не буду спорить. Для чего конкретно используется хэш в данном случае - нужно вникать в специфику работы с документами в суде.
Если хэш просто для создания индекса (для поиска, например) на документ - то это вполне нормальная и типичная практика. И в этом случае выбор алгоритма определяется скорее "так получилось" (размер/формат индекса вот такой и это уже тяжело изменить), чем требования "нет коллизии".
Если "подпись", то сам по себе хэш ну ни как не может быть "подписью". Что собственно и вызывает сомнение в Вашей интерпретации назначения MD5 в "судебной практике" как "подпись".
Использование уязвимых к подбору коллизий алгоритмов хэш в алгоритмах криптографических подписей не допустимо если:
данные достаточно большие (для коротких данных время подбора коллизии стремится к бесконечности)
данные не имеют никаких других критериев целостности кроме самого хэш.
Меня бесят "специалисты" безопасности, которые считают, например, что факт уязвимости SHA-1 требует перевыпуска подписей публичных ключей на SHA-512 (например). Иначе мол ключ можно изменить. Ну ну.
Вам же сказали (*), что в ДАННОМ случае, MD5 используется не по всему документу, а по очень ограниченному набору данных и как индекс фактически. А не как "подпись" содержимого документа.
Для подбора коллизий, требуется что бы:
объем данных, по которым считается хэш, был большим
коллизия была не проверяемой
В тексте, не так просто подобрать коллизию, что бы он не стал мусором.
Кстати, на платежных картах, как был SHA1 в сертификатах EMV, так и остался. И даже не потому что это дорого все менять. А скорее потому, что подобрать пару секретный публичный RSA ключ так что бы сохранить SHA1 хэш от публичной компоненты задача ничуть не проще чем просто "взломать" существующий корневой EMV публичный ключ Visa/MC/..
А Вы вместо того, что бы опровергнуть/подтвердить это начинаете цитировать "об опасность подписи документов".
(*) - человек наверное знает, раз сказал. Особенность использования в данной теме.
Часть задач из статьи требуют начальных знаний Python Рассмотрим пример кода на Python Вторая часть статьи — для кандидата на позицию системного аналитика (СА)
А вы точно по проектированию HTTP вопросы задаете? А не по питону? Странный набор высосанных из пальца и не систематизированных вопросов.
Т.е. аналитик должен знать питон. А если знает как пользоваться curl или postman или, например, js (не знаю уж зачем это аналитику знать JS), но не знает питон - то он все! не знает принципе протокола HTTP (как бы REST) Вы это серьезно?
Даже на 50 метров направить пятно лазера (с учетом, что его не очень видно глазами и оно где то 2-3 см диаметром видно на камеру без IR фильтра) на приемник и обеспечить его неподвижность (дома оказывается на высоких этажах отнюдь не неподвижны) - это проблема. Большая.
фотодиод (нужен IR фильтр и корпус и линза) засвечивается солнцем и переходит в режим насыщения.
Схема ОУ на входе и ключом на полевике с ограничением тока диодов резистором и с обычными светодиодами диодами - несколько "наивная реализация". такой репитер будет работать на 5 метров в комнате. Максимум.
Ну схемы по сути это тоже затраченное время.. Да и сами схемы, простите денег стоят..
Такие? :)
В общем зря я в эту полемику влез. Зряшная трата времени.
Поскольку давно (лет 10) назад я пробовал сделать IR канал для передачи трафика, то прекрасно осознаю, что "нарисовать схему" - это "что нам стоит дом построить - нарисуем будем жить". Проблемы возникнут на физическом уровне даже на расстоянии 50 метров для IR лазера. Поэтому мой скептицизм к этой статье. Нарисовать схему - это ни о чем. Вообще ни о чем.
не первые - то же. Полно вижу Verifone SC5xx и SC8xx а там те же микрики на вскрытие. Впрочем, ключи в криптомодуле клавиатуры. Но подозреваю, что при желании их взять от туда не принципиально сложно. Хотя зачем. они только на данный терминал. Проще навесить на клавиатуру/ридер доп шпиона аппаратного.
Это устройство обладает огромным количеством средств физической защиты. Например, если попытаться её вскрыть, то сработают специальные датчики: температуры, влажности, движения. И память устройства сразу очищается.
Почему то вспомнились RG7xxx Thales HSM на нескольких Z80 и с защитой парой микриков на снятие крышки в которой полно было технологических отверстий. Нее.. современные железки выглядят солиднее. Да и кто же позволит в них лезть/вскрывать при их стоимости.
А еще есть иллюзия, что закрытые системы, получившие сертификаты от гос учреждений, более безопасны. Ну ну..
Я долго ржал на алгоритмом "шифрования" открытого канала поверх TCP/IP в одном криптографическом софте, навязываемом всем .... (цензура) центральным ... (цензура) и обязательном к использованию.
"Шифрование" заключалось в циклическом XOR константой(!). ну и прочий отврат вида: "ключница водку делала".
С документацией в виде классических формуляров. Аж ностальгией поверяло. Формуляры какие были на армейское оборудование. Тогда правда на синьке/бурке бумажные копии. Но внешне один в один. Много бюрократического текста и ничего полезного.
Пришлось разбираться с протоколом, потому что приложенная библиотека была убога до невозможности и надо было сделать своей вариант, выдирая из PDF (!) спецификацию на протокол, которая усилено сопротивлялась выдергиванию через copy|paste.
А как бесит использовать ПО КриптоПро JCP вместо bouncy castle (в BC хоть можно глазами проверить исходный код). И какие слезы наворачиваются при взгляде на ценник функциональной копии Thales HSM от КриптоПро. С учетом, того что софтверный эмулятор Thales HSM для тестового комплекса еще лет 10 назад не было только у самого ленивого.
Еще когда первую систему "ГАС выборы" развозил/расставлял, то понимал, что не студенты писали ПО (сам студентом был), а ПТУ-шники или школьники. И охреневал от сумм. Было шоком для наивного. Но потом привык. Все так было и будет.
Так что в ...(цензура) эти поделки приближенных к бюджетным деньгам организациям. Так было и будет, что в них вначале распил, а на разработку конкретного продукта по минимому.
Конечные терминалы приема. Все это очень древнее. В какой ни будь старый mc/avr с 16Кб памяти ничего толком и не запихнуть. Да и смысл. Ну взломали. Утерянная выгода от проезда 5-10 человек на общем фоне это смешно.
вот вы то же отреагировали эмоционально. А я тогда еще учился и курс мат статистики был просто вот в процессе. И прекрасно понимал, что это просто средство для защиты диссертации, а не задача получить какие то достоверные данные
не лучше ли тут перебдеть, чем недобдеть?
Нет. Ложными выводами на основе подогнанных данных можно сделать только хуже.
Когда то давно, я занимался картой Новосибирска и к нам приходили "ученые" с предложением нанести на карту выходы радона и заболевания раком крови у детей для доказательств корреляции. Очень похожие цифры мне запомнились: меньше 200 случаев за 10 лет. Без информации о том, откуда кто приехал и сколько вообще в нске жил до. Мы их мягко послали (афера для кандидатской)
Хотя.. тут же магические слова "машинное обучение"! но цифры близки. Кто ни будь точно материал на кандидатскую, а то и докторскую наберет.
(Эх.. знать бы в 1998 чего и куда. Карта и самописное ПО под нее была полней чем у Сысоева и работала быстрее. Ходили к нему во второй корпус НЭТИ.. смотрели. Они делали по заказу телефонистов, а мы по заказу горводоканала.)
не.. все в куче. А догматично, потому что REST - это, по факту, благое пожелание и рассуждения на тему "как бы хорошо и красиво могло бы быть". А есть куча нюансов с которыми сталкивается это "как все красиво может быть".
Ну просто для иллюстрации:
Если ресурс на указанном URI отсутствует, PUT создает его.
Это слишком идеально. Так оочень редко делают в жизни, по разным причинам.
POST не является идемпотентным.
Ну разве что в идеальном мире.. Оочень редко встречал именно такую реализацию. Ибо она чревата проблемами (не возможно отследить повторность).
Ну и полно странного, типа:
может быть закеширован, если указан признак "свежести" данных и установлен заголовок Content-Location (en-US)
en-US - это что и к чему?
