分配数字的方案

此消息是对方案CERT/CC用于将跟踪数字分配给新漏洞报告的简要说明。它可以为CVE编号系统提供一些思考的食物。我们有几个简单的设计目标： - 不“泄漏”有关创建报告的信息，或者涉及的内容 - 支持多个在几乎没有中央协调的情况下独立分配数字的人（即无需与“数字联系”服务器“对于您需要的每个数字） - 合理的快速工作是基本上的工作方式：x =（r-（r％n）） +cid，其中x是要分配的数字r是数字空间中的随机数n是CNA的最大数量（使用CVE术语）CID是一个单独的唯一数字％是MOD运算符，因此，让我们假设CERT，SECURICEFOCUS和MICROSOFT是CNA。Miter将选择100个范围，并计算出最大数量的CNA，例如10，并分别为三个CNA（例如1,2和3）分配CID。假设MS想要分配一个数字。他们将选择一个随机数r在1-100范围内，可以说59。然后，他们计算r-（r％n） + cid = 59-（59％10） + 3 = 59-9 + 3 =53假设CERT想同时做同样的事情，他们会选择一个R，例如72，计算：R-（r％N） + CID = 72-（72％10） + 1 = 72-2+ 1 = 71同样的SecurityFocus可能会选择r = 19，计算r-（r％n） + cid = 19-（19％10） + 2 = 19-9 + 2 = 12基本上，CID＃1获取1，11，21、31、41 ...，CID＃2获得2、12、22、32等。给定的CNA需求的所有内容都是避免碰撞的所有数字的清单。 It can't collide with another CNA. If someone knows the Cid, the can determine which CNA assigned the number relatively easily, but that's not all that big a risk IMHO. If they know the algorithm and one example of a number assigned by a particular CNA, they can determine the Cid. Again, not a real biggie. If it becomes an issue Cids can be swapped or rotated periodically. The only issue is that the Cids have to be unique at a given time. To the casual observer, the number appears to be random, and in fact does not contain time or status information. Comments? Shawn