Come utilizzare la crittografia su software proprietario

-2

Mi chiedo se sia possibile sviluppare un'applicazione di crittografia point-to-point sicura (un'applicazione di messaggio pgp per esempio) su un software proprietario.

Se una tale applicazione è stata sviluppata, diciamo su iOS o OS X o su qualsiasi SO proprietario, quali sono le possibilità che il sistema operativo possa romperlo, intercettare i dati, ecc ...

Questo mi porta alla domanda: posso fidarmi del mio programma gpg (o di qualsiasi mio programma di crittografia) sul mio computer OS X / Windows? Apple, Microsoft, ... non ha potuto bypassare il mio software?

Quali sono le tue politiche? Ti fidi delle aziende? Puoi provare che non possono accedere ai dati crittografati sul loro sistema operativo?

    
posta luxcem 27.02.2014 - 17:52
fonte

2 risposte

5

Sì, è possibile fidarsi delle società. Lo fai sempre. Se utilizzi Windows, ti stai fidando molto di Microsoft. Lo stesso vale per Apple se si utilizza uno dei loro prodotti. Quando utilizzi HTTPS ti fidi di un intero gruppo di Autorità di certificazione, la maggior parte delle quali non hai mai sentito nominare prima.

La maggior parte delle aziende di cui sei obbligato a fidarti quando usi i loro prodotti hanno ampie opportunità di eludere le altre protezioni che hai in atto.

Dovresti fidarti di loro? Dipende dal tuo contesto. Dipende dalla tua esposizione, dalla tua propensione al rischio, dal costo del compromesso, dal costo della difesa; qualunque cosa.

Nella maggior parte dei casi ci sono alternative tecnologiche che ti consentono un maggiore controllo sul tuo ambiente di fiducia. Se un progetto è open-source, allora puoi controllare il codice da te, compilarlo tu stesso e costruire sulle tue radici di fiducia. Ovviamente devi fidarti del tuo compilatore, il che significa che devi costruirlo con un compilatore di fiducia e le tartarughe fino in fondo. Se non sei abile nel codice di controllo, allora controllarlo tu stesso non è realmente un'opzione, quindi devi fidarti di qualcun altro per farlo per te ... che tipo di sconfigge lo scopo.

La fiducia è inevitabile, inevitabile. Quello che devi decidere è chi fidarsi.

E chiedere consigli di fiducia in un forum anonimo su Internet comporta una certa ironia che non può essere ignorata.

    
risposta data 27.02.2014 - 19:04
fonte
4

Bruce Schneier nel suo articolo collegato a sito di registrazione . Nell'articolo, l'autore parla di uno scenario virtuale in cui si desidera garantire la fiducia in tutte le parti dei processi. Mostrando le cose vere ma ridicole che dovresti fare per controllare le cose dall'inizio alla fine.

Per citare un estratto pertinente:

The truly paranoid would worry about backdoors being built into the app. The solution to that is independent audits. A requirement for those audits is that the auditors come from different jurisdictions, making it impossible to claim that all the auditors could have been ordered – or coerced - by any one entity to overlook such critical flaws.

Updates should be delivered via a pull (rather than push) mechanism, the updates posted to the site and the server software going out to grab them. There should be no means by which the centralised service could directly interact with the deployed base of servers. These updates could be similarly scrutinised to ensure that they do not introduce any back doors into the system.

I could go on, but I believe the point is made. We are heading into a world of cloud computing where trust is going to be a huge issue. It is no longer simply a matter of trusting that the software you buy works as advertised

Quindi, c'è una piccola sezione sulla fiducia come progetto. Fondamentalmente, nessuno ha il tempo e i soldi per investire in esso.

In conclusione, citerò l'introduzione dell'articolo:

Avoiding insanity requires trusting those who designed, developed and manufactured the instruments of our daily existence.

In breve, non ti puoi fidare delle persone che hanno sviluppato gli strumenti che stai usando, ma devi farlo se vuoi andare avanti e fare qualcosa. Da un certo punto o da un altro, se vuoi fiducia, devi fare un salto di fede. Questo può essere fatto ad ogni livello: sviluppatore, compilatori, produttori di hardware ecc.

    
risposta data 27.02.2014 - 19:06
fonte

Leggi altre domande sui tag