Начальная строка, она указывает на предполагаемое действие запроса.
А что это такое в протоколе HTTP? теряюсь в догадках что имелось виду по термином "начальная строка"
Каковы основные части HTTP-ответа? Используемая версия HTTP.
Когда это стало "основной частью" HTTP ответа.
SOAP — это строгий протокол для построения безопасных API.
Причем тут безопасность. Использование wsdl для SOAP и openapi для REST подобных API для описание и генерации кода сервера/клиента не делает API безопасным.
Бесстатусное состояние (Stateless) сервера
Наверное опечатка и местечковый термин. Но уж очень глаз режет.
... и т.д.
Впрочем, какая мне разница. Хотя, не вижу смысла в "экзаменах", которые раскрывают не глубинные знания, а заученные ответы. Поэтому чуть и побулькал на эту тему что бы разгрузить мозги на 15 минут от работы.
Ну да. Смутил tag "Карьера в IT-индустрии". Ну и статься по уровню "требований к знаниям" аналитика (!) который занимается разработкой API (!) слишком много догматов содержит, далеких от практики. Что уж очень напоминало инфоцыган.
В чем разница между соленым и красным. Типа.. Когда дошел до этого вопроса, то осознал, что меня сильно цепляет в этой статье (ну кроме откровенного догматизма). Ответы предполагают, не понимание, а тупое заучивание. Да и примеры вопросов ну очень странные.
А.. так это реклама курсов. Уф. аж от сердца отлегло и стало все понятно (зачем эта статья).
Просто для справки. В Bouncy Castle есть функционал работы с гостовой подписью.
Signature.getInstance("GOST3411_2012_512withGOST3410_2012_512", "JCP"); и Signature.getInstance("GOST3411WITHECGOST3410-2012-512", "BC");
Дадут одинаковый результат по использованию.
Одно "но". Сертификация. Операции с EC в JCP как бы проверены и сказано "это сертифицированное ПО". А те же самые операции в BC "не сертифицированы" (да еще и с открытым кодом). Но хотя бы для тестов с покупкой/установкой лицензии на JСP возится не нужно.
ни одно современное собеседование в крупную компанию не обходится без вопросов про алгоритмы,
Сразу нужно разворачиваться и уходить собеседования поставив галочку "неадекваты" напротив этой компании.
Знание всех алгоритмов сортировки (например) понадобится только в одно случае: нужно написать программу сортировки на необитаемом острове за 5 минут (пока не кончился заряд в ноутбуке) и нет вообще ни связи с чем то ни, ни чего. За много много лет программером мне ни разу не понадобилось знание базовых алгоритмов досконально. Достаточно общих представлений о их критериях (память/сложность), что бы в редких случая иметь критерии выбора одного из них и заглянуть в стандартную реализацию не особо вникая в детали.
"Собеседование на знание базовых алгоритмов" мне напомнило случай когда я сдавал на deep сертификат (PADI). Там одно из упражнений - выполнить задачу на 40м (тест на азотку). И предлагают мне поделить в столбик 4-х значное число на 3-х значное. Пришлось показать средний палец и написать на дощечку "give me something else". Потому еще 5 минут, на боте уже, вспоминал как делится в столбик. Зная принцип - вспомнить (скорее вывести) не долго. Но когда последний раз это делал в школе (25 лет назад), то быстро это не сделать.
Ну или такой вопрос про алгоритмы можно задать, что бы срезать. Как мне срезали 5 на 4 на экзамене, задав вопрос про разрядность регистров сопроцессора (x86). Ну там хоть понятно было "за что". Я на лекции эти принципиально не ходил и это препода похоже задело.
Готовое устройство. .... Вариант неплохой, но не очень интересный и, я бы даже сказал, не спортивный.
"2 купить готовый модуль сенсора"... решил остановиться на втором варианте, как наилучшем с точки зрения соотношения затраченных усилий и получаемого результата.
Как то у меня эти две фразы одновременно в голове не стыкуются.
состоящая из нескольких частей: ... Микроконтроллерная часть с STM32 и его обвязкой
в этом контексте интересуют два:.. Работа RadSens по интерфейсу I2C в качестве сенсора уровня радиации в проектах на Arduino.
