Ocena innych algorytmów

Ocena siły algorytmu kryptograficznego może być niezwykle trudna. Zdarza się, że ktoś odkryje problem w algorytmie, który został dokładnie przebadany przez wielu zawodowych kryptografików. Taka analiza jest jednak wymagana tylko w przypadku nowych algorytmów kryptograficznych. Ogólnie rzecz biorąc, dobrze wykształcona i wystarczająco podejrzliwa osoba może określić z grubsza bezpieczeństwo programu kryptograficznego, nie wnikając w szczegóły działania algorytmu. Dobrym źródłem informacji jest „Snake Oil FAQ”, publikowany regularnie w grupie dyskusyjnej sci.crypt.

Prawdę mówiąc, w większości przypadków wystarczy być podejrzliwym. Kryptografia to trudna sprawa: niełatwo wymyślić dobry algorytm kryptograficzny, trzeba iść na kompromis między prędkością, wymaganiami pamięciowymi i siłą algorytmu, a żaden algorytm nie jest całkowicie odporny na złamanie. Tak więc każda reklama nowego magicznego algorytmu działającego bardzo szybko w małych urządzeniach i niemożliwego do złamania w najlepszym przypadku grzeszy nadmiernym optymizmem, a w najgorszym po prostu kłamie.

Jeśli musisz ocenić algorytm, powinieneś zadać sobie następujące pytania:Q Czy algorytm został opublikowany? Jeśli nie, to czy został niezależnie oceniony przez wielu zawodowych kryptografików? Niezależna ocena jest absolutnie niezbędna, jeśli chcesz mieć pewność, że algorytm jest mocny (algorytmy są jak argumenty każdy uważa, że jego własny jest najlepszy). Co więcej, silny algorytm nie staje się słabszy z powodu jego upublicznienia. Nieufnie traktuj nieopublikowane algorytmy i nie używaj takich, które nie zostały poddane niezależnej ocenie.