Был удивлен, что не нашел на Хабре статьи о т.н. «змеином масле», далее — перевод статьи, которая мне показалась интересной, т.к. понятие можно экстраполировать на производство любых продуктов, итак…
В криптографии «змеиным маслом» называют любой коммерческий способ шифрования, являющийся поддельным или мошенническим.
Название происходит от «Змеиного масла», запатентованного лекарства, имевшего широкое распространение в 19 веке на территории США.
Разницу между безопасным и небезопасным шифрованием рядовому пользователю трудно заметить. Многие криптографы, в частности Брюс Шнайер и Фил Циммерман, взяли на себя ответственность предоставить информацию широкой аудитории о том, как осуществляется безопасное шифрование, а также осветить маркетинговые ходы, искажающие действительность касательно некоторых криптографических продуктов.
Snake Oil FAQ определяет сам себя как «подборку общих черт поведения производителей «змеиного масла». Она не дает 100%-й гарантии определения безопасности продукта, так как в любых правилах есть исключения. Но если поведение соответствует сразу нескольким признакам, то, скорее всего, вы имеете дело со змеиным маслом».
Некоторые примеры (неполный список):
- Секретная система
Некоторые системы шифрования заявляют об использовании секретных алгоритмов, техник или устройств, что попадает под категорию «безопасность через неясность».
Критика:
во-первых, существует принцип Шэннона Максима, проверенный временем, который можно выразить утверждением «враг знает систему», и эта секретность не дает пользователю никаких преимуществ;
во-вторых, секретные методы, не открытые для публичного ознакомления и криптоанализа, могут содержать ошибки и прорехи в безопасности, которые могут оставаться незамеченными длительное время. - «Технотреп»
Продавцы «змеиного масла» часто прибегают к «технотрепу», поскольку криптография – предмет сложный. - Неуязвимость
Объявление криптографической системы или метода неуязвимым практически всегда ошибочно и, в основном, воспринимается как верный признак «змеиного масла». - Шифр Вернама
Это популярный криптографический метод, используемый при рекламировании, т.к. одноразовые блокноты, используемые корректно, в идеале невозможно взломать.
Проблемы возникают при попытке его реализации, которая редко выполняется корректно. Криптосистемы, использующие схему одноразовых блокнотов, обычно вызывают подозрение, особенно без описания реализации или при описании ошибочной реализации. - Заявления о битности
Криптографические продукты часто сопутствуются заявлениями об использовании большого количества битов для шифрования, чаще всего ссылаясь на длину используемого ключа.
Тем не менее, нужно помнить о неравнозначности понятия «длины» ключа для синхронного и асинхронного шифрования.
Также, детали реализации могут сделать систему уязвимой. К примеру, в 2008 году было обнаружено, что число проданных жестких дисков со встроенным 128-битным AES-шифрованием на самом деле использовали операцию XOR, подверженной легкому взлому. AES использовался только для хранения ключа, который можно было восстановить без взлома AES.
Автор: zogby
