Cómo usar el cifrado en software propietario

Sí, es posible confiar en las empresas. Lo haces todo el tiempo. Si usas Windows, estás confiando mucho en Microsoft. Lo mismo ocurre con Apple si utiliza alguno de sus productos. Cuando utiliza HTTPS confía en una gran cantidad de Autoridades de Certificación, la mayoría de las cuales nunca ha escuchado antes.

La mayoría de las empresas en las que está obligado a confiar cuando usa sus productos tienen muchas oportunidades de burlar otras protecciones que tiene vigentes.

¿Debería confiar en ellos? Eso depende de tu contexto. Depende de su exposición, su apetito por el riesgo, el costo del compromiso, el costo de la defensa; todo.

En la mayoría de los casos, existen alternativas tecnológicas que le permiten un mayor control sobre su entorno de confianza. Si un proyecto es de código abierto, entonces puede revisar el código usted mismo, compilarlo usted mismo y construir sus propias raíces de confianza. Obviamente, debes confiar en tu compilador, lo que significa que debes compilarlo con un compilador de confianza y con las tortugas completamente abajo. Si no eres experto en vetar el código, entonces vetarlo tú mismo no es realmente una opción, así que debes confiar en que alguien más lo hará por ti ... qué tipo de derrotas tiene el propósito.

La confianza es inevitable, inevitable. Lo que tienes que decidir es en quién confiar.

Y pedir consejos de confianza en un foro anónimo en Internet conlleva una cierta ironía que no se puede ignorar.

Bruce Schneier en su artículo vinculado a registrar el sitio . En el artículo, el autor habla sobre un escenario virtual en el que desea garantizar la confianza en todas las partes de los procesos. Al mostrar las cosas verdaderas, pero ridículas, tendría que hacer para controlar las cosas de principio a fin.

Para citar un extracto relevante:

  

El verdadero paranoico se preocuparía de que las puertas traseras estén integradas en la aplicación. La solución a eso son las auditorías independientes. Un requisito para esas auditorías es que los auditores provienen de diferentes jurisdicciones, lo que hace imposible reclamar que todos los auditores pudieron haber sido ordenados, o coaccionados, por cualquier entidad para pasar por alto tales fallas críticas.

     

Las actualizaciones deben enviarse a través de un mecanismo de extracción (en lugar de un impulso), las actualizaciones publicadas en el sitio y el software del servidor que sale para capturarlas. No debe haber ningún medio por el cual el servicio centralizado pueda interactuar directamente con la base de servidores desplegada. Estas actualizaciones podrían analizarse de manera similar para asegurarse de que no introduzcan ninguna puerta trasera en el sistema.

     

Podría seguir, pero creo que el punto está claro. Nos dirigimos a un mundo de computación en la nube donde la confianza va a ser un gran problema. Ya no es simplemente una cuestión de confiar en que el software que compra funciona como se anuncia

Luego, hay una pequeña sección sobre la confianza como diseño. Básicamente, nadie tiene el tiempo y el dinero para invertir en él.

Como conclusión, citaré la introducción del artículo:

  

Evitar la locura requiere confiar en quienes diseñaron, desarrollaron y fabricaron los instrumentos de nuestra existencia diaria.

En resumen, no puedes confiar en las personas que desarrollaron las herramientas que estás utilizando, pero debes hacerlo si quieres seguir adelante y hacer algo. Desde un punto u otro, si quieres confianza, tienes que hacer un salto de fe. Esto se puede hacer en todos los niveles: desarrolladores, compiladores, fabricantes de hardware, etc.