STM32 как источник данных для Arduino ESP32. А.. выкидываем все. и начинаем считать импульсы с.. Опять не стыкуется. А зачем тогда не дешевая плата.
У меня самоделка, собранная в школе (1984-86 год где то) на 176 КМОП с индикацией на ЖК от дохлых часов "Электроника" и питанием от "кроны", работала непрерывно где то недели 3. Скорее всего это был предел именно батарейки. Да и конденсаторы дерьмо с неизвестным током утечки.
Так что, собранное на нормальных компонентах вполне может существенно дольше.
не буду спорить. Для чего конкретно используется хэш в данном случае - нужно вникать в специфику работы с документами в суде.
Если хэш просто для создания индекса (для поиска, например) на документ - то это вполне нормальная и типичная практика. И в этом случае выбор алгоритма определяется скорее "так получилось" (размер/формат индекса вот такой и это уже тяжело изменить), чем требования "нет коллизии".
Если "подпись", то сам по себе хэш ну ни как не может быть "подписью". Что собственно и вызывает сомнение в Вашей интерпретации назначения MD5 в "судебной практике" как "подпись".
Использование уязвимых к подбору коллизий алгоритмов хэш в алгоритмах криптографических подписей не допустимо если:
данные достаточно большие (для коротких данных время подбора коллизии стремится к бесконечности)
данные не имеют никаких других критериев целостности кроме самого хэш.
Меня бесят "специалисты" безопасности, которые считают, например, что факт уязвимости SHA-1 требует перевыпуска подписей публичных ключей на SHA-512 (например). Иначе мол ключ можно изменить. Ну ну.
Вам же сказали (*), что в ДАННОМ случае, MD5 используется не по всему документу, а по очень ограниченному набору данных и как индекс фактически. А не как "подпись" содержимого документа.
Для подбора коллизий, требуется что бы:
объем данных, по которым считается хэш, был большим
коллизия была не проверяемой
В тексте, не так просто подобрать коллизию, что бы он не стал мусором.
Кстати, на платежных картах, как был SHA1 в сертификатах EMV, так и остался. И даже не потому что это дорого все менять. А скорее потому, что подобрать пару секретный публичный RSA ключ так что бы сохранить SHA1 хэш от публичной компоненты задача ничуть не проще чем просто "взломать" существующий корневой EMV публичный ключ Visa/MC/..
А Вы вместо того, что бы опровергнуть/подтвердить это начинаете цитировать "об опасность подписи документов".
(*) - человек наверное знает, раз сказал. Особенность использования в данной теме.
Очень оптимистичные планы.
Позволю себе процитировать, как два потенциальных результата (наиболее вероятных):
А вы точно по проектированию HTTP вопросы задаете? А не по питону?
Странный набор высосанных из пальца и не систематизированных вопросов.
Т.е. аналитик должен знать питон. А если знает как пользоваться curl или postman или, например, js (не знаю уж зачем это аналитику знать JS), но не знает питон - то он все! не знает принципе протокола HTTP (как бы REST)
Вы это серьезно?
Из проблем, не связанных со схемой:
Даже на 50 метров направить пятно лазера (с учетом, что его не очень видно глазами и оно где то 2-3 см диаметром видно на камеру без IR фильтра) на приемник и обеспечить его неподвижность (дома оказывается на высоких этажах отнюдь не неподвижны) - это проблема. Большая.
фотодиод (нужен IR фильтр и корпус и линза) засвечивается солнцем и переходит в режим насыщения.
Схема ОУ на входе и ключом на полевике с ограничением тока диодов резистором и с обычными светодиодами диодами - несколько "наивная реализация".
такой репитер будет работать на 5 метров в комнате. Максимум.
Такие? :)
В общем зря я в эту полемику влез. Зряшная трата времени.
Поскольку давно (лет 10) назад я пробовал сделать IR канал для передачи трафика, то прекрасно осознаю, что "нарисовать схему" - это "что нам стоит дом построить - нарисуем будем жить".
Проблемы возникнут на физическом уровне даже на расстоянии 50 метров для IR лазера.
Поэтому мой скептицизм к этой статье.
