Legalidad y ética del criptoanálisis en hashes de contraseña

Question

Legalidad y ética del criptoanálisis en hashes de contraseña

#1 de Thomas Pornin (3 votos)

2

Estoy trabajando en mi disertación sobre criptoanálisis en hashes de contraseña. Me gustaría profundizar en los aspectos legales y éticos del criptoanálisis, sin embargo, ya que no estoy bien versado en derecho ni nada similar, no entiendo por dónde debo comenzar mi investigación. en esta area Las búsquedas de Google han demostrado hasta ahora en vano ... ¿Dónde sería mejor comenzar a leer sobre el tema?

Saludos, Ian

hash cryptanalysis legal

pregunta Ian Muscat 22.02.2013 - 22:30

fuente

1 respuesta

Lea otras preguntas en las etiquetas hash cryptanalysis legal

OAuth: credenciales de cliente vs tokens Error en la verificación de HTTPS: obtenga información del certificado iPad / iPhone

score 3 · Accepted Answer

"Legalidad" se trata de leyes que cambian bastante según el país. Comience su búsqueda en este sitio que es una encuesta sobre leyes sobre criptografía en varios países. Aunque la encuesta trata sobre leyes que restringen (o no) el uso de las herramientas criptográficas, puede contener sugerencias sobre leyes sobre las herramientas de descifrado de contraseñas.

En países que utilizan Common Law o una variante del mismo (por ejemplo, los EE. UU.), la fuente autorizada para la legalidad de la contraseña El craqueo incluirá los casos que se han llevado a un juez. Esta página web cita un caso de enjuiciamiento de alguien en 1995 por haber ejecutado una herramienta de descifrado de contraseñas. Dado que el autor (técnicamente una calificación no válida, ya que los registros fueron borrados) era una figura de alto perfil en los círculos relacionados con Internet, probablemente habrá una extensa documentación sobre el caso (por ejemplo, esta página ) que proporcionará una gran cantidad de material para su disertación.

En cuanto a ética , diría que las contraseñas son datos privados, que los usuarios sienten como tales. Saber una contraseña no solo le da acceso al sistema que está protegido por esa contraseña, sino que también le da una idea de las partes privadas de la vida y el cerebro del propietario de la contraseña. Como un simple ejemplo, muchas personas usarán como contraseña el nombre de su actual / futuro novio / novia (una forma terrible de elegir la contraseña, pero los usuarios hacen eso).

Diría que la ejecución de las herramientas de descifrado de contraseñas es éticamente válida siempre y cuando:

los usuarios han sido debidamente informados, cuando eligieron su contraseña, que dichas herramientas pueden ejecutarse;
las contraseñas que se encuentran así no se revelan a terceros, excepto en el anonimato (no hay forma de vincular la contraseña al usuario).

Hay varios sistemas morales por ahí; Aunque creo que el mío es mejor que todos los demás (no soy un relativista moral ), reconozco el hecho de que algunas personas lo harán. No estoy de acuerdo conmigo en este tema.