1.1 简介

作者: Tom St Denis; Simon Johnson著 沈晓斌译 出处:机械工业出版社华章公司 　2007-08-10 15:48　   砖    好    评论  条 　进入论坛

阅读提示：《程序员密码学》涉及密码学的各个研究方向，分组密码、散列函数、公钥密码以及相关的攻击，同时也讲解了密码学算法实现上常用的ASN.编码、大整数算术相关内容。本文介绍 1.1 简介。

1.1 简介
在日常生活中，计算机安全是一个很重要的研究领域。当我们打开手机、查看语音和电子邮件、使用付款机或信用卡、购买按次观赏计费的电影、借助EZ-Pass使用无线电发射机应答器、登录在线视频游戏甚至是在看医生的时候，就需要考虑计算机安全问题了。虚拟专用网（Virtual private Networks VPN）和安全Shell（Secure Shell Cohnection, SSH）连接可以允许员工远程访问计算机，这两者的建立也需要考虑计算机安全问题。人们使用（通常都是没有正确的使用）密码学技术来解决安全问题都是基于一个原因：安全需求。但是安全需求往往开始并不明确，而通常是由于人们在接受了事实的教训之后或者更重要的是在系统被攻击之后才会明确自己对安全的需求。
来自安全研究人员的忠告
已知的系统攻击—Dark Age of Camelot
网址：http://capnbry.net/daoc/advisory20040323/daoc-advisory2.html
在2004年3月，有人制造了一个攻击程序，它利用视频游戏Dark Age of Camelot（Mythic娱乐公司）中用于安全金钱交易的服务器认证的弱点。这个攻击程序可以让攻击者截获真实的服务器和客户端之间的通信并且读取所有的个人金钱数据。
即使软件开发人员使用了公开的和已经测试过的加密算法库来实现核心加密算法，但是他们却没有正确地去使用。结果导致攻击者并不需要去破解像RSA和RC4这样复杂的密码学算法，只要利用那些漏洞就可以了。
Mythic攻击程序是一个可以说明软件开发者不知道怎样合理使用工具的经典例子。这很难去责备游戏的开发团队，毕竟他们是视频游戏开发人员而并不是专业加密人员。他们没有资源去引进密码专业人员，只好和其他独立的公司签定合同来提供这些加密服务。
当时，几乎全世界的软件开发公司都像Mythic公司一样碰到了这种软件安全问题。当越来越多的小型企业不断成立时，他们用于解决安全问题的资源却越来越少。虽然安全并不是最终用户产品的一个目标，但它却是软件产品更加有用的一个必要条件。
例如，在银行业务中几乎不需要使用密码学，你根本不需要先进行一次RSA密钥交换就可以给别人10美元。同样，手机也不需要。在数字语音技术概念中，需要对使用无线电传输的数据进行压缩（解压缩）和编码（解码），而这也同样没有用到密码学技术。
由于安全并不是核心产品价值，所以它常被忽视或者降低到次要的“需求”目标列表中。更让人遗憾的是，密码学及其应用通常是一项非常容易的任务，并不需要有密码学或者数学高级学位的人来完成。实际上，大部分的安全任务只需要开发人员知道如何使用现有的密码工具就可以了。

回书目   上一节   下一节