Óleo de cobra (criptografia) - Snake oil (cryptography)
Na criptografia , o óleo de cobra é qualquer método ou produto criptográfico considerado falso ou fraudulento. O nome deriva de óleo de cobra , um tipo de medicamento patenteado amplamente disponível nos Estados Unidos do século XIX .
Distinguir criptografia segura de criptografia insegura pode ser difícil do ponto de vista do usuário. Muitos criptógrafos, como Bruce Schneier e Phil Zimmermann , comprometem-se a educar o público sobre como a criptografia segura é feita, além de destacar o marketing enganoso de alguns produtos criptográficos.
O Snake Oil FAQ se descreve como "uma compilação de hábitos comuns de fornecedores de óleo de cobra. Não pode ser o único método de classificação de um produto de segurança, uma vez que pode haver exceções à maioria dessas regras. [...] Mas se você está olhando para algo que exibe vários sinais de alerta, provavelmente você está lidando com óleo de cobra. "
Alguns exemplos de técnicas de criptografia de óleo de cobra
Esta não é uma lista exaustiva de sinais de óleo de cobra. Uma lista mais completa é fornecida nos artigos externos vinculados na seção abaixo.
Sistema secreto
- Alguns sistemas de criptografia alegam confiar em um algoritmo, técnica ou dispositivo secreto; isso é classificado como segurança por obscuridade . As críticas a isso são duplas. Primeiro, uma regra do século 19 conhecida como princípio de Kerckhoffs , mais tarde formulada como a máxima de Shannon, ensina que "o inimigo conhece o sistema" e o sigilo de um algoritmo de criptosistema não oferece nenhuma vantagem. Em segundo lugar, os métodos secretos não estão abertos à revisão pública por pares e à criptoanálise , de modo que erros e inseguranças em potencial podem passar despercebidos.
Jargão técnico incompreensível
- Os vendedores de óleo de cobra podem usar " technobabble " para vender seus produtos, pois a criptografia é um assunto complicado.
"Inquebrável" ou "nível militar"
- As alegações de que um sistema ou método criptográfico é "inquebrável" são sempre falsas e geralmente consideradas um sinal seguro de óleo de cobra. Não existe um padrão ou critério aceito para cifras de "nível militar".
Pads de uso único
- Os pads descartáveis são um método criptográfico popular para invocar em publicidade, porque é bem conhecido que os pads descartáveis, quando implementados corretamente, são genuinamente inquebráveis. O problema surge na implementação de pads de uso único, o que raramente é feito corretamente. Os sistemas criptográficos que afirmam ser baseados em blocos únicos são considerados suspeitos, principalmente se não descreverem como o bloco único é implementado ou se descreverem uma implementação falha.
Alegações "pouco" não comprovadas
- Os produtos criptográficos costumam ser acompanhados de alegações de uso de um grande número de bits para criptografia, aparentemente referindo-se ao comprimento da chave usada. No entanto, os comprimentos das chaves não são diretamente comparáveis entre sistemas simétricos e assimétricos. Além disso, os detalhes de implementação podem tornar o sistema vulnerável. Por exemplo, em 2008 foi revelado que vários discos rígidos vendidos com " criptografia AES de 128 bits" incorporada estavam na verdade usando um esquema " XOR " simples e facilmente derrotado . O AES era usado apenas para armazenar a chave, que era fácil de recuperar sem quebrar o AES.
Referências
links externos
- Cuidado com o óleo de cobra - por Phil Zimmermann
- Dicas de Bruce Schneier para identificar óleo de cobra criptográfica
- Perguntas frequentes sobre o óleo de cobra, de Matt Curtin e outros.
- Reivindicação de segurança de óleo de cobra em produto de segurança criptográfica por Fabio Pietrosanti
- Os resultados da Pesquisa Google para "The Doghouse" nos boletins Crypto-Gram de Bruce Schneier - a seção Doghouse do boletim informativo Crypto-Gram frequentemente descreve vários produtos de criptografia de óleo de cobra, comerciais ou não.