06-23-2015, 10:10 AM
یکی از آخرین ترفندها و تیر ترکش که شما داشتی این بود که وانمود کردی من باید فلان کار خاص رو که شما مدام بدون اینکه بتونی ثابت کنی (و باوجود اینکه من از همون اوایل تاحالا به وضوح بارها با توضیحات و اشاره به منابع روشن کردم که منظور من نبوده) ادعا میکنی من ادعا کردم (!!) حتما بصورت عملی خودم شخصا انجام بدم تا ثابت بشه ادعاهایی که کردم (که البته این ادعاها از خودم نبود و از منابع دیگر گذاشتم و این منابع هم دربارهء اون چیزی که شما میگی و میخوای نیست) راست هستن!
دیگه مغلطه و حقه بازی و دروغ واضحتر بزرگتر مسخره تر از این؟ بند کردی به خود من، اونم بر پایهء نسبت دادن یک ادعا و درخواست دلخواه خودت که منظور و ادعای من نبوده، و سعی کرد نهایت منو تحریک کنی به شخصیت و سواد و توان من بپردازی و زیر سوال ببری که توی این دام بیفتم!
ولی من باهوش تر قوی تر از این هستم که گول این حقه ها و ترفندهای روانی و بازیهای بچه گانه و مسخره رو بخورم! تا اینجا هم هر ادعایی کردم در حد سواد و درک و صلاحیت بنده بوده و بیش از اون ادعایی نکردم، که با منابع و توضیحات کافی هم ثابت کردم، هرچی گفتم چون از قبل میدونستم مطمئن بودم درسته و قبلا در منابع متعدد خونده و دیده و اعتبارش برام روشن بود. بیش از این هم ادعا ندارم. قبلا هم گفتم که سواد و توانایی من در علم رمزنگاری خودم هنوز ناقص میدونم و تاجایی پیش رفتم که برام معقول بود و صرف میکرد و از نظر پایه و تخصص تحصیلی برام مقدور بود، که همینش هم نسبت به بقیهء افراد منجمله شما بسیار بیشتر و کاملا برجسته است. از اونور هم اصلا علاقه و دلیل و اولویت و انگیزه ای ندارم که برم توی بحث کرک و نفوذ و سوء استفاده و این حرفا. این فیلد تخصصی و کاری من نیست و درش تجربه و مهارت قبلی ندارم. من حتی یک کارت گرافیک مدرن ندارم که روش بخوام چیزی کرک کنم، ولی در این حد میدونم که اینا داستانش چیه چطوری استفاده میشه فلان الگوریتم ها رو میشه روی کارت گرافیک یا با FPGA موازی کرد و با سرعت بالایی حجم بالایی اجرا کرد و کرکرها از اینطور چیزها دارن. میدونم که رایانه ها رو کلاستر میکنن و برای این کارها استفاده میکنن. میدونم که توی اینترنت هم پروژه و تشکیلات پردازش توزیع شده هست. میدونم که سرورهای اجاره ای با قدرتهای بالا هست که در دسترسه. اینا همش تئوری های پایه و مطالب رو خوندم و میدونم. چیز خاصی نیست چیزی نیست که بخوام بگم چون خودم تست نکردم پس معلوم نیست بشه یا نشه و دروغه بی اعتباره و این حرفا! چیز واضحیه. حالا مثلا اگر بخوام بیام با شما از این حرفا بزنم بگم آره مثلا md5 رو میشه بصورت موازی روی کارت گرافیک با سرعت چند میلیارد هش در ثانیه تست کرد brute-force زد، شما لابد میای میگی چون خودت نکردی نمیتونی پس نمیشه این حرف رو قبول کرد و دروغه و بی اعتباره باید حتما خودت انجام بدی تا ثابت بشه راست میگی!
نه دوست عزیز نیازی نیست من این کارها رو انجام بدم. حالا شما علم روز این همه منابع رو قبول نداری میگی دروغه نمیشه، دیگه خودت میدونی. من بقدر کافی برات توضیح دادم سند و منبع و سرنخ گذاشتم. بیشتر از این هم میخوای بگو دقیقا چرا و مثلا دیگه چه منبع و سندی چه اثباتی چطوری از کجا باید آورد؟ مثلا ایمیل بزنم کنگرهء آمریکا و امضای اوباما رو بگیرم؟ اون موقع هم هزارتا بهانه و بامبول درمیاری و آدمی که نخواد زیر بار یه چیزی بره بهرحال حرف خودش رو میزنه و وقت تلف کردنه باهاش!
