Как стать автором
Обновить
180
0
Алексей @Scratch

Системный архитектор, криптоманьяк

Отправить сообщение
… Как на мове будет «Поросенок Пётр»?
Тот самый ключ в идеале и мешает. Сейчас (да и тогда) это можно было помимо ключа с програмкой организовать при помощи клиентских сертификатов.
Походу стоило просто отдельно написать статью об ecdsa)
Эм… если случайное число привязано к платежному документу, то имхо единственный способ повлиять на операцию это mim в момент отправки неподписанной платежки на сервер. Тут вы правы, лучше подписывать весь документ (его хэш) целиком.
К сожалению, я не был в курсе механизмов с клиентскими сертификатами на тот момент(2007 год), поэтому пришлось выдумывать свое решение
Кстати, вебмани тоже сама выдает и генерирует клиентские сертификаты)
не сработает — операция уже сформированная лежит ждет подписи
Рядом нельзя, т.к. если сервер поимеют то досвидос. На фре нельзя, т.к. писалась внешняя хранимка на С, а я кодить под никсы на перле умею маленько. По поводу того что было в хранимке:
Вторая часть
На тот момент это был весь арсенал моих знаний. Что такое веб сервисы я узнал только через год, но это была уже совсем другая система )
нельзя просто взять кусок оцифрованного шума и сказать «это — закрытый ключ». Шум в таком случае может использоваться лишь как часть механизма инициализации. Ключ ведь считается, подбираются параметры и.т.д
Проблема одноразовых блокнотов (а вы описали одноразовый блокнот) в том, что
1) ключ=размеру сообщения (каждый байт ключа ксорится с байтом сообщения)
2) Этот ключ надо каким то образом доставить получателю
Зато да, это единственный алгоритм который НЕВОЗМОЖНО взломать при хорошем ГСЧ
Можно конечно записать один шум на две болванки и развести их по континентам, но это ессно гемор.
Вы немного путаете. Эллиптикой (ровно как и RSA) ничего не шифруется. Они используются для согласования общего ключа, который уже используется в каком нибудь быстром симметричном алгоритме типа AES. Ну и для ЭЦП конечно.
За чистый инсерт не скажу, но многократный вызов хранимки, инсертящий по одной записи за раз заставил нас как то уйти курить на пол часа при 400к строк)
Имхо «комплект паролей пользователей у злоумышленника» это как раз таки компрометация БД, но в виду того, что часто L\p от базы лежат в каком нибудь config.php залезть в неё не представляет сложности. Мой подход избавлен от этой проблемы, можно хоть рута от веб сервера раздавать.
12 ...
82

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность