Crittografia predefinita: una panacea o un placebo

0

Ho scritto questo su LinkedIn - Discretezza discreta

La mia prima domanda è:

È esatto dire che la crittografia predefinita è un placebo? La crittografia predefinita renderà gli utenti finali solo sicuri di essere al sicuro anziché renderli più sicuri?

    
posta 08.02.2015 - 20:38
fonte

1 risposta

1

Is it accurate to say that default decryption is a placebo?

Immagino tu intenda 'default encryption '. No, non è un placebo. Ovviamente tutto dipende da come è effettivamente implementato. Ho letto il tuo post e vorrei sottolineare l'esempio di James Comey

US-DoJ-FBI Director James Comey (pictured below) has been criticized for his warnings of 'encryption by default' with Apple devices and Google communications. He has used a hypothetical situation of a young girl being kidnapped, and how encryption by default would disallow and render impossible the ability to geo-locate the missing child if her device is encrypted.

è seriamente imperfetto. Nel suo esempio non ci interessa se il telefono del bambino è crittografato o meno. Quello che vogliamo è una backdoor di controllo nel suo servizio di localizzazione GPS. Questo è completamente ortogonale alla cosa della crittografia:

  • possiamo avere un servizio che interroga il chip GPS e invia i risultati a chiunque invii un SMS contenente le parole "Squeamish Ossifrage", se i dati del telefono sono crittografati o meno .

  • se non non ha un servizio che consente l'accesso remoto al telefono, in grado di leggere i dati che contiene o che memorizza nel cloud, è completamente inutile . Salvo il Sig. Comey pensa che un telefono possa memorizzare continuamente un log GPS crittografato nel cloud, che alcuni servizi potrebbero fare ma non è richiesto dal suo caso d'uso .

Il potere di localizzare / decifrare un telefono può essere facilmente affidato ai genitori del bambino, che può usarlo o potenziare la polizia se e quando lo ritengono opportuno.

Tutta la crittografia può essere compromessa? Dipende. Data l'onniscienza e / o una quantità infinita di tempo? Probabilmente . In una quantità limitata di tempo e con costi trascurabili? In nessun modo .

How difficult would it be for the FBI to crack Apple's encryption algorithms for iPhones?

Non ho familiarità con questo algoritmo. Ma supponiamo che Apple utilizzi AES a 256 bit, lo implementa correttamente e non installa alcuna backdoor. Una ragionevole stima della difficoltà dell'FBI nel cracking di una crittografia della passphrase a due stadi (ovvero i dati vengono crittografati utilizzando una chiave casuale, a sua volta crittografata nel dispositivo utilizzando la passphrase dell'utente, not utilizzando direttamente la passphrase dell'utente) è in il quartiere di " praticamente dannatamente impossibile ". La migliore prospettiva finora, la linearizzazione di Murphy-Robshaw, elimina circa diciotto zeri dal numero di iterazioni richieste. Informazioni su sessantasette rimangono.

Ci sono " sospetti "che alcuni algoritmi di crittografia sono imperfetti dal design per consentire alla NSA (o altro) di infrangere la crittografia. Ma ciò non significa che ogni crittografia possa essere violata nella pratica - significa semplicemente che può essere backdoored relativamente poco costoso.

    
risposta data 08.02.2015 - 22:20
fonte

Leggi altre domande sui tag