Hacker News

كىچىك توسۇق شىفىرلارغا يوللىماڭ

كىچىك توسۇق شىفىرلارغا يوللىماڭ بۇ ئۆتكەلنى ئەتراپلىق تەھلىل قىلىش ئۇنىڭ يادرولۇق تەركىبلىرى ۋە تېخىمۇ كەڭ تەسىرلىرىنى تەپسىلىي تەكشۈرۈش بىلەن تەمىنلەيدۇ. مۇھىم نۇقتىلار مۇنازىرە مەركەزلىرى: يادرولۇق مېخانىزم ۋە جەريانلار ...

1 min read Via 00f.net

Mewayz Team

Editorial Team

Hacker News

كىچىك بۆلەك شىفىرلىرى سىممېترىك مەخپىيلەشتۈرۈش ھېسابلاش ئۇسۇلى بولۇپ ، 64 بىتلىق ياكى ئۇنىڭدىن تۆۋەن سانلىق مەلۇمات بۆلەكلىرىدە مەشغۇلات قىلىدۇ ، سەزگۈر سانلىق مەلۇماتلارنى بىر تەرەپ قىلىدىغان ھەر قانداق بىر سودا ئۈچۈن ئۇلارنىڭ ئارتۇقچىلىقى ۋە چەكلىمىسىنى چۈشىنىش ئىنتايىن مۇھىم. مىراس سىستېمىسى يەنىلا ئۇلارغا تايانسىمۇ ، زامانىۋى بىخەتەرلىك ئۆلچىمى سىفىرلىق تاللاشنىڭ ماسلىشىشچانلىقى ، ئىقتىدارى ۋە خەتەرنىڭ تەسىرىنى تەڭپۇڭلاشتۇرىدىغان ئىستراتېگىيىلىك ئۇسۇلنى تەلەپ قىلىدۇ.

كىچىك بۆلەك سىفىرلىرى زادى نېمە ، كارخانىلار نېمىشقا كۆڭۈل بۆلۈشى كېرەك؟

بىر بۆلەك شىفىرلىق چوڭلۇقتىكى بۆلەكلەرنى شىفىرلىق تېكىستكە شىفىرلايدۇ. كىچىك تىپتىكى سىفىرلىق سىفىرلار - 32 دىن 64 بىتلىق چوڭلۇقتىكى چوڭلۇقتا ئىشلىتىدىغانلار نەچچە ئون يىل يېتەكچى ئۆلچەم ئىدى. DES ، Blowfish ، CAST-5 ۋە 3DES قاتارلىقلارنىڭ ھەممىسى مۇشۇ تۈرگە كىرىدۇ. ئۇلار ھېسابلاش بايلىقى كەمچىل ، ئىخچام بۆلەك چوڭلۇقى بۇ چەكلىمىلەرنى ئەكس ئەتتۈرىدىغان دەۋردە لايىھەلەنگەن.

بۈگۈنكى كارخانىلارغا نىسبەتەن ، كىچىك تىپتىكى سىفىرلارنىڭ باغلىنىشچانلىقى ئىلمىي ئەمەس. كارخانا سىستېمىسى ، قىستۇرما ئۈسكۈنىلەر ، مىراس بانكا ئۇل ئەسلىھەلىرى ۋە سانائەت كونترول سىستېمىسى دائىم 3DES ياكى Blowfish غا ئوخشاش سىفىرلارنى ئىشلىتىدۇ. ئەگەر تەشكىلاتىڭىز بۇ مۇھىتلارنىڭ بىرىنى ئىشلىسە ياكى قىلىدىغان شېرىكلەر بىلەن بىرلەشسە ، سىز ھېس قىلغان ياكى ھېس قىلمىسىڭىزمۇ كىچىك توسۇق سىفىرلىق ئېكولوگىيىلىك سىستېمىغا كىرىپ بولغان بولىسىز.

