首页 > 其他分享 >密码常识测试

密码常识测试

时间:2023-02-25 11:45:13浏览次数:49  
标签:加密 测试 强度 常识 密码 算法 密钥 密码本

对以下观点进行评论,分别论述你认为这个观点是正确还是错误的(1分)?为什么(2分)?你的参考资料或判断的信息来源是什么?(2分)

  1. 很多企业和技术人文都有下面这样的想法∶“由公司或自己开发一种密码算法,并将这种算法保密,这样就能保证安全。"
  2. 使用地低强度的密码算法,比如凯撒密码,也比完全不加密更安全。
  3. 一次性密码本(one-time pad)或一次一密是无法被破解的,所以日常的数据加密应该使用一次性密码本算法。
  4. 只要密码算法强度足够,实现正确就可以保证信息安全。

1.很多企业和技术人文都有下面这样的想法∶“由公司或自己开发一种密码算法,并将这种算法保密,这样就能保证安全。

我的看法:错误

分析:

使用保密的密码算法是无法获得高安全性的。我们不应该制作或使用任何保密的密码算法,而是应该使用那些已经公开的、被公认为强度较高的密码算法,现代密码学都将密钥作为保密对象进行管理,而不是将算法进行保密;

  • 随着时间的推移、技术的进步或者保密措施不到位,密码算法的秘密早晚会公诸于世。从历史上看,密码算法的秘密最终无一例外地都会被暴露出来。例如: RSA公司开发的RC4密码算法曾经也是保密的,但最终还是有一位匿名人士开发并公开了与其等效的程序。一旦密码算法的详细信息被暴露,依靠对密码算法本身进行保密来确保机密性的密码系统也就土崩瓦解了。反之,那些公开的算法从一开始就没有设想过要保密,因此算法的暴露丝毫不会削弱它们的强度;
  • 开发高强度的密码算法非常困难的,消耗巨大,保密成本高,在现实生活中并不实用。要比较密码算法的强弱是极其困难的,因为密码算法的强度并不像数学那样可以进行严密的证明。密码算法的强度只能通过事实来证明,如果专业密码破译者经过数年的尝试仍然没有破解某个密码算法,则说明这种算法的强度较高。稍微聪明一点的程序员很容易就能够编写出“自己的密码系统"。这样的密码在外行看来貌似牢不可破,但在专业密码破译者的眼里,要破解这样的密码几乎是手到擒来;
  • 现在世界上公开的被认为强度较高的密码算法,几乎都是经过密码破译者长期尝试破解未果而存活下来的。因此,如果认为“公司自己开发的密码系统比那些公开的密码系统更强”,那只能说是过于高估自己公司的能力了。反过来说,将密码算法的详细信息以及程序源代码全部交给专业密码破译者,并且为其提供大量的明文和密文样本,如果在这样的情况下破译一段新的密文依然需要花上相当长的时间,就说明这是高强度的密码。

2.使用低强度的密码算法,比如凯撒密码,也比完全不加密更安全。

我的看法:错误

分析

这主要是由于用户容易通过“密码”这一词获得一种“错误的安全感”。对于用户来说,安全感与密码的强度无关。而只是由“信息已经被加密了”这一事实产生的,而通常会导致用户在处理一些机密信息的时候麻痹大意。

3.一次性密码本(one-time pad)或一次一密是无法被破解的,所以日常的数据加密应该使用一次性密码本算法。

我的看法:错误

分析

一次性密码本即Vernam Cipher,是由Gilbert Vernam在1917年,开发的一种加密算法。是一种通过在文本的二进制级别上进行工作来对纯文本进行加密的密码技术。之所以叫做一次性密码本,是因为加密所用的密钥是一次性的,即密钥只会使用一次,不会出现因为密钥泄露导致之前的加密内容被解密。即使密钥不小心被泄露,也只会影响一次通信过程,但现实生活中并不使用一次一密,主要有以下原因:

  • 密钥配送困难:密钥和原文以及密文都是等长的,目标端如果想解密就必须拿到密钥,如果能有一种方法将密钥安全地发送出去,那么岂不是也可以用同样的方法来安全发送明文吗?
  • 密钥保存困难:如果有办法安全保存与明文一样长的密钥,那不是也有办法安全保存明文本身吗?也就是说,从一开始我们根本就不需要密码。
  • 密钥的重用难以实现:在一次性密码本中绝对不能重用过去用过的随机比特序列,一次性密码本中的“一次性”也正是由此而来。这是因为作为密钥的比特序列一旦泄密,过去所有的机密通信内容将全部被解密。每个密钥只用一次,这即是缺点也是优点。意味着我们每次都要不停的更换密钥,增加了复杂性;
  • 密钥的同步复杂:当明文很长时,一次性密码本也会跟着变长。如果明文是一个大小为100MB的文件,则密钥的大小也一定是100MB。而且在通信过程中,发送者和接收者的密钥的比特序列不允许任何错位,否则错位的比特后的所有信息将无法解密;
  • 密钥的生成复杂:在一次性密码本中,需要生成大量的随机数。这里的随机数并不是通过计算机程序生成的伪随机数,而必须是无重复性的真正随机数;

