strawberrydafu 最近的时间轴更新
strawberrydafu

strawberrydafu

V2EX 第 495762 号会员,加入于 2020-06-21 23:31:50 +08:00
strawberrydafu 最近回复了
顺便也问问。我之前是一直用 conda ,没遇到啥问题。前端时间想试试切换到 poetry ,结果发现 poetry 把 conda 的环境配置给拦截了。不知道有没有朋友解决过类似的问题。有没有办法让 conda 和 poetry 一起用
我现在静态页面基本全上 vercel 了,不要太好用
传统的密码(或者说口令,password )不够安全的原因在于通常来讲口令的熵是不足的(也就是不够长),采用暴力搜索的方式总能破解,因此常常会选择类似 scrypt 或者 pbkdf2 这些算法来给暴力搜索加上一个非常大的常数倍数因子,来增加穷举的难度。

而现代密码学工具的可靠性来源密钥的保密性。按照目前的习惯,破解的量级在 2^128 这个级别是认为是安全的。而符合助记词约定的最短的助记词也足够了。

看了白皮书感觉没有特别特殊的,当你有了一个熵足够高的密钥之后一切都很没啥了,就是端到端加密那套
openai translator
OIDC 标准里其实说了 token ( jwt )的 revoke

```
16.18. Lifetimes of Access Tokens and Refresh Tokens
Access Tokens might not be revocable by the Authorization Server. Access Token lifetimes SHOULD therefore be kept to single use or very short lifetimes.

If ongoing access to the UserInfo Endpoint or other Protected Resources is required, a Refresh Token can be used. The Client can then exchange the Refresh Token at the Token Endpoint for a fresh short-lived Access Token that can be used to access the resource.

The Authorization Server SHOULD clearly identify long-term grants to the User during Authorization. The Authorization Server SHOULD provide a mechanism for the End-User to revoke Access Tokens and Refresh Tokens granted to a Client.
```

可能只是很多实现没有做
272 天前
回复了 gogogo1203 创建的主题 程序员 [求推荐] chatgpt wrapper
2023-06-02 08:34:04 +08:00
回复了 pathetique 创建的主题 Python 弱极了,请教 Python 多线程如何快速开始
检索具体是在干什么?半小时才 3 万字我怀疑算法本身有很多优化空间
2023-05-25 14:16:27 +08:00
回复了 lufficc 创建的主题 硬件 4090 装机配置推荐
插眼,和楼主的预算和需求比较接近
2022-01-20 10:25:52 +08:00
回复了 strawberrydafu 创建的主题 程序员 一个关于开发者密码学 API 使用的小问卷
@Daiwf 是的。这也和我所接触到的情况一致。

SM2 的问题。SM2 就只是换了个曲线参数?基本正确。但曲线参数是可能安插后门的。NIST 提供了一些曲线,但并没有全部给出选择的依据。当然 SM2 与 NIST 提供的其他曲线参数目前都是国际认可的标准,这也意味着目前没人能找到这些参数的后门,后门是否存在是一个无法证明也无法证伪的问题。
这就涉及到一个信任问题:你的项目是信任 NIST 制定的曲线参数,或是国内制定的曲线参数呢?就国内企业的视角而言(只讨论安全性),这个问题应该是偏向 SM2 的。至少从国家层面选出新参数是必要的。(题外话,如果二者都不相信可以试着选择 edwards25519 ,很多区块链项目选择的就是这条曲线。https://en.wikipedia.org/wiki/Curve25519

GM 的强制使用问题。首先等保三级以上单位是必须要使用国密的。此外目前密码法正在做这件事:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估”。具体会如何实施就无从知晓了。

目前国密的生态确实很糟糕,使用国密的成本比使用其他算法的成本高出太多。像国内比较知名的 GmSSL 项目,我之前在配置时也是感觉很痛苦。这个问卷一定程度上也是想直接地询问实际的项目开发者的想法
2021-12-21 15:00:31 +08:00
回复了 liuidetmks 创建的主题 程序员 有没有哪种非对称算法,生成签名很难,校验很容易
VDF
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4216 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 15ms · UTC 10:13 · PVG 18:13 · LAX 03:13 · JFK 06:13
Developed with CodeLauncher
♥ Do have faith in what you're doing.