Perché l'industria finanziaria utilizza 2TDEA anziché 3TDEA?

1

Perché l'industria finanziaria usa 2TDEA invece di 3TDEA; esiste qualche motivo storico o limitazioni tecniche come il supporto di HSM utilizzato nel settore? Il documento a cui si fa riferimento qui dice semplicemente che l'industria finanziaria non ha considerato 3TDEA come non offrire una maggiore sicurezza. "Triple-DES, indicato come 3DES da qui in poi, utilizza 2 tasti, scelti in modo indipendente a caso, a DES crittografare un messaggio più volte. Ci sono anche modi per usare 3DES con 3 chiavi diverse, ma questi schemi non danno una quantità significativa di sicurezza extra in teoria e non sono considerati nei sistemi finanziari. " 3TDEA è supposto
essere molto sicuro (non sono un crittanalista, ma voglio esserlo), ma perché non è stato preso in considerazione?
Penso che mi manchi qualcosa di grande / fondamentale qui. Potete per favore aiutare?
P.S: questo non è il mio compito o altro.

    
posta user917279 18.09.2014 - 15:32
fonte

2 risposte

2

Mi sembra che non ne vedano il bisogno. Sembra che la loro idea non sia necessaria, quindi non facciamolo. Il modo in cui lo vedono. Se stai cercando di impedire che la gente apra una scatola e spari quella scatola nello spazio su un razzo, importa se atterra su Marte o Plutone? Mentre sì è più difficile raggiungere Plutone e impiega più tempo nessuno su Marte apre comunque la tua scatola. Una volta che le persone saranno in grado di raggiungere Marte, allora inizieranno a pensare a Plutone, ma questo è un ponte che attraverseranno quando arriveranno.

IMO: alle banche non piace il cambiamento. L'aggiornamento richiede tempo e denaro. Altre cose che la banca non ama usare. Qualsiasi cambiamento che non porti profitto viene solitamente fatto solo quando devono essere. Inoltre non sono sicuro se questa è la ragione definitiva. Se sono spento, eliminerò la risposta.

    
risposta data 18.09.2014 - 20:17
fonte
2

Le banche, come qualsiasi grande azienda, devono valutare i pro e i contro di ogni decisione, poiché tutto il resto costa denaro. In genere è stato preso in considerazione.

Come sottolineato da Griffin, la sicurezza sufficiente è tutto ciò che è necessario, con un po 'di pianificazione anticipata per essere in grado di eseguire l'aggiornamento quando si avvicina di essere necessario.

A volte aumentare la sicurezza tecnica tramite un algoritmo o un processo più strong può effettivamente ridurre la sicurezza generale o le operazioni di impatto (ad esempio attraverso più chiamate all'helpdesk)

    
risposta data 22.09.2014 - 13:22
fonte

Leggi altre domande sui tag