Нарисовать схему - это ни о чем. Вообще ни о чем.
А может стоило вначале хоть что то практическое сделать. А не просто напасть статью по поводу "я тут решил сделать"
не первые - то же.
Полно вижу Verifone SC5xx и SC8xx а там те же микрики на вскрытие. Впрочем, ключи в криптомодуле клавиатуры. Но подозреваю, что при желании их взять от туда не принципиально сложно. Хотя зачем. они только на данный терминал. Проще навесить на клавиатуру/ридер доп шпиона аппаратного.
Почему то вспомнились RG7xxx Thales HSM на нескольких Z80 и с защитой парой микриков на снятие крышки в которой полно было технологических отверстий.
Нее.. современные железки выглядят солиднее. Да и кто же позволит в них лезть/вскрывать при их стоимости.
А еще есть иллюзия, что закрытые системы, получившие сертификаты от гос учреждений, более безопасны.
Ну ну..
Я долго ржал на алгоритмом "шифрования" открытого канала поверх TCP/IP в одном криптографическом софте, навязываемом всем .... (цензура) центральным ... (цензура) и обязательном к использованию.
"Шифрование" заключалось в циклическом XOR константой(!).
ну и прочий отврат вида: "ключница водку делала".
С документацией в виде классических формуляров. Аж ностальгией поверяло. Формуляры какие были на армейское оборудование. Тогда правда на синьке/бурке бумажные копии. Но внешне один в один. Много бюрократического текста и ничего полезного.
Пришлось разбираться с протоколом, потому что приложенная библиотека была убога до невозможности и надо было сделать своей вариант, выдирая из PDF (!) спецификацию на протокол, которая усилено сопротивлялась выдергиванию через copy|paste.
А как бесит использовать ПО КриптоПро JCP вместо bouncy castle (в BC хоть можно глазами проверить исходный код).
И какие слезы наворачиваются при взгляде на ценник функциональной копии Thales HSM от КриптоПро.
С учетом, того что софтверный эмулятор Thales HSM для тестового комплекса еще лет 10 назад не было только у самого ленивого.
Еще когда первую систему "ГАС выборы" развозил/расставлял, то понимал, что не студенты писали ПО (сам студентом был), а ПТУ-шники или школьники. И охреневал от сумм. Было шоком для наивного. Но потом привык. Все так было и будет.
Так что в ...(цензура) эти поделки приближенных к бюджетным деньгам организациям.
Так было и будет, что в них вначале распил, а на разработку конкретного продукта по минимому.
Конечные терминалы приема. Все это очень древнее. В какой ни будь старый mc/avr с 16Кб памяти ничего толком и не запихнуть.
Да и смысл. Ну взломали. Утерянная выгода от проезда 5-10 человек на общем фоне это смешно.
вот вы то же отреагировали эмоционально.
А я тогда еще учился и курс мат статистики был просто вот в процессе.
И прекрасно понимал, что это просто средство для защиты диссертации, а не задача получить какие то достоверные данные
Нет. Ложными выводами на основе подогнанных данных можно сделать только хуже.
Когда то давно, я занимался картой Новосибирска и к нам приходили "ученые" с предложением нанести на карту выходы радона и заболевания раком крови у детей для доказательств корреляции.
Очень похожие цифры мне запомнились: меньше 200 случаев за 10 лет. Без информации о том, откуда кто приехал и сколько вообще в нске жил до. Мы их мягко послали (афера для кандидатской)
Хотя.. тут же магические слова "машинное обучение"!
но цифры близки. Кто ни будь точно материал на кандидатскую, а то и докторскую наберет.
(Эх.. знать бы в 1998 чего и куда. Карта и самописное ПО под нее была полней чем у Сысоева и работала быстрее. Ходили к нему во второй корпус НЭТИ.. смотрели. Они делали по заказу телефонистов, а мы по заказу горводоканала.)
не.. все в куче. А догматично, потому что REST - это, по факту, благое пожелание и рассуждения на тему "как бы хорошо и красиво могло бы быть". А есть куча нюансов с которыми сталкивается это "как все красиво может быть".
Ну просто для иллюстрации:
Это слишком идеально. Так оочень редко делают в жизни, по разным причинам.
