我知道你永远不应该制作自己的密码术,无论是密码算法还是哈希算法,甚至是一个安全的伪随机数生成器,这些都是我在长期标准化过程中开发的。然而,我正在寻找引用或好点,以便快速描述/争论这个偶然的开发人员决定编写他们自己的加密算法。
答案 0 :(得分:25)
您可以告诉这位开发人员,现有的算法(如AES)已被无数密码分析专家(这肯定涉及对数字和计算机科学的深入理解)进行了分析,并在竞争中进行了测试,其中存在创建安全算法的真正动机
你也可以告诉这个开发人员,因为算法很流行,并不意味着它不安全(如果这是开发人员的理由)。正因为很多人都知道门锁是如何工作的,所以不会使门锁不安全,也不是人们创造自己门锁的理由。
对于一个真实世界的例子,see this TDWTF article about Nintendo's bug in the Wii's security functions.任天堂(一家拥有大量程序员的大型知名公司)试图实施现有的算法并设法搞砸了。是什么让这位开发人员认为他/她具有 l33t h4x0r 技能来编写新的安全算法?
答案 1 :(得分:8)
告诉他们,除非他们在数学,计算机科学和密码学方面有数十年的经验,然后花几年时间设计算法,否则他们很可能无法生成更好的加密加密方案。已经广泛使用的,所有这些都已经被许多人所使用,其中许多人几乎肯定具有我上面描述的背景。
答案 2 :(得分:8)
任何认为自己设计过的人 不可破解的加密方案 是一个非常罕见的天才或是 天真和缺乏经验。 不幸的是,我有时必须这样做 与可能的密码学家打交道 希望通过PGP进行“改进” 添加他们的加密算法 自己的设计。
我记得1991年的一次谈话 Brian Snow,一位资深人士 与NSA的密码学家。他说,他 永远不会相信加密 有人设计的算法 不是先“挣骨头” 花费大量时间破解密码。 这很有道理。我观察到了 几乎没有人在 密码学的商业世界 符合此标准。 “是,” 他带着自信的笑容说, “这使我们在NSA的工作如此之多 更容易。“一个令人不寒而栗的想法。我没有 资格要么。
Philip Zimmermann,Beware of Snake Oil
答案 3 :(得分:3)
将非信徒指向这些网址:
Security Pitfalls in Cryptography By Bruce Schneier
Cryptography from princeton.edu
Homebrew Cryptography
Wikipedia Article on Cryptanalysis
答案 4 :(得分:1)
正如其他人所说,你可以使用布鲁斯施奈尔所说的任何东西作为报价!他经常提到任何人都可以创造一个他或她无法破解的密码。他详细阐述了这一点,但我找不到文章atm,但这里有一些关于这个领域的文章:
答案 5 :(得分:-5)
是的,这是真的..但所有加密都是加扰和替换。因此,您可以轻松制作自己的密码。使用基本XOR加扰您的文本并使用字典替代。
http://en.wikipedia.org/wiki/XOR_cipher
希望这可以提供帮助
问候。