## 密码学常识思考

密码常识测试

20191331 lyx

对一下观点进行评论，分别论述你认为这个观点是正确还是错误的（1分）？为什么（2分）？你的参考资料或判断的信息来源是什么？（2分）

1. 很多企业和技术人文都有下面这样的想法∶“由公司或自己开发一种密码算法，并将这种算法保密，这样就能保证安全。"

错误，首先没有牢不可破的密码体制，任何密码体制都需要不断测试不断完善，而闭源的密码体制由于其设计理念和使用群体的局限性并不能完善的测试该体制的安全性，相比之下开源密码体制由于使用广泛更容易发现其漏洞并将其修补。总的来说我认为开源密码算法相较于闭源密码算法更完备。

参考资料：http://www.anshunjkq.gov.cn/ztzl/bmfzxc/mmgz/202109/t20210917_70452847.html ；《密码工程 原理与应用》

2. 使用地低强度的密码算法，比如凯撒密码，也比完全不加密更安全。

错误，使用低强度的密码比不进行任何加密更危险，使用低强度密码算法容易让用户产生虚假的安全感，这样会更容易造成泄露，对于用户来说，安全感与密码的强度无关，而只是由“信息已经被加密了”这一事实产生的，而这通常会导致用户在处理一些机密信息的时候麻痹大意。

参考资料：https://blog.csdn.net/chengqiuming/article/details/81985866；《图解密码技术》

3. 一次性密码本（one-time pad）或一次一密是无法被破解的，所以日常的数据加密应该使用一次性密码本算法。

正确使用健壮的密码算法产生的密钥，并使用OTP模式应用，能够实现无法破解，但日常使用OTP模式显然是不现实的。“安全性绝对不是系统的唯一设计准则，相反，安全性只是众多准则之一。”若要保障安全性牺牲一定的系统性能，OTP不失为一个优秀的方案，但考虑到日常生活中，数据、通信的突发性，我们只能在性能和信息的机密性、可用性之间做出妥协，那么OPT模式在日常生活中是不合适的。但在一些特殊通信场景情况下，我们会为了安全性选择牺牲一些系统性能。例如量子保密通信，使用量子信道保障密钥分发，结合经典信道能够实现无条件安全（信息论安全）的保密通信。作为密钥原语，量子密钥本身不提安全服务；应用量子密钥于密码应用程序，可以极大程度地提高应用程序的安全性。

参考资料：《密码工程 原理与应用》；自己的思考；www.quantum-info.com, www.secoqc.net, www.qasky.com, www.magiqtech.com www.zcwei.com.cn, www.idquantique.com

4. 只要密码算法强度足够，实现正确就可以保证信息安全。

错误，密码只是信息安全系统的一部分，最脆弱的环节并不是密码，而是人类自己。密码学有多种用途，它是许多健壮的安全系统的一个关键部分，但是如果使用的方式不正确，系统也会变得更加脆弱。很多情况下密码学只提供了一种安全感，而没有实际的安全性，盲目迷信密码算法，很容易造成泄密事件产生。

参考资料：《图解密码技术》；《密码工程 原理与应用》