Sistemi crittografici efficaci correttamente implementati [chiuso]

5

Ho letto questo articolo sulla rivelazione che nel 2010 i principali meccanismi di crittografia inclusi i quattro grandi (hotmail, facebook, google, yahoo) e altri meccanismi di crittografia sono stati infranti da NSA e GCHQ.

The agencies have not yet cracked all encryption technologies, however, the documents suggest. Snowden appeared to confirm this during a live Q&A with Guardian readers in June. "Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on," he said before warning that NSA can frequently find ways around it as a result of weak security on the computers at either end of the communication.

e

For at least three years, one document says, GCHQ, almost certainly in close collaboration with the N.S.A., has been looking for ways into protected traffic of the most popular Internet companies: Google, Yahoo, Facebook and Microsoft’s Hotmail. By 2012, GCHQ had developed “new access opportunities” into Google’s systems, according to the document.

fonte:

link

link

La mia domanda è, cosa intende Edward Snowden con Sistemi crittografici efficaci correttamente implementati .

Qualche professionista della sicurezza IT potrebbe spiegarmelo un po 'di più? A quali sistemi crittografici pensa?

    
posta Jimmy Hendrikz 06.09.2013 - 07:45
fonte

1 risposta

8

Con "sistemi crittografici efficaci correttamente implementati" intende "sistemi crittografici in cui il progetto o l'implementazione non sono stati indebitamente indeboliti dall'incompetenza del progettista / esecutore, né volutamente indeboliti da alterazioni intenzionali".

NSA / GCHQ ha non interrotto i meccanismi di crittografia; hanno corrotto (o altrimenti forzato) i progettisti, i realizzatori e i fornitori di alcuni sistemi crittografici per aggiungere backdoor da utilizzare. Le backdoor possono essere elementi di design volutamente deboli, perdita di dati ... il mio preferito è il povero PRNG, perché tali alterazioni possono essere mascherate da incompetenza (ad esempio le voci su OpenBSD qualche anno fa ).

Un sistema crittografico avanzato correttamente implementato è un sistema:

  • che è strong , ovvero il cui design è stato realizzato secondo lo stato dell'arte e può essere sostenuto per "sembrare solido" (soggetto al solita avvertenza che "non puoi testare per sicurezza");
  • la cui implementazione non è stata in qualche modo danneggiata.

Per il primo punto, questo significa principalmente: è conforme agli standard che sono stati pubblicati per alcuni anni e per i quali i crittografi non hanno trovato nulla di negativo da dire (o qualcosa che non può essere corretto), ma sono comunque interessati a esso. Per esempio. SSL / TLS o OpenPGP . Per il secondo punto, questo significa principalmente open-source, con le ragioni per credere che "molti occhi" hanno attraversato il codice; per esempio. OpenSSL o GnuPG .

    
risposta data 06.09.2013 - 13:18
fonte

Leggi altre domande sui tag