Por el bien de esta pregunta, suponga que soy consciente de la seguridad hasta el punto de paranoico.
Me preocupa que las versiones anteriores de GnuPG puedan verse comprometidas debido a las claves de cifrado RSA debido a ataques conocidos en RSA anteriormente. He investigado un poco y he enumerado mi investigación a continuación.
- En agosto de 2007, Dan Shumow y Niels Ferguson de Microsoft mostraron que las constantes podrían construirse de tal manera que se cree una puerta trasera cleptográfica en el algoritmo.
- En 2013, Reuters informó que los documentos publicados por Edward Snowden indicaban que la NSA había pagado a RSA Security $ 10 millones para que Dual_EC_DRBG fuera el predeterminado en su software de encriptación, y generó más preocupaciones de que el algoritmo podría contener una puerta trasera para la NSA. / li>
Es posible que hacer un ataque o una hazaña no sea suficiente para que la NSA tenga que usar varios ataques a la vez.
- Al usar cero días en los navegadores web para ejecutar código arbitrario complejo para instalar generadores de números aleatorios cleptográficos sin que el propietario se dé cuenta del ataque.
- Una vez que NSA instaló la puerta trasera, el sistema de conexión a internet de la víctima se registra y analiza mediante un sistema complejo remoto que sabe cuándo se comunicará el usuario con otros contactos, lo que para entonces captura la información cifrada que se ha cifrado con la clave de cifrado. generado por el cleptográfico RNG e inmediatamente envía la información desencriptada a una ubicación remota donde se puede leer.
- El cifrado eludido por la NSA, como SSL y RSA. Lo que encontré interesante fue que la NSA pudo haber estado plantando puertas traseras en generadores de números aleatorios con un algoritmo especial que puede descifrar automáticamente los mensajes cifrados. El objetivo es no luchar contra la cabeza de cifrado porque la NSA no tiene los recursos o el tiempo para hacerlo, sino combatir el cifrado de forma asimétrica. Lo hacen aprovechando las debilidades en los programas de encriptación, como el error del corazón antes de que se supiera que la NSA ha estado (supuestamente) contratando a los mejores criptoanalistas y piratas informáticos para encontrar errores en el software que pueden ser explotados con un día cero que solo la NSA sabe. Eludir el cifrado.
Si asumimos que la NSA realizará los ataques anteriores, ¿qué contramedidas podría usar para protegerme?