密码常识测试
对以下观点进行评论,分别论述你认为这个观点是正确还是错误的(1分)?为什么(2分)?你的参考资料或判断的信息来源是什么?(2分)
- 很多企业和技术人文都有下面这样的想法∶“由公司或自己开发一种密码算法,并将这种算法保密,这样就能保证安全。"
- 使用低强度的密码算法,比如凯撒密码,也比完全不加密更安全。
- 一次性密码本(one-time pad)或一次一密是无法被破解的,所以日常的数据加密应该使用一次性密码本算法。
- 只要密码算法强度足够,实现正确就可以保证信息安全。
一、很多企业和技术人文都有下面这样的想法∶“由公司或自己开发一种密码算法,并将这种算法保密,这样就能保证安全。"
这种看法是错误的,使用保密的密码算法是无法获得高安全性的。我们不应该制作或使用任何保密的密码算法,而是应该使用那些已经公开的、被公认为强度较高的密码算法。
密码算法的秘密早晚会公诸于世。从历史上看,密码算法的秘密最终无一例外地都会被暴露出来。例如: RSA公司开发的RC4密码算法曾经也是保密的,但最终还是有一位匿名人士开发并公开了与其等效的程序。
开发高强度的密码算法是非常困难的。要比较密码算法的强弱是极其困难的,因为密码算法的强度并不像数学那样可以进行严密的证明。密码算法的强度只能通过事实来证明,如果专业密码破译者经过数年的尝试仍然没有破解某个密码算法,则说明这种算法的强度较高。
二、使用低强度的密码算法,比如凯撒密码,也比完全不加密更安全。
这是错误的,与其使用低强度的密码,还不如从一开始就不使用任何密码这主要是由于用户容易通过 “密码” 这个词获得一种 “错误的安全感”。对于用户来说,安全感与密码的强度无关,而只是由 “信息已经被加密了” 这一事实产生的,而这通常会导致用户在处理一些机密信息的时候麻痹大意。
三、一次性密码本(one-time pad)或一次一密是无法被破解的,所以日常的数据加密应该使用一次性密码本算法。
这是错误的,一次性密码也存在许多问题
1、密钥配送问题
密钥和原文以及密文都是等长的,目标端如果想解密就必须拿到密钥,如果能有一种方法将密钥安全地发送出去,那么岂不是也可以用同样的方法来安全发送明文吗?
2、密钥保存问题
如果有办法安全保存与明文一样长的密钥,那不是也有办法安全保存明文本身吗?也就是说,从一开始我们根据就不需要密码。
3、密钥的重用
在一次性密码本中绝对不能重用过去用过的随机比特序列,一次性密码本中的“一次性”也正是由此而来。这是因为作为密钥的比特序列一旦泄密,过去所有的机密通信内容将全部被解密。每个密钥只用一次,这即是缺点也是优点。意味着我们每次都要不停的更换密钥,增加了复杂性。
4、密钥的同步
当明文很长时,一次性密码本也会跟着变长。如果明文是一个大小为100MB的文件,则密钥的大小也一定是100MB。而且在通信过程中,发送者和接收者的密钥的比特序列不允许任何错位,否则错位的比特后的所有信息将无法解密。
5、密钥的生成
在一次性密码本中,需要生成大量的随机数。这里的随机数并不是通过计算机程序生成的伪随机数,而必须是无重复性的真正随机数。
最后,虽然一次性密码本无法在现实中使用,但是它给其他的加密算法以启发,产生了很多个变种。
四、只要密码算法强度足够,实现正确就可以保证信息安全。
这是错误的。密码算法的复杂性是保证密码安全的一个基本条件,如果一个密码系统使用的密码算法不够复杂,或者看起来似乎很复杂,但实际存在体制上的弱点,那么就容易被攻击者利用,在不需要尝试所有密钥的情况下能轻松地破解得到明文。要实现信息安全保障,强度足够的密码算法仅仅只是一部分。系统的安全强度取决于其中最脆弱的环节的强度,而不是最强的环节。实际上现实中许多信息的泄露并不是因为加密算法强度不够以至被破解,更多的是因为人为的过错。
资料来源
https://baijiahao.baidu.com/s?id=1692388612574693260&wfr=spider&for=pc
https://www.zhihu.com/question/47316089
https://blog.csdn.net/xiangjai/article/details/117430538
https://blog.csdn.net/YiAnSociety/article/details/122661383