يادرولۇق مەسىلە شىفىر يازغۇچىلارنىڭ تۇغۇلغان كۈنىنى باغلاش دەپ ئاتايدۇ. 64 بىتلىق سىفىرلىق سىفىر بىلەن تەخمىنەن 32 گىگابايت سانلىق مەلۇمات ئوخشاش ئاچقۇچ ئاستىدا مەخپىيلەشتۈرۈلگەندىن كېيىن ، سوقۇلۇش ئېھتىماللىقى خەتەرلىك دەرىجىگە ئۆرلەيدۇ. زامانىۋى سانلىق مەلۇمات مۇھىتىدا كۈندە تېرابايت سىستېما ئارقىلىق ئاقىدۇ ، بۇ بوسۇغا تېزدىن ئۆتىدۇ.

كىچىك توسۇق سىفىرلارغا باغلانغان ھەقىقىي بىخەتەرلىك خەۋىپى نېمە؟

كىچىك بۆلەك شىفىرلىرى بىلەن مۇناسىۋەتلىك يوچۇقلار ياخشى خاتىرىلەنگەن ۋە ئاكتىپلىق بىلەن پايدىلانغان. ئەڭ كۆزگە كۆرۈنگەن ھۇجۇم سىنىپى SWEET32 ھۇجۇمى بولۇپ ، تەتقىقاتچىلار 2016-يىلى ئاشكارىلىغان. SWEET32 نىڭ كۆرسىتىشىچە ، 64 بىتلىق سىفىرلىق شىفىرلانغان يېتەرلىك قاتناشنى نازارەت قىلالايدىغان ھۇجۇمچى (TLS دىكى 3DES غا ئوخشاش) تۇغۇلغان كۈنىگە سوقۇلۇش ئارقىلىق ئوچۇق تېكىستنى ئەسلىگە كەلتۈرەلەيدىكەن.

"بىخەتەرلىك بارلىق خەتەردىن ساقلىنىش دېگەنلىك ئەمەس ، ئۇ سىزنىڭ قايسى خەتەرنى قوبۇل قىلىدىغانلىقىڭىزنى چۈشىنىش ۋە ئۇلار ھەققىدە توغرا قارار چىقىرىش. كىچىك تۇغۇلغان كۈن شىفىرلىرىغا باغلانغان تۇغۇلغان كۈنىگە سەل قاراش ھېسابلانغان خەتەر ئەمەس ؛ ئۇ نازارەت قىلىش."

SWEET32 نىڭ سىرتىدا ، كىچىك توسۇق شىفىرلار بۇ ھۆججەتتىكى خەتەرلەرگە دۇچ كېلىدۇ:

  • سوقۇلۇش ھۇجۇمىنى توسۇش: ئىككى ئاددىي تېكىستلىك بۆلەك ئوخشاش بىر سىفىرلىق تېكىست ھاسىل قىلغاندا ، ھۇجۇم قىلغۇچىلار سانلىق مەلۇمات بۆلەكلىرى ئوتتۇرىسىدىكى مۇناسىۋەتنى چۈشىنىدۇ ، دەلىللەش بەلگىسى ياكى يىغىن ئاچقۇچى ئاشكارلىنىشى مۇمكىن.
  • مىراس كېلىشىمنامىسىنىڭ ئاشكارىلىنىشى: كىچىك توسۇق شىفىرلار ۋاقتى ئۆتكەن TLS سەپلىمىسىدە (TLS 1.0 / 1.1) دائىم كۆرۈلۈپ ، كونا كارخانىلارنى ئورۇنلاشتۇرۇشتىكى ئوتتۇرا خەتەرنى ئاشۇرۇۋېتىدۇ.
  • ئاچقۇچ قايتا ئىشلىتىشتىكى يوچۇق: شىفىرلاش كۇنۇپكىسىنى دائىم ئايلاندۇرمايدىغان سىستېمىلار تۇغۇلغان كۈنىگە مۇناسىۋەتلىك مەسىلىنى كۈچەيتىدۇ ، بولۇپمۇ ئۇزۇنغا سوزۇلغان ئولتۇرۇش ياكى كۆپ سانلىق مەلۇمات يوللاشتا.
  • ماسلىشىش مەغلۇبىيىتى: PCI-DSS 4.0 ، HIPAA ۋە GDPR نى ئۆز ئىچىگە ئالغان نازارەت قىلىپ باشقۇرۇش رامكىسى ھازىر بەزى مەزمۇنلاردا 3DES نى ئوچۇق-ئاشكارە ئۈمىدسىزلەندۈرىدۇ ياكى پۈتۈنلەي چەكلەيدۇ ، كارخانىلارنى ئىقتىسادىي تەپتىش خەۋىپىگە دۇچار قىلىدۇ.
  • تەمىنلەش زەنجىرىنىڭ ئاشكارىلىنىشى: يېڭىلانمىغان ئۈچىنچى تەرەپ كۈتۈپخانىلار ۋە ساتقۇچىلار API لار ئۈن-تىنسىز كىچىك تىپتىكى سىفىرلىق يۈرۈشلۈك ئۆيلەرنى سۆھبەتلىشىپ ، بىۋاسىتە كونتروللۇقىڭىزدا يوچۇق پەيدا قىلىشى مۇمكىن.

