46、密码学中的“蛇油”产品与常见误解

密码学中的“蛇油”产品与常见误解

1. 实用的密码学方法

一个好的密码学方法不仅要安全，还需具备实用性。加密过程不应耗时过长，解密应与加密一样简单。由于芯片卡常用于加密，方法的程序代码应尽量少占内存。缺乏实用性是“蛇油”产品（华而不实的产品）的典型特征。

同时，加密产品和方法的来源也值得关注。虽然小公司和个人也可能开发出优秀的加密产品，但通常来说，相关领域的专业性与加密解决方案的质量存在关联。一些由非专业背景推出的产品，如在家中运营的公司所提供、在明显业余的网站或简陋目录中展示的产品，往往需要谨慎对待。

2. 十大“蛇油”加密产品与方法示例

2.1 不存在的加密（Cryptec）

1999 年 11 月，柏林郊外一家公司推出“Cryptec”，号称是 21 世纪信息社会全新安全产品。其加密系统描述荒诞，如将信息加密后不等分，部分直接发送给收件人，另一部分压缩百万倍发送到单独服务器，还称加密信息无表面结构，第三方无法访问是因为信息“不存在”，授权用户也不知信息去向。此外，该产品还炫耀拥有 57,000 位的超长密钥。然而，这很可能是骗局，联系公司时，工作人员无法说明技术细节。

2.2 糟糕的 RSA 攻击

1998 年 12 月，有人指出一个德国网站描述的 RSA 攻击方法。经分析，该攻击实际上只是暴力密钥搜索，对于当前常用的 1,024 位 RSA 密钥，这种攻击效率极低，是糟糕攻击的典型。

2.3 增量基移位算法（Encryptor 4.0）

“Encryptor 4.0”使用增量基移位算法，但其制造商 Comotex 声称这是革命性加密方式。