¿El cifrado del lado del cliente realmente agrega seguridad?

Navega tus respuestas
4

Muchos administradores de contraseñas parecen promover el cifrado del lado del cliente como una característica clave de su servicio. Por ejemplo: LastPass, Firefox Sync, PasswordBox, etc ...

Todos dicen algo así como

  

Incluso no conocemos su contraseña maestra y no podemos descifrar sus datos,   Por lo tanto es más seguro.

Hacer que el usuario piense que lo protege contra el administrador de contraseñas que está usando.

Pero, en realidad, controlan el código que realiza el cifrado en el lado del cliente y pueden cambiarlo cuando lo deseen, en lugar de hacerlo en el servidor y usted no notará nada.

Entonces, ¿agrega alguna seguridad?

    
pregunta Gudradain 23.10.2014 - 18:04
fuente

2 respuestas

7

El cifrado del lado del cliente no protege contra un proveedor de aplicaciones de confianza malintencionado que decide subvertir su propio sistema.

Protege contra los atacantes que violan la tienda central. Esas personas no pueden descifrar sin las claves, y si el proveedor no tiene las claves (la característica clave (sic) descrita anteriormente), el atacante no puede robarlas de la misma manera. Tendrían que comprometer tanto el almacén central como el (los) punto (s) de usuario, haciendo que el compromiso de sus datos sea mucho más difícil.

¿Entonces realmente agrega seguridad? Sí. No para cada caso de uso, sino para los casos de uso que, de manera realista, son una amenaza mayor y una mayor probabilidad.

    
respondido por el gowenfawr 23.10.2014 - 18:11
fuente
3

Primero, el cifrado del lado del cliente dificulta que la empresa venda o extraiga sus datos, al menos como modelo de negocio.

Lo que dices es cierto, aún necesitas verificar que el software cumpla lo que promete y no contenga puertas traseras. Lamentablemente el problema sigue sin resolverse. Sobre todo porque resolverlo no ayuda, también, ya que los ataques dirigidos tienen éxito a través de errores en el software, que son costosos de encontrar. Pero puede crear un sistema de verificación que el software no contiene puertas traseras:

  1. verifique que el software haga lo que promete. Esto se puede hacer a través de revisiones de seguridad.
  2. asegúrese de que el código que se ha revisado coincida con el binario. Esto se hace a través de construcciones deterministas.
  3. asegúrese de que el software llegue a usted sin modificaciones. Este es un problema de distribución de software y es más grave con las actualizaciones automáticas y el acceso a la web, y menos grave con el software instalado. Lo mejor es exigir que el hash del software se publique en servicios de notarios públicos como la cadena de bloques de bitcoin.

También vea mi respuesta en " Es posible diseñar un sistema donde el cliente no lo haga" ¿Tienes que confiar en el servidor? ".

Además, el cifrado del lado del cliente significa que aún debe confiar en el cliente, pero no tiene que confiar en el servidor. Entonces, si el servidor y el cliente son suministrados por proveedores distintos, solo tiene que confiar en el servidor.

Piense a quién agrega a su lista de compañías de confianza. Si usa un administrador de contraseñas que pega las contraseñas en los campos del navegador, el cifrado del lado del cliente del navegador nativo es tan bueno como eso, ya que tiene que confiar en el navegador.

    
respondido por el user10008 24.10.2014 - 00:00
fuente

Lea otras preguntas en las etiquetas

¿Cómo verificar la información personal (identidad)? ¿Qué nivel de anonimato puedo esperar al usar la sesión de usuario de una biblioteca?