Perchè le applicazioni / servizi usano ancora la crittografia Blowfish obsoleta? È sicuro?

2

Ad esempio, CrashPlan, un servizio di backup online, utilizza Blowfish a 448 bit per crittografare i file di backup (solo la linea di prodotti aziendali ha la possibilità di scegliere l'utilizzo di AES-256). Secondo Bruce Schneier, creatore di Blowfish, le persone dovrebbero già passare a successori più moderni. Perché invece queste applicazioni / servizi non utilizzano Twofish, Threefish o AES? Ci sono motivi o benefici particolari per usare Blowfish su servizi come il backup online, o è solo una pratica malata dello sviluppatore?

È ancora sicuro continuare a utilizzare Blowfish più di due decenni? Nel tempo non verranno scoperti difetti e buchi di sicurezza?

    
posta AlienBoy 29.01.2016 - 07:44
fonte

2 risposte

4

Is it still secure to keep using the more-than-two-decades-old Blowfish

AES (Rijndael) è del 1998 mentre Blowfish dal 1993, cioè solo 5 anni più vecchio. Il che significa che l'età di un algoritmo non dice molto della sua forza. Guardando l' articolo di Wikipedia si vedranno alcuni punti interessanti che rendono l'algoritmo attraente:

  • dominio pubblico
  • implementazione rapida del software
  • impronta di memoria ridotta

Tuttavia è strano che CrashPlan offra solo AES per i piani più costosi, perché AES è oggi ampiamente utilizzato e c'è un'accelerazione hardware in molte CPU moderne che lo rendono molto veloce. Ma questa è una domanda che probabilmente dovresti chiedere a CrashPlan.

    
risposta data 29.01.2016 - 09:15
fonte
4

Potresti fare questa domanda con centinaia di crittografie. Perché Windows 10 utilizza SHA1, che è stato rotto in modo convincente da secoli? E nonostante MD5 abbia dimostrato di non essere sicuro, molte aziende lo usano ancora per i controlli di integrità.

Nell'intera area della sicurezza delle informazioni, hai un divario visibile tra ciò che teoricamente può essere più sicuro e ciò che è più conveniente da implementare e amministrare.

Per quanto riguarda la tua domanda, Blowfish non è pericoloso, anche se Schneier consiglia Twofish ora. Alcuni algoritmi come RSA sono anche molto vecchi e tuttavia ancora validi. Il fatto che nel tempo si rivelino sempre più buchi di sicurezza è in realtà un vantaggio perché in questo modo possono essere risolti. Le implementazioni precedenti degli algoritmi che sono mantenute e controllate sono più sicure di quelle più recenti.

    
risposta data 29.01.2016 - 08:49
fonte

Leggi altre domande sui tag