建议119:不要使用自己的加密算法
很多人认为自己写的加密算法才是安全的,因为该算法只有“自己知道”。很遗憾,这是大错特错。
首先,我们不是秘密学专家,如果我们随随便便写个算法就称得上是加密算法的话,那么世界上就不会存在“密码学”这个专门的学科了。
其次,应当记住的是:让数据安全的不是加密算法本身,而是密钥。
当今世界上有许多流行的加密算法都是公开源码和逻辑的,如DES、AES、RC4、RSA、TEA、MD5等。试图让算法保密是不可能的。各类源码分析工具和内存分析工具都可以通过程序的执行过程反编译出程序的算法与逻辑。所以,理论上说,只要肯花时间,没有不可破解的算法。
其实,密钥才是关键。我们要始终确保密钥的安全,而不是徒劳地去创建算法。商业团队应该建立专门的机构和人员管理密钥。应用程序则应该负责保护并隐藏密钥,而不是将进入系统的密钥存储在随处可见的位置。
转自:《编写高质量代码改善C#程序的157个建议》陆敏技