Óleo de cobra (criptografia) - Snake oil (cryptography)

Na criptografia , o óleo de cobra é qualquer método ou produto criptográfico considerado falso ou fraudulento. O nome deriva de óleo de cobra , um tipo de medicamento patenteado amplamente disponível nos Estados Unidos do século XIX .

Distinguir criptografia segura de criptografia insegura pode ser difícil do ponto de vista do usuário. Muitos criptógrafos, como Bruce Schneier e Phil Zimmermann , comprometem-se a educar o público sobre como a criptografia segura é feita, além de destacar o marketing enganoso de alguns produtos criptográficos.

O Snake Oil FAQ se descreve como "uma compilação de hábitos comuns de fornecedores de óleo de cobra. Não pode ser o único método de classificação de um produto de segurança, uma vez que pode haver exceções à maioria dessas regras. [...] Mas se você está olhando para algo que exibe vários sinais de alerta, provavelmente você está lidando com óleo de cobra. "

Alguns exemplos de técnicas de criptografia de óleo de cobra

Esta não é uma lista exaustiva de sinais de óleo de cobra. Uma lista mais completa é fornecida nos artigos externos vinculados na seção abaixo.

Sistema secreto

Alguns sistemas de criptografia alegam confiar em um algoritmo, técnica ou dispositivo secreto; isso é classificado como segurança por obscuridade . As críticas a isso são duplas. Primeiro, uma regra do século 19 conhecida como princípio de Kerckhoffs , mais tarde formulada como a máxima de Shannon, ensina que "o inimigo conhece o sistema" e o sigilo de um algoritmo de criptosistema não oferece nenhuma vantagem. Em segundo lugar, os métodos secretos não estão abertos à revisão pública por pares e à criptoanálise , de modo que erros e inseguranças em potencial podem passar despercebidos.

Jargão técnico incompreensível

Os vendedores de óleo de cobra podem usar " technobabble " para vender seus produtos, pois a criptografia é um assunto complicado.

"Inquebrável" ou "nível militar"

As alegações de que um sistema ou método criptográfico é "inquebrável" são sempre falsas e geralmente consideradas um sinal seguro de óleo de cobra. Não existe um padrão ou critério aceito para cifras de "nível militar".

Pads de uso único

Os pads descartáveis são um método criptográfico popular para invocar em publicidade, porque é bem conhecido que os pads descartáveis, quando implementados corretamente, são genuinamente inquebráveis. O problema surge na implementação de pads de uso único, o que raramente é feito corretamente. Os sistemas criptográficos que afirmam ser baseados em blocos únicos são considerados suspeitos, principalmente se não descreverem como o bloco único é implementado ou se descreverem uma implementação falha.

Alegações "pouco" não comprovadas

Os produtos criptográficos costumam ser acompanhados de alegações de uso de um grande número de bits para criptografia, aparentemente referindo-se ao comprimento da chave usada. No entanto, os comprimentos das chaves não são diretamente comparáveis ​​entre sistemas simétricos e assimétricos. Além disso, os detalhes de implementação podem tornar o sistema vulnerável. Por exemplo, em 2008 foi revelado que vários discos rígidos vendidos com " criptografia AES de 128 bits" incorporada estavam na verdade usando um esquema " XOR " simples e facilmente derrotado . O AES era usado apenas para armazenar a chave, que era fácil de recuperar sem quebrar o AES.

Referências

links externos

• Cuidado com o óleo de cobra - por Phil Zimmermann
• Dicas de Bruce Schneier para identificar óleo de cobra criptográfica
• Perguntas frequentes sobre o óleo de cobra, de Matt Curtin e outros.
• Reivindicação de segurança de óleo de cobra em produto de segurança criptográfica por Fabio Pietrosanti
• Os resultados da Pesquisa Google para "The Doghouse" nos boletins Crypto-Gram de Bruce Schneier - a seção Doghouse do boletim informativo Crypto-Gram frequentemente descreve vários produtos de criptografia de óleo de cobra, comerciais ou não.