Sistemas criptográficos fuertes implementados adecuadamente [cerrado]

5

He leído este artículo sobre la revelación de que en 2010, la NSA y GCHQ rompieron los principales mecanismos de cifrado, incluidos los cuatro grandes (hotmail, facebook, google, yahoo) y otros mecanismos de cifrado.

  

Las agencias aún no han descifrado todas las tecnologías de encriptación,   Sin embargo, los documentos sugieren. Snowden apareció para confirmar esto.   durante un Q & A en vivo con lectores de Guardian en junio. "El cifrado funciona.    Los sistemas criptográficos fuertes implementados correctamente son una de las pocas cosas   en los que puede confiar ", dijo antes de advertir que la NSA con frecuencia puede   encuentre formas de evitarlo como resultado de una seguridad débil en las computadoras en   Cualquier extremo de la comunicación.

y

  

Durante al menos tres años, un documento dice, GCHQ, casi con seguridad en   una estrecha colaboración con el N.S.A., ha estado buscando formas de   Tráfico protegido de las empresas más populares de Internet: Google,   Yahoo, Facebook y Hotmail de Microsoft. Para 2012, GCHQ había desarrollado   “Nuevas oportunidades de acceso” en los sistemas de Google, según el   documento.

fuente:

enlace

enlace

Mi pregunta es, ¿qué quiere decir Edward Snowden con sistemas criptográficos fuertes implementados correctamente ?

¿Podría algún profesional de seguridad de TI explicarme eso un poco más? ¿En qué sistemas criptográficos piensa?

    
pregunta Jimmy Hendrikz 06.09.2013 - 07:45
fuente

1 respuesta

8

Por "sistemas criptográficos fuertes implementados adecuadamente" significa "sistemas criptográficos en los que el diseño o la implementación no se debilitaron involuntariamente por incompetencia del diseñador / implementador, ni se debilitaron voluntariamente por alteraciones deliberadas".

NSA / GCHQ no rompió los mecanismos de encriptación; sobornaron (o de otra manera forzaron) a los diseñadores, implementadores y proveedores de algunos sistemas criptográficos a agregar puertas traseras para que los usen. Las puertas traseras pueden ser elementos de diseño deliberadamente débiles, fuga de datos ... mi favorito es el PRNG deficiente, ya que dichas alteraciones pueden disfrazarse de incompetencia (por ejemplo, los rumores sobre OpenBSD hace unos años ).

Un sistema criptográfico fuerte implementado correctamente es un sistema:

  • que es strong , es decir, cuyo diseño se ha realizado de acuerdo con el estado de la técnica y se puede argumentar que "parece sólido" (sujeto a la advertencia habitual de que "no se puede probar la seguridad");
  • cuya implementación no fue fallida de alguna manera.

Para el primer punto, esto significa principalmente: cumple con las normas que se han publicado desde hace algunos años, y para las cuales los criptógrafos no han encontrado nada malo que decir (o algo que no se pueda arreglar), pero aún se interesaron por eso. P.ej. SSL / TLS o OpenPGP . Para el segundo punto, esto significa principalmente código abierto, con razones para creer que "muchos ojos" han pasado por el código; p.ej. OpenSSL o GnuPG .

    
respondido por el Thomas Pornin 06.09.2013 - 13:18
fuente

Lea otras preguntas en las etiquetas