البته بحث موازی کردن روی کارت گرافیک و brute-force کردن md5 و غیره که کردم فقط یک مثال شناخته شده بود که از قدیم تر بوده، و نوع ضعف و حمله هایی که درموردشون این همه بحث کردیم تفاوت میکنه. فقط خواستم بگم نیازی نیست که حتما یه چیزی رو من خودم انجام داده باشم یا بتونم انجام بدم تا بگیم میشه و دیگران انجام دادن. بهرحال آدم باید بره توی اون فیلد توی اون وادی و فعالیت کنه بفهمه چی به چیه برنامه هاش چیه امکانات سخت افزاری که میخواد چیه وقت بذاره هزینه کنه تست کنه تجربه و مهارت کسب کنه، که واضحا من نه علاقه و انگیزه و دلیل و اولویت و نه حتی منابع مالی و وقت این چیزها رو ندارم برام مهم هم نیست حالا شما هرچی میخوای باز روی ادعا و مغلطه های مسخرهء خودت پافشاری کن. من بعنوان یه متخصص یه برنامه نویس خودم میدونم که قضیه رو فهمیدم و اصلش از نظر همین منابع و درک و احاطهء تئوریکش هست و نیاز و ضرورتی به تست کردن عملی و وارد شدن و صرف وقت و انرژی در اون حیطه ندارم تا این قضیه رو قبول کنم، بفهمم، و بتونم برنامه هام رو در برابرش ایمن کنم. البته اگر آدم بتونه بد نیست که میتونه مفید هم باشه، ولی باید امکاناتش باشه وقت و اولویتش باشه صرف هم بکنه. من همینقدر هم که یکی دو سال در علم رمزنگاری وقت گذاشتم و پیش رفتم هیچکس این کار رو نمیکنه و چنین سواد و احاطه و قدرت عملی نداره در این وادی که برنامه ها و پروتکل های حرفه ای و امنی رو طراحی کنه، منجمله خود شما دوست عزیز! ولی خودمونیم تا الان توی این بحث با مطالب و توضیحات و منابعی که گذاشتم باید یه چیزایی یاد گرفته باشی که چیزهای مفید و قابل توجهی هستن! من خودم سر درک هرکدام از این مباحث کلی زحمت کشیدم کلی زمان برد ده ها منبع صدها منبع صدها صفحه مطلب خوندم و مقایسه و تحلیل کردم تا تونستم به یک درک و جمع بندی و خلاصه سازی مناسبی برسم. حالا اینا رو در اختیار شما قرار میدم بجاش فقط مغلطه و لجبازی میکنید و تمسخر و توهین!
ضمنا اینم بگم که در علم رمزنگاری امروزی تئوری و ریاضیات و محاسبات نقش اساسی و محوری داره و اگر بگیم 99% کار در این حیطه تئوریه شاید چندان دور از واقعیت نباشه. این تصور غلطی هست که افراد غیرمتخصص و غیرمطلع در این حیطه دارن و فکر میکنن با عمل و بصورت تجربی و آزمون و خطا میشه در این حیطه خیلی کارها کرد. اونا درک نمیکنن که این علم چقدر گسترده و پیچیده و علمی شده امروزه و چقدر حساب و کتاب و تئوری و جزییات ظریف داره که به هیچ وجه نمیشه بصورت صرف تجربی و با آزمون و خطا و کدنویسی بدست آورد! اصلا خیلی چیزها رو هیچکس هنوز نتونسته تست هم بکنه، ولی تئوریش وجود داره و معیاره و کسی درش شک چندانی هم نداره (اونایی که درک میکنن). این فیلد با برنامه نویسی و کدنویسی و روشهای معمول خیلی تفاوت میکنه. شما اگر بتونی تئوریش رو درک کنی بهش احاطه پیدا کنی اصل راه بیشتر راه رو رفتی و قدرت و توان و صلاحیتش رو بدست آوردی! فاصلهء چندانی میان تئوری و عملیش نیست. بخش حجیم و پیچیده و سخت کار همون بخش یادگیری و درک و احاطهء تئوریه. مثلا RSA چیه؟ بقول شما فقط یک فرمول ریاضی! اصلش همونه. اگر درکش کنی RSA رو فهمیدی و میفهمی که چرا نمیشه اون رو شکست و چقدر این کار دشوار و نامحتمله؛ دیگه نیازی به تست نیست اصلا تست درمورد اینطور چیزها چندان معنایی نمیده چون تست بدون تئوری تست کور و بی هدف بی معنیه هیچوقت محتمل نیست جواب بده مثل اینه که توی انبار کاه تیر بندازی و انتظار داشته باشی تصادفی بخوره به یک سوزن که جایی اونجا گم شده! میگم اصلا خیلی موارد هست تستش در حال حاضر در دسترس نیست و امکانات پردازشی قدرت و انرژی زیادی میخواد که افراد معمولی ندارن یا اصلا هیچکس نداره و فعلا در دسترس نیست یا برای کسی حکومت و سازمانی صرف نمیکنه این همه هزینه صرفش کنه صرفا بخاطر اینکه تستش کنه و بصورت عملی اون رو ثابت کنه!
و اما همهء این بحث ها رو برای روشن شدن خوانندگان مطرح کردم که بدونن علم رمزنگاری مدرن چیه، و درمورد md5 باید بازم برای بار صدم تکرار کنم که بصورت شدید و کاملا قابل سوء استفاده ای شکسته شده (در خصیصهء collision resistance) که نمونه های عملی ازش (رشته ها و فایلهای دارای هش یکسان و همچنین گواهینامه های دیجیتال جعلی) رو هم توی منابع مشاهده میفرمایید و حتی قبلا ویروسی هم نوشته شده که از این ضعف استفاده کرده برای جعل کردن گواهینامه و امضای دیجیتال میکروسافت (یعنی منظورم اینه توسط هکرها عملا برای اهداف واقعی استفاده شده). پس دیگه جای هیچ بحث و شکی وجود نداره، مگر درمورد جزییات که اونا هم ارزش خاصی ندارن و اصل موضوع رو نفی نمیکنن به هیچ وجه.
حالا باز شما بیا بگو اگر راست میگی این هش رو بهت میدم دربیار که رشتهء اولیه چی بوده
واقعا خیلی بامزه ای!
دیگه مغلطه و حقه بازی و دروغ واضحتر بزرگتر مسخره تر از این؟ بند کردی به خود من، اونم بر پایهء نسبت دادن یک ادعا و درخواست دلخواه خودت که منظور و ادعای من نبوده، و سعی کرد نهایت منو تحریک کنی به شخصیت و سواد و توان من بپردازی و زیر سوال ببری که توی این دام بیفتم!
ولی من باهوش تر قوی تر از این هستم که گول این حقه ها و ترفندهای روانی و بازیهای بچه گانه و مسخره رو بخورم! تا اینجا هم هر ادعایی کردم در حد سواد و درک و صلاحیت بنده بوده و بیش از اون ادعایی نکردم، که با منابع و توضیحات کافی هم ثابت کردم، هرچی گفتم چون از قبل میدونستم مطمئن بودم درسته و قبلا در منابع متعدد خونده و دیده و اعتبارش برام روشن بود. بیش از این هم ادعا ندارم. قبلا هم گفتم که سواد و توانایی من در علم رمزنگاری خودم هنوز ناقص میدونم و تاجایی پیش رفتم که برام معقول بود و صرف میکرد و از نظر پایه و تخصص تحصیلی برام مقدور بود، که همینش هم نسبت به بقیهء افراد منجمله شما بسیار بیشتر و کاملا برجسته است. از اونور هم اصلا علاقه و دلیل و اولویت و انگیزه ای ندارم که برم توی بحث کرک و نفوذ و سوء استفاده و این حرفا. این فیلد تخصصی و کاری من نیست و درش تجربه و مهارت قبلی ندارم. من حتی یک کارت گرافیک مدرن ندارم که روش بخوام چیزی کرک کنم، ولی در این حد میدونم که اینا داستانش چیه چطوری استفاده میشه فلان الگوریتم ها رو میشه روی کارت گرافیک یا با FPGA موازی کرد و با سرعت بالایی حجم بالایی اجرا کرد و کرکرها از اینطور چیزها دارن. میدونم که رایانه ها رو کلاستر میکنن و برای این کارها استفاده میکنن. میدونم که توی اینترنت هم پروژه