دوست عزیز شما وقتی منابع رو دقیق نمیخونی، نمیفهمی، یا شاید احتمالا اصلا زبان انگلیسی اینقدر بلد نیستی که این منابع رو بخونی، بعد از کجا میای این نظرات رو میدی واسه خودت؟نوشته شده توسط kb0y667
اینترنت پره از منابعی که شکستن md5 رو تایید کردن.
ولی میگم ظاهرا شما بخاطر اینکه تخصص و اطلاعات بیشتری ندارید، فقط یک کاربرد محدودی که از این الگوریتم میشناسید، یعنی هش کردن پسورد رو، بعنوان تنها کاربرد اون فرض کردید! البته حتی در همین کاربرد هم من میتونم بازم منابع متعدد و دلایل روشن بیارم که چرا استفاده از این الگوریتم صحیح نیست.
من واقعا دیگه با این همه کم سوادی ملت خب نمیدونم این مطالب رو کجا بذارم با کی بحث کنم، چون ظاهرا در ایران حتی یک نفر دیگه هم پیدا نمیشه که علم و درک اینطور مباحث رو داشته باشه. اینم اشکال بنده بوده که بخاطر علاقم به علم دنبال چیزهایی رفتم که توی کشور ما نه شناخته شده است و نه بنابراین کاربردی داره و پولی چیزی ازش درمیاد!!
جالبه بعضی از افراد منو بخاطر همین مورد تمسخر قرار دادن و میگن آدم احمق و علافی هستی واسه چی دنبال چیزهایی رفتی که کسی دنبالشون نیست و کاربرد و درآمدی ندارن (حداقل در ایران). و حتی بعضیا که بطور کلی میگن دنبال این چیزا رفتن دلیلی نداره!! توی یه فرومی بحث میکردم طرف بطور ضمنی همینو گفت؛ گفت بجاش میرفتی دوتا برنامهء کاربردی مفید مینوشتی هم بیشتر به درد جامعه میخورد هم خودت میتونستی ازش پولی دربیاری!!
ولی دقیقا بخاطر همین چیزهاست که ما هیچوقت در حد کشورهای پیشرفته و تولید کنندهء علم نیستیم، و نمیتونیم باهاشون برابری کنیم. ما دلمون به نوشتن دوتا برنامهء کاربردی خوش میشه فقط، اشکالی نداره، ولی باید بدونیم که علوم پایه بوده و هستند که منجر به تمام این امکانات و رشته های دیگر هم شدن، و مسلما کشوری که در علوم پایه از ما خیلی قوی تره از ما یک سر و گردن بالاتره و هیچوقت ما نمیتونیم فقط با نرم افزارهای کاربردی نوشتن در حد و قدرت اونا قرار بگیریم. ما داریم روی بستری فعالیت میکنیم که اونا بوجود آوردن که لازمش همین علوم پایه بوده و پایش همینه.
اگر مشکل شما منابع معتبر هست بگید براتون بذارم خب! اینا حرف من که نیست، بلکه منم از منابع تخصصی این رشته نقل میکنم. اصلا اگر در علم رمزنگاری اطلاعات و تخصص محدودی هم داشتید، حرف منو متوجه میشدید و شک نمیکردید، چون اینها جزو تعریف های پایه است. وقتی الگوریتم های هش امنیتی رو تعریف میکنن، در هر منبع آموزشی این رشته هم که بخونید اومده، خصیصه هایی رو بصورت ریاضی وار تعریف کرده که این الگوریتم ها باید داشته باشن و درموردشون صدق بکنه. و اگر این اطلاعات رو داشتید، میفهمیدید که باوجود نمونه های collision که برای md5 در اینترنت موجوده، یک یا چندتا از این خصیصه ها نقض شدن. بنابراین ما از دید تئوریکش شکی نداریم که md5 دیگه خصیصه های کلی حداقلی برای اینکه بگیم یک الگوریتم هش امنیتی امن است رو نداره. ولی بله در بعضی کاربردها هنوزم میشه ازش استفاده کرد و مشکلی ظاهرا نداره، ولی این کار لزومی نداره و تقریبا تمام متخصصان نهی میکنن، و حکایت روزهء شک دار گرفتن هم هست. وقتی الگوریتم های امن تر براحتی در دسترس هستن، چرا md5 که اینقدر دچار ضعف و بدنامی شده؟ بقول یارو میگفت حتی اگر در کاربرد مورد نظر شما واقعا هیچ مشکلی هم نداشته باشه (که فهمیدن این در درجهء اول نیاز به تخصص و اطلاعات کافی داره که اکثریت ندارن)، ولی فردا براتون دردسر میشه چون باید با هر منتقد و مسئولی سرش بحث کنید و توضیح بدید بابتش که مشکلی نداره و من برنامه نویس اشتباه نکردم. البته این بحث ها واسه من و شما و ایران نیست، بلکه واسه امثال آمریکاست که اونجا علم و اصول درست و حسابی تری دارن و برنامه ها بررسی تخصصی تری میشن.
