Qual è l'opinione di studiosi, crittografi su NSA Suite A? Contenenti algoritmi non pubblicati. Potrebbe essere davvero molto meglio degli algoritmi pubblicati oltre ad essere oscuro e non documentato pubblicamente?
Non credo nella sicurezza per oscurità in generale, ma in caso di cripto è in realtà peggio, perché viola Kerckhoffs principio
Quindi è meglio? Può essere. È diverso? Sicuro. È necessario nascondere gli algos? Se la tua crittografia era buona per cominciare, non avresti bisogno di nascondere gli algoritmi, solo i tasti.
D'altra parte, hai l'idea di 'molti bulbi oculari rendere tutti i bug poco profondi'. Tuttavia, in caso di cripto, non ci sono troppi occhi (ben educati) per indicare in realtà cimici in cripto algos. Quindi una possibile spiegazione per il nascondiglio sarebbe che l'NSA fa la scommessa che c'è una maggiore possibilità che un altro stato (non amichevole) abbia più e / o migliori occhi, al contrario dei benefici del potenziale miglioramento derivante dall'apertura degli algos a la comunità. O forse non sono le probabilità del bug-finding, ma l'impatto che la ricerca di una vulnerabilità avrebbe sulle informazioni che usano la Suite A da proteggere. In ogni caso, non lo sapremo, perché non diranno mai nulla;)
La mia opinione (e io sono un crittografo - ho un diploma brillante che lo dice) è che:
Il pericolo nella sicurezza dell'oscurità è nel credere che funzioni bene. Può indurre le persone a sentirsi al sicuro con algoritmi fatti in casa, perché presumono che l'oscurità nasconderà i punti deboli dei loro algoritmi. Tuttavia, se si utilizzano algoritmi validi con protocolli pubblicati e ben studiati (ad es. AES, SSL ...), non c'è nulla di male in non che si dice.
Un punto dati interessante qui sono le costanti DES s-box. Wikipedia NSA DES di Wikipedia
Le modifiche raccomandate dalla NSA nelle costanti S-box per rendere il DES resistente all'analisi differenziale, che all'epoca era sconosciuto nel mondo della crittografia accademica e commerciale.
In tal caso, sono stati in grado di apportare quel miglioramento in un modo che era opaco per gli utenti dell'algoritmo. È possibile che pubblicare gli algoritmi per i sistemi crittografici segreti possa rivelare qualche altra tecnica utilizzata per contrastare un altro attacco che non è ancora noto al di fuori della loro comunità.
D'altro canto, potrebbe ben essere che tali agenzie abbiano certe conoscenze molto più avanti del pubblico. Un esempio, se non erro, sarebbe il caso della crittografia a chiave pubblica, in cui l'agenzia britannica ha mantenuto le proprie conoscenze dal pubblico per un periodo di tempo.
Leggi altre domande sui tag cryptography government obscurity