В криптографии , змеиное масло является любой криптографический метод или продукт считается поддельным или мошенническими. Название происходит от змеиного масла , одного из видов патентованного лекарства, широко доступного в Соединенных Штатах 19 века .
Отличить безопасную криптографию от небезопасной криптографии может быть сложно с точки зрения пользователя. Многие криптографы, такие как Брюс Шнайер и Фил Циммерманн , берут на себя обязательство информировать общественность о том, как делается безопасная криптография, а также подчеркивают вводящий в заблуждение маркетинг некоторых криптографических продуктов.
Snake Oil FAQ описывает себя как «компиляция общих привычек поставщиков змея нефти. Это не может быть единственным способом рейтинга продукта безопасности, так как может быть исключение большинства из этих правил. [...] Но если вы Если вы смотрите на то, что имеет несколько предупреждающих знаков, вы, вероятно, имеете дело со змеиным маслом ».
Некоторые примеры методов криптографии змеиного масла
Это не исчерпывающий список признаков змеиного масла. Более подробный список приведен во внешних статьях, ссылки на которые приведены в разделе ниже.
Секретная система
- Некоторые системы шифрования утверждают, что полагаются на секретный алгоритм, метод или устройство; это классифицируется как безопасность через неизвестность . Критика этого двоякая. Во-первых, правило XIX века, известное как принцип Керкхоффа , позже сформулированное как максима Шеннона, учит, что «противник знает систему», а секретность алгоритма криптосистемы не дает никаких преимуществ. Во-вторых, секретные методы закрыты для публичной экспертной оценки и криптоанализа , поэтому потенциальные ошибки и ненадежность могут остаться незамеченными.
Техно-болтовня
- Продавцы змеиного масла могут использовать « техно-болтовню » для продажи своего продукта, поскольку криптография - сложный предмет.
«Нерушимый» или «военный»
- Утверждения о том, что система или криптографический метод «нерушимы», всегда ложны и обычно считаются верным признаком наличия змеиного масла. Не существует общепринятого стандарта или критерия для шифров «военного уровня».
Одноразовые колодки
- Одноразовые блокноты - это популярный криптографический метод для использования в рекламе, потому что хорошо известно, что одноразовые блокноты при правильной реализации действительно невозможно взломать. Проблема заключается в применении одноразовых прокладок, что редко делается правильно. Криптографические системы, которые утверждают, что основаны на одноразовых блокнотах, считаются подозрительными, особенно если они не описывают, как реализован одноразовый блокнот, или описывают некорректную реализацию.
Необоснованные "битовые" претензии
- Криптографические продукты часто сопровождаются заявлениями об использовании большого количества бит для шифрования, очевидно, со ссылкой на используемую длину ключа . Однако длины ключей между симметричными и асимметричными системами напрямую не сопоставимы. Более того, детали реализации могут сделать систему уязвимой. Например, в 2008 году было обнаружено, что ряд жестких дисков, проданных со встроенным «128-битным шифрованием AES », на самом деле использовали простую и легко поддающуюся разрушению схему « XOR ». AES использовался только для хранения ключа, который можно было легко восстановить, не нарушая AES. [1]
Рекомендации
- ^ Christiane Rütten (18 февраля 2008). «Закрыто, но не зашифровано» . Безопасность H: новости и особенности .
Внешние ссылки
- Остерегайтесь змеиного масла - Фил Циммерманн
- Советы Брюса Шнайера по идентификации крипто-змеиного масла
- Часто задаваемые вопросы о змеином масле Мэтта Кертина и других.
- Заявление о безопасности Snake Oil в продукте Crypto Security от Фабио Пьетрозанти
- Результаты поиска Google по запросу "Собачья будка" в информационных бюллетенях Брюса Шнайера по криптографии - в разделе "Собачья будка" информационного бюллетеня Крипто-Грамм часто описываются различные продукты для шифрования с использованием змеиного масла, коммерческие или иные.