Olej z węża (kryptografia) - Snake oil (cryptography)

Dla innych zastosowań, patrz Olej z węża (ujednoznacznienie) .

W kryptografii , olej wężowy jest dowolna metoda kryptograficzna lub produkt uważa się za fikcyjne lub oszustwa. Nazwa wywodzi się od oleju z węża , jednego z rodzajów leków patentowych szeroko dostępnych w XIX-wiecznych Stanach Zjednoczonych .

Odróżnienie bezpiecznej kryptografii od niezabezpieczonej kryptografii może być trudne z punktu widzenia użytkownika. Wielu kryptografów, takich jak Bruce Schneier i Phil Zimmermann , podejmuje się edukowania opinii publicznej w zakresie bezpieczeństwa kryptografii, a także zwraca uwagę na wprowadzający w błąd marketing niektórych produktów kryptograficznych.

Wąż oleju FAQ opisuje się jako „kompilacja wspólnych zwyczajów sprzedawców oleju wąż. To nie może być jedynym sposobem rankingu produkt bezpieczeństwa, ponieważ mogą istnieć wyjątki od większości tych zasad. [...] Ale jeśli Patrzysz na coś, co wykazuje kilka znaków ostrzegawczych, prawdopodobnie masz do czynienia z olejem wężowym. "

Kilka przykładów technik kryptografii oleju wężowego

To nie jest wyczerpująca lista znaków oleju węża. Bardziej szczegółowa lista znajduje się w artykułach zewnętrznych, do których linki znajdują się w sekcji poniżej.

Tajny system

Niektóre systemy szyfrowania twierdzą, że polegają na tajnym algorytmie, technice lub urządzeniu; jest to klasyfikowane jako bezpieczeństwo poprzez zaciemnienie . Krytyka tego jest dwojaka. Po pierwsze, XIX-wieczna reguła znana jako zasada Kerckhoffsa , sformułowana później jako maksyma Shannona, uczy, że „wróg zna system”, a tajemnica algorytmu kryptosystemu nie daje żadnej korzyści. Po drugie, tajne metody nie są otwarte na publiczną wzajemną ocenę i kryptoanalizę , więc potencjalne błędy i niepewność mogą pozostać niezauważone.

Technobabble

Sprzedawcy oleju z węża mogą używać „ technobabble ” do sprzedaży swoich produktów, ponieważ kryptografia to skomplikowany temat.

„Niezniszczalny” lub „wojskowy”

Twierdzenia, że ​​system lub metoda kryptograficzna są „niezniszczalne” są zawsze fałszywe i są ogólnie uważane za pewny znak oleju wężowego. Nie ma przyjętego standardu ani kryterium dla szyfrów „wojskowych”.

Jednorazowe podkładki

Jednorazowe podkładki to popularna kryptograficzna metoda wywoływania w reklamie, ponieważ dobrze wiadomo, że jednorazowe podkładki, jeśli są prawidłowo zaimplementowane, są naprawdę nie do złamania. Problem pojawia się przy implementacji jednorazowych padów, co rzadko jest wykonywane poprawnie. Systemy kryptograficzne, które twierdzą, że są oparte na jednorazowych podkładkach, są uważane za podejrzane, szczególnie jeśli nie opisują sposobu implementacji jednorazowej podkładki lub opisują wadliwą implementację.

Bezpodstawne twierdzenia „bitowe”

Produktom kryptograficznym często towarzyszą oświadczenia o używaniu dużej liczby bitów do szyfrowania, najwyraźniej odnoszące się do używanej długości klucza . Jednak długości kluczy nie są bezpośrednio porównywalne między systemami symetrycznymi i asymetrycznymi. Ponadto szczegóły implementacji mogą spowodować, że system będzie podatny na ataki. Na przykład w 2008 roku ujawniono, że pewna liczba dysków twardych sprzedawanych z wbudowanym „128-bitowym szyfrowaniem AES ” w rzeczywistości korzystała z prostego i łatwego do pokonania schematu „ XOR ”. AES był używany tylko do przechowywania klucza, który można było łatwo odzyskać bez przerywania AES.

Bibliografia

Linki zewnętrzne