En criptografía , el aceite de serpiente es cualquier método o producto criptográfico considerado falso o fraudulento. El nombre deriva del aceite de serpiente , un tipo de medicamento patentado ampliamente disponible en los Estados Unidos del siglo XIX .
Distinguir la criptografía segura de la criptografía insegura puede resultar difícil desde el punto de vista del usuario. Muchos criptógrafos, como Bruce Schneier y Phil Zimmermann , se dedican a educar al público sobre cómo se realiza la criptografía segura, así como a destacar la publicidad engañosa de algunos productos criptográficos.
Las preguntas frecuentes sobre el aceite de serpiente se describen a sí mismas como "una recopilación de hábitos comunes de los vendedores de aceite de serpiente. No puede ser el único método para calificar un producto de seguridad, ya que puede haber excepciones a la mayoría de estas reglas. [...] Pero si estás viendo algo que muestra varias señales de advertencia, probablemente estés tratando con aceite de serpiente". [1]
Algunos ejemplos de técnicas de criptografía de aceite de serpiente
Esta no es una lista exhaustiva de señales de advertencia. En las referencias se incluye una lista más completa.
- Sistema secreto
- Algunos sistemas de cifrado afirman que dependen de un algoritmo, técnica o dispositivo secreto; esto se clasifica como seguridad por oscuridad . [2] Las críticas a esto son dobles. En primer lugar, una regla del siglo XIX conocida como el principio de Kerckhoffs , posteriormente formulada como la máxima de Shannon, enseña que "el enemigo conoce el sistema" y el secreto de un algoritmo de criptosistema no proporciona ninguna ventaja. En segundo lugar, los métodos secretos no están abiertos a la revisión pública por pares y al criptoanálisis , por lo que los posibles errores e inseguridades pueden pasar desapercibidos. [1]
- Jerga tecnológica
- Los vendedores de aceite de serpiente pueden usar " jerga tecnológica " para vender su producto, ya que la criptografía es un tema complicado. [2]
- "Irrompible"
- Las afirmaciones de que un sistema o método criptográfico es "irrompible" son siempre falsas (o verdaderas bajo un conjunto limitado de condiciones) y generalmente se consideran una señal inequívoca de que se trata de una estafa. [1]
- "Grado militar"
- No existe ningún estándar o criterio aceptado para los cifrados de " grado militar ". [1]
- Libretas de un solo uso
- Los block de un solo uso son un método criptográfico popular que se utiliza en la publicidad, porque es bien sabido que, cuando se implementan correctamente, son realmente indescifrables. El problema surge al implementar los block de un solo uso, lo que rara vez se hace correctamente. Los sistemas criptográficos que afirman estar basados en block de un solo uso se consideran sospechosos, en particular si no describen cómo se implementa el block de un solo uso o describen una implementación defectuosa. [2]
- Afirmaciones de "bits" sin fundamento
- Los productos criptográficos suelen ir acompañados de afirmaciones de utilizar una gran cantidad de bits para el cifrado, aparentemente haciendo referencia a la longitud de la clave utilizada. [2] Sin embargo, las longitudes de clave no son directamente comparables entre sistemas simétricos y asimétricos. [2] Además, los detalles de la implementación pueden hacer que el sistema sea vulnerable. Por ejemplo, en 2008 se reveló que una serie de discos duros vendidos con "cifrado AES de 128 bits" integrado en realidad utilizaban un esquema " XOR " simple y fácil de anular. AES solo se utilizaba para almacenar la clave, que era fácil de recuperar sin romper AES. [3]
Referencias
- ^ abcd Matt, Curtin. "Señales de advertencia de aceite de serpiente: software de cifrado que se debe evitar". Archivado desde el original el 14 de noviembre de 2021.
- ^ abcde Schneier, Bruce (15 de febrero de 1999). "Aceite de serpiente". Crypto-Gram .
- ^ Christiane Rütten (18 de febrero de 2008). «Cerrado, pero no cifrado». The H Security: noticias y artículos .
Enlaces externos
- Cuidado con el aceite de serpiente — por Phil Zimmermann
- Resultados de búsqueda de Google para "The Doghouse" en los boletines Crypto-Gram de Bruce Schneier: la sección Doghouse del boletín Crypto-Gram describe con frecuencia varios productos de cifrado de aceite de serpiente, comerciales o de otro tipo.