【堅牢】トリップの新方式を考えてみませんか【互換性】
■ このスレッドは過去ログ倉庫に格納されています
現段階でのトリップの問題点などを考えつつ、
現行方式よりも堅牢なトリップの方式を考えてみませんか。
マルチバイト文字問題や互換性などの問題も出てくると思いますが、
そこは皆で妙案を出し合いつつ、新たな方式を頑張って考えてみましょう。
関係スレ
幸せサーバープロジェクト 「アイデア・技術のある人募集中」★3
http://qb5.2ch.net/test/read.cgi/operate/1241361889/ http://qb5.2ch.net/test/read.cgi/operate/1241361889/757
757 名前:trick ★[sage] 投稿日:2009/06/14(日) 22:57:52 ID:???0 BE:297562098-PLT(89004)
元管理人が何年前かそんな事を言ってましたなぁ、個の識別に関するものとしてトリップはもう古いって。
そんで作ったのがbeなんだと思ってましたがー
現在の生成方法はこれでしたっけ?
$tripkey = "#istrip";
$tripkey = substr($tripkey,1);
$salt = substr($tripkey.'H.',1,2);
$salt =~ s/[^\.-z]/\./go;
$salt =~ tr/:;<=>?@[\\]^_`/ABCDEFGabcdef/;
$trip = crypt($tripkey,$salt);
$trip = substr($trip,-10);
$trip = '◆'.$trip;
print "$trip"; yyかきこ+壷ではひらがなトリップつかえるんだっけ >>2
漢字使えるだろ。使ってからトリップディスクロージャに
スレの中で解析されなくなった。
単純なのにしたらスレの中で5分くらいで解析されたよ ▼現行の暗号化の方式
crypt を用いて、MD5 (DES) で暗号化
このMD5をSHA2やRijndael (AES)に移行する案
▼新方式での互換性問題
解決案としての一例
http://qb5.2ch.net/test/read.cgi/operate/1241361889/802
802 名前:動け動けウゴウゴ2ちゃんねる[sage] 投稿日:2009/06/15(月) 00:23:54 ID:IhOiG89F0
使い方を変えたらどうでしょう?
例えば「#〜」は現状の方式で、「##〜」だともっと高強度の方式とか
▼多バイト文字について
ワイド文字対応化とか? とっぷり生成で今でも0x80を終端と見做す鯖と見做さない鯖があるのが。。。
どうにもならんか PHPで生成法を考えたが、こんな感じにすればハッシュが破られてもやられづらそうでよさそう
preg_replace('=', '', base64_encode(sha1(md5($tripkey) . sha1($tripkey)))); こうしないと無駄に長くなるか
preg_replace('=', '', base64_encode(sha1(md5($tripkey) . sha1($tripkey), true)));
トリップの文字列が長くなっても、平仮名入っても鬱陶しいな
あひるちゃん ◆z0WvbsWRggduckduckduck
あひるちゃん ◆z0Wvbsうんこうんあうあうあうあうあこうck >>12
トリップ文字列長は現行と同じ10を目標に(ry やめてくださいしんでしまいます
現行の生成方法で表示を11桁に増やしてみては? 新方式と旧方式の併用ってのも面白そうだな
「◆」以外を使えば可能かも、でも長すぎると鬱陶しいのが欠点w #〜 から始まるのは現行
$〜 から始まるのは新トリップとかすればいい たとえば
>>7の案だと
現在使ってるトリップのキーが##から始まる物だったとしたら#」と置き換えるのも面倒だし
>>17の案も#〜$〜ってキーを使ってたら#〜、〜に置き換えなければならない
結論:めんどくさい
現行トリップで困ってるやついるのか? 現行的もなにも、将来的にどうなるかなあって言う妄想じゃね >>18
昔よりパソコンの性能が上がってきて解析しやすくなってきてるから
トリ割れしやすくなってるのでは?
このままパソコンの性能が上がってトリップとしての意味が無くなってしまう前に
新しい方式を考えておこうと言うのがこのスレの趣旨なのでは?
