¿Qué significa "no rodar tu propia seguridad"?

1

Veo que esto dice mucho y acepto que debe dejar ciertas cosas a los métodos probados y verdaderos, pero no estoy seguro de hasta qué punto. ¿Significa simplemente que no hagas tu propio algoritmo criptográfico? Creé una configuración simple de creación de usuario para una aplicación cliente - servidor en c #. el usuario envía el nombre de usuario, la contraseña a través de WPF a una WebAPI que crea una entrada en una base de datos con el nombre de usuario, genera y almacena un salt, almacena el número de iteraciones (10,000). Luego utiliza .net pbkdf2 para crear un hash y almacenarlo.

¿Esto está rodando tu propia seguridad?

    
pregunta BottheBob 27.08.2017 - 03:39
fuente

1 respuesta

1

Citando a Bruce Schneier:

  

Cualquiera puede diseñar un cifrado que él mismo no puede romper. Esta es la razón por la que debe desconfiar de manera uniforme de la criptografía de aficionados, y por la que solo debe usar algoritmos publicados que hayan resistido el criptoanálisis amplio. Todos los criptógrafos lo saben, pero los no criptógrafos no lo saben. Y es por eso que repetidamente vemos mala criptografía de aficionados en sistemas de campo.

'Rodando tu propio cripto' significa que diseñas un nuevo algoritmo que luego procedes a usar sin ninguna de las siguientes:

  • Auditándolo, o peor

  • Publicándolo en absoluto. Es decir, mantener el algoritmo privado.

Al implementar un proceso o algoritmo conocido y confiable como pbkdf2, usted tiene cierto nivel de garantía de que ha sido auditado y no se detendrá ni morirá en el momento en que alguien pinche el algoritmo. Al utilizar un estándar ampliamente aceptado, tiene cierto nivel de seguridad de que el algoritmo no va a ser defectuoso y solo necesita asegurarse de que su implementación sea segura. Esto no es rodar su propio criptografía. Es usted implementando y si su implementación es correcta y sigue las pautas, estás de oro.

Otras lecturas que podrían ayudar: Schneier sobre el tema

    
respondido por el thel3l 27.08.2017 - 06:23
fuente

Lea otras preguntas en las etiquetas