متاسفانه ملت ما اینقدر سوادشون پایینه که چنین مطالبی سالهاست توی اینترنت جلوی چشمشون ریخته، اما حتی یک نفر هم اونا رو ندیده ظاهرا!!
یه نگاهی به همون رفرنس های پای مقاله های ویکیپدیا بکنید خواهشا! توش منابع تخصصی و معتبر نیست یعنی؟
بطور مثال به اسمهای شناخته شده ای مثل CERT و NIST اشاره میکنم. اینها سازمانهای استاندارد کشورهایی مثل آمریکا و حتی مراجع بین المللی بحساب میان. تازه بقیهء منابع هم توش پره از مراجع معتبر تخصصی و دانشگاهی. واقعا اصلا مشکل منبع نداریم! مشکل اینه که شما به خودتون زحمت بررسی کردن و فکر کردن هم نمیدید، وگرنه حداقل متوجه میشدید یه چیزهایی ورای اطلاعات و سواد شما ظاهرا وجود دارن و میپرسیدید واسه چی این همه منابع تخصصی اومدن این حرفا رو زدن! آیا اغراقه؟ آیا خالی بندیه؟!
نه دوست عزیز. نه اغراق هست و نه خالی بندی.
فقط یک بخش از یک نمونه از این منابع متعدد تخصصی و معتبر و رسمی رو براتون میذارم که فکر نکنید نمیتونم این کار رو بکنم:
Do not use the MD5 algorithm
Software developers, Certification Authorities, website owners, and users should avoid using the MD5 algorithm in any capacity. As previous research has demonstrated, it should be considered cryptographically broken and unsuitable for further use.
ترجمه: «از الگوریتم md5 استفاده نکنید. توسعه دهندگان نرم افزار، مراجع گواهینامه های دیجیتال، صاحبان وبسایت ها، و کاربران باید از استفاده از md5 به هر شکلی اجتناب کنند. آنطور که تحقیقات قبلی نشان داده است، این الگوریتم باید از نظر رمزنگاری شکسته شده و نامناسب برای استفادهء بیشتر بحساب بیاید».
منبع: http://www.kb.cert.org/vuls/id/836068
حالا تاریخش مال 2009 بوده! یعنی 7 سال پیش.
یک نفر از ملت ما این همه مدت یکی از این همه منابع رو یعنی ندیده براش جالب نبوده راجع بهش تحقیق نکرده نیامده به بقیه آگاهی بده که بابا سازمانهای استاندارد آمریکا و اروپا و آلمان و ... دارن میگن این الگوریتم شکسته شده استفاده ازش رو کنار بذارید. یکی نیامد بگه دلیلش چیه آخه.
بنظر شما چرا؟
چون ما سوادمون از اونا بالاتره چون باهوش تریم چون اونا اغراق میکنن چون اینا همش خالی بندیه؟!
نه، دلیلش اینه که یکسری علوم اصلا در ایران شناخته شدن نیستن ما متخصص و مراجع درست و حسابی کافی براشون اصلا نداریم. چون علم و اصول ما از کشورهای پیشرفته عقب تره. چون سطح سواد و علم در ایران پایین تره.
ببخشیدا البته. ولی واقعیته.
