En noticias de seguridad, enfrenté un nuevo término relacionado con las funciones hash: se informa que " función de hash interna " utilizada en / a> la plataforma está rota (es decir, función hash Curl-P). Puede encontrar el documento completo que presenta la vulnerabilidad aquí .
¿Pero no entiendo si el término "en casa" representa un tipo específico de función hash? Y en general, ¿qué significa "en casa" aquí?
De la explicación de in-house en el Directorio de Cambridge : "Algo que se hace internamente se realiza dentro de una organización o empresa por sus empleados en lugar de por otras personas" .
Aquí significa desarrollar tu propio algoritmo hash en lugar de usar uno público. Por lo general, eso significa que es desarrollado por solo unas pocas personas con poca experiencia en el área del problema y sin ninguna opinión pública. Por lo tanto, es muy probable que el desarrollo propio se rompa una vez que los expertos en criptografía lo vean.
Vea también ¿Por qué no deberíamos hacer rodar el nuestro? y ¿Qué tan valioso es el secreto de un algoritmo? .
En el contexto de la criptografía, "en casa" es un sinónimo de "origen cuestionable y fuerza no verificada".
Esto significa específicamente que desarrollaron su propia función de hashing (o en otros casos, cifrado, esquema de intercambio de claves, etc.).
Esto, en criptografía, es una mala idea con mayúsculas. Al desarrollar su propia biblioteca de funciones comunes o su propio marco de servicio web o cualquier otro que pueda tener un caso de uso perfectamente bueno, la criptografía es uno de los campos donde un pequeño error puede hacer que todo sea increíblemente frágil de una manera que usted nunca lo averigües . Si crea su propio servidor web ("nuestro servidor web interno de alto rendimiento ...") y hay un problema, tiene muchas posibilidades de descubrirlo más temprano que tarde porque se bloquea, envía los archivos incorrectos o realiza mal. Pero si su algoritmo de cifrado tiene un problema que destruye su fuerza criptográfica, tiene que ser muy afortunado de que alguien que lo rompa realmente le diga. Las personas que intentan romperlo son casi con seguridad atacantes, porque muy pocos criptógrafos pierden el tiempo en algún pirateo interno. Saben seguir con los algoritmos públicos donde realmente importa si encuentran algo, para más de una compañía.
Estoy de acuerdo con la respuesta dada una hora antes de esta sobre el significado interno, "no estándar y probablemente no muy sofisticado o robusto". Todavía puede haber un argumento a favor del uso de un hash interno. Es decir, puede ser lo suficientemente diferente de los estándares por ahí que un pirata informático puede decidir que es demasiado trabajo para descubrir cómo realizar una ingeniería inversa. Incluso si acepta este argumento, este tipo de enfoque de "hágalo usted mismo" solo debe usarse para proteger datos de muy bajo valor.
Lea otras preguntas en las etiquetas hash terminology