誰か困ってるの?
自分のスキルを試したいなら、どこかで鯖借りて勝手にやれば 現行を廃止しないで新方式も追加ならいいんでね?
気が向いた奴だけ新方式使ってくれってことで 何もしないでいるとトリップが全部割れるようになっておもちゃとしてしか使えなくなりそう >>20
総当りを考えると、結局は桁数を増やしていくしか無いよーな・・・ 旧方式派に迷惑がかからないなら反対される筋合いもなくなるからね 好きな文字列を作成できてかつ解析されにくいトリって出来ないの?
10完とかで色々単語入れたトリとか付けたいんだけど アルファベットのみのトリップはスレ内で5分くらいで解析された
今の漢字混在のは諦めたみたいだ 8完くらいならわりと簡単に出せるようになったけど
10完、割るなんてことは今じゃまだ無理だな
もちろん数字、半角英数のみだけのパスじゃないこと前提
パスを簡単なのにして割られて文句いうのはおかしい ????
MD5から逆算されたんじゃなくてただの総当りでしょ?
なんでSHA1とか出てくるの? あ、ちょっと計算手順が増えたくらいじゃ意味ないのか。SHA1提案した俺ばかす
[805]動け動けウゴウゴ2ちゃんねる<sage>
2009/06/15(月) 00:26:44 ID:i/vAmOx+0
多分現在一番早いトリッパーは http://sourceforge.jp/projects/naniya/wiki/Radeon だと思うんだけど、
それでトリップの全空間 28京8230兆3761億5171万1744(Wikipediaより)を探索するとしたら
全空間の検索に21947日。60年かかる計算。一般的に暗号の解読にかかる時間と考えると短かいことは確かですね。
これって60人で1年ってこと? 1台あたり150Mtrips/sでだいたい60年だから。
検索速度から単純に計算するとそうなるんだろうけど、60人(60台)が
検索範囲を調整してるわけじゃないからそう単純でも。
今のトリップを使えるか使えないかは別にしてあと1〜2桁増やせば10年は
持つんじゃないかなあ。
別に、半永久的に使えなくてもいいんだろうし。
解析させるリスクが増えてきたら、またその時の人が新しいコト考えれば
いいんだし。
ま、酉検索に数年もPC回しっぱなしの人もいるらしいから出来ればなんらかの
方法で今の酉方式を残して欲しいんじゃないかな。 まあ、beと現行の酉組み合わせれば別に必要もない気もしたりしなかったり・・・ >>32
500M/s 以上で検索してたアホです。
>トリップの全空間 28京8230兆3761億5171万1744
で計算するのは無意味です。キー空間のほうは、その半分もないから。
トリップ検索スレの人たち合計で 1G/s ぐらいはいってたわけですが、
この速度だとキー空間をなめつくすのに5年もかかりません。 >>35
ガクガクブルブル
それってトリップなんて割られて当然、ということを意味するのでは… 今のトリップ仕様のまま桁数だけ増やしても無意味ですよ・・・
モリタポのやり取りにトリップ使ってますけど
現状のままだと危なっかしいですね 使い分けは>>17
現行のDESで13桁
で良くね?
めんどくさいじゃんw 進めやすくなるように、とりあえず議論の出発点っぽいものを思いつくままに書いておこうと。
1) そもそもトリップって何のためにあるの?
2) その目的は現在達成されているの?
3) どうして新しい方式を導入しようと思ったの?
4) 新方式は追加導入するの? それとも今のを置き換えるの?
5) 影響を受けそうな周辺システムは? 例えば Be? モリタポ? 株? Boo2008? 他には? >>39 のはどなたかにまとめてもらうのを期待しつつ,適当に思いついたことを......
今の DES crypt() のままだと桁数増やす余裕は1桁分しかないような.
それ以上増やすと salt の部分が......
