¿Cuál es el cifrado detrás de los códigos canjeables?

Es una buena apuesta que cada compañía tenga su propia forma de hacerlo. Edgar Chris ha sugerido un algoritmo anclado por el usuario, pero para los códigos genéricos transferibles (por ejemplo, códigos de tarjetas de regalo de iTunes), puede mantener un contador en serie para cada tipo de regalo por separado (por ejemplo, tarjetas de regalo de $ 10 frente a $ 50), luego use el siguiente algoritmo:

  1. Genere el siguiente número de serie N.
  2. Genere una sal S que se base en el código de tipo de regalo C (por ejemplo, siembre su PRNG favorito con C , luego use el noveno número generado como S ).
  3. Calcule un hash H del par (N, S).
  4. Base36-encode (C, N, H) para obtener su código de regalo. Probablemente quiera quitar los bits de alto orden de C y N no utilizados para compactar el código tanto como sea posible.

El algoritmo de verificación se deja como ejercicio para el lector.

ACTUALIZACIÓN: Gracias a Jeffrey Goldberg por recordarme que un Código de autenticación de mensajes como HMAC tiene un mejor propósito que un simple hash en el paso 3, y la mayor complejidad computacional es trivial e irrelevante para este caso de uso. El uso de un MAC también hace innecesaria la generación de sal, por lo que mi algoritmo revisado sería:

  1. Genere el siguiente número de serie N.
  2. Calcule un HMAC H del par (N, C).
  3. Base36-encode (C, N, H) para obtener su código de regalo. Probablemente quiera quitar los bits de alto orden de C y N no utilizados para compactar el código tanto como sea posible.

Related Content

¿Cuál es una buena idea de proyecto de ciberseguridad de mediana escala si estoy interesado en rootkits, seguridad de red y cosas de bajo nivel (C / C ++)?

¿Podemos ganar la lucha contra los ciberdelincuentes?

¿Cuál es la mejor configuración de seguridad informática? ¿Antivirus, cortafuegos, etc.?

Cómo garantizar una seguridad cibernética completa

¿Qué pasos son necesarios para evitar que Facebook me rastree en otra parte de la web?

Solo puedo adivinar, pero una forma de hacerlo es con un MAC (Código de autenticación de mensaje). Entonces, la información no secreta (o no necesariamente secreta) se codificaría y luego se le daría a algún algoritmo MAC (como HMAC) con una clave secreta para producir una etiqueta. La etiqueta es una función matemática de los datos y el secreto.

De esta manera, se debe conocer un secreto cuando se genera la etiqueta del código de canje, y este mismo secreto debe conocerse cuando se verifica.

Sería posible hacer esto usando firmas digitales, para que el secreto no tenga que ser conocido cuando se verifica la etiqueta (solo cuando se genera). Pero eso requeriría etiquetas más largas, por lo que sospecho que se usa un MAC típico con etiquetas truncadas.

Adrian Ho

Cuando tengo códigos implícitos como este, no hay cifrado. El código tiene que ser aleatorio, por lo que es difícil de adivinar.

Cada código generalmente tiene algún tipo de crc adjunto, por lo que se puede hacer una verificación muy rápida cuando se ingresa en una computadora.

La verificación principal es que cada código que se emite se rastrea en una base de datos. Está marcado, en la base de datos, como canjeado cuando se usa.

No creo que códigos como este se usen con cosas de alto valor.

Edgar Chris

Realmente no puedo decir cómo hacen su hashing, pero si yo fuera el que hacía el hashing … tos … cómo lo haría para lograr lo mismo
1. tenga un método de hash que primero indique la cuenta de correo electrónico o ID de los usuarios
algo que podría usar para saber quién es el usuario
esto resuelve dos cosas primero, un usuario que no existe en nuestra base de datos no puede tener esto y, en segundo lugar , tenemos la parte del cifrado que es única para el usuario y siempre comenzará con los mismos caracteres

2. como se trata de un tipo de código canjeable, haga que el valor del código de canje sea parte de la cadena enviada a los clientes
3. tenga un método diferente para mezclar algunos caracteres de variable aleatoria y úselo para salar el primero

el cheque se verificaría fácilmente si la primera parte del hash coincide si es que tenemos un usuario válido, verifique si la sal también pasa, entonces tenemos un reclamo válido y, por último, verifica si el código de canje tiene valor y el cliente puede redimir

Nick Knight

More Interesting

¿Es biométrico por motivos de seguridad, si es pirateado? Creo que no podemos cambiar la huella digital o el iris.

¿Confía en 'la nube' con sus datos sensibles / importantes, incluso si están encriptados en tránsito, en reposo y encriptados por separado por usted?

¿Puede ingresar a la seguridad cibernética a los 30 años si no tiene experiencia técnica?

¿Cuáles son las herramientas imprescindibles para configurar un laboratorio de seguridad de la información en mi hogar si soy un investigador de seguridad de la información en ciernes?

¿Alguien ha resuelto el rompecabezas makkhichoose?

¿Cuáles son los mejores programas antivirus gratuitos para PC?

¿El software anti-ransomware como Bitdefender Total Security ofrece protección completa contra el ransomware WannaCry / WannaCrypt?

¿Cuál es el teléfono inteligente más seguro que está disponible públicamente?

Soy nuevo en piratería ética, ¿existe algún riesgo si practico en sitios web originales?

¿Qué es encriptar?

¿Qué tan seguro es net2ftp?

Cómo sanar archivos infectados con malware zepto en mi computadora

¿Cuál es la razón detrás de ingresar el texto captcha en la mayoría de los sitios?

Estoy haciendo un proyecto de último año para mi licenciatura en seguridad informática. ¿Qué tipo de proyecto o sistema sería un gran sistema para desarrollar?

¿Qué tan probable es que el monitoreo de Google, Facebook, Microsoft, etc., pudiera haber ocurrido sin conocimiento interno?