Backgound
Hay un gran despliegue publicitario sobre el documento Sweet 32 en los últimos días. El documento muestra que los cyphers simétricos de tamaño de bloque de 64 bits son demasiado vulnerables hoy en día, realiza un ataque de cumpleaños en blowfish2
en dos días.
El objetivo del documento es que solo se utilizan 785 GB de tráfico (a través de HTTP, solo se necesitan 32 GB de tráfico de cyphertext, el resto es una gran cantidad de HTTP). Esa cantidad de datos no es mucho con las velocidades de transferencia y el uso de datos de hoy.
También argumenta que OpenVPN usa blowfish
de forma predeterminada, y también Triple-DES (otro cypher de tamaño de bloque de 64 bits) se usa como respaldo heredado en algunos navegadores.
VPN y los navegadores ciertamente llevan una gran cantidad de datos, y una gran cantidad de datos personales dentro de eso, y ciertamente son vulnerables al ataque. Además, definitivamente podemos considerar que, dado que los usuarios usan VPN y navegadores sin saber mucho sobre el cifrado, las aplicaciones son vulnerables (no estoy seguro de si estoy usando la palabra correcta) vulnerables.
Todo está bien definido, pero ¿qué pasa con otras aplicaciones menos populares y diferentes (en términos de cómo funcionan)? Vea la pregunta:
Pregunta
Vim (posiblemente uno de los editores más populares) utiliza blowfish2
como el algoritmo principal para leer y escribir archivos cifrados. Prácticamente usa solo blowfish2
(puede usar blowfish
o pkzip
pero esos son simplemente malos).
Con Vim no envía varios gigabytes de archivos a través de una red desprotegida; además, con Vim sería raro que usara la misma clave para varios archivos. Aunque alguien que está en la misma máquina que usted puede tener acceso a varios gigabytes de sus archivos cifrados (pero creo que es más una cuestión de permisos).
El problema ha estado en auge en el github y la lista de correo de Vim . Sin embargo, me puso en duda sobre la diferencia principal entre un navegador y una aplicación como Vim: un navegador utilizará el cifrado entre bastidores sin avisar al usuario, en Vim el cifrado debe ser configurado activamente por el usuario.
Un usuario consciente de los problemas con blowfish2
puede simplemente utilizar vim-gnupg
para cifrar sus archivos. Por lo tanto, es difícil para mí creer que la publicación sweet32
hace a Vim activamente vulnerable. Sería genial arreglarlo en Vim, está bien, pero argumentar que es un gran problema no es realmente cierto.
En general, la pregunta en todo este contexto es:
- ¿Se puede considerar activamente vulnerable una aplicación que permita a los usuarios configurarla para usar un método de cifrado vulnerable? (dado que hay alternativas)