كىچىك توسۇش سىفىرلىرى زامانىۋى شىفىرلاش ئۇسۇلى بىلەن قانداق سېلىشتۇرما قىلىدۇ؟

AES-128 ۋە AES-256 128 بىتلىق بۆلەكلەردە مەشغۇلات قىلىدۇ ، 64 بىتلىق سىفىرغا سېلىشتۇرغاندا تۇغۇلغان كۈن چەكلىمىسىنى تۆت ھەسسە ئاشۇرىدۇ. ئەمەلىي نۇقتىدىن ئېيتقاندا ، AES تۇغۇلغان كۈنىدىكى خەتەر كۆرۈنەرلىك بولۇشتىن ئىلگىرى تەخمىنەن 340 مىليارد بايتنى مەخپىيلەشتۈرەلەيدۇ - ھەر قانداق رېئال خىزمەت يۈكىگە بولغان سوقۇلۇش ئەندىشىسىنى ئۈنۈملۈك تۈگەتكىلى بولىدۇ.

ChaCha20 يەنە بىر زامانىۋى تاللاش ، ئاقما سىفىر بولۇپ ، ئۇ چوڭ-كىچىكلىك ئەندىشىسىنى پۈتۈنلەي بىر تەرەپ قىلىدۇ ھەمدە AES تېزلىتىلمەي قاتتىق دېتالدا ئالاھىدە ئىقتىدار بىلەن تەمىنلەيدۇ - كۆچمە مۇھىت ۋە IoT ئورۇنلاشتۇرۇشىغا ماس كېلىدۇ. TLS 1.3 ، ھازىرقى قاتناش بىخەتەرلىكىنىڭ ئالتۇن ئۆلچىمى ، AES-GCM ۋە ChaCha20-Poly1305 نى ئاساس قىلغان سىفىرلىق يۈرۈشلۈك ئۆيلەرنى مەخسۇس قوللايدۇ ، لايىھىلەش ئارقىلىق زامانىۋى بىخەتەرلىك ئالاقىسىدىكى كىچىك توسۇق شىفىرلارنى يوقىتىدۇ.

ئىلگىرى كىچىك تىپتىكى سىفىرلارنى ياخشى كۆرىدىغان ئىقتىدار تالاش-تارتىشىمۇ گۇمران بولدى. زامانىۋى مەركىزى بىر تەرەپ قىلغۇچ AES-NI قاتتىق دېتال سۈرئىتىنى تېزلىتىشنى ئۆز ئىچىگە ئالىدۇ ، بۇ AES-256 مەخپىيلەشتۈرۈشنى 2010-يىلدىن كېيىن سېتىۋالغان بارلىق كارخانا قاتتىق دېتاللىرىدىكى يۇمشاق دېتال يولغا قويۇلغان Blowfish ياكى 3DES دىن تېز قىلىدۇ.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

قايسى ھەقىقىي دۇنيا سىنارىيىلىرى يەنىلا كىچىك توسۇق سىفىر ئېڭىنى ئاقلايدۇ؟

گەرچە ئۇلارنىڭ يوچۇقلىرى بولسىمۇ ، كىچىك توسۇق شىفىرلىرى يوقاپ كەتمىدى. ئۇلارنىڭ قەيەردە چىڭ تۇرىدىغانلىقىنى چۈشىنىش خەتەرنى توغرا باھالاشتا ئىنتايىن مۇھىم:

مىراس سىستېمىسىنى بىرلەشتۈرۈش يەنىلا ئاساسلىق ئىشلىتىش قېپى. Mainframe مۇھىتى ، كونا SCADA ۋە سانائەت كونترول سىستېمىسى ۋە نەچچە ئون يىللىق يۇمشاق دېتالنى ئىجرا قىلىدىغان پۇل-مۇئامىلە تورى ھەمىشە مۇھىم قۇرۇلۇش مەبلىغى بولمىسا يېڭىلانمايدۇ. بۇ خىل ئەھۋال ئاستىدا ، جاۋاب قارىغۇلارچە قوبۇل قىلىش ئەمەس ، ئۇ ئاچقۇچ ئايلىنىش ، قاتناش مىقدارىنى نازارەت قىلىش ۋە تور بۆلەكلىرى ئارقىلىق خەتەرنى ئازايتىش.

قىستۇرما ۋە چەكلەنگەن مۇھىت بەزىدە يەنىلا ئىخچام سىفىرلىق ئىجرا قىلىشنى قوللايدۇ. بەزى IoT سېنزورلىرى ۋە ئەقلىي ئىقتىدارلىق كارتا قوللىنىشچان پروگراممىلىرى ئىچكى ساقلىغۇچ ۋە بىر تەرەپ قىلىش چەكلىمىسى ئاستىدا مەشغۇلات قىلىدۇ ، ھەتتا AES ماس كەلمەيدۇ. PRESENT ياكى SIMON غا ئوخشاش مەقسەتلىك ياسالغان يېنىك سىفىرلار ئالاھىدە چەكلەنگەن قاتتىق دېتاللار ئۈچۈن لايىھەلەنگەن بولۇپ ، بۇ مەزمۇندىكى مىراس 64 بىتلىق شىفىرلارغا قارىغاندا تېخىمۇ ياخشى بىخەتەرلىك ئارخىپى بىلەن تەمىنلەيدۇ.

شىفىرلىق تەتقىقات ۋە كېلىشىم ئانالىزى مەۋجۇت سىستېمىلاردىكى ھۇجۇم يۈزلىرىنى توغرا باھالاش ئۈچۈن كىچىك توسۇق سىفىرلارنى چۈشىنىشنى تەلەپ قىلىدۇ. سىڭىپ كىرىش سىنىقى ئېلىپ بارىدىغان ياكى ئۈچىنچى تەرەپ بىر گەۋدىلەشتۈرۈلگەن ئىقتىسادىي تەپتىش خادىملىرى چوقۇم بۇ سىفىرلىق ھەرىكەتلەرنى پىششىق بىلىشى كېرەك.

كارخانىلار قانداق قىلىپ ئەمەلىي مەخپىيلەشتۈرۈشنى باشقۇرۇش ئىستراتېگىيىسىنى بەرپا قىلىشى كېرەك؟

كۈنسېرى كۈچىيىۋاتقان سودىدا مەخپىيلەشتۈرۈش قارارىنى باشقۇرۇش تېخنىكىلىق مەسىلە بولۇپلا قالماستىن ، ئۇ يەنە بىر مەشغۇلات مەسىلىسى. كۆپ خىل قورال ، سۇپا ۋە بىرلەشتۈرۈش تىجارىتى بىلەن شۇغۇللىنىدىغان كارخانىلار سانلىق مەلۇماتنىڭ قانداق قىلىپ شىفىرلانغانلىقى ۋە ئۇلارنىڭ پۈتۈن دۆۋىسىدىن ھالقىغانلىقىدا كۆرۈنۈشچانلىقىنى ساقلاش خىرىسىغا دۇچ كېلىدۇ.

قۇرۇلمىلىق ئۇسۇل سىفىرلىق يۈرۈشلۈك سەپلىمىسى ئۈچۈن بارلىق مۇلازىمەتلەرنى ئىقتىسادىي تەپتىش قىلىش ، بارلىق ئاخىرقى نۇقتىلاردا TLS 1.2 ئەڭ تۆۋەن (TLS 1.3 ياقتۇرىدىغان) ئىجرا قىلىش ، ئاچقۇچلۇق ئايلىنىش سىياسىتىنى بەلگىلەش ، 64 بىتلىق سىفىرلىق ئولتۇرۇشنى قىسقا ۋاقىت ئىچىدە ساقلاپ قېلىش ، ھەمدە مال سېتىۋېلىش جەدۋىلىدىكى مەخپىيلەشتۈرۈش تەلىپىنى ئۆز ئىچىگە ئالغان ساتقۇچىلارنى باھالاش جەريانىنى ئۆز ئىچىگە ئالىدۇ.

بىرلىككە كەلگەن سۇپا ئارقىلىق سودا مەشغۇلاتىڭىزنى مەركەزلەشتۈرۈش يەككە بىخەتەرلىك تەكشۈرۈشىنى تەلەپ قىلىدىغان بىرلەشتۈرۈش نۇقتىلىرىنىڭ ئومۇمىي سانىنى ئازايتىش ئارقىلىق سىفىر باشقۇرۇشنىڭ مۇرەككەپلىكىنى كۆرۈنەرلىك تۆۋەنلىتىدۇ.

دائىم سورايدىغان سوئاللار

3DES يەنىلا سودىدا بىخەتەر دەپ قارامدۇ؟

NIST 2023-يىلغىچە 3DES نى رەسمىي ئەمەلدىن قالدۇرۇپ ، يېڭى قوللىنىشچان پروگراممىلارغا يول قويمىدى. ھازىر بار بولغان مىراس سىستېمىلىرىغا نىسبەتەن ، 3DES قاتتىق ئاچقۇچ ئايلىنىش (ھەر بىر ئاچقۇچنىڭ يىغىن سانلىق مەلۇماتلىرىنى 32GB دىن تۆۋەن ساقلاش) ۋە تور دەرىجىلىك كونترول قىلىش ئارقىلىق قوبۇل قىلىنىشى مۇمكىن ، ئەمما ماسلىشىش رامكىسى ئارقىلىق AES غا كۆچۈش كۈچلۈك تەۋسىيە قىلىنىدۇ ۋە كۈنسېرى تەلەپ قىلىنىدۇ.

سودا سىستېمىلىرىمنىڭ كىچىك تىپتىكى سىفىرلىق سىفىرلارنى ئىشلىتىۋاتقانلىقىنى قانداق بىلىمەن؟

SSL تەجرىبىخانىسىنىڭ مۇلازىمېتىر سىنىقىغا ئوخشاش TLS سىكانىرلاش قوراللىرىنى ئىشلىتىپ ، ئاممىۋى يۈزلىنىش نۇقتىلىرىغا ئىشلىتىڭ. ئىچكى مۇلازىمەتكە نىسبەتەن ، كېلىشىم تەكشۈرۈش ئىقتىدارىغا ئىگە تور نازارەت قىلىش قوراللىرى تۇتۇلغان قاتناشتىكى سىفىرلىق يۈرۈشلۈك سۆھبەتنى پەرقلەندۈرەلەيدۇ. IT گۇرۇپپىڭىز ياكى بىخەتەرلىك مەسلىھەتچىڭىز APIs ، سانلىق مەلۇمات ئامبىرى ۋە قوللىنىشچان مۇلازىمېتىرلارغا قارىتا سىفىرلىق تەكشۈرۈش ئېلىپ بېرىپ ، مۇكەممەل ئامبار ھاسىل قىلالايدۇ.

AES غا ئالماشتۇرۇش مېنىڭ ئىلتىماس كودىمنى قايتا يېزىشنى تەلەپ قىلامدۇ؟

كۆپىنچە ئەھۋاللاردا ، ياق. زامانىۋى شىفىرلىق كۈتۈپخانىلار (OpenSSL, BouncyCastle, libsodium) شىفىر تاللاشنى كودنى قايتا يېزىش ئەمەس ، بەلكى سەپلىمە ئۆزگەرتىش قىلىدۇ. دەسلەپكى قۇرۇلۇش تىرىشچانلىقى سەپلىمە ھۆججەتلەرنى ، TLS تەڭشەكلىرىنى يېڭىلاش ۋە بار بولغان شىفىرلانغان سانلىق مەلۇماتلارنىڭ سانلىق مەلۇمات يوقاپ كەتمەي تۇرۇپ يۆتكىگىلى ياكى قايتا مەخپىيلەشتۈرگىلى بولىدىغانلىقىنى سىناشنى ئۆز ئىچىگە ئالىدۇ. نۆۋەتتىكى رامكىلارغا قۇرۇلغان پروگراممىلار ئادەتتە شىفىرلىق تاللاشنى پارامېتىر قىلىپ ئاشكارىلايدۇ ، قاتتىق كودلاشتۇرۇلغان ئىجرا تەپسىلاتلىرى ئەمەس.

شىفىرلاش قارارى بۈگۈن سودىڭىزنىڭ نەچچە يىللىق بىخەتەرلىك ھالىتىنى بەلگىلەيدۇ. Mewayz تەرەققىي قىلىۋاتقان كارخانىلارغا 207 مودۇللۇق مەشغۇلات سۇپىسى بېرىدۇ ، يەنى CRM ، بازارشۇناسلىق ، سودا ، ئانالىز ۋە باشقىلارنى ئۆز ئىچىگە ئالىدۇ. 138،000+ ئىشلەتكۈچىگە قوشۇلۇڭ ، app.mewayz.com دە ، پىلاننى ئاران 19 دوللار باشلايدۇ.

نى ئاشكارلاڭ

Try Mewayz Free

All-in-one platform for CRM, invoicing, projects, HR & more. No credit card required.

Start Free Try Demo

Start managing your business smarter today

Join 30,000+ businesses. Free forever plan · No credit card required.

Start Free → Watch Demo
Found this useful? Share it.
X / Twitter LinkedIn Facebook WhatsApp

Ready to put this into practice?

Join 30,000+ businesses using Mewayz. Free forever plan — no credit card required.

Start Free Trial →

Related articles

Dear Heroku: Uhh What's Going On?

Hacker News

Dear Heroku: Uhh What's Going On?

Apr 7, 2026

 Solod – A Subset of Go That Translates to C

Hacker News

Solod – A Subset of Go That Translates to C

Apr 7, 2026

 After 20 years I turned off Google Adsense for my websites (2025)

Hacker News

After 20 years I turned off Google Adsense for my websites (2025)

Apr 6, 2026

 Anthropic expands partnership with Google and Broadcom for next-gen compute

Hacker News

Anthropic expands partnership with Google and Broadcom for next-gen compute

Apr 6, 2026

 Show HN: Hippo, biologically inspired memory for AI agents

Hacker News

Show HN: Hippo, biologically inspired memory for AI agents

Apr 6, 2026

Hacker News

HackerRank (YC S11) Is Hiring

Apr 6, 2026

Ready to take action?

Start your free Mewayz trial today

All-in-one business platform. No credit card required.

Start Free →

14-day free trial · No credit card · Cancel anytime