нельзя. Единственный вариант - они забрать их всё же могут, а значит, это уже действия сотрудников компании.
<hacking> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach