La fuerza de un criptosistema depende SOLO de la llave y , en particular, la seguridad no depende de mantener el algoritmo de cifrado en secreto.

Este es un principio rector de la ciencia criptografica, aunque a primera vista podría parecer contradictorio (¿No es mas difícil romper el cifrado si no conozco como fue realizado?), sin embargo,  Kerckhoff hace un retrato del mundo real, ningún algoritmo de cifrado permanece en secreto por siempre, y dependiendo de cuan extendido sea su uso mayor sera los daños colaterales de su salida a la luz.

Decimos que entre mayor sea la cantidad de ojos (y ataques) sobre un algoritmo y su implementación, estos se desechan o prueban su robustez cada vez que se sujetan a escrutinio, algo que nunca pasa con los algoritmos que se mantienen cerrados, entonces, la llamada "seguridad por obscuridad" es propiamente una falla de seguridad. 

Actualmente las pruebas a un algoritmo cifrado deben asumir que el atacante conoce como funciona y que incluso es capaz de conocer/insertar/manipular partes del texto que va a ser cifrado con el fin de recuperar la llave o llaves usadas en el cifrado (Es por esto que siempre deben ser renovadas y tener caducidad). 

Este principio es tambien extendido al Software libre, donde las vulnerabilidades pueden ser corregidas bajo un escrutinio que es posible para cualquiera que desea hacerlo.

Existen muchos casos preocupantes de violaciones al principio de Kerckhoff , ejemplos son los cifrados ORIX y A5/1, ORIX  y A5/1 fueron diseñados por TIA (Telecommunications Industry Association) que dicho sea de paso es la gran fuente de estándares en comunicaciones, ORIX fue usado como el primer cifrado en tecnologías de comunicación celular GSM, A5/1 es su sucesor ambos son cifrados de flujo (Prefiero el termino original del ingles stream, que suele ser mas ilustrativo) diseñados para ser implementados en hardware, trabajan con operaciones lógicas lineales y registros. Desde hace tiempo existen ataques prácticos a los dos cifrados, logrados a partir de ingeniería inversa a los dispositivos celulares.

Existen algunas claras pseudo-violaciones al principio de Kerckhoff, usualmente tienen que ver con las agencias de seguridad de distintos países que mantienen los cifrados de uso particular en secreto, sin embargo, también tienen a su servicio a los mejores criptoanalistas que sus gobiernos pueden pagar. Un ejemplo claro es la celebre NSA (National Security Agency) de Estados Unidos.

Bruce (The Master) Schneier dijo:

"Kerckhoffs' principle applies beyond codes and ciphers to security systems in general: every secret creates a potential failure point. Secrecy, in other words, is a prime cause of brittleness—and therefore something likely to make a system prone to catastrophic collapse. Conversely, openness provides ductility."

El texto original de Kerckhoff se encuentra en la siguiente liga http://petitcolas.net/fabien/kerckhoffs/