תרגיל מתמטי של הסתרת מזהה רץ
-
@dovid אמר בתרגיל מתמטי של הסתרת מזהה רץ:
אני מעוניין שלא יוכלו לדעת את המספר הרץ של הנתונים, כדי לא להסיק מזה סדרי גודל של תרומות
בהנחה שמישהו מעוניין לדעת את היקף הכניסות / התרומות (חשש מוצדק, בהחלט יש כאלו)
ובהנחה שאנחנו מדברים על מישהו שבאמת יודע מה הוא מחפש ומפניו אתה רוצה להסתירלמה שלא ישקיע עשר אגורות בתרומה למטרה החשובה
ואז הוא יקבל 'קבלה מוכרת' עם ?...
מספר רץ .... (0012)
כעבור יומיים יתרום שוב עשר אגורות ויקבל קבלה מספר 0017.....(או שהקבלות המוכרות לצורכי מס מופקות לפי סדר רץ בכל הארגון
ואז שוב ניתן לקבל סדר גודל של פעילות כמותית
[כספית, לא ניתן לדעת גם אם יודעים את המידע לעיל])
נ.ב.
הנ"ל כמובן לא מתייחס לכניסות -
@dovid לא הצלחתי להבין מדוע אתה זקוק לשלוח לקליינט את המזהה כניסה, אם זה שמור במסד פר סשן, ואתה מזהה את התרומה לפי הסשן, תוכל לשלוף באותה הזדמנות גם את המזהה כניסה
-
@יוסף-בן-שמעון צודק. ככה אני עושה עכשיו. אבל זה בדיוק אחד מהפתרונות שלא רציתי.
@dovid אמר בתרגיל מתמטי של הסתרת מזהה רץ:
אז יש לי כמובן את האפשרויות הקלאסיות: מזהה גלובלי במקום מספר רץ, או מזהה גלובלי במקביל למספר הרץ שגם יאוחסן בכל שורה ולפי זה אוכל לשלוף את השורה הנכונה. ויש אפשרות של ערפול ע"י הצפנה אפילו חלשה של המזהה.
העוגיה היא מזהה גלובלי לא רץ, ואני יכול לשלוף את השורה המתאימה לפיה. אבל למה לי? יש לי את המזהה, ואני רוצה להמשיך לדעת אותו בלי לשלוף שום דבר...
-
@nigun אמר בתרגיל מתמטי של הסתרת מזהה רץ:
@dovid
אתה יכול לדחוף תווים רנדומליים באמצע המספר הסידור ולהתעלם מהם בפיענוח, ולמשתמש אין דרך לדעת את המיקום של המספרים האמיתיים בתוך המחרוזת.אני חושב שאתה לא הקדשת הרבה מחשבה לפתרון שלך,
אני חושש שהתוקף יקדיש יותר מחשבה ממך...
התוקף יודע על שעות שהאתר שלנו בטוח לא פעיל (למשל בליל יום כיפור).
הוא יריץ שלושים כניסות רצופות בשניה אחת, והוא יחייך חיוך רחב על הרעיון שלך.אגב סתם להמחיש כמה הפתרונות פה "בורחים" מהשאלה המקורית, לערבב מספר ספרות לא קשורות זה הרבה יותר פעולות מאשר כמה פעולות חשבון, וזה גם הרבה יותר קשה להסתיר.
-
@dovid
היות ואתה לא מחפש להונות את הפורץ החפרן שתרמו לך הרבה
אלא רק לגרום לו לחוסר ידע בפיענוחהאם ניתן לשרשר את התאריך/שעה/דקות/שניות/מילישניות (לחלק למספרים ולעשות ++ ברמת מספר בודד)
ואז בתוצאות יהיה רמת אי אחידות מספיק גבוהה(בתרגיל מתמטי של כפל/חילוק וכו, תמיד ככל שהמספור שלך יעלה כך יהיה תוצאה בהנ"ל גבוהה יותר,
ואילו כאן המספור עולה ויורד כל הזמן) -
@mekev אמר בתרגיל מתמטי של הסתרת מזהה רץ:
האם ניתן לשרשר את התאריך/שעה/דקות/שניות/מילישניות (לחלק למספרים ולעשות ++ ברמת מספר בודד)
איך אני אשחזר את המספר המקורי?
