Me he dado cuenta de que hay una cantidad absurda de tiempo, esfuerzo y argumentos sobre si deberíamos usar ciertos cifrados o métodos de cifrado.
En este enlace algunas personas entran en lo cierto se requieren cifras mínimas por nivel de seguridad en el DOD. Entran en detalles sobre cómo cada cifrado se construye con un cierto grado de fortaleza para la importancia de la información.
La cuestión es que, eventualmente, sus recomendaciones para incluso tocar elementos como los certificados SHA-128 para "elementos de baja prioridad" harán que tengan que regresar un día y cambiar todo lo que una vez se haya declarado inseguro. (que la comunidad de seguridad sabe que la mayoría de la gente no lo hará)
Hay mucho debate sobre la seguridad. Sin embargo, tenemos la capacidad de unirnos y acordamos que ciertos métodos razonables son más fuertes que otros como cuando se seleccionó abiertamente un determinado método para veracrypt como el más seguro .
Mi pregunta
¿Por qué los métodos de encriptación se enseñan a los nuevos administradores e ingenieros de la industria con el enfoque de:
"Por lo que hemos escuchado, esta lista parece bien de usar por ahora. Estas están rotas y están bien por ahora, pero tendrán que actualizarse en unos 4 años a partir de ahora. Hay recomendaciones que pondrán a nuevos niveles de estándares de seguridad, pero dejaremos que los gurús de la seguridad se preocupen por eso por ahora ".
en lugar de:
"Sabemos que está ocupado, por lo que esta es la opción práctica más sólida que tenemos hoy. Funciona en todas partes y funciona como la solución más sólida que hemos encontrado. Por lo tanto, úsela. No considere nada más. hasta que la industria haya decidido que hay algo mejor. Si encuentra algo que está usando algo más débil, mejorelo. Si no puede, muévalo. De lo contrario, no se acerque a nosotros cuando esté lidiando con las consecuencias de no solo bloquear la mejor opción que la comunidad de seguridad le entregó abiertamente cuando decidió que estaba bien simplemente usar otra cosa ".