Algunos servicios de inteligencia bien financiados con empleados potencialmente no confiables interceptan y almacenan datos encriptados durante años, con la esperanza de romperlos con la tecnología futura. ¿Qué puedo hacer para que esto sea más difícil para ellos y cómo puedo limitar el alcance de un ataque exitoso? Ya uso SSL y almaceno las contraseñas como hash salado, con sal única. Cifrado los datos privados usando las claves más grandes que permiten las herramientas disponibles, pero no tengo idea de cuánta diferencia hay entre computadora cuántica .
Algunas ideas que han cruzado mi mente:
- Envíe algunos medios cifrados de ruido / lorem ipsum / aleatorios antes y después de las solicitudes reales de HTTPS.
- Implementar un esquema PGP loco sobre HTTPS. El intercambio de claves públicas ocurre durante la primera solicitud real de HTTPS, después de algunos intercambios falsos. Las claves falsas se guardan y se utilizan para la comunicación falsa.
Como probablemente puedas decir, no soy un investigador de seguridad, solo desarrollo aplicaciones web para un pequeño inicio. Acabo de descubrir OWASP gracias a la barra lateral de "preguntas relacionadas", estaré leyendo sobre eso.