Backgound
C'è molta pubblicità sul Sweet 32 carta negli ultimi giorni. Il documento mostra che i cypher simmetrici a 64 bit sono troppo vulnerabili oggi, esegue un attacco di compleanno su blowfish2
in due giorni.
Il punto della carta è che vengono utilizzati solo 785 GB di traffico (su HTTP, sono necessari solo 32 GB di traffico di cyphertext, il resto è HTTP bloat). Quella quantità di dati non è molto con le attuali velocità di trasferimento e l'utilizzo dei dati.
Si sostiene inoltre che OpenVPN utilizza blowfish
per impostazione predefinita, e anche Triple-DES (un'altra cifra di blocco a 64 bit) viene utilizzata come fallback legacy in alcuni browser.
VPN e browser contengono sicuramente molti dati e molti dati personali al loro interno e sono certamente vulnerabili all'attacco. Inoltre, possiamo sicuramente considerare che, dal momento che gli utenti utilizzano VPN e browser senza sapere molto sulla crittografia, le applicazioni sono attivamente (non sono sicuro se sto usando la parola corretta) vulnerabili.
Questo è tutto ben definito, ma che ne è delle altre, meno popolari e differenti (in termini di come funzionano) applicazioni. Vedi la domanda:
Domanda
Vim (probabilmente uno degli editor più popolari in circolazione) usa blowfish2
come l'algoritmo principale per leggere e scrivere file crittografati. Praticamente utilizza solo blowfish2
(può usare blowfish
o pkzip
, ma quelli sono semplicemente pessimi).
Con Vim non si inviano più gigabyte di file su una rete non protetta, inoltre, con Vim sarebbe raro che si usasse la stessa chiave per diversi file. Anche se qualcuno che si trova sulla stessa macchina come te può avere accesso a diversi gigabyte dei tuoi file crittografati (ma è più una questione di permessi, credo).
Il problema è andato a gonfie vele sul github e sulla mailing list di Vim . Tuttavia, mi ha messo in dubbio la differenza principale tra un browser e un'applicazione come Vim: un browser utilizzerà la crittografia dietro le quinte senza dirlo all'utente, in Vim la crittografia deve essere configurata attivamente dall'utente.
Un utente consapevole dei problemi con blowfish2
può semplicemente utilizzare vim-gnupg
per crittografare i suoi file. Pertanto è difficile per me credere che la pubblicazione sweet32
renda Vim attivamente vulnerabile. Sarebbe fantastico sistemarlo a Vim, ma sostenere che si tratta di un problema enorme non è proprio vero.
In generale, la domanda in tutto questo contesto è:
- Un'applicazione che consente agli utenti di configurarlo per l'utilizzo di un metodo di crittografia vulnerabile può essere considerata attivamente vulnerabile ? (dato che ci sono alternative)