En criptografía , el aceite de serpiente es cualquier método o producto criptográfico que se considere falso o fraudulento. El nombre deriva del aceite de serpiente , un tipo de medicamento patentado ampliamente disponible en los Estados Unidos del siglo XIX .
Distinguir la criptografía segura de la criptografía insegura puede resultar difícil desde el punto de vista del usuario. Muchos criptógrafos, como Bruce Schneier y Phil Zimmermann , se comprometen a educar al público sobre cómo se realiza la criptografía segura, además de destacar el marketing engañoso de algunos productos criptográficos.
Las preguntas frecuentes sobre aceite de serpiente se describen a sí mismas como "una compilación de hábitos comunes de los vendedores de aceite de serpiente. No puede ser el único método para calificar un producto de seguridad, ya que puede haber excepciones a la mayoría de estas reglas. [...] Pero si usted Si estás mirando algo que muestra varias señales de advertencia, probablemente estés lidiando con aceite de serpiente ".
Algunos ejemplos de técnicas de criptografía con aceite de serpiente
Esta no es una lista exhaustiva de signos de aceite de serpiente. Se proporciona una lista más completa en los artículos externos vinculados en la sección siguiente.
Sistema secreto
- Algunos sistemas de cifrado afirman que se basan en un algoritmo, técnica o dispositivo secreto; esto se clasifica como seguridad a través de la oscuridad . Las críticas a esto son dobles. Primero, una regla del siglo XIX conocida como principio de Kerckhoffs , luego formulada como máxima de Shannon, enseña que "el enemigo conoce el sistema" y que el secreto de un algoritmo de criptosistema no proporciona ninguna ventaja. En segundo lugar, los métodos secretos no están abiertos a la revisión pública por pares ni al criptoanálisis , por lo que los posibles errores e inseguridades pueden pasar desapercibidos.
Technobabble
- Los vendedores de aceite de serpiente pueden usar " tecnobabble " para vender su producto, ya que la criptografía es un tema complicado.
"Irrompible" o "de grado militar"
- Las afirmaciones de que un sistema o método criptográfico es "irrompible" son siempre falsas y, en general, se consideran una señal segura de aceite de serpiente. No existe un estándar o criterio aceptado para cifrados de "grado militar".
Almohadillas de un solo uso
- Las almohadillas de un solo uso son un método criptográfico popular para invocar en la publicidad, porque es bien sabido que las almohadillas de un solo uso, cuando se implementan correctamente, son realmente irrompibles. El problema surge al implementar almohadillas de una sola vez, que rara vez se hace correctamente. Los sistemas criptográficos que afirman estar basados en almohadillas de una sola vez se consideran sospechosos, especialmente si no describen cómo se implementa la almohadilla de una sola vez o describen una implementación defectuosa.
Afirmaciones de "bits" sin fundamento
- Los productos criptográficos suelen ir acompañados de afirmaciones de que utilizan una gran cantidad de bits para el cifrado, aparentemente en referencia a la longitud de la clave utilizada. Sin embargo, las longitudes de las claves no son directamente comparables entre sistemas simétricos y asimétricos. Además, los detalles de la implementación pueden hacer que el sistema sea vulnerable. Por ejemplo, en 2008 se reveló que varios discos duros vendidos con " encriptación AES de 128 bits" incorporada en realidad utilizaban un esquema " XOR " simple y fácil de derrotar . AES solo se usó para almacenar la clave, que fue fácil de recuperar sin romper AES. [1]
Referencias
- ^ Christiane Rütten (18 de febrero de 2008). "Incluido, pero no cifrado" . The H Security: noticias y características .
enlaces externos
- Cuidado con el aceite de serpiente - por Phil Zimmermann
- Sugerencias de Bruce Schneier para identificar el aceite de serpiente criptográfica
- Las preguntas frecuentes sobre el aceite de serpiente de Matt Curtin y otros.
- Reclamación de seguridad de Snake Oil sobre producto de seguridad criptográfica por Fabio Pietrosanti
- Resultados de búsqueda de Google para "The Doghouse" en los boletines de noticias Crypto-Gram de Bruce Schneier : la sección Doghouse del boletín Crypto-Gram describe con frecuencia varios productos de cifrado de aceite de serpiente, comerciales o de otro tipo.