¿Por qué las aplicaciones / servicios siguen utilizando el cifrado Blowfish obsoleto? ¿Es seguro?

Navega tus respuestas
2

Por ejemplo, CrashPlan, un servicio de copia de seguridad en línea, utiliza Blowfish de 448 bits para cifrar sus archivos de copia de seguridad (solo la línea de productos empresariales tiene la capacidad de elegir mediante AES-256). Según el creador de Blowfish, Bruce Schneier, la gente ya debería pasar a sucesores más modernos. ¿Por qué estas aplicaciones / servicios no usan Twofish, Threefish o AES en su lugar? ¿Hay alguna razón o beneficio en particular para usar Blowfish en servicios como la copia de seguridad en línea, o es simplemente una mala práctica del desarrollador?

¿Sigue siendo seguro seguir usando el Blowfish de más de dos décadas? ¿No se revelarán fallas y agujeros de seguridad con el tiempo?

    
pregunta AlienBoy 29.01.2016 - 07:44
fuente

2 respuestas

4
  

¿Sigue siendo seguro seguir utilizando el Blowfish de más de dos décadas de antigüedad

AES (Rijndael) es de 1998, mientras que Blowfish de 1993, es decir, solo 5 años mayor. Lo que significa que la edad de un algoritmo no dice mucho sobre su fuerza. Mirando el artículo de wikipedia veremos algunos puntos interesantes que hacen que el algoritmo sea atractivo:

  • dominio público
  • implementación rápida de software
  • huella de memoria pequeña

Sin embargo, es extraño que CrashPlan solo ofrezca AES para los planes más caros, ya que AES se usa ampliamente en la actualidad y existe una aceleración de hardware en muchas CPU modernas que lo hacen realmente rápido. Pero esta es una pregunta que probablemente tenga que hacerle a CrashPlan.

    
respondido por el Steffen Ullrich 29.01.2016 - 09:15
fuente
4

Puedes hacer esta pregunta con cientos de cifrados. ¿Por qué Windows 10 usa SHA1, que se ha roto de manera convincente desde hace siglos? Y a pesar de que se ha comprobado que MD5 no es seguro, muchas empresas todavía lo utilizan para verificar la integridad.

En todo el área de seguridad de la información, tiene una brecha visible entre lo que teóricamente sería más seguro y lo que es más conveniente implementar y administrar.

Con respecto a su pregunta, Blowfish no es inseguro, aunque Schneier recomienda Twofish ahora. Algunos algoritmos como RSA también son muy antiguos y, sin embargo, siguen siendo válidos. El hecho de que, con el tiempo, se revelen más y más agujeros de seguridad, es realmente una ventaja porque de esa manera se pueden solucionar. Las implementaciones más antiguas de los algoritmos que se mantienen y auditan son más seguras que las nuevas.

    
respondido por el AdHominem 29.01.2016 - 08:49
fuente

Lea otras preguntas en las etiquetas

¿Es complicado implementar mi propia CA? ¿Ventajas de los nombres de usuario solo alfanuméricos?