で,もし仮に新方式入れるとしたら,# 以降の文字列が一定以上の長さなら新方式,
それ未満なら従来方式,って形で切り替えるのも一案かもですね.
DES crypt() の仕様上9バイト以上ってのを境界線にしてもいいかもですが,
語呂合わせ等でもうちょっと長いキーを使ってる人もいるかも知れないので,
余裕を持たせて例えば12バイト以上とかを境界線にするとか. 1) 本人認証だっけ?
2) 2ちゃんねる流の匿名システムの中で本人(個人特定?)認証としては機能している。
3) PCの処理速度の向上で、総当たりで酉割れするリスクが高くなった?
4) 出来れば追加導入で(理由 今までの酉資産?がムダになる)
5) ブラジルのモリタポをあげるシステム(これは、向こうがなんとかするでしょ。)
他は?? 4) は全く新しいシステムにしてゼロから一斉にスタートでも面白いけど
トリッパー検索ソフトやら職人さんたちがはりきるかもw
ただ、まったく新しいのにしてしまうと慣れるまで誰が誰だかちょっと混乱するかも
特に、古い運営ボラさん(?)あたりをおっかけるにはw >>39
乙彼さんです。
コテ検索人だけど昼は名無しにて失礼。
A1) トリップはファッションだろ! おもちゃだろ!! 飾り飾り!!!
A2) 本来の目的という意味では、一時的な本人証明にしか使えないでしょ。
ふつーにキーワード入れたトリップは、現実的な時間でいとも簡単に割れるし。
(ふつーの人は安易なキーワードを選ぶと思ってていいです)
ツールに吐かせたトリップも、総当たりで割られまくるのは時間の問題。
A3) 現トリップ仕様は、ステートレス(鯖側で情報を覚えておく必要がない)という
意味ではすごく鯖にやさしいんだけど、いかんせん A2 で挙げた
問題があるので、本人証明として用い続けるには問題がある。
Be のようなシステムをもっと簡便に使えれば
(それこそ背番号発行システムだな)、本人証明とかには十分なんじゃないかな?
A4) 追加がいいけど…現トリップシステムを粒されると俺引退。
つかトリップが粒されるまで引退せずにがんばる予定。
A5) 待て屋。使い物にならなくなるだけだけど。
MD5 とか SHA のより強いといわれるハッシュシステムを導入しても、
使う人の意識が低ければあっという間にキーを割られることには
何らかわりがないですよ。
総当たりに強い方式にしても、使う側が安易なキーを指定すれば
トクロの餌食だし、安易なキーを弾くようなシステムにしたら
今度は使う側がキーを忘失するって。
よそ(mixiとかyahooなど)の OpenID に乗っかるというのも手か? 1桁のKeyを考えるとDESだと先頭3Byte除いて10桁か
MD5で桁数増やす程度じゃだめなの?
平文8Byteまでとか分かって使ってる一般ユーザて普通はあまりいないと思うし、
# 以降の長さで新方式と判別するのはどうかと >>41 に追加で
6) 1 の目的に使用できる別の機能はあるか?
=> ある。Be。
7) 6 の方式に 3 のような問題はあるか?
=> 恐らくない。
8) 6 の方式は 元の機能と同じように使用可能か?
=> No. 以下の違いがある。
・要登録
・本人であることを確認するためにはBe基礎番号の確認が必要(トリップのように見ただけでは確認できない。) トリッパーぶんぶんしたり他人に依頼してまで意味のある文字列を付けてる人にとっては
Beは代わりにはならない
トリップはおもちゃでしょ
とはいえ、割れたらモリタポのやりとりとかは困るだろうけど 個人的な感覚では今のトリップは、
「いい加減は良い加減((c)フラカッパー)」なシステムな気がしています。
テクニカルなことを言い始めると、
通信路に平気で平文流してるし、
リプレイアタックに対して無力だし、
そもそも通信路が暗号化されているわけじゃないし、
暗号化方式は今やか弱いDESだし、
別々の文字列から同一トリップの生成(いわゆる衝突)がありうるシステムだし、etc.
