Además de la respuesta de @ Petris.
Además, aquí hay algunas razones por las que los servicios de seguridad del gobierno no se oponen demasiado a HTTPS:
- Necesitan usarlo ellos mismos
- El costo para el país de no utilizar comunicaciones seguras para el comercio sería inmenso
- A menudo es tan fácil atacar un punto final como interceptar las comunicaciones en otros lugares.
En algunos países, los puntos 1 y amp; 2 pueden llevar menos peso. 1 porque pueden hacer lo que quieran sin tener que preocuparse demasiado por la opinión pública. 2 porque controlan centralmente la economía.
Como sucede, el punto 3 es interesante en parte porque muestra el nivel de inseguridad en los sistemas modernos. Pero incluso más allá de la tecnología, gran parte de spycraft siempre ha sido sobre la manipulación de personas.
Aun así, verá repetidos intentos por parte del gobierno de los EE. UU. (en este momento está ocurriendo uno) de intentar agregar puertas traseras "seguras" a los productos de cifrado. Todavía hay demasiados, principalmente políticos, pero también algunos administradores de espionaje, que creen que es posible que la tecnología cree algo seguro en el uso general, pero con una puerta trasera a la que solo puede acceder un grupo limitado de personas autorizadas. Esto es una basura, por supuesto, como se ha demostrado una y otra vez. Incluso si no lo fuera, quién tiene el control de la "autorización", obviamente eso no puede funcionar correctamente, especialmente cuando solo está a cargo 1 país con algunos intereses en serio.
Si está interesado en este tema, el sitio web Techdirt a menudo tiene artículos interesantes.
Con respecto a sus preguntas específicas:
-
Si está permitido entre la mayoría de las políticas gubernamentales (EE. UU., Europa, ...), ¿significa que es lo suficientemente débil como para que los atacantes especializados descifren los datos?
No existe la seguridad perfecta. El buen HTTPS implementado es bastante seguro, pero es difícil implementarlo correctamente y es fácil equivocarse. Si los atacantes no pueden ingresar en , irán redondeando . De manera realista, solo puede hacer que la seguridad sea demasiado costosa y / o que requiera mucho tiempo para molestarse en romper, si alguien realmente quiere, es probable que eventualmente lo haga.
Por supuesto, si puede ralentizar a un atacante el tiempo suficiente, entonces el valor para ellos generalmente desaparece. Pero incluso eso no es totalmente un hecho. La NSA y otros han estado reuniendo mucha información durante mucho tiempo. Probablemente se vean obligados a tirar la mayor parte del tiempo debido al costo de almacenamiento, pero la información encriptada hace unos años que no podría romperse fácilmente puede ser ahora si existe el deseo.
-
¿Cuánto tiempo demoraría un hacker experto en encontrar la clave?
Hay otras fuentes para esta información, depende de la implementación, pero hay mucha investigación disponible que le mostrará cuánto tiempo se tarda en romper implementaciones específicas.
Una vez más, sin embargo, no olvides que pasar por una ruta diferente (por ejemplo, malware u otros hacks en los puntos finales) puede ser mucho más rápido que intentar descifrar directamente el HTTPS.
También deberías hacer una búsqueda en "Vulnerabilidades de HTTPS" que resaltará los muchos y siempre cambiantes problemas con HTTPS que, en muchos casos, significan que los atacantes no necesitan forzar su acceso bruscamente.