密码常识测试

对以下观点进行评论，分别论述你认为这个观点是正确还是错误的（1分）？为什么（2分）？你的参考资料或判断的信息来源是什么？（2分）
1. 很多企业和技术人文都有下面这样的想法∶“由公司或自己开发一种密码算法，并将这种算法保密，这样就能保证安全。
2. 使用地低强度的密码算法，比如凯撒密码，也比完全不加密更安全。
3. 一次性密码本（one-time pad）或一次一密是无法被破解的，所以日常的数据加密应该使用一次性密码本算法。
4. 只要密码算法强度足够，实现正确就可以保证信息安全。

• 1.很多企业和技术人文都有下面这样的想法∶“由公司或自己开发一种密码算法，并将这种算法保密，这样就能保证安全。

  这个观点是错误的。如果算法的保密性是基于保持算法的秘密，这种算法称为受限制的算法，按现在的标准，它们的保密性已远远不够。大的或经常变换的用户组织不能使用它们，因为如果有一个用户离开这个组织，其他的用户就必须改换不同的算法。如果有人无意泄露了这个秘密，所有人都必须改变他们的算法。受限制的密码算法不可能进行质量控制或标准化，每个用户组织必须有他们自己的唯一算法。 这样的组织不可能采用流行的硬件或软件产品，因为窃听者可以买到这些流行产品并学习算法，于是用户不得不自己编写算法并予以实现，如果这个组织中没有好的密码学家，那么他们就无法知道他们是否拥有安全的算法。

  参考资料：《应用密码学 协议、算法与C源程序》1.1.4算法和密钥

• 2.使用地低强度的密码算法，比如凯撒密码，也比完全不加密更安全。

  这个观点是错误的。使用低强度的密码比不进行任何加密更危险,与其使用低强度的密码，还不如从一开始就不使用任何密码这主要是由于用户容易通过“密码”这个词获得一种“错误的安全感”。对于用户来说，安全感与密码的强度无关，而只是由“信息已经被加密了”这一事实产生的，而这通常会导致用户在处理一些机密信息的时候麻痹大意。

  参考资料：https://blog.csdn.net/xiangjai/article/details/117430538

• 3.一次性密码本（one-time pad）或一次一密是无法被破解的，所以日常的数据加密应该使用一次性密码本算法。

  这个观点是错误的。绝对不会被破解的密码是不存在的。无论使用任何密码算法所生成的密文，只要将所有可能的密钥全部尝试一遍，就总有一天可以破译出来。因此，破译密文所需要花费的时间，与要保密的明文的价值之间的权衡就显得非常重要。

  参考资料：https://blog.csdn.net/xiangjai/article/details/117430538

• 4.只要密码算法强度足够，实现正确就可以保证信息安全。

  这个观点是错误的。密码只是信息安全的一部分。还是回到Alice给Bob发送加密邮件的例子。即便不去破解密码算法，也依然有很多方法能够知道Alice所发送的邮件内容, 例如:
  攻击者可以不去试图破译经过加密的邮件，而是转而攻击Alice的电脑以获取加密之前的邮件明文。
  上面提到的攻击手段，都与密码的强度毫无关系。要保证良好的安全性，就需要理解“系统”这一概念本身的性质复杂的系统就像一根由无数个环节相连组成的链条，如果用力拉，链条就会从其中最脆弱的环节处断开。因此，系统的强度取决于其中最脆弱的环节的强度。最脆弱的环节并不是密码，而是人类自己。

  参考资料：https://blog.csdn.net/xiangjai/article/details/117430538