でもその「いい加減ぶり」が結構「良い加減」な面が多分にあるのかもな、と。 登録制はコテハンがはびこりそうで嫌だなぁ
あくまでトリップはIDの延長で、名前ではないはずだから、
ID欄を使えるかも? Beでさえ(心理的?)抵抗がある人も多いんだろうからそのいい加減さ・手軽さがいいんでしょうね。
とりあえず割れなければいい・当面の本人証明が出来ればいいんだろうから。
そんなに厳格な(めんどくさい)のはたぶん2ちゃんねるでは流行らないと思う。
必要性があれば別だけど。
後は、遊びというめんも確かにあるから。
面白い酉や好みの酉をつけてみるという。 >>50
前にもそんな話をされてましたねぇ
あの時はキャップパスだったかしらん? >>50
確かに割れないと面白くないかも。極端な話、VIPの3スレ分くらい持てば十分なんですかね。 割れるというのは、キーに意味のある連想されやすい・・・割れやすい文字列を使ってるからで
酉の検索ソフト使っても、相当運が良くなければ割るのは最低でも年単位だと思う。
それに、検索速度がいくらあがっても年単位かけて割りたい酉なんてそうそうないかも。 >>35によれば、これからPCの技術が1_も先へ進まなくても最短5年で全トリップが解析終了する見込みなわけで 誰かトリップの解析結果を共有するソフトを作ったりして・・・。
http://qb5.2ch.net/test/read.cgi/operate/1067245837/3
をやるだけでも、一気にキー空間はひろがります。
それにアホみたいな速度の人でも、年単位の時間がかかるわけで。
さらにブラジルのモリタポをあげるシステムとかで横取りするのは犯罪なわけで。
そんなことするやつはいな、、、、、くもないか。orz... そんで分散型こんぴゅーてぃんぐでスパコン級の解析ソフトですね♪ シロートが考えるに・・・
1)キー空間を広げて、たとえ1000台クラスの分散こんぴゅーてぃんぐでも総当たりで1000年単位にする。
2)Beのようなパスのようなシステムにする。
3)その他、詳しい人よろしくw
トリップキーチェーンってどうだろ
2時間ごとぐらいにトリップを使い捨てていって、それらはみんな同じポインタを指すことが何らかの手段で分かるの。 まあ、年単位の期間を掛けてまで鳥解析して悪用しようってのが居ない現状
では思考実験とかお外の板で実証程度に楽しむのが一番じゃ無いかなあ。
2ch云々は抜きとして、システムとしての考察をやる事自体は経過で得る物も
あると思いますし。
>>50
最近、いい加減さが少ないきっちりな人が多いなあと思わなくも無いですね。
(ここ以外見ても)
どうやらさん的な対応とか「こんなげーむにムキになってどうするの?(byたけしの挑戦状)」
とか言うのは実は深いんだなあとかとか。 たけしの挑戦状はテレビ切るのを検出したと聞くけど
どうやったんだろう キー空間を広げても、新しいシステムを作っても
キーを1234や、vistaスレでキーをvistaやヴィスタを使うと
割られたり割れたりするわけで、またそのような文字列をキーに
使ってる人は大勢います。
◆tr.t4dJfuU #1234の酉をググると
http://www.google.co.jp/search?sourceid=navclient&hl=ja&ie=UTF-8&rlz=1T4GWYH_jaJP319JP319&q=tr.t4dJfuU
使う人の認識が変わらないと何を変えても同じかと
10文字同じ酉が出て何が困るのかと
モリの横取りは犯罪ですし、電気代何マソもかけて割られたとしても
酉を変えれば、おkじゃないのですか?
