Schneier谈安全：标记应用密码术

标记为“应用加密”的条目

第1页，共2页

取消分类的NSA新闻稿

通过2010年《信息自由法》的请求（是的，花了那么长时间），我们有美国国家安全局的KRYPTOS协会通讯的副本。”氪星的故事，“1994年至2003年。

800页的时事通讯中有很多有趣的东西。有许多修订。以及1994年对应用密码学通过已编辑:

《应用密码术》是布鲁斯·施奈尔去年写的一本书，面向那些不阅读互联网新闻的人。根据夹克，Schneier是一名数据安全专家，拥有计算机科学硕士学位。根据他的追随者的说法，他是一个英雄，他最终将松散的密码学线索整合在一起，让公众理解。施耐尔已经将学术研究、网络流言以及他在密码学上所能找到的一切收集到一个600页的大杂烩中。

这本书注定会在商业上取得成功，因为它是唯一一本涉及密码学的书。它有关于诸如数论、零知识证明、复杂性、协议、DES、专利法和计算机专业人员社会责任等多种主题的章节。密码术是目前的一个热门话题，施耐尔是唯一一位写过一本可以浏览的关于它的书的人：它并不太枯燥。

Schneier突出了在协议和源代码方面有大量章节的应用程序。给出了IDEA、FEAL、triple-DES和其他算法的代码。乍一看，这本书就像一本密码学百科全书。然而，与百科全书不同，它的准确性是不可信的。

放任事实是施耐尔的一个严重问题。例如，在讨论RSA的小指数攻击时，他说“当e的大小达到n的四分之一时，Michael Wiener的攻击将恢复e。”实际上，当e的比特数少于n的1/4时，Wiener攻击恢复秘密指数d，这是一个完全不同的说法。或者：“二次筛是已知最快的将小于150位的数字分解的算法……数字域筛是已知的最快的分解算法，尽管对于较小的数字，二次筛仍然更快（盈亏平衡点在110到135位之间）。”，施耐尔给人的印象是草率、快速而肮脏的阐述。读者会被一大堆方程式所困扰，结果却被搞糊涂或误导了。大量错误使问题更加复杂。最新版本的勘误表（Schneier在互联网上发布更新）长达15页，并且还在不断增长，其中包括图表错误、代码错误和参考书目错误。

许多读者不会注意到细节是歪曲的。这本书的重要性在于它是第一次将整个主题集中在一个地方。施耐尔旨在提供“现代密码学的综合参考著作”。它是综合性的，但不是可信的参考。

哎哟。但我不会说我的一些数学是马虎的，尤其是在第一版（蓝色封面，而不是红色封面）。

其他几个亮点：

1995 Kryptos Kristmas Kwiz，第299-306页
1996 Kryptos Krismas Kwiz，第414–420页
1998 Kryptos Kristmas Kwiz，第659-665页
1999 Kryptos Kristmas Kwiz，第734-738页
邓迪社会介绍性安置测试（来自Lambros Callimahos在他著名的课堂上提出的问题），771-773页
R.Dale Shipp的密码分析诊断原则，第776–779页
杰奎琳·詹金斯·奈（科学人比尔·奈的母亲）的讣告，第755-756页
《赞美Pi》，第694-696页
关于缩略语的咆哮，第614-615页
密码学中的女性演讲，第593-599页

发布于2024年4月2日下午1:05•查看评论

NIST量子密码术后指导文件草案

NIST发布了草案专门出版物1800-38A：“迁移到后量子密码术：考虑实施和采用量子安全密码术的准备工作它只有四页长，没有太多细节。更多的“卷”即将出版，信息更多，但非常值得一读。

我们需要迁移到抗量子公钥算法我们越早实现关键敏捷性，就越容易实现。

新闻文章.

发布于2023年5月2日上午10:10•查看评论

应用密码学在俄勒冈州监狱被禁止

我的应用密码学位于图书目录俄勒冈州监狱禁止.不是我，也不是密码学-是监狱禁止阅读那些教人们编码副标题是“C语言中的算法、协议和源代码”，这就是原因。

我最近的密码工程无论如何，这本书对囚犯来说要好得多。

2019年7月5日下午1:52发布•查看评论

应用密码学在线可用

我肯定这是盗版。

看着它，令人惊讶的是20年前是多么漫长。

发布于2014年1月24日下午12:43•查看评论

密码工程书评

很好回顾的优势和劣势密码工程和应用密码学.