Ну разве что в идеальном мире.. Оочень редко встречал именно такую реализацию.
Ибо она чревата проблемами (не возможно отследить повторность).
Ну и полно странного, типа:
en-US - это что и к чему?
А что это такое в протоколе HTTP? теряюсь в догадках что имелось виду по термином "начальная строка"
Когда это стало "основной частью" HTTP ответа.
Причем тут безопасность. Использование wsdl для SOAP и openapi для REST подобных API для описание и генерации кода сервера/клиента не делает API безопасным.
Наверное опечатка и местечковый термин. Но уж очень глаз режет.
... и т.д.
Впрочем, какая мне разница.
Хотя, не вижу смысла в "экзаменах", которые раскрывают не глубинные знания, а заученные ответы. Поэтому чуть и побулькал на эту тему что бы разгрузить мозги на 15 минут от работы.
Ну да. Смутил tag "Карьера в IT-индустрии". Ну и статься по уровню "требований к знаниям" аналитика (!) который занимается разработкой API (!) слишком много догматов содержит, далеких от практики. Что уж очень напоминало инфоцыган.
В чем разница между соленым и красным. Типа..
Когда дошел до этого вопроса, то осознал, что меня сильно цепляет в этой статье (ну кроме откровенного догматизма).
Ответы предполагают, не понимание, а тупое заучивание. Да и примеры вопросов ну очень странные.
А.. так это реклама курсов.
Уф. аж от сердца отлегло и стало все понятно (зачем эта статья).
Просто для справки.
В Bouncy Castle есть функционал работы с гостовой подписью.
Signature.getInstance("GOST3411_2012_512withGOST3410_2012_512", "JCP");
и
Signature.getInstance("GOST3411WITHECGOST3410-2012-512", "BC");
Дадут одинаковый результат по использованию.
Одно "но". Сертификация. Операции с EC в JCP как бы проверены и сказано "это сертифицированное ПО". А те же самые операции в BC "не сертифицированы" (да еще и с открытым кодом).
Но хотя бы для тестов с покупкой/установкой лицензии на JСP возится не нужно.
Сразу нужно разворачиваться и уходить собеседования поставив галочку "неадекваты" напротив этой компании.
Знание всех алгоритмов сортировки (например) понадобится только в одно случае: нужно написать программу сортировки на необитаемом острове за 5 минут (пока не кончился заряд в ноутбуке) и нет вообще ни связи с чем то ни, ни чего.
За много много лет программером мне ни разу не понадобилось знание базовых алгоритмов досконально. Достаточно общих представлений о их критериях (память/сложность), что бы в редких случая иметь критерии выбора одного из них и заглянуть в стандартную реализацию не особо вникая в детали.
"Собеседование на знание базовых алгоритмов" мне напомнило случай когда я сдавал на deep сертификат (PADI). Там одно из упражнений - выполнить задачу на 40м (тест на азотку).
И предлагают мне поделить в столбик 4-х значное число на 3-х значное. Пришлось показать средний палец и написать на дощечку "give me something else".
Потому еще 5 минут, на боте уже, вспоминал как делится в столбик. Зная принцип - вспомнить (скорее вывести) не долго. Но когда последний раз это делал в школе (25 лет назад), то быстро это не сделать.
Ну или такой вопрос про алгоритмы можно задать, что бы срезать. Как мне срезали 5 на 4 на экзамене, задав вопрос про разрядность регистров сопроцессора (x86). Ну там хоть понятно было "за что". Я на лекции эти принципиально не ходил и это препода похоже задело.
Как то у меня эти две фразы одновременно в голове не стыкуются.
STM32 как источник данных для Arduino ESP32.
А.. выкидываем все. и начинаем считать импульсы с..
Опять не стыкуется. А зачем тогда не дешевая плата.
У меня самоделка, собранная в школе (1984-86 год где то) на 176 КМОП с индикацией на ЖК от дохлых часов "Электроника" и питанием от "кроны", работала непрерывно где то недели 3.
Скорее всего это был предел именно батарейки. Да и конденсаторы дерьмо с неизвестным током утечки.
Так что, собранное на нормальных компонентах вполне может существенно дольше.