Motivo para no implementar algoritmos / implementaciones propios [duplicado]

No, no importa. Cada algoritmo que utilizamos hoy fue implementado por alguien y luego se convirtió en un estándar. La razón por la que no se utiliza como práctica es:

1. Seguridad. Un nuevo método de hashing / encriptación / lo que sea necesario requiere mucho tiempo para ser probado a fondo, o incluso para desarrollarse más. No es seguro lanzar algo nuevo en una instancia si no puede probar su seguridad contra el criptoanálisis.
2. Compatibilidad. Supongamos que usted es una empresa que posee información de crédito / débito y coopera con sistemas bancarios o infraestructuras de gobierno a través de DMZ y otros mecanismos de este tipo. Su forma de hashing / encriptación / cualquier información es totalmente diferente a la utilizada por el resto del mundo, lo que hace que el intercambio de información sea muy difícil cuando / donde sea necesario.

Hay muchos algoritmos increíbles, nuevos, rápidos e impenetrables, desarrollados por compañías, organizaciones y doctores, con la esperanza de que se conviertan en un día estándar. Pero como todas nuestras infraestructuras de hoy se basan en cosas que se ha comprobado que funcionan, ir por el otro lado es un riesgo que se arriesga, todo por su cuenta.

  

¿Cómo puede uno aprender más sobre seguridad si no implementa esas cosas por sí mismo y aprende de sus fallas?

Por supuesto, tratar de implementarlo es una buena forma de aprender, pero solo si se enfrenta a la prueba y la inspección por parte de expertos y lo declara como tal , sin intentar realmente utilizarlo en producción.

El gran problema aquí es que la "experiencia de aprendizaje" puede suceder solo después de que te hayan atacado con éxito. (puede creer que aprendió algo mientras aprendió a crear grandes agujeros de seguridad para su empresa)

Es posible que muchas personas simplemente no se den cuenta de que son el décimo chico inteligente que piensa "hey, debería implementar este algoritmo, aprenderé y luego tendré algunas funciones agradables para reutilizar, es mucho más simple que agregarlas Grandes bibliotecas que parecen demasiado complicadas para lo que quiero ".

De manera general, "reinventar la rueda" es interesante como experiencia de aprendizaje, siempre y cuando permanezca en el entorno aislado , y / o sea revisado por expertos tanto como lo que está en juego requiere .

Si implementas un algoritmo de clasificación un poco mal, entonces lo que más te arriesgas es tener una aplicación de bajo rendimiento o incluso podría tener un error que lleve a un problema de seguridad. (Tenga en cuenta que el problema de rendimiento podría ser catastrófico si su cliente depende de él, tal vez incluso lo mismo que una violación de la seguridad)

Si implementas mal un algoritmo criptográfico, es probable que tengas una infracción de seguridad. Y las personas que hacen esto individualmente tienen una probabilidad muy alta de implementar mal la criptografía. Y esto a menudo es muy problemático para cualquier cliente (y usted)

TLDR;

El uso de tus juguetes criptográficos de caja de arena en el mundo profesional real podría tener consecuencias muy desagradables para tus clientes.

Sí, puedes aprender de ello, pero es mejor advertir a todos los que parecen no estar informados de que no debes jugar con criptografía en la producción.