@mekev אמר בתרגיל מתמטי של הסתרת מזהה רץ:
(בתרגיל מתמטי של כפל/חילוק וכו, תמיד ככל שהמספור שלך יעלה כך יהיה תוצאה בהנ"ל גבוהה יותר,
אני לא חושב ככה, הבאתי בהודעה השניה שלי פה כבר מאמר שמשתמש נטו עם כפל ושארית, והוא לא עולה ולא יורד, ממש תוצאות אקראיות.
-
@dovid אמר בתרגיל מתמטי של הסתרת מזהה רץ:
אני חושב שאתה לא הקדשת הרבה מחשבה לפתרון שלך,
אני חושש שהתוקף יקדיש יותר מחשבה ממך...
התוקף יודע על שעות שהאתר שלנו בטוח לא פעיל (למשל בליל יום כיפור).
הוא יריץ שלושים כניסות רצופות בשניה אחת, והוא יחייך חיוך רחב על הרעיון שלך.אפשר להגדיר את המספר הראשון כהיסט למיקום של המספרים
זה יראה משהו כזה
123 = 356913523479653286272326583666899739
124 = 465661562668776693796762568882628834 -
@nigun אתה משפר יפה את האלוגריתם על הגב של הנושא.
אשמח לתשובה בשלה לשאלה הפשוטה הזאת:@dovid אמר בתרגיל מתמטי של הסתרת מזהה רץ:
אולם אני תוהה, לכאורה חייבת להיות דרך מתמטית פשוטה להסתיר מספר ע"י תרגיל הפיך (שניתן לשחזק את המספר ע"י תרגיל הפוך). הרי מדובר ב"הצפנה סימטרית" כי אני הוא המפענח והמצפין, אני ממש טיפש בחשבון אבל נראה לי הגיוני שיש חשבון פשוט של "תוסיף 14 ותחלק לחמש ותוסיף את השארית" שהוא מצד אחד הפיך ומצד שני קשה לניחוש, ופה אני שואל האם אתם מכירים או חושבים על רעיון מתאים לזה? כי מהאינטרנט אני מתרשם שהבודדים (למה?) שמנסים להסתיר מזהה רץ עושים זאת באמצעות הצפנה פשוטה או רצינית.
-
@dovid אמר בתרגיל מתמטי של הסתרת מזהה רץ:
איך אני אשחזר את המספר המקורי?
@dovid אמר בתרגיל מתמטי של הסתרת מזהה רץ:
בעת כל ביקור בדף התרומה נרשמת שורה לטבלת ביקורים,
עד כמה שאתה מתעד את הביקורים
אתה בכוונה שומר את זה ללא תיעוד על התאריך כניסה?
זה לא מהווה אינדיקציה ומקור מידע בפני עצמו לפילוח נתונים?וגם אם זה לא נשמר בנפרד
אתה יכול להצמיד אותו למזהה כניסה לאחר השרשוררק שבשונה מסתם שרבוב תווים שאותם בכניסות רצופות ניתן בקלות להבחין ולפענח את הנותר
כאן סה"כ המספר יותר מורכב לפעינוחובסה"כ זה תרגיל מתמטי של חיבור וחיסור פשוט של מידע זמין
מקווה שאתה אח"כ מוחק את כל השרשור
אחרת התוקף יעשה גוגל ויגיע לפה..... -
@mekev זה נשמר עם התאריך והכל. יש גם מזהה שלפיו אני יכול לשלוף. אבל אני מעדיף לא לגשת בכלל שוב לטבלה הזו.
@mekev אמר בתרגיל מתמטי של הסתרת מזהה רץ:
מקווה שאתה אח"כ מוחק את כל השרשור
אחרת התוקף יעשה גוגל ויגיע לפה.....הנוסחה צריכה לעמוד גם בפני מי שיודע בדיוק מה היא.
-
@nigun אמר בתרגיל מתמטי של הסתרת מזהה רץ:
@dovid
לא הבנתי שאתה מחפש דווקא נוסחה מתמטית
חשבתי שאתה מחפש פתרון לחסוך גישה למסד נתוניםחיפשתי דוקא מתמטי (יותר נכון פעולה אריתמטית) כי זה הכי מהר עבוד המעבד.
