Olej z węża (kryptografia) - Snake oil (cryptography)
W kryptografii , olej wężowy jest dowolna metoda kryptograficzna lub produkt uważa się za fikcyjne lub oszustwa. Nazwa wywodzi się od oleju z węża , jednego z rodzajów leków patentowych szeroko dostępnych w XIX-wiecznych Stanach Zjednoczonych .
Odróżnienie bezpiecznej kryptografii od niezabezpieczonej kryptografii może być trudne z punktu widzenia użytkownika. Wielu kryptografów, takich jak Bruce Schneier i Phil Zimmermann , podejmuje się edukowania opinii publicznej w zakresie bezpieczeństwa kryptografii, a także zwraca uwagę na wprowadzający w błąd marketing niektórych produktów kryptograficznych.
Wąż oleju FAQ opisuje się jako „kompilacja wspólnych zwyczajów sprzedawców oleju wąż. To nie może być jedynym sposobem rankingu produkt bezpieczeństwa, ponieważ mogą istnieć wyjątki od większości tych zasad. [...] Ale jeśli Patrzysz na coś, co wykazuje kilka znaków ostrzegawczych, prawdopodobnie masz do czynienia z olejem wężowym. "
Kilka przykładów technik kryptografii oleju wężowego
To nie jest wyczerpująca lista znaków oleju węża. Bardziej szczegółowa lista znajduje się w artykułach zewnętrznych, do których linki znajdują się w sekcji poniżej.
Tajny system
- Niektóre systemy szyfrowania twierdzą, że polegają na tajnym algorytmie, technice lub urządzeniu; jest to klasyfikowane jako bezpieczeństwo poprzez zaciemnienie . Krytyka tego jest dwojaka. Po pierwsze, XIX-wieczna reguła znana jako zasada Kerckhoffsa , sformułowana później jako maksyma Shannona, uczy, że „wróg zna system”, a tajemnica algorytmu kryptosystemu nie daje żadnej korzyści. Po drugie, tajne metody nie są otwarte na publiczną wzajemną ocenę i kryptoanalizę , więc potencjalne błędy i niepewność mogą pozostać niezauważone.
Technobabble
- Sprzedawcy oleju z węża mogą używać „ technobabble ” do sprzedaży swoich produktów, ponieważ kryptografia to skomplikowany temat.
„Niezniszczalny” lub „wojskowy”
- Twierdzenia, że system lub metoda kryptograficzna są „niezniszczalne” są zawsze fałszywe i są ogólnie uważane za pewny znak oleju wężowego. Nie ma przyjętego standardu ani kryterium dla szyfrów „wojskowych”.
Jednorazowe podkładki
- Jednorazowe podkładki to popularna kryptograficzna metoda wywoływania w reklamie, ponieważ dobrze wiadomo, że jednorazowe podkładki, jeśli są prawidłowo zaimplementowane, są naprawdę nie do złamania. Problem pojawia się przy implementacji jednorazowych padów, co rzadko jest wykonywane poprawnie. Systemy kryptograficzne, które twierdzą, że są oparte na jednorazowych podkładkach, są uważane za podejrzane, szczególnie jeśli nie opisują sposobu implementacji jednorazowej podkładki lub opisują wadliwą implementację.
Bezpodstawne twierdzenia „bitowe”
- Produktom kryptograficznym często towarzyszą oświadczenia o używaniu dużej liczby bitów do szyfrowania, najwyraźniej odnoszące się do używanej długości klucza . Jednak długości kluczy nie są bezpośrednio porównywalne między systemami symetrycznymi i asymetrycznymi. Ponadto szczegóły implementacji mogą spowodować, że system będzie podatny na ataki. Na przykład w 2008 roku ujawniono, że pewna liczba dysków twardych sprzedawanych z wbudowanym „128-bitowym szyfrowaniem AES ” w rzeczywistości korzystała z prostego i łatwego do pokonania schematu „ XOR ”. AES był używany tylko do przechowywania klucza, który można było łatwo odzyskać bez przerywania AES.
Bibliografia
Linki zewnętrzne
- Uważaj na olej z węża - Phil Zimmermann
- Wskazówki Bruce'a Schneiera dotyczące identyfikacji oleju z węża kryptowalutowego
- Często zadawane pytania dotyczące oleju z węża autorstwa Matta Curtina i innych.
- Roszczenie zabezpieczające Snake Oil dotyczące produktu zabezpieczającego kryptowaluty złożone przez Fabio Pietrosanti
- Wyniki wyszukiwania Google dla „The Doghouse” w biuletynach Bruce'a Schneiera Crypto-Gram - sekcja Doghouse biuletynu Crypto-Gram często opisuje różne produkty do szyfrowania oleju węża, komercyjne lub inne.