Ho notato che c'è una quantità assurda di tempo, sforzi e argomenti sull'opportunità o meno di utilizzare determinati crittografi o metodi di crittografia.
In questo collega alcune persone a come certe sono richiesti almeno i codici per livello di autorizzazione di sicurezza nel DOD. Entrano nel dettaglio su come ogni cifra è costruita con un certo grado di forza per l'importanza dell'informazione.
Il fatto è che, alla fine, i loro consigli per toccare anche cose come i certificati SHA-128 per "articoli a bassa priorità" renderanno necessario tornare indietro un giorno e cambiare tutto una volta dichiarato non sicuro. (che la comunità della sicurezza sa che la maggior parte della gente non lo farà)
C'è un ampio dibattito sulla sicurezza. Il problema è che abbiamo la capacità di riunirci e concordare sul fatto che alcuni metodi ragionevoli sono più forti di altri come quando un certo metodo è stato selezionato apertamente per veracrypt come il più sicuro .
La mia domanda
Perché i metodi di crittografia vengono insegnati a nuovi amministratori e ingegneri del settore con l'approccio di:
"From what we have heard about, this list seems okay to use for now. These ones are broken and over there are fine for now but will need to be upgraded in around 4 years from now. There are recommendations that will put you to new levels of security standards but, we'll let the security gurus worry about that for now."
invece di:
"We know you're busy, so this is the strongest practical option we have today. It runs everywhere math works and it's the most solid solution we have come up with. So, use it. Don't consider anything else until the industry has decided there is something better. If you find something using something weaker, improve it. If you can't, move it. Otherwise don't come to us when you're dealing with the consequences of not just locking onto the best option that the security community openly handed you when you decided it was fine to just use something else."