Garantía de encriptación de ofertas de ETender para el contratista paranoico – Números de resolución de criptogramas en el blog ContractComplete para cartas

Pensé que era importante escribir esta publicación para aclarar algunos conceptos erróneos comunes que pueden existir en relación con el sistema de cifrado de ofertas de contrato completo. Cuando estábamos diseñando el contrato completo, sabíamos que la seguridad y la privacidad estarían entre las principales prioridades de nuestros clientes al seleccionar un sistema de distribución. Los contratistas, preocupados por el nepotismo y la manipulación, a menudo presentan su oferta en el último momento posible. Obviamente, esto puede llevar a errores costosos y otras frustraciones.

Luego llegamos a la desalentadora conclusión de que la entrega en sí misma no resuelve realmente este problema. Criptomonedas para ver el reddit 2018 técnicamente, ¿qué es lo que impide a un contratista sobornar a un ingeniero de contrato para divulgar información sobre la oferta de un competidor? La respuesta, aparte de la inquebrantable brújula moral que poseen todos los empleados con contrato completo, fue el cifrado de ofertas: la alternativa perfecta para el paranoico contratista.

En lugar de explicar directamente qué es el cifrado de la oferta, puede ser más claro para mí explicar primero qué no es. ContractComplete utiliza el protocolo SSL para la comunicación cliente-servidor, que, como cualquier otro sitio web, se le indica mediante el uso de https: // en la URL y el icono verde del candado “seguro” en la barra de navegación de su navegador. SSL encripta automáticamente todo el tráfico entre su navegador de Internet y nuestros servidores, independientemente de si ha seleccionado o no “Quiero que mi oferta esté encriptada”. No encriptado, por lo tanto no significa inseguro! Simplemente significa que su oferta se almacena en formato de texto plano en nuestra base de datos. La base de datos de contrato completo solo es accesible por un número limitado de contrato completado ingenieros que trabajan en direcciones IP específicas que poseen una clave de acceso específica que los autoriza. Por todas estas razones, decidimos que el cifrado de ofertas podría hacerse de manera opcional en lugar de obligatorio, porque como veré más adelante, hay algunas consecuencias negativas.

Típicamente, cifrado requiere una “llave”. Des encryption java Una clave actúa como una variante en un algoritmo de cifrado básico. Tomemos por ejemplo un antepasado primitivo a cifrado moderno algoritmos conocidos como cifrado César, en el que el remitente de un mensaje reemplaza alfabéticamente cada letra del texto con la siguiente letra. HOLA se convierte en IFMMP. El destinatario, sabiendo que el cifrado aplica el procedimiento inverso para descifrar el mensaje. Este algoritmo es obviamente débil y obsoleto, pero se puede hacer un poco más fuerte incrementando las letras no en una, sino en un número aleatorio, que se envía al destinatario por separado del mensaje en sí. Los muebles de Crypton a la venta de ese número aleatorio son análogos a una clave de cifrado de hoy en día porque aumenta las posibilidades para el mensaje descifrado de 1 a 26. Aún no es excelente, pero sí cifrado moderno El algoritmo tiene billones de posibilidades mediante el uso de claves de cifrado.

De vuelta en las oficinas de contractcomplete, nos preguntábamos cómo funcionaría esta clave. Claramente, si la clave se generara en nuestros servidores, violaría la meta # 1 (porque nuestro servidor tendría la capacidad de leer la oferta) y posiblemente # 2 (porque nuevamente, el servidor tiene la clave y el código malicioso podría interceptar la oferta). de camino a la base de datos). Eventualmente se hizo obvio que la clave debería ser seleccionada por el contratista y entregado al consultor por el contratista en el momento del cierre de la licitación. La clave debe ser almacenada solo por el contratista hasta el momento de cierre de la oferta.

¿Cómo entonces, el lector astuto puedo preguntar, ¿es cierto que tanto a) contractcomplete no almacena mi clave en sus servidores, yb) no tengo que escribir mi clave cada vez que comienzo una nueva sesión de navegador? Bueno, astuto lector, ¿recuerdas las cookies? ¿Esas cosas de las que tus padres estaban aterrorizados en la década de 1990? No, en realidad no te dan virus. Monedero de criptomoneda para todas las monedas y no fueron inventadas para permitir que el gobierno te espíe. Son solo una forma de que los sitios web almacenen partes simples de texto en su computadora entre visitas. A menudo, se trata de configuraciones u otros datos para mejorar su experiencia en la próxima visita. ContractComplete utiliza una de las muchas opciones de almacenamiento local moderno para mantener su clave en su computadora para usarla más adelante. Ejemplo de encriptación de manera similar, los contratistas proporcionan sus claves de licitación a la autoridad de licitación (o consultor) en el momento de la fecha límite, lo que permite a los consultores descifrar las ofertas para la revisión de la licitación.

• siempre debemos cobrarle la tarifa de oferta máxima al momento de la presentación. Nuestro servidor no puede saber el valor total de su oferta sin violar nuestros objetivos originales. Por lo tanto, cobramos la tarifa de oferta máxima para las ofertas cifradas. Los faros Crypton z a la venta no se preocupan, le reembolsamos la diferencia después de que el asesor desbloquee su oferta. Puede usar este crédito para su próxima oferta, o puede enviarnos un correo electrónico para solicitar un reembolso de la tarjeta de crédito por la diferencia.

• Internet Explorer no es compatible (tanto para ofertas cifradas como no cifradas). La experiencia del navegador de contrato completo, al igual que la mayoría de los otros sitios web, se basa en un lenguaje de programación llamado javascript que su navegador de Internet interpreta en tiempo real durante su tiempo en nuestro sitio web. Es absolutamente esencial para la mayoría de los sitios web modernos y proporciona la base para administrar datos, ventanas emergentes y solicitudes de red dinámicas. Desafortunadamente, debido a que javascript es interpretado por cada navegador específico, a menudo hay pequeñas diferencias en la forma en que funciona javascript en los distintos navegadores. Estas variaciones nos impiden admitir Internet Explorer y ciertos navegadores antiguos; A los motores de javascript les pueden faltar ciertas características que requiere el contrato completo.

Una gran historia sobre seguridad como esta puede aliviar algunas mentes, pero una historia sola no significa nada si no es verificable. La buena noticia es que hay un experimento fácil que puede hacer para ver el cifrado de la oferta en acción. Todos los navegadores modernos tienen herramientas que permiten a los desarrolladores web ver exactamente qué están enviando al servidor. La forma en que se accede a estas herramientas puede variar ligeramente de un navegador a otro, pero al menos para Google Chrome y Firefox en Windows, puede acceder a ellas simplemente presionando F12, luego seleccionando la pestaña “red” en el panel emergente. Cuando guarda su oferta, o cuando su oferta se guarda automáticamente, contractcomplete enviará una solicitud de red a nuestros servidores, ¡y realmente puede ver lo que se está enviando!

Por lo tanto, es de hecho demostrable que en el caso de ofertas cifradas, estamos enviando al servidor algo que parece estar cifrado. Cifrado bidireccional de php ¿cómo sabes que esto no es solo otro cifrado César? Bueno, ciertamente puedes intentar romper el cifrado por tu cuenta. Pero desafortunadamente, si usted no es un experto en criptografía, puede que tenga que confiar en nosotros en eso.

banner