הייתי מקבל ממך גם פתרון אחר שעבדת עליו, לא פתרון שאתה חושב עליו בקול עוד לפני שהוא מבושל. סליחה על החריפות אבל חוץ מכיווני מחשבה גסים לא ראיתי נוסחה סגורה לערבול + שחזור יעיל שא"א לגלות אותו ע"י הפלט בלי מאמצים קיצוניים. -
@dovid
חשבתי קצת לפני שכתבתי את ההצעה שלי
ואכן לא חשבתי על כך שתוקף יוכל לשלוח 30 בקשות ברצף ולראות את המספרים שחוזרים על עצמם.
בכל אופן אני לא מוצא חיסרון בהוספת מספרים רנדומליים + מספר מסויים שמסמן הזחה, גם במאמץ קיצוני איך התוקף יבין שהמספר הרביעי (שגם הוא רנדומלי) מסמן הזחה לכל המספרים האחרים, אם הוא מריץ נוסחאות מורכבות לגלות את זה נראה לי שהכי פשוט להשתמש בהצפנה מוכרת ולא להמציא את הגלגל.
עריכה: לא חושב ששליפה ממערך זה כל כך הרבה פעולות מעבד. -
@nigun ראית את ההודעה השני שלי פה בנושא? ראית את התרגיל שיש שמה? אתה לא מבין שאני שואף למשהו כ"כ כיף שכזה?
בקשר לרעיון שלך כתבתי מפורש שהוא יפה. הוא לא הפתיע אותי כי הוא מוכר לי, צפנים אמיתיים בעבר הסתמכו על רעיונות כאלו. אין לי מושג איך מפענחים אותם אבל מפענחים אותם בקלי קלות. למשל הרעיון של הXOR אני לא יודע לפענח, אבל אני בטוח שהוא קל לפענוח.
אתה אומר שעדיף להשתמש בהצפנה ולא להמציא את הגלגל, אני מסכים לגמרי! רק ש:
א. להשתמש בהצפנה במקרה שלי זה רע. זה עבודה למחשב על לא דבר, כדאי לו כבר לשלוף מהמסד רק במקרה תרומה (זה מה שכעת אני עושה) מאשר להצפין בשלוש מאות ביקורי סרק של בוטים.
ב. אני לא רציתי להמציא את הגלגל, אני הייתי בטוח שיש דרך מסודרת למה שאני מבקש, ואני עדיין בטוח. ולכן שאלתי אולי מישהו פה מכיר, אבל אתה ברוחת להצפנות דומות ופחות יעילות מהסוגים שכתבתי עליהם מפורש בשאלה. -
@dovid אמר בתרגיל מתמטי של הסתרת מזהה רץ:
תוסיף 14 ותחלק לחמש ותוסיף את השארית
ברגע שהוספת את השארית, זה לא הפיך.
לאחר מחשבה, הגעתי למסקנה כזו.
כל עוד זה כפל, חילוק, חיבור, חיסור, הרווח בין מספרים תמיד ישאר שווה פחות או יותר.
בחזקה זה לא.
זה הכי פשוט שיש.
אתה מעמיד כל מספר בחזקת 5 (לדוגמא כמובן. המספר צריך להישאר שמור אצלך). וזהו. אין יחס בין המספרים. -
@Men770 אמר בתרגיל מתמטי של הסתרת מזהה רץ:
לאחר מחשבה, הגעתי למסקנה כזו.
כל עוד זה כפל, חילוק, חיבור, חיסור, הרווח בין מספרים תמיד ישאר שווה פחות או יותר.
בחזקה זה לא.
זה הכי פשוט שיש.
אתה מעמיד כל מספר בחזקת 5 (לדוגמא כמובן. המספר צריך להישאר שמור אצלך). וזהו. אין יחס בין המספרים.מוסיף עוד נקודה - אפשר להוסיף עירפול על זה לפי שניות + תאריך. לדוגמא כל שניה ביום יהיה לה מספר רנדומלי (ולמקילים - מספר הקשור לספרה/דקה/שעה שלה כדי למהר את החישוב) שיוכפל / יחוסר / יחובר בו, עם עוד חישוב הקשור למספר התאריך.
