Осолихте ли отпечатъците вече?

Са, и тук, поклон дОземи пред Разбирателя - осолител. Хвалааааа! - на таквизи Осолители.

Ми отпечатъка може и да не можеш да смениш, но това няма никакво практическо значение за който и да било. Ето поиграй си тук:

https://emn178.github.io/online-tools/sha256.html

Видно е че се генерира 'случайна' поредица от символи с точно определена дължина. В случая ти вкарваш текст, но съвсем виртуален пример:
да кажем че паролата ти е "password". след хеширане ще получиш
"5e884898da28047151d0e56f8dc6292773603d0d6aabb dd62 a11ef721d1542d8"

Да допуснем че това е пръстов отпечатък който не можеш да смениш. Отиваш в един хотел да кажем 'Шератон". сега в системата им твоят пръстов отпечатък може да изглежда така: "Шератон-password". хеша на това нещо е
"5901651fc66afb44a08b9fe5b05491913379fca9e97cd c35e bb45421a0dfe739".
А може да е "password-Шератон". Хеша е
"e8c7e6c6dc663b7acb3976d3e15f09e114a4019e55e64 92bf a6501eca71d1d23"
Вижда се че нямат нищо общо с първият хеш. А и помежду си.
В друг хотел например 'Рамада" може да изглежда така: "password-Ramada". съответно хеша е
"e96bcc3114d2d96dee3a7f0d6103fc45ce5f9fd8cb63f e867 cd3cc59b5f7bab7"

Видно е че и четирите съдържат 'пръстовият' ти отпечатък 'password', но и в четирите случая резултата е различен. Подобен подход е елементарен за постигане, и дадох прост пример, в реалността обаче нещата са коренно различни, тоест доста усложнени.
Първото нещо което ми идва на ум е че създаването на този хеш се използват датата, името на хотела, номера на стаята, името на госта... ... Това се нарича 'осоляване',
Тоест получавайки този хеш, той сам по себе си нищо не означава. Функцията е еднопосочна, не можеш да възстановиш от какво е получена.
А подобен подход се прави буквално навсякъде където има аутентикация. Дори и в най-смачкания уеб сайт.
Та от тази гледна точка това не ме притеснява. Това което ме притеснява е огромната стойност на една апортна вноска която е нещо като интелектуална собственост. Нещо като тръбичката на из... сещаш се,

По друг начин да кажа.
​​​​​
Случайността на хеша работи и е полезна само ако криптира донякъде случаен образец, в твоя пример произволно измислени от индивида юзърнейм-парола.

Обърни внимание, в този случай много голямо ударение се слага на възможно най-голямата произволност на измисляне на паролата (юзърнейма по презумпция обикновено е видим за всички). Защо? За да не може някой да я познае. То ест, това доказва твърдението ми в първия абзац.



Нау...
В случая с пръстовия ми отпечатък... и "юзърнейма" ми, и "паролата" ми хич не са произволни, а са уникални и постоянни, не мога да ги сменя или измисля, дадени са по рождение.

В такъв случай обявеното от г-на Софрониева "случайно" хеширане на пръстовия ми отпечатък или не работи, или не е случайно.
​​​​​

Благодаря за инпута, Имхотеп.

Междувременно продължавам да си мисля и търся какво ме човърка подсъзнанието. Може да не е право, но може и да е.

Какво ще кажеш за разликата с примера ти, че юзърнейма и паролата винаги можеш да си смениш, но отпечатъка на пръста много по-трудно?

Малко тюрлюгювеч е това черното,
но ще пробвам.

Ще дам пример. Когато се логваш в сайт някакъв, изпращаш юзернейм и парола. Те се изпращат така да се каже криптирани, така че се счита че е безопасно.
Ся от другата страна сайта 'хешира' паролата и проверява за съвпадение на този резултат в база данни за съответният юзернейм. Тоест когато се регистрираш, паролата се 'хешира' и така се съхранява в база данни. Сайта не записва паролата в оригиналния и вид.
Същото е и с пръстов отпечатък, и с каквото се сетиш друго което се представя с букви, цифри и всякакви други знаци.
Избраната 'хеш' функция винаги връща един и същи резултат, с една и съща дължина, независимо от големината на файла който ще 'хешира'.
От гледна точка на сигурността ако някой успее да 'прихване' този хеш, то за този някой той е абсолютно безсмислен, няма никаква стойност. Не може да го използва нормално. Тоест ако го изпрати към сървъра, то той ще го 'хешира' отново и ще получи съвсем различен резултат, който пък няма да съвпада със записа в бд.
Разбира се може да имитира устройството, но за целта ще трябва да знае всичките му параметри, които да съвпадат с тези в сървъра.
Може би се отплеснах, основното което казвам е че стойността на хеш функцията за външно лице няма никаква връзка със 'материала' върху който се прилага.

