Проект "Свободные голосования"

Электронная системы голосований через интернет
Текущее время: 23 ноя 2024, 20:38

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 17 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: 22 окт 2011, 11:38 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
По результатам чтения вот этого: http://habrahabr.ru/blogs/infosecurity/130965/

Вот смотрите... Если хэшировать данные напрямую, то, на примере номера свидетельства пенсионного страхования (СНИЛС) мы имеем 11 цифр. Фактически мы имеем 9 цифр, т.к. 2 из них - контрольный номер. Таким образом, подбор нужного значения по имеющемуся хэшу является вполне реальным. Что нежелательно.

ИНН имеет 12 знаков, 3 из которых относительно предсказуемы (обозначают регион). Т.е., фактически, тоже 9 знаков. Минус ИНН в том, что его нужно получать в налоговой.

Однако, хэширование объединенной строки СНИЛС+ИНН дало-бы уже достаточно сильную защиту от перебора.

Я прикидывал как можно использовать номер паспорта или другого идентифицирующего документа в этой системе... В принципе, возможно. Даже если такой номер меняется, старые данные в ключе остаются и все-равно выполняют роль защиты от дублирования. Просто добавляется еще один идентификатор для такой защиты.

Например, можно использовать связку "Номер паспорта"+"СНИЛС". Тогда мы получаем, если не брать в расчет серию паспорта, 6+9=15 цифровых позиций. В общем-то не очень хорошо (на перебор всех вариантов по оценкам из статьи нужно будет 11 дней), но тем не менее. Кроме того, тут-же можно использовать еще и номер свидетельства о рождении. Тогда, в комбинации "Свидетельство о рождении"+"Паспорт"+"СНИЛС" защита от перебора будет вполне достойной.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 22 окт 2011, 12:02 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
О! А, ведь, можно сделать еще проще что-бы вообще не связываться с персональными данными. Сделать обязательным для системы лишь поле с хэшем от данных: "ФИО"+"Дата рождения"+"Номер паспорта"+"Номер свидетельства о рождении"+"СНИЛС". Тогда и подписывающему будет легко его проверить. И взломать его не зная почти всех данных будет тяжело.

А необходимость наличия открытых полей будет регулироваться уже в конкретных субъектах голосования.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 22 окт 2011, 15:20 
Не в сети

Зарегистрирован: 27 авг 2011, 22:36
Сообщения: 460
Андрей писал(а):
О! А, ведь, можно сделать еще проще что-бы вообще не связываться с персональными данными. Сделать обязательным для системы лишь поле с хэшем от данных: "ФИО"+"Дата рождения"+"Номер паспорта"+"Номер свидетельства о рождении"+"СНИЛС". Тогда и подписывающему будет легко его проверить. И взломать его не зная почти всех данных будет тяжело.

А необходимость наличия открытых полей будет регулироваться уже в конкретных субъектах голосования.

Предлагаю (серию, номер) свидетельства о рождении и дату рождения использовать как уникальный идентификатор пользователя.

_________________
AF4B DFB0 0E41 2F7A 09FD 4971 96F0 B176 EA1C DD85


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 22 окт 2011, 15:29 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
yurial писал(а):
Предлагаю (серию, номер) свидетельства о рождении и дату рождения использовать как уникальный идентификатор пользователя.

Вот тут мое предложение. Чем больше данных, тем сложнее подбор.

Хотя, можно остановится и на "дате рождения"+"свидетельство о рождении"+"социальный идентификатор".

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 22 окт 2011, 15:35 
Не в сети

Зарегистрирован: 27 авг 2011, 22:36
Сообщения: 460
Андрей писал(а):
Хотя, можно остановится и на "дате рождения"+"свидетельство о рождении"+"социальный идентификатор".

Социальный идентификатор это что? - номер пенсионного фонда? вы уверены, что его нельзя изменить?

Дату рождения и номер свидетельства вообще можно сделать не хешируемыми данными - они ничего никому не дают.

_________________
AF4B DFB0 0E41 2F7A 09FD 4971 96F0 B176 EA1C DD85


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 22 окт 2011, 15:40 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
yurial писал(а):
Андрей писал(а):
Хотя, можно остановится и на "дате рождения"+"свидетельство о рождении"+"социальный идентификатор".

Социальный идентификатор это что? - номер пенсионного фонда? вы уверены, что его нельзя изменить?

Уверен. Консультировался у сисадмина, который уже почти 10 лет работает в пенсионном фонде.

Цитата:
Дату рождения и номер свидетельства вообще можно сделать не хешируемыми данными - они ничего никому не дают.

Ну, дату рождения вряд-ли захотят светить женщины. :) Номер свидетельства о рождении показывать вроде-бы безопасно. Но нам нужен какой-то единообразный способ идентификации. Поэтому предлагаю все-таки все это в хэш пихать. А уж субъекты сами введут данные которые требуется для них открывать. Причем, думаю, номер свидетельства о рождении и социальный идентификатор открывать они не смогут (естественно на уровне рекомендации). Это нужно для того, что-бы при открытии части данных из хэша не было возможности легко вычислить остальные данные.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 22 окт 2011, 15:45 
Не в сети

Зарегистрирован: 27 авг 2011, 22:36
Сообщения: 460
Для того чтобы получить уникальный идентификатор, все его составные части должны быть уникальными. Если мы туда поместим ФИО или ИНН, идентификатор (или хеш от него) перестанет быть уникальным.

_________________
AF4B DFB0 0E41 2F7A 09FD 4971 96F0 B176 EA1C DD85


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 22 окт 2011, 15:46 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
Кстати, дата рождения тоже не особенно универсальный идентификатор. Например, мусульмане могут не захотеть ее указывать "от рождества Христова".

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 22 окт 2011, 15:46 
Не в сети

Зарегистрирован: 17 июн 2011, 18:14
Сообщения: 2543
yurial писал(а):
Для того чтобы получить уникальный идентификатор, все его составные части должны быть уникальными. Если мы туда поместим ФИО или ИНН, идентификатор (или хеш от него) перестанет быть уникальным.

Что-то вы щас не то сказали. :) В любом идентификаторе будут одинаковые буквы и цифры. Но он из-за этого не перестает быть уникальным. :)

Кстати, я согласен что можно обойтись без ФИО и номера паспорта.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 22 окт 2011, 15:49 
Не в сети

Зарегистрирован: 27 авг 2011, 22:36
Сообщения: 460
Я имел виду уникальность в рамках одного пользователя: 1 человек - 1 идентификатор.

_________________
AF4B DFB0 0E41 2F7A 09FD 4971 96F0 B176 EA1C DD85


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 17 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB® Forum Software © phpBB Group
Русская поддержка phpBB