Olej wężowy (kryptografia)
W kryptografii olej wężowy to dowolna metoda kryptograficzna lub produkt uważany za fałszywy lub oszukańczy . Nazwa wywodzi się od oleju z węża , jednego z rodzajów opatentowanego leku szeroko dostępnego w XIX-wiecznych Stanach Zjednoczonych .
Odróżnienie bezpiecznej kryptografii od niezabezpieczonej kryptografii może być trudne z punktu widzenia użytkownika. Wielu kryptografów, takich jak Bruce Schneier i Phil Zimmermann , podejmuje się edukowania społeczeństwa na temat tego, jak bezpieczna jest kryptografia, a także zwracania uwagi na wprowadzający w błąd marketing niektórych produktów kryptograficznych.
Snake Oil FAQ opisuje się jako „kompilacja powszechnych nawyków sprzedawców oleju węża. Nie może to być jedyna metoda oceny produktu zabezpieczającego, ponieważ mogą istnieć wyjątki od większości tych zasad. […] Ale jeśli „patrzysz na coś, co wykazuje kilka znaków ostrzegawczych, prawdopodobnie masz do czynienia z olejem węża”.
Kilka przykładów technik kryptograficznych typu snake oil
To nie jest wyczerpująca lista znaków oleju węża. Bardziej szczegółowa lista znajduje się w odnośnikach.
- Tajny system
- Niektóre systemy szyfrowania twierdzą, że opierają się na tajnym algorytmie, technice lub urządzeniu; jest to klasyfikowane jako bezpieczeństwo przez zaciemnienie . Krytyka tego jest dwojaka. Po pierwsze, XIX-wieczna zasada znana jako zasada Kerckhoffsa , później sformułowana jako maksyma Shannona, uczy, że „wróg zna system”, a tajność algorytmu kryptosystemu nie daje żadnej korzyści. Po drugie, tajne metody nie są otwarte do publicznej recenzji i kryptoanalizy , więc potencjalne błędy i niepewność mogą pozostać niezauważone.
- Technobełkot
- Sprzedawcy oleju węża mogą używać „ technobabble ” do sprzedaży swoich produktów, ponieważ kryptografia jest skomplikowanym tematem.
- „Niezniszczalny”
- Twierdzenia, że system lub metoda kryptograficzna są „niezniszczalne” są zawsze fałszywe (lub prawdziwe w pewnych ograniczonych warunkach) i są ogólnie uważane za pewny znak węża.
- Szyfry „wojskowe”
- Nie ma przyjętego standardu ani kryterium dla szyfrów „wojskowych”.
- Podkładki jednorazowe
- Podkładki jednorazowe są popularną metodą kryptograficzną przywoływaną w reklamach, ponieważ dobrze wiadomo, że jednorazowe podkładki, jeśli są prawidłowo zaimplementowane, są naprawdę niezniszczalne. Problem pojawia się przy wdrażaniu jednorazowych podkładek, co rzadko jest wykonywane poprawnie. Systemy kryptograficzne, które twierdzą, że są oparte na jednorazowych podkładkach, są uważane za podejrzane, zwłaszcza jeśli nie opisują sposobu implementacji jednorazowej podkładki lub opisują wadliwą implementację.
- Nieuzasadnione twierdzenia dotyczące bitów
- Produktom kryptograficznym często towarzyszą twierdzenia o używaniu dużej liczby bitów do szyfrowania, najwyraźniej odnoszące się do długości klucza używany. Jednak długości kluczy nie są bezpośrednio porównywalne między systemami symetrycznymi i asymetrycznymi. Ponadto szczegóły implementacji mogą sprawić, że system będzie podatny na ataki. Na przykład w 2008 roku ujawniono, że wiele dysków twardych z wbudowanym „128-bitowym szyfrowaniem AES ” w rzeczywistości korzystało z prostego i łatwego do pokonania schematu „ XOR ”. AES był używany tylko do przechowywania klucza, który można było łatwo odzyskać bez łamania AES.
Linki zewnętrzne
- Strzeż się oleju z węży — Phil Zimmermann
- Wyniki wyszukiwania Google dla „The Doghouse” w biuletynach Crypto-Gram Bruce'a Schneiera — sekcja Doghouse biuletynu Crypto-Gram często opisuje różne produkty szyfrujące olej węża, komercyjne lub inne.