EDICIóN GENERAL
323 meneos
1894 clics
Linux retira el algoritmo de cifrado Speck creado por la NSA

Linux retira el algoritmo de cifrado Speck creado por la NSA

Quizás nunca debió estar ahí. Hablamos de Speck, un algoritmo de cifrado desarrollado por la NSA, incluido por primera vez en la edición 4.17 del kernel, el pasado mes de junio. La NSA nunca explicó su diseño con suficiente detalle y Las sospechas que pudiera incluir un backdoor siempre estuvieron presentes. En cualquier caso, no suena a la excelencia técnica habitual de la gente de Linus y su inclusión parece que se debió más bien un compromiso de algún tipo. En concreto fue Google quien pidió meterlo en el kernel.

| etiquetas: speck , cifrado , linux , algoritmo , nsa
Fíate de Google.
#1 A ver, que te explico: Google necesitaba un sistema de cifrado "liviano" para equipos de poca potencia (recuerda que Google usa linux en sus sistemas operativos). Como no había algo así, pidieron la inclusión de Speck. Después Google se dio cuenta de que había otra alternativa mejor así que nunca llegaron a usarlo y retiraron el pedido de inclusión de Speck.
Como nadie había usado Speck nunca, su seguridad era dudosa y el único que lo quería cambió de idea, la gente de linux lo ha quitado.

No parece haber conspiraciones malignas de google en este asunto.
#10 Me tranquilizas, gracias por la explicación pero sigo sin confiar en Google.
#11 Mira... no se puede confiar en ninguna empresa, pero de todas ellas la que menos "daño" ha hecho ha sido siempre Google.
#12 Cierto, no me fío de ninguna.
#12 De las millones de empresas que hay en el mundo has conseguido identificar la que menos "daño" ha hecho siempre. Te ha debido llevar años de investigación llegar a tal conclusión ¿Podrías desarrollarlo un poco más?
#14 Bueno, no de las miles de millones. De las que son relevantes en el día a día.
#12 Por cierto, discrepo bastante con esa afirmación tan rotunda:

duckduckgo.com/?q=google+multada&t=ffsb&ia=web
duckduckgo.com/?q=impuestos+google&t=ffsb&ia=web
duckduckgo.com/?q=google+te+espía&t=ffsb&ia=web

Por no hablar del daño psíquico que me produce Android cada vez que tengo que elegir una red Wifi entre varias opciones guardadas.
#15 Han multado a google por recopilar datos. Yo hablaba de "hacer daño".
Las leyes están pensadas para que nadie recopile datos de las personas que pueda usar para dañarlos en alguna forma. Hasta el momento todos los datos que han recopilado han sido para mejorar la publicidad. Eso no daña en ninguna forma a la gente. Lógicamente, eso no los exime de cumplir la ley por eso han sido las multas. Pero daño real no le han hecho a nadie todavía.
#16 sabemos que, COMO POCO, lo han utilizado para mejorar la publicidad.
#27 ¿Y mejorar la publicidad en qué sala a alguien?
Al contrario. Yo recuerdo como eran de insufribles las propagandas antes de la llegada de Google ads, y te aseguro que gustoso permito a Google que sepa datos sobre mi a cambio de la publicidad que tenemos ahora.
#34 a mi no me ha preguntado. Yo en cambio respondería NO. Era sencillo.
#35 Hay muchísimas cosas en la vida que te afectan mucho más y no se te pregunta primero. Individualmente no eres ten importante
#37 ese es el problema
#41 Ojalá todos los problemas de la vida fueran tan "graves" como ese.
#43 prefiero sin problemas. Gracias. Sobretodo los que son fácilmente evitables
#46 Ba, lo de sin problemas no existe. Si tienes más de 5 años sabes lo que son "los problemas de la vida" y ninguno es fácilmente evitable, de lo contrario no los llamaríamos problemas.
#47 bueno. Ya no se cómo explicarlo. Si tú quieres publicidad personalizada y un registro de tu uso de Internet pideselo a Google. Yo intentaré que la ley ampare mi privacidad. Aunque para ti no sea tan grave.
#48 Ok, pero déjame avisarte que los que piensen hacerte daño con tus datos personales, los recopilarán diga lo que diga la ley así que el verdadero problema no te lo quitarás nunca. Lo único que lograrás será obstaculizar a los que no querían hacerte nada malo.
#49 me voy conformando. Y que el que lo haga sepa que incumple la ley. Si puede ser perpetua mejor. Si no le pillan no pasa nada. Igual que si robas y no te pillan. Pero no por eso lo vamos a despenalizar.
#50 Sí, tienes razón. Lástima que hoy en día las leyes son "por las dudas". En lugar de castigarse al que hace daño a otros, se castiga al que podría tener la capacidad de hacer daño si quisiera. El resultado es que las restricciones son tantas que optan ignorarlas y pagar la multa que corresponda y todos felices: Los gobiernos felices porque han recaudado una multa, los paranoicos felices porque tienen una muestra de que la empresa es mala malísima, y la empresa feliz porque total