Esta puede ser una pregunta ingenua. Si es así, estoy bien con solo un enlace a información externa. Estudié el cifrado RSA hace aproximadamente 2 años, pero eso es todo.
Me pregunto: ¿es una cuestión de ingeniería o es un problema fundamental? Con esto último, me refiero a "¿siempre nos veremos obligados a divulgar información que podría socavar la comunicación segura?"
Esta pregunta se plantea bajo el supuesto de que es difícil de lograr. ¿Lo es?
Básicamente, es difícil porque hay muchas cosas pequeñas que pueden salir mal. A menudo, estas pequeñas cosas pueden socavar casi por completo la seguridad de una red cuando se encuentran y se explotan. Sin embargo, al diseñar estos sistemas de seguridad, es muy fácil pasar por alto un pequeño detalle que podría causar un problema más adelante. Para hacer las cosas aún más difíciles, los atacantes exploran de manera constante y activa diferentes formas de romper los sistemas de seguridad, y hay una gran cantidad de recursos financieros para hacerlo.
Es por esto que la mayoría de los expertos en seguridad le dirán que use soluciones prefabricadas, en lugar de inventar las suyas. Hacerlo bien por ti mismo es muy difícil de hacer, y las cosas prefabricadas ya están "probadas en la batalla" en el campo. Tenga en cuenta que incluso cuando use herramientas existentes que sean seguras, debe tener cuidado de usarlas correctamente o seguirán siendo inseguras ( WEP es un gran ejemplo de esto. Tomaron algoritmos seguros y los implementaron y combinaron de manera incorrecta.)
Es porque hay muchas variables en juego.
Por ejemplo, las redes generalmente tienen muchos servicios que se ejecutan al mismo tiempo, http, ftp, ssh, telnet, etc. Cada uno de los servicios presenta vulnerabilidades potenciales que pueden comprometer la red. Muchos de estos están fuera de su control, y tendrá que depender del proveedor para reparar los agujeros.
Dejar puertos innecesarios abiertos también introduce vulnerabilidades potenciales, al aumentar la superficie de ataque que un atacante puede intentar explotar.
Como dijo Oleksi, hay muchas cosas pequeñas que pueden salir mal. Incluso el uso de soluciones prefabricadas seguras podría plantear algunos problemas, si uno no lo configura cuidadosamente.
Otras consideraciones son el costo y la facilidad de uso o conveniencia. En general, cuanto más seguro sea un sistema, mayor será el costo y menos "amigable" será para los usuarios. Tiene que haber un equilibrio. La empresa debe evaluar el riesgo y decidir si una mayor seguridad vale la pena y los posibles inconvenientes para los usuarios.