و تشکیلات پردازش توزیع شده هست. میدونم که سرورهای اجاره ای با قدرتهای بالا هست که در دسترسه. اینا همش تئوری های پایه و مطالب رو خوندم و میدونم. چیز خاصی نیست چیزی نیست که بخوام بگم چون خودم تست نکردم پس معلوم نیست بشه یا نشه و دروغه بی اعتباره و این حرفا! چیز واضحیه. حالا مثلا اگر بخوام بیام با شما از این حرفا بزنم بگم آره مثلا md5 رو میشه بصورت موازی روی کارت گرافیک با سرعت چند میلیارد هش در ثانیه تست کرد brute-force زد، شما لابد میای میگی چون خودت نکردی نمیتونی پس نمیشه این حرف رو قبول کرد و دروغه و بی اعتباره باید حتما خودت انجام بدی تا ثابت بشه راست میگی!
نه دوست عزیز نیازی نیست من این کارها رو انجام بدم. حالا شما علم روز این همه منابع رو قبول نداری میگی دروغه نمیشه، دیگه خودت میدونی. من بقدر کافی برات توضیح دادم سند و منبع و سرنخ گذاشتم. بیشتر از این هم میخوای بگو دقیقا چرا و مثلا دیگه چه منبع و سندی چه اثباتی چطوری از کجا باید آورد؟ مثلا ایمیل بزنم کنگرهء آمریکا و امضای اوباما رو بگیرم؟ اون موقع هم هزارتا بهانه و بامبول درمیاری و آدمی که نخواد زیر بار یه چیزی بره بهرحال حرف خودش رو میزنه و وقت تلف کردنه باهاش!
البته بحث موازی کردن روی کارت گرافیک و brute-force کردن md5 و غیره که کردم فقط یک مثال شناخته شده بود که از قدیم تر بوده، و نوع ضعف و حمله هایی که درموردشون این همه بحث کردیم تفاوت میکنه. فقط خواستم بگم نیازی نیست که حتما یه چیزی رو من خودم انجام داده باشم یا بتونم انجام بدم تا بگیم میشه و دیگران انجام دادن. بهرحال آدم باید بره توی اون فیلد توی اون وادی و فعالیت کنه بفهمه چی به چیه برنامه هاش چیه امکانات سخت افزاری که میخواد چیه وقت بذاره هزینه کنه تست کنه تجربه و مهارت کسب کنه، که واضحا من نه علاقه و انگیزه و دلیل و اولویت و نه حتی منابع مالی و وقت این چیزها رو ندارم برام مهم هم نیست حالا شما هرچی میخوای باز روی ادعا و مغلطه های مسخرهء خودت پافشاری کن. من بعنوان یه متخصص یه برنامه نویس خودم میدونم که قضیه رو فهمیدم و اصلش از نظر همین منابع و درک و احاطهء تئوریکش هست و نیاز و ضرورتی به تست کردن عملی و وارد شدن و صرف وقت و انرژی در اون حیطه ندارم تا این قضیه رو قبول کنم، بفهمم، و بتونم برنامه هام رو در برابرش ایمن کنم. البته اگر آدم بتونه بد نیست که میتونه مفید هم باشه، ولی باید امکاناتش باشه وقت و اولویتش باشه صرف هم بکنه. من همینقدر هم که یکی دو سال در علم رمزنگاری وقت گذاشتم و پیش رفتم هیچکس این کار رو نمیکنه و چنین سواد و احاطه و قدرت عملی نداره در این وادی که برنامه ها و پروتکل های حرفه ای و امنی رو طراحی کنه، منجمله خود شما دوست عزیز! ولی خودمونیم تا الان توی این بحث با مطالب و توضیحات و منابعی که گذاشتم باید یه چیزایی یاد گرفته باشی که چیزهای مفید و قابل توجهی هستن! من خودم سر درک هرکدام از این مباحث کلی زحمت کشیدم کلی زمان برد ده ها منبع صدها منبع صدها صفحه مطلب خوندم و مقایسه و تحلیل کردم تا تونستم به یک درک و جمع بندی و خلاصه سازی مناسبی برسم. حالا اینا رو در اختیار شما قرار میدم بجاش فقط مغلطه و لجبازی میکنید و تمسخر و توهین!
