Donc, je continue à trouver la sagesse conventionnelle selon laquelle «la sécurité par l'obscurité n'est pas du tout une sécurité», mais j'ai le problème (peut-être stupide) de ne pas pouvoir dire exactement quand quelque chose est «une bonne sécurité» et quand quelque chose est juste "obscur".
J'ai vérifié d'autres questions liées de manière tangentielle à ceci, et je n'ai pas pu comprendre la différence précise.
Par exemple: Quelqu'un a dit utiliser SSH sur un port non standard compte comme la sécurité par l'obscurité. Vous comptez simplement sur l'autre personne pour ne pas vérifier cela. Cependant, tout ce que SSH fait, c'est obscurcir les informations. Cela repose sur l'espoir qu'un attaquant ne pensera pas à deviner la bonne clé cryptographique.
Maintenant, je sais que la première circonstance (que quelqu'un penserait à vérifier les ports non standard pour un service particulier) est bien plus probable que la seconde (que quelqu'un devinerait au hasard une clé cryptographique), mais est-ce que la vraisemblance fait vraiment toute la différence?
Et, si oui, comment suis-je (un infosec n00b, si ce n'est pas déjà abondamment clear) censé pouvoir distinguer le bon (c'est-à-dire ce qui vaut la peine d'être implémenté) du mauvais (ce qui ne l'est pas)?
Évidemment, les schémas de chiffrement qui se sont avérés vulnérables ne devraient pas être utilisés alors parfois c'est plus clair que d'autres, mais ce avec quoi je lutte, c'est comment je sais où la sagesse conventionnelle s'applique et ne s'applique pas.
Parce qu'à première vue, c'est parfaitement clair, mais quand je en fait, essayez d'extrapoler un algorithme dur et rapide et cohérent pour vérifier les idées, je rencontre des problèmes.