Съгласен съм напълно за хеша, но не искам да дълбая. Мотиката на този етап не е моя за да давам идеи.

Не бях вникнал във Вашия отговор, а и бях забравил за обяснението на г-н Софрониев, които препрочетох сега и при мен е на 15 страница от темата, на 16.02.2019, 00:24.

Това променя нещата и прави предишния ми отговор ненужен, ако не и безсмислен.

Но нещо ме човърка в подсъзнанието, като например как така случайността на "хеша" на отпечатъка води до уникална идентификация, щом като хеша се използва пасивно, то ест не се прилага от уникалния индивид субективно, с негово волево решение.

Не знам дали става ясно от тази ми боза горе, но нещо ме човърка.
Ще мисля.

Чичо Митко,
мисля, че поне за първоначално определяне на уникалните точки на дактилограмата трябва да има аналоговата картина на целия пръстов отпечатък. Следващите неща са само цифрова обработка, с което не казвам, че е проста, но без "оригинала" тя няма с какво да работи. Нали не носиш на пръста си тези уникални точки в цифров вид?

​​​​Виж, ако искаш, на Дактилоскопия, английския вариант в Уикипедията е най-пълен, а руския по-събран. Българския е прекалено лаконичен.


По подобен начин би трябвало да работи и системата при отключване, то ест сканира целия ти отпечатък (аналогова картина), определя нужните на Биодит точки и ги сравнява с точките в "централата".
Не казвам, че целият ти аналогов отпечатък се вее по мрежата, но в двете крайни точки на системата трябва да го има свален.

Това са мои прости "некои съображения", но мисля, че няма мърдане от тях.

Хм, интересен въпрос. Аз не го разбирам така и ще е добре да видим отговор. Поне от последните отговори Софрониев ясно казва, че няма записани отпечатъци. Аз си го представям така. Сканира се отпечатъкът за вход в системата. Тук се използват стандартни скенери за отпечатъци, не задълбавайте в обработка на изображеие и прочие, съмнявам се, че Биодит са разработили собствен скенер, тоест те са интегрирали готов сензор със собствен микроконтролер, който да обработи получения резултат и да го пусне по мрежата. 70-80 точки от отпечатъка са достатъчни за гарантиране на неговата уникалност, тоест изключително ниска вероятност за еднакви хешове при различни отпечатъци. Дали е така не знам, дали е в патента също. Информацията от тези 70-80 точки служи като основа на хеша. В последствие в базата данни се пази само хеша. При всяко сканиране отпечатъка се превръща отново в хеш още при четеца и този хеш бива изпратен по мрежата и сравнен с този в базата. Тоест, нямаме записан отпечатък. НО, имаме уникален хеш базиран на биометрични данни. Този хеш се предава по мрежата и е записан някъде. Пробойни. Факта, че имаме идентификация на базата на биометрия не гарантира сигурност. И проблема не е в това, че някой ще седне като Джеймс Бонд да сваля отпечатъци от сензора и те щели да бъдат огледални. Особено при Wi-Fi мрежа. Ако при RFID, ПИН, парола можем да ги сменим след установено изтичане за да преотвратим по-нататъчни вреди, как процедираме тук? Не че няма варианти за защита, но няма да седна да ги коментирам.

"Апортна" се казва вноската.

Заяждам се тука с г-на Софрониева, но той мълчи не като човек, а като желязо.

Има опит с тези милиционерско-полицайски неща

Може да си по-точен, ясно за какво става въпрос, но са важни детайлите,
инсталирането на аваст не е решение на повдигнатия от теб въпрос.
Всъщност, решението на био там кво беше... може да работи но само локално.
Споменаването на облаци и подобни неща е червен флаг, просто защото този който ги споменава в подобна връзка изобщо няма представа за какво говори. Това е за тълпата.
Разбира се има и други измамници които обаче са много прости и неуки, и въобще не могат да стъпят и на малкия пръст на тия с биото.
Все пак импортна вноска за осем милки зад която реално няма нищо си е успех в привличането на тези за които споменах малко по-преди

Друго е, ама няма да каже щото, този тук, за разлика от рецепциониста, Е измислен.

Crack:
https://www.avast.com/c-cracking

Сигурността на личност може да бъде направена само от личност.

Защото в края на веригата на обществените отношения (съд, репутация и такива) се произнася пак личност.

Облаци и IoT не са отговорни, юридически личности, и кат ти кракнат сигурността и я отнесат към тези технологии, ше има да търсиш некой виновен, но няма да намериш. И Софрониев няма да е отговорен, зад завесата на облаци и иотета.

Друго си е, например, рецепциониста да каже "да, дадох ключа на Имхотеп" , или "не, не го е вземал от мен".

Послепис.
Същото, между прочем, е и с електронното гласуване