4.只要密码算法强度足够,实现正确就可以保证信息安全。

我的看法:错误

分析

  • 任何密码总有一天都会被破解
    无论使用任何密码算法所产生的密文,只有将所有可能的秘钥全部尝试一遍,就总有一天可以破译出来。
  • 密码只是信息安全的一部分
    密码只是信息安全的一部分,即便不去破解密码算法,也依然会有很多方法能够知道A所发送的邮件内容。
    例如,攻击者可以不去尝试破译经过加密的邮件,而是转而攻击A的电脑以获取加密之前的邮件明文。
    又比如,通国社会工程学进行攻击。办公室的内线电话响起,电话里说:“你好,我是IT部门。由于需要对您的电脑进行安全检查,请将你的密码临时改为XR2315.”而实际上拨打电话的有可能就是一名攻击者。
    上面提到的这些攻击手段,都与密码的强度毫无关系。要保证良好的安全性,就需要理解“系统”这一概念本身的性质。复杂的系统就像一根由无数个环节相连组成的链条,如果用力拉,链条就会从其中最脆弱的环节处断开。因此,系统的强度取决于其中最脆弱的环节的强度。

参考资料

https://blog.csdn.net/chengqiuming/article/details/81985866

标签:加密,测试,强度,常识,密码,算法,密钥,密码本
From: https://www.cnblogs.com/daijun123/p/17154063.html

相关文章

  • Hadoop3 HDFS HA 高可用搭建及测试
    1.什么是HAHA是HighAvailability的简写,即高可用,指当当前工作中的机器宕机后,会自动处理这个异常,并将工作无缝地转移到其他备用机器上,以保证服务的高可用。Hadoop的HA模......
  • Postman接口测试
    一、Cookie鉴权接口鉴权,接口加密,接口签名(金融项目,银行项目,信贷项目,特大型项目)1、什么是cookie?cookie本质是一段文本,客户端第一次访问服务器时,服务器不知道客户端身份,所......
  • 安卓模拟器密码清除
    adb 命令需要添加到path中  adb为模拟器安卓目录下 1、我们打开cmd窗口(Ctrl+R)2、打开终端,我们首要先链接模拟器输入adbconnect*******(设备名及ip)记不住ip的话,......
  • 13.OpenFeign测试远程调用
    以会员服务调用优惠券服务为例引入依赖在之前创建微服务模块时已经引入了这个依赖,就不需要重复引入了添加要被member微服务调用的coupon微服务的coupon的方法在memb......
  • 性能测试-grafana + prometheus + node_exporter
    1、grafana安装下载网址:https://grafana.com/grafana/download/7.4.3?platform=linux#下载wgethttps://dl.grafana.com/enterprise/release/grafana-enterprise-7.4.3......
  • 密码验证合格程序
    密码要求:1.长度超过8位2.包括大小写字母.数字.其它符号,以上四种至少三种3.不能有长度大于2的包含公共元素的子串重复(注:其他符号不含空格或换行)输入描述:一组字......
  • Vulnhub之LemonSqueezy靶机详细测试过程
    LemonSqueezy识别目标主机IP地址(kali㉿kali)-[~/Desktop/Vulnhub/LemonSqueezy]└─$sudonetdiscover-ieth1-r10.1.1.0/24Currentlyscanning:10.1.1.0/24|......
  • 月薪没到30K的测试员必须要会的技能,我先啃为敬
    最近感慨面试难的人越来越多了,一方面是市场环境,更重要的一方面是企业对软件测试的人才要求越来越高了。基本上这样感慨的分为两类人第一,虽然挂着3、5年经验,但肚子里货少,也没......
  • 2023年,测试人尽量还是别裸辞了吧···
    -你知道什么叫度日如年吗?就是在家待业的每一天。-你知道什么叫心焦如焚吗?就是投出100份简历却等不来一个回应。当前就业环境,裁员、失业消息满天飞,好像能有一份工作就......
  • 渗透-kali Linux忘记用户名与登录密码的解决办法
    当kailLinux忘记登录用户名和登录密码时在kail的gui页面是没有任何的找回密码之类的按钮解决办法1:重启kail系统 2:在重启过程中按E3:进入......