Alcuni servizi di intelligence ben finanziati con dipendenti potenzialmente inaffidabili intercettano e archiviano dati crittografati per anni, nella speranza di incrinarli con la tecnologia del futuro. Cosa posso fare per renderlo più difficile per loro, e come posso limitare la portata di un attacco riuscito? Uso già SSL e memorizzo le password come hash salato, con sale unico. Io crittaggio i dati privati usando le chiavi più grandi che gli strumenti a disposizione consentono, ma non ho idea di quanta differenza faccia con un computer quantistico .
Alcune idee che mi sono venute in mente:
- Invia alcuni suoni crittografati / lorem ipsum / supporti casuali prima e dopo le richieste HTTPS reali.
- Implementa uno pazzo PGP su uno schema HTTPS. Lo scambio di chiavi pubbliche avviene durante la prima vera richiesta HTTPS, dopo alcuni falsi scambi. Le chiavi false sono conservate e utilizzate per comunicazioni false.
Come probabilmente puoi dire, non sono un ricercatore di sicurezza, sviluppo solo applicazioni web per una piccola startup. Ho appena scoperto OWASP grazie alla barra laterale "domande correlate", lo leggerò.