Dans les nouvelles de sécurité, j'ai fait face à un nouveau terme lié aux fonctions de hachage: il est rapporté que la "fonction de hachage interne" utilisée dans IOTA la plateforme est cassée (ie fonction de hachage Curl-P). Vous pouvez trouver le document complet présentant la vulnérabilité ici .
Mais je ne comprends pas si le terme "en interne" représente un type spécifique de fonction de hachage? Et en général, que signifie "en interne" ici?
D'après l'explication de en interne dans le répertoire Cambridge : "Quelque chose qui est fait en interne est fait au sein d'une organisation ou d'une entreprise par ses employés plutôt que par d'autres personnes ".
Ici, cela signifie développer votre propre algorithme de hachage au lieu d'utiliser un algorithme public. Cela signifie généralement qu'il est développé par seulement quelques personnes avec une expertise limitée dans le domaine problématique et sans aucune participation du public. Ainsi, il est très probable que l'autodéveloppement soit finalement brisé une fois que de nouveaux experts en cryptographie y auront jeté un coup d'œil.
Voir aussi Pourquoi ne devrions-nous pas lancer le nôtre? et Quelle est la valeur du secret d'un algorithme? .
Dans le contexte de la cryptographie "en interne" est synonyme d '"origine douteuse et force non vérifiée".
Cela signifie spécifiquement qu'ils ont développé leur propre fonction de hachage (ou dans d'autres cas, le cryptage, le système d'échange de clés, etc.).
Ceci, en cryptographie, est une mauvaise idée avec des majuscules. Tout en développant votre propre bibliothèque de fonctions communes ou votre propre infrastructure de service Web ou tout ce qui peut avoir un cas d'utilisation parfaitement bon, la cryptographie est l'un des domaines où une petite erreur peut rendre le tout incroyablement fragile d'une manière que vous ne le découvrira jamais. Si vous créez votre propre serveur Web ("notre serveur Web interne haute performance ...") et qu'il y a un problème, vous avez de bonnes chances de le découvrir plus tôt que tard car il se bloque, ou envoie les mauvais fichiers, ou exécute mal. Mais si votre algorithme de cryptographie a un problème qui détruit sa force cryptographique, vous devez être très chanceux que quelqu'un qui le brise vous le dise. Les personnes qui tentent de le briser sont presque sûrement des attaquants, car très peu de cryptographes perdent leur temps à faire du piratage de crypto en interne. Ils savent s'en tenir aux algorithmes publics là où cela importe réellement s'ils trouvent quelque chose, à plus d'une entreprise.