至少对我来说，最好的是缺少的东西列表，如果我们再做一个版本的话，我们必须解决这个问题。

发布于2013年8月2日下午2:28•查看评论

应用密码学在初级

在5月9日播出的一集中，大约八、九分钟后，有一个场景附带一份应用密码学在咖啡桌上醒目地展示。

这不是我的书第一次出现在那个电视节目中。

发布于2013年5月17日下午2:59•查看评论

Matt Blaze评论他15年前的“后记”

15年前，马特·布雷兹给我的书写了一篇后记应用密码学.在这里是他目前对那篇文章的看法。

发布于2010年4月14日下午1:30•查看评论

“施耐尔崇拜”

如果真的有邪教存在，我想听听写入关于依赖的危险应用密码学设计密码系统：

但是，在对软件系统的安全性进行了多年的评估之后，我对使用这本让Bruce在设计系统的密码方面出名的书感到难以置信。事实上，我可以放心地说，我从未见过另一端出现安全系统，而这正是密码设计的主要来源。我并不是说人们忘记了缓冲区溢出。我的意思是，密码很糟糕。

我对软件开发团队的规则很简单：不要使用应用密码学在您的系统设计中。阅读它很好也很有趣，只是不要从中构建。

[…]

这本书讨论了密码学的基本构建块，但没有关于将所有部分组合在一起以在双方之间创建安全、经过身份验证的连接等方面的指导。

此外，自该书上次修订以来的近13年里，我们对密码学的理解发生了巨大变化。其中有些事情在当时被认为是真实的，但后来却被证明是非常虚假的…。

我同意。值得赞扬的是，维埃加指出，我同意：

但在布鲁斯·施奈尔（Bruce Schneier）的书的导言中，实用密码学他自己说，世界上充斥着从他早期的书中构建的破碎系统。事实上，他写道实用密码学希望能纠正这个问题。

这都是真的。

设计密码系统很困难。正如你不会给一个人（甚至医生）一本脑外科指导手册，然后期望他给活病人做手术一样，你也不应该给一个工程师一本密码学书，然后指望他设计和实现一个密码系统。患者不太可能存活，密码系统也不太可能安全。

更糟糕的是，安全性无法提供即时反馈。手术台上的一名死亡患者告诉医生，也许他仅仅因为读了一本书就不懂脑部手术，但不安全的密码系统工作正常。直到有人花时间打破它，工程师才可能意识到他没有做得像他想象的那样好。记住：任何人都可以设计一个他自己无法破坏的安全系统。即使是专家也经常出错。业余爱好者成功的几率极低。

对于感兴趣的人，第二版实用密码学将于2010年初出版，更名为密码工程第三位作者：Tadayoshi Kohno。

编辑添加（9/16）：评论.

发布于2009年9月3日下午1:56•查看评论

狗舍：Net1

他们有技术:

FTS专利被全球领先的加密机构誉为有史以来发明的用于管理离线和在线智能卡相关交易的最具创新性和安全性的协议。请参阅布鲁斯·施奈德（Bruce Schneider）于20世纪90年代末出版的《应用密码术》（Applied Cryptography）第二版中的独立报告。

我不知道这是指什么。

编辑添加（5/20）：可能来自公司的某人，在评论中说这是指第589页讨论的UEPS协议。我仍然不喜欢引言中的夸张和隐含背书。

发布于2009年5月22日上午11:29•查看评论

量子密码术

量子密码术再次出现在新闻中，其基本思想在理论上仍然令人难以置信地酷，在现实生活中几乎毫无用处。

量子密码背后的理念是，两个人使用量子信道进行通信可以绝对确保没有人窃听。海森堡的测不准原理要求任何测量量子系统的人都要干扰它，这种干扰会提醒合法用户窃听者的存在。没有干扰，没有窃听时间。

本月，我们看到了关于一项新的工作量子密钥分配网络以及新的量子密钥分发技术离开英国。很棒的东西，但像英国广播公司的“Unbreakable”加密技术亮相之类的头条新闻有点多。

20世纪80年代初，查尔斯·贝内特（Charles Bennett）和贾尔斯·布拉萨德（Giles Brassard）开发了量子密码背后的基础科学，并建造了原型稳步推进从那时起就开始从事工程。我基本上描述了它是如何工作的应用密码学，第2版（第554-557页）。至少已经有一家公司卖quantum-关键分销产品。

请注意，这与量子计算，这对加密也有影响。几个小组正在设计和建造量子计算机，这与经典计算机有着根本的不同。如果建造一个——我们在这里说的是科幻小说——那么它可以很快地分解数字并解决离散算术问题。换句话说，它可能会破坏我们所有常用的公钥算法。对于对称加密来说，它并没有那么可怕：一台量子计算机可以有效地将密钥长度减半，因此256位密钥的安全性只有今天的128位密钥那么高。相当严肃的东西，但离实用还有几年的时间。我认为今天最好的量子计算机可以计算出数字15。

虽然我喜欢量子密码学——我的本科学位是物理专业——但我认为它没有任何商业价值。我认为它解决不了任何需要解决的安全问题。我认为它不值得花钱，我无法想象只有少数技术爱好者购买和部署它。使用它的系统不会神奇地变得牢不可破，因为量子部分没有解决系统的弱点。

安全是一条链条；它和最弱的环节一样强大。数学加密虽然有时很糟糕，但却是大多数安全链中最强大的一环。我们的对称和公钥算法非常好，尽管它们不是基于非常严格的数学理论。真正的问题在其他地方：计算机安全、网络安全、用户界面等等。

密码学是我们可以正确处理的一个安全领域。我们已经有了好的加密算法、好的身份验证算法和好的密钥协议。也许量子密码术可以加强这种联系，但为什么有人会费心呢？还有更严重的安全问题需要担心，花点精力来保护这些问题更有意义。

正如我经常说的那样，这就像是在地上放置一根巨大的木桩，以抵御逼近的攻击者。争论赌注应该是50英尺高还是100英尺高是没有用的，因为无论哪种方式，攻击者都会绕过它。即使量子密码术也不能“解决”所有的密码术：密钥是用光子交换的，但传统的数学算法接管了实际的加密。

我一直支持安全研究，我很喜欢跟踪量子密码的发展。但作为一种产品，它没有未来。这并不是说量子密码术可能不安全；密码技术已经足够安全了。

这篇文章以前出现过在Wired.com上。

编辑添加（10/21）：太棒了；甚至记者回应我的文章完全搞错了：

《每日电讯报》援引惠普实验室密码学家基思·哈里森的话说，随着量子计算的普及，黑客将使用该技术破解传统加密。

“我们必须考虑量子计算将带来的问题的解决方案，”他告诉《每日电讯报》。“普通消费者会想知道自己的交易和日常业务是否安全。

他解释道：“一种方法是使用一个一次性记事本，基本上是随机数字列表，其中一份数字由发送信息的人持有，另一份相同的副本由接收信息的人保存。如果使用得当，这些数字是完全不可破坏的。”。

量子计算的关键特征是一个独特的事实，即如果有人篡改了双方之间的信息馈送，那么量子馈送的性质就会改变。

这使得窃听成为不可能。

不，这不会使窃听成为不可能。这会让人偷听在通信信道上除非有人犯了实现错误，否则是不可能的。（80年代，国家安全局破坏了苏联的单时间板系统，因为苏联重新使用了该系统。）通过间谍软件、特洛伊木马或TEMPEST窃听仍有可能。

编辑添加（10/26）：以下是另一个错误的评论员：

现在让我直截了当地说：我毫不怀疑，在安全方面有比“数学密码学”更大的担忧。但这是否证明完全忽略密码系统可能会被破坏的可能性是正当的？我的意思是，也许我受到了这一点的影响，因为我参加了一门密码分析课程，我刚遇到一名研究生，他破坏了一个密码伪随机数生成器，但这到底是什么样的争论？“嗯，好吧，有时候我们的密码系统已经被破坏了，但这没什么好担心的，因为，你知道，我们使用的系统一切都符合要求。”

关键是不要忽视密码系统可能被破坏的可能性；关键是要注意系统中其他更容易被破坏的部分。安全是一条链条；只有最薄弱的环节才安全。密码系统虽然有潜在的缺陷，但却是链中最强的一环。我们将获得更多的安全性，将我们的资源用于使所有那些较弱的链接更加安全。

再一次，这并不是说量子密码术不是一项非常酷的研究。确实如此，我希望它能继续获得各种资金。但对于一个担心安全性的运营网络来说：比起Diffie-Hellman是否有一天会被破坏，你的担忧要大得多。

发布于2008年10月21日上午6:48•查看评论

1 2 下一步→

Joe MacInnis拍摄的Bruce Schneier的侧栏照片。