ההקשר יהיה קשה מאוד לפענוח גם אחרי הרבה כניסות.
האם עדיין יש לנו עניין לנסות לפרט יותר ולערוך חישוב לדוגמה, או שעיקר האתגר כבר נפתר?
- נ.ב. אני מכיר מתכנת שעשה קוד לכניסה עבור תוכנה בתשלום - כל נסיון כניסה התוכנה מביאה קוד מספרי ארוך ומצפה לקוד חוזר. והקוד החוזר הוא תוצאה של חישוב מסובך בקוד הראשון.
-
אני מאוכזב קשות מהדרך בה נגשו פה העונים לשאלה.
רובם לא ניסו בכלל לענות על השאלה כפי שהיא נוסחה בבהירות (תרגיל חשבוני פשוט להסתיר ולפענח מספר) רק על הצורך שעלה להם ברפרוף מהכותרת ומקצת הטקסט שנאמר בה, זאת למרות שבשאלה ציינתי שיש לי מושג או שניים איך לעשות את זה כמקובל. כל מחאותיי וויכוחיי לא עזרו...אני הולך לכתוב פה בחוסר התלהבות את הפתרון, שכבר כתבתי עליו בהודעה השניה אבל אז לא הבנתי איך הוא עובד.
ב"ה כעת הבנתי ואני הולך להשתמש בו.להלן המ"מ שעזרו לי:
https://stackoverflow.com/a/8555047
https://ericlippert.com/2013/11/14/a-practical-use-of-multiplicative-inverses/
https://jmcphers.github.io/techniques/2015/08/20/id-obfuscation.htmlאז ככה, מגדירים 3 מספרים קבועים חד פעמית:
א. מספר מקסימום שודאי לא נעבור בשום שלב, למשל אם מדובר בביקורים, נחליט על 10 מליארד.
ב. מספר כל שהוא שניתן לבחור אקראית, שהוא קטן מהמקסימום ושהוא גם מספר זר למספר המקסימום (אפשר פשוט לנסות בכלי בסעיף ג', אם יש תוצאה תקינה אז זה מספר זר).
ג. מוצאים את הModular multiplicative inverse של ב', על ידי כלי כמו זה https://www.dcode.fr/modular-inverse (שמים את המספר של ב', ובמודלו שמים את המקסימום מא').אחרי שיש לנו את שלושת המספרים הללו, נקרא להם בשמות MAX, A, B.
בשביל להסתיר את המספר פשוט נביא את השארית של חלוקת הA * המספר, בMAX:mask = number * A % MAX;
בשביל לפענח נעשה משהו דומה:
original = mask * B % MAX;
המחשה של הפעולה:
https://replit.com/@davidlevtov/EnormousJoyousDesign#index.jsהקידוד וגם הפיענוח נעשים ע"י שני פעולות אריתמטיות פשוטות.
ולמי שיש חלום לנוסחה שמתקרבת לקרסולי קרסוליים של המהירות של זה,
הוא מוזמן לבדוק פה את פתרונו
https://jsben.ch/SA0T6
שמתי בתור "תופס מקום" אלגוריתם שלא עושה כלום אבל משרשר טקסט למספר ובהמרה מחזיר למספר.הערה: במספר ב' גדול (או קלט גדול) יכולה להיות גלישת מספר שתעוות את התוצאות, עליכם להבטיח שהמקסימום לא יחרוג על ידי מספרים נמוכים או טיפוסי מספרים גדולים (long או BigInt וכדומה).
-
@dovid אמר בתרגיל מתמטי של הסתרת מזהה רץ:
המחשה של הפעולה:
https://replit.com/@davidlevtov/example-obfuscating-ids#index.jsאין לך שם טעות?
זה הפלט:{ aNumber: 747346087, bNumber: 453920023 } [ 300, 301, 302, 303, 304, 305, 306, 307, 308, 309, 310, 311, 312, 313, 314 ] [ 203826100, 951172187, 698518274, 445864361, 193210448, 940556535, 687902622, 435248709, 182594796, 929940883, 677286970, 424633057, 171979144, 919325231, 666671318 ] [ 304, 320, 320, 288, 304, 320, 320, 320, 304, 320, 320, 320, 320, 320, 320 ]
המערך השלישי לא אמור להיות שווה לראשון?