6,7,8文字ぐらいなら気にいった単語に出来る、気軽さも良いと思いますけどね
それよりもBeプロフと2chの酉を同じ仕様にして欲しいかな
どのあたりが、幸せサーバープロジェクトなのかと と言うか割ったところで、ほとんど実利はないんだけどね。
割られた方は、うわーん!と一瞬なるかもしれないけど酉変えればいいだけだし。
モリタポをかすめ取るっても数万(円)単位であげるなんてほとんど無いだろうし
ログは残ってる(?)だろうからリスク高すぎるだろうし・・・
さらに、現状で数百Mなんて出すには1台当たり月1万〜の電気代やらがかかるハズ。
将来的にはわからんけどね。
言ってしまえば、シュミの領域よ。 ただ、いい加減8完が1ヶ月弱で出るようになるとチャレンジ精神というか・・・酉探すのもちと興ざめする気も。
検索速度が今の数倍になって9完が半年ほどで出る様になると逆につまらないかな。
で、1桁でもいいから増やしてくれると面白いかと思ってこのスレに書き込んでるだけだったりするw 割られてからじゃ新しい酉には移行できないでしょ。chain of trustが破れちゃってるから。 遺伝子暗号+AESの12桁トリップとかを考えてたのは考えすぎでしたかね 鍵空間を強制的かつ圧倒的に広げないと
*トリップは20文字以上が必須です とか しかし、あんまりトリップが長いと
BBS_NAME_COUNTに引っかかるところが出る…かもしれない 信頼の連鎖・・・なのかな?
というかトリップに、そんなに信頼置いてる人がいるのかな?
そのあたりは、自分とは認識が違うのかも。
トリップなんて、誰かが割るかも知れないと思ってたほうが・・・
まあ、今のトリップがどのくらい持つかは分からないけど言い方悪いけど「終わった仕様」かな?
トリップというのが必要なら新しいモノを考えておくのは必要かも。
で、やっぱり現行方式と新しいモノは別の方がいいなー
ぶっちゃけて言うと新しいモノを作っても・・・一番の杞憂は2ちゃんねるの方があと何年(ry いや、まず必要ないんだけど、ごくたまにそういう認証が欲しいときがある。
それに古い鍵から安全に乗り換える方法はやっぱりほしくない? テスト板でも作ってからでも
◆11桁トリップはここだw◆12桁トリップはここだw! トリップ漏れて問題あるってのはインチキマネーのモリタポ絡みくらいか?
手を出したらオナワチョーダイ!
使ってる側からすりゃ、実際にリアルタイムで解析されて
晒されてもその場でちゃちゃっと変えるから問題無いよ。
コテ付けて語っても真似出来ないしね。
ラウンジでコテ漏らした真性ロリコンいたけど誰も真似しなかった。
堅牢制は然程気にしなくていいけど、数日で破られるようでは面倒
今くらいでいいんでね。CPUが追いついて来たら対応する感覚で。
漏れた人で個性や特徴無い人は、特徴ある人に乗っ取られるかもしれないけど
トリップ漏れた人は、beとあわせて防いでるし然程心配することない じゃあキャップ漏れが常態化するようになるまではいいってことか あまりにも簡単に解析されたら面倒だろうけど今くらいなら不便してない。
解析する基地外もよっぽど恨みがあるとか、目的が無い限り
行為自体やらねーだろうしね。 3分で解析されたら考えようかね〜。
てか、考えてから行動するより、動いてから考えたほうが良いシロモノのような。 割られた当人はトリップ変えればいいだけの話だけど
わざわざ割ろうとする人は悪意持ってたりするから
周りが混乱するんだよね
というか既に騙り防止の意味は無くなってる
騙られたくないならBeつけろと 頻繁に破られると運用板が騒ぎになる気がする
モリタポのログインもトリップでログインする訳じゃねえから
然程、あ!ポイント集める時割られてたら集められちゃうのか
インチキマネーだからみなかった事にしておこう 最近はやりなのはパスワードを簡単な文字列に設定できないサイトがあったりするでしょ
アルファベットだけとかそういう文字列は設定できないように最初からはじいちゃうの
もし新しい方式にするのであればぜひとも導入してもらいたいね ■ このスレッドは過去ログ倉庫に格納されています