ضمنا اینم بگم که در علم رمزنگاری امروزی تئوری و ریاضیات و محاسبات نقش اساسی و محوری داره و اگر بگیم 99% کار در این حیطه تئوریه شاید چندان دور از واقعیت نباشه. این تصور غلطی هست که افراد غیرمتخصص و غیرمطلع در این حیطه دارن و فکر میکنن با عمل و بصورت تجربی و آزمون و خطا میشه در این حیطه خیلی کارها کرد. اونا درک نمیکنن که این علم چقدر گسترده و پیچیده و علمی شده امروزه و چقدر حساب و کتاب و تئوری و جزییات ظریف داره که به هیچ وجه نمیشه بصورت صرف تجربی و با آزمون و خطا و کدنویسی بدست آورد! اصلا خیلی چیزها رو هیچکس هنوز نتونسته تست هم بکنه، ولی تئوریش وجود داره و معیاره و کسی درش شک چندانی هم نداره (اونایی که درک میکنن). این فیلد با برنامه نویسی و کدنویسی و روشهای معمول خیلی تفاوت میکنه. شما اگر بتونی تئوریش رو درک کنی بهش احاطه پیدا کنی اصل راه بیشتر راه رو رفتی و قدرت و توان و صلاحیتش رو بدست آوردی! فاصلهء چندانی میان تئوری و عملیش نیست. بخش حجیم و پیچیده و سخت کار همون بخش یادگیری و درک و احاطهء تئوریه. مثلا RSA چیه؟ بقول شما فقط یک فرمول ریاضی! اصلش همونه. اگر درکش کنی RSA رو فهمیدی و میفهمی که چرا نمیشه اون رو شکست و چقدر این کار دشوار و نامحتمله؛ دیگه نیازی به تست نیست اصلا تست درمورد اینطور چیزها چندان معنایی نمیده چون تست بدون تئوری تست کور و بی هدف بی معنیه هیچوقت محتمل نیست جواب بده مثل اینه که توی انبار کاه تیر بندازی و انتظار داشته باشی تصادفی بخوره به یک سوزن که جایی اونجا گم شده! میگم اصلا خیلی موارد هست تستش در حال حاضر در دسترس نیست و امکانات پردازشی قدرت و انرژی زیادی میخواد که افراد معمولی ندارن یا اصلا هیچکس نداره و فعلا در دسترس نیست یا برای کسی حکومت و سازمانی صرف نمیکنه این همه هزینه صرفش کنه صرفا بخاطر اینکه تستش کنه و بصورت عملی اون رو ثابت کنه!
و اما همهء این بحث ها رو برای روشن شدن خوانندگان مطرح کردم که بدونن علم رمزنگاری مدرن چیه، و درمورد md5 باید بازم برای بار صدم تکرار کنم که بصورت شدید و کاملا قابل سوء استفاده ای شکسته شده (در خصیصهء collision resistance) که نمونه های عملی ازش (رشته ها و فایلهای دارای هش یکسان و همچنین گواهینامه های دیجیتال جعلی) رو هم توی منابع مشاهده میفرمایید و حتی قبلا ویروسی هم نوشته شده که از این ضعف استفاده کرده برای جعل کردن گواهینامه و امضای دیجیتال میکروسافت (یعنی منظورم اینه توسط هکرها عملا برای اهداف واقعی استفاده شده). پس دیگه جای هیچ بحث و شکی وجود نداره، مگر درمورد جزییات که اونا هم ارزش خاصی ندارن و اصل موضوع رو نفی نمیکنن به هیچ وجه.
حالا باز شما بیا بگو اگر راست میگی این هش رو بهت میدم دربیار که رشتهء اولیه چی بوده
واقعا خیلی بامزه ای!