تازه حتی همینکه من اینجا دارم با چند نفر کم سن و سال که یک صدم سواد منو هم ندارن درمورد این مباحث علوم پیشرفته و فوق تخصص دنیا بحث و کل کل میکنم سر و کله میزنم خودش مسخره است! ولی منم چاره ای ندارم چون بهرحال باید حرفم رو بزنم مطالبی رو بذارم، حالا کجا و با چه کسانی خب چون نمیدونم و گیر نمیاد و اصولا بنظرم وجود خارجی نداره در ایران جا و افرادش، پس همینطور هر جا نزدیکترین جایی که فکر کنم بهانه و دلیلی براش هست مطرح کردم. وگرنه آدمی مثل من جاش اینجا نیست و باید با افراد متخصص و باسواد و مراجع تخصصی تری صحبت کنه. ولی کو کجاست الان کجای ایران کدوم سازمان هست کدوم مرجع هست کدوم استاد دانشگاه هست کدوم سیستم و تشکیلات هست کدوم متخصصان درست و حسابی هست نشون بنده هم بدید تا باهاشون آشنا بشم!
نیست دیگه منکه بعد این همه سال دیگه اینو میدونم.
واقعیت اینه که کشور ما هنوز خیلی عقبه توی خیلی زمینه ها.
منم مثل دیوونه ها انگار دارم با خودم و دیوار حرف میزنم!!
فقط امروز به لطف اینترنت هست که توی یه کشوری یه آدمی میتونه درست بشه که واقعا فراتر از محیط و شرایط کشور خودش رفته. گرچه خیلی ها این رو حماقت میدونن و میگن بابا آخه دنبال چی رفتی به چه دردت میخوره نه به درد مردم کشور خودت میخوره نه پولی ازش درمیاد واسه خودت.
ولی من میگم علم رو خب همینطور مگه آدمهایی مثل ما پیش نبردن و چیزهایی رو که امروز برای مردم عادی شده مگه امثال ما بنیان نذاشتن؟ اگر همه اینطور فکر و عمل میکردن که شاید ما الان هنوز دانشگاه هم نداشتیم و هنوز بچه ها فقط به مکتب خونه میرفتن!!
خیلی ها از من خوششون نمیاد و بارها گفتن تو خیلی مغروری خودشیفته ای از خودت تعریف میکنی و فروتن نیستی و بخاطر همین علم هم که داشته باشی دوزار ارزش نداره و از این حرفا، ولی من اگر اینا رو میگم چون می بینم اگر نگم تمام واقعیت اونطور که واقعا هست روشن نمیشه. این همه توضیح میدم هیچکس متوجه نمیشه، بعد بیام پشت پرده هم حرف بزنم و سر و ته حرفام رو سانسور کنم انتظار داشته باشم ملت متوجه بشن؟!
یوقت استادی میره سر کلاس میخواد ریاضی درس بده، متوجه میشه دانش آموزان اصلا پایه و پیشنیازهای حداقلی یاد گرفتن اون درسها در اون سطح علمی رو هم ندارن، خب مجبور میشه بگه آقاجان شما اصلا پایه تون ضعیفه سطحتون از چیزهایی که من میخوام بهتون درس بدم خیلی پایین تره، اول باید برید درسهای سطوح پایین تر رو بخونید یاد بگیرید، منکه الان نمیتونم بیام بهتون جمع و تفریق و تقسیم رو یاد بدم بعد مشتق و انتگرال رو هم در کنارش یاد بدم!! بعد لابد میگن استاده مغروره، فروتن نیست، خودشیفته است، ...
خب بابا منم رفتم یه چیزایی خوندم یاد گرفتم که این ملت لامصب کسی نرفته نمیدونه درک و تصور و بینش درست و حسابی ازش نداره! حالا چطوری برای شما بیان کنم! وقتی هنوز پیشنیازها و پایش رو هم ندارید. وقتی درک نمیکنید نمیفهمید چی میگم، وقتی منابع و نوشته های جلوی چشمتون زیر دستتون هم باشه بازم نمیفهمید داستان چیه. پس مجبور میشم اون طور دیگه صحبت کنم حالی کنم که حداقل سطح و جایگاه خودتون رو متوجه بشید.
پاسخ با نقل قول