Sé que nunca debe hacer su propia criptografía, ya sea un algoritmo de cifrado o hash o incluso un generador de números pseudoaleatorios seguros, estas cosas las desarrollé durante un largo proceso de estandarización. Sin embargo, lo que estoy buscando son citas o un buen punto para describir/argumentar rápidamente esto al desarrollador ocasional que decide escribir su propio algoritmo criptográfico.Criptografía casera
Puede decirle a este desarrollador que los algoritmos existentes como AES han sido analizados por un sinnúmero de expertos en criptoanálisis (que ciertamente implican una comprensión avanzada de números e informática) y probados en competiciones, donde hay un incentivo real para crear algoritmos.
También puede decirle a este desarrollador que solo porque un algoritmo es popular, no significa que sea inseguro (si ese fue el razonamiento de este desarrollador). El hecho de que mucha gente sepa cómo funcionan las cerraduras de las puertas no hace que las cerraduras de las puertas sean inseguras, ni tampoco es una buena justificación para que las personas creen sus propias cerraduras.
Para un ejemplo del mundo real, see this TDWTF article about Nintendo's bug in the Wii's security functions. Nintendo (una empresa grande, conocida con un montón de programadores) trató de implementar un algoritmo existente y logró tornillo eso. ¿Qué hace que este desarrollador piense que tiene las habilidades l33t h4x0r para escribir un nuevo algoritmo seguro?
+1 para una gran analogía – teukkam
+1. Esto es lo más importante: revisión por pares. Si algo ha sido revisado por innumerables personas con décadas de experiencia tratando de descifrar códigos, y todavía no lo han roto, entonces es una apuesta * mucho * más segura que algo no probado que ha sido cocinado por un aficionado. –
Otro ejemplo de un "fallido" sistema de cifrado de fabricación casera es el A5/1 usadas por el GSM: http://en.wikipedia.org/wiki/A5/1 –
sí, eso es cierto ... pero todo encriptado es codificación y sustitución. para que pueda hacer su propio cifrado fácilmente ... codifique su texto usando XOR básico y use un diccionario para sustituir.
http://en.wikipedia.org/wiki/XOR_cipher
Esperamos que esto pueda ayudar a
Saludos.
El cifrado XOR es una forma de cifrado increíblemente débil. Evitará incumplimientos de oportunidades, pero no de crackers determinados. –
OTP sería seguro, si se implementa correctamente. Pero usando un diccionario: análisis de frecuencia y abundancia conocida de ataques de texto sin formato. – Johnny
Simplemente dígales que a menos que tengan varias décadas de experiencia en matemáticas, informática y criptografía, y luego de unos años para diseñar el algoritmo, es muy poco probable que puedan producir un mejor esquema de cifrado criptográfico que las que ya están en uso generalizado, todas las cuales han sido trabajadas por mucha gente, muchas de las cuales casi definitivamente tienen el trasfondo que describí anteriormente.
punto al no creyente a estos URL:
Security Pitfalls in Cryptography By Bruce Schneier
Cryptography from princeton.edu
Homebrew Cryptography
Wikipedia Article on Cryptanalysis
Como otros han mencionado, se puede usar casi cualquier cosa que Bruce Schneier dice como una cita! Con frecuencia menciona que cualquiera puede crear un cifrado que no puede romper. Él expuso sobre esto en detalle, pero no puedo encontrar la atm artículo, pero aquí hay algunos ensayos de su toque en esta zona:
Cualquiera que piense Han ideado un esquema de cifrado irrompible es un genio increíblemente raro o es ingenuo e inexperto. Desafortunadamente, a veces tengo que hacer frente a con aspirantes a criptógrafos que quieren hacer "mejoras" a PGP al al agregar algoritmos de cifrado de su propio diseño .
Recuerdo una conversación en 1991 con Brian Snow, un criptógrafo senior de alto rango con la NSA . Dijo que nunca confiar en un algoritmo de cifrado diseñado por alguien que había no "ganó sus huesos" por primera pasar mucho tiempo códigos de craqueo. Eso tenía mucho sentido. Observé que prácticamente nadie en el mundo comercial de la criptografía califica bajo este criterio. "Sí", , dijo con una sonrisa segura de sí misma, "Y eso hace que nuestro trabajo en la NSA tanto más fácil." Un pensamiento escalofriante. No califiqué tampoco.
Philip Zimmermann, Beware of Snake Oil
Grieta su algoritmo y mostrarles lo rápido que puede hacerlo ... – Paddy
encontrado éste: http://www.samsimpson.com/static/cquotes busque David Wagner PhD, sci.crypt, 19th Oct 02. – Johnny