Какой хороший алгоритм блочного шифрования имеет самый короткий результат?

Большинство блочных шифров будут использовать блоки размером более 32 бит по соображениям безопасности.

Однако я нашел один, созданный специально для того, чем вы занимаетесь: Пропустить32

Вы можете рассмотреть возможность использования GUID, но, возможно, у вас есть причины, по которым вы хотите этого избежать. (Скажем, ваше приложение уже готово.)

Редактировать: На самом деле, если GUID допустим, это дает вам диапазон 128 бит. Вы можете легко использовать любой другой блочный шифр. Преимущество наличия большего пространства (за счет длинных строк идентификаторов) заключается в том, что у вас будет гораздо больше защиты от людей, угадывающих идентификаторы. (В любом случае, это не значит, что идентификатор заказа сам по себе должен быть токеном безопасности...)

Если вы считаете, что достаточно знать номер заказа (или URL-адрес), чтобы получить информацию о заказе, тогда:

• Пространство номера заказа должно быть очень большим, иначе злоумышленники и/или клиенты, вероятно, будут искать пространство заказа, чтобы увидеть, что можно увидеть.
• Вы должны учитывать, что злоумышленник может начать постепенное зондирование с нескольких машин и может быть терпеливым.
• Проверка пространства номера заказа может быть смягчена ограничением скорости, но это очень сложно применить в веб-среде — трудно отличить доступ вашего клиента от доступа злоумышленника.
• Учтите также, что номер заказа не является большим секретом, люди могут рассылать его по электронной почте; как только он выйдет, его невозможно убрать.

Таким образом, для удобства проверки моего заказа одним щелчком мыши без входа в систему вы создали постоянную угрозу безопасности.

Даже если вы сделаете пространство для номеров заказов огромным, у вас все равно будет проблема, заключающаяся в том, что эти URL-адреса плавают повсюду, возможно, во владении людей, которые не должны были их получать.

Было бы гораздо лучше потребовать сеанс входа в систему, чтобы увидеть что-либо, а затем показывать им только те заказы, которые им разрешено видеть. Тогда вам не нужно беспокоиться о сокрытии номеров заказов или о том, что злоумышленники угадывают номера заказов, потому что одного номера заказа недостаточно для доступа к чему-либо.

Недавно я начал использовать набор небольших библиотек Hashids. Идея состоит в том, чтобы зашифровать число или список чисел в хэш-строку, например:

12345 => "NkK9"
[683, 94108, 123, 5] => "aBMswoO2UB3Sj"

Библиотеки реализованы на популярных языках программирования разных авторов. Они также кросс-совместимы, что означает, что вы можете закодировать число в Python, а затем декодировать его в JavaScript. Он поддерживает соли, определение алфавита и даже исключение нехороших слов.

Питон:

hashids = Hashids(salt="this is my salt")
id = hashids.encode(683, 94108, 123, 5)

JS:

var hashids = new Hashids("this is my salt"),
numbers = hashids.decode("aBMswoO2UB3Sj");

Это не защищенное правительством шифрование, но его вполне достаточно для некоторых непредсказуемых сайтов обмена постоянными ссылками.

Я прототипировал эту идею, используя Blowfish, блочный шифр с 64-битными блоками.

Вопросы о том, действительно ли вы должны это делать, вот очень простой блочный шифр с фиксированным ключом (поскольку вам все равно нужна только одна перестановка).

static uint permute(uint id)
{
  uint R = id & 0xFFFF, L = (id>>16) ^ (((((R>>5)^(R<<2)) + ((R>>3)^(R<<4))) ^ ((R^0x79b9) + R)) & 0xFFFF);
  R ^= ((((L>>5)^(L<<2)) + ((L>>3)^(L<<4))) ^ ((L^0xf372) + L)) & 0xFFFF;
  return ((L ^ ((((R>>5)^(R<<2)) + ((R>>3)^(R<<4))) ^ ((R^0x6d2b) + R))) << 16) | R;
}

Skip32 намного лучше с точки зрения 32-битных блочных шифров, но он немного тяжеловесен, когда достаточно трех (длинных) строк. :-)

guid - это путь к этому

* изменить *

вы можете посмотреть на этот http://csharpfeeds.com/post/4382/A_shorter_and_URL_friendly_GUID.aspx

Я не думаю, что эта схема является хорошей идеей. Почему вы не проверяете, что пользователь вошел в систему и имеет доступ для просмотра указанного заказа?

Если вы ДЕЙСТВИТЕЛЬНО хотите просто иметь все заказы без какой-либо аутентификации, лучше всего использовать GUID.

Или вы можете попытаться придумать номера заказов с префиксом что-то о покупателе. Нравится (номер телефона)(1...100)

Чтобы выполнить это требование, вы можете просто использовать хэш, такой как SHA-1 или MD5 в ваших индексах. Они обеспечат необходимую безопасность.

Чтобы уменьшить размер, вы можете изменить кодировку; например 64 бит.

Я также настоятельно рекомендую настаивать на использовании соли, иначе хэш-значения могут быть легко нарушены.