Ormolja (kryptografi)
Inom kryptografi är ormolja varje kryptografisk metod eller produkt som anses vara falsk eller bedräglig . Namnet kommer från ormolja , en typ av patentmedicin som är allmänt tillgänglig i 1800-talets USA .
Att skilja säker kryptografi från osäker kryptografi kan vara svårt ur en användares synvinkel. Många kryptografer, som Bruce Schneier och Phil Zimmermann , åtar sig att utbilda allmänheten i hur säker kryptografi görs, samt att lyfta fram den vilseledande marknadsföringen av vissa kryptoprodukter.
Snake Oil FAQ beskriver sig själv som "en sammanställning av vanliga vanor hos säljare av ormolja. Det kan inte vara den enda metoden för att betygsätta en säkerhetsprodukt, eftersom det kan finnas undantag från de flesta av dessa regler. [...] Men om du Om du tittar på något som uppvisar flera varningssignaler, har du förmodligen att göra med ormolja."
Några exempel på ormolja-kryptografitekniker
Detta är inte en uttömmande lista över ormolja tecken. En utförligare lista ges i referenserna.
- Hemligt system
- Vissa krypteringssystem gör anspråk på att förlita sig på en hemlig algoritm, teknik eller enhet; detta kategoriseras som säkerhet genom dunkelhet . Kritiken mot detta är tvådelad. För det första lär en regel från 1800-talet känd som Kerckhoffs princip , senare formulerad som Shannons maxim, att "fienden känner till systemet" och sekretessen för en kryptosystemalgoritm inte ger någon fördel. För det andra är hemliga metoder inte öppna för offentlig granskning och kryptoanalys , så potentiella misstag och osäkerheter kan gå obemärkt förbi.
- Technobabble
- Snake oil-säljare kan använda " technobabble " för att sälja sin produkt eftersom kryptografi är ett komplicerat ämne.
- "Okrossbara"
- Påståenden om att ett system eller en kryptografisk metod är "okrossbar" är alltid falska (eller sanna under vissa begränsade förhållanden), och anses i allmänhet vara ett säkert tecken på ormolja.
- "Militär-grade"
- Det finns ingen accepterad standard eller kriterium för "militär-grade" chiffer.
- Engångsdynor
- Engångsdynor är en populär kryptografisk metod att åberopa i reklam, eftersom det är välkänt att engångsdynor, när de implementeras på rätt sätt, verkligen är okrossbara. Problemet är att implementera engångsblock, vilket sällan görs korrekt. Kryptografiska system som påstår sig vara baserade på engångsblock anses misstänkta, särskilt om de inte beskriver hur engångsblocket implementeras, eller om de beskriver en felaktig implementering.
- Ounderbyggda "bit"-påståenden
- Kryptografiska produkter åtföljs ofta av påståenden om att använda ett stort antal bitar för kryptering, uppenbarligen med hänvisning till nyckellängden som används . Emellertid är nyckellängder inte direkt jämförbara mellan symmetriska och asymmetriska system. Dessutom kan detaljerna i implementeringen göra systemet sårbart. Till exempel, 2008 avslöjades det att ett antal hårddiskar som säljs med inbyggd "128-bitars AES -kryptering" faktiskt använde ett enkelt och lätt besegrat " XOR "-schema. AES användes endast för att lagra nyckeln, vilket var lätt att återställa utan att bryta AES.
externa länkar
- Se upp för Snake Oil — av Phil Zimmermann
- Googles sökresultat för "The Doghouse" i Bruce Schneiers Crypto-Gram-nyhetsbrev — Doghouse-delen av Crypto-Gram-nyhetsbrevet beskriver ofta olika krypteringsprodukter för ormolja, kommersiella eller andra.