web-dev-qa-db-fra.com

Pourquoi est-il mal de * mettre en œuvre * moi-même un algorithme de cryptage sécurisé connu, publié et largement considéré?

Je connais le conseil général que nous ne devrions jamais concevoir¹ un algorithme cryptographique. On en a beaucoup parlé sur ce site et sur les sites Internet de professionnels de calibre comme Bruce Schneier.

Cependant, le conseil général va plus loin: il dit que nous ne devrions même pas implémenter des algorithmes conçus par des plus sages que nous, mais plutôt, nous en tenir à des implémentations bien connues et bien testées faites par des professionnels.

Et c'est la partie que je n'ai pas pu trouver discutée longuement. J'ai également effectué une brève recherche sur le site Web de Schneier, et je n'ai pas pu trouver cette affirmation non plus.

Par conséquent, pourquoi nous déconseillons-nous catégoriquement de mettre en œuvre des algorithmes de cryptographie? J'apprécierais le plus une réponse avec une référence à un expert en sécurité acclamé en parler.

¹ Plus précisément, concevoir selon le contenu de nos cœurs; ce pourrait être une bonne expérience d'apprentissage; mais s'il vous plaît s'il vous plaît s'il vous plaît s'il vous plaît , n'utilisez jamais ce que nous avons conçu.

174
gaazkam

Très simplement, les anciens logiciels de cryptage plus largement utilisés ont été soumis à plus de tests (conviviaux et hostiles) et plus d'analyses.

De plus, l'histoire du cryptage est jonchée de logiciels cassés, dont certains ont été créés par d'éminents cryptographes experts.

Ainsi, les codes auxquels vous pouvez faire le plus confiance sont très souvent les codes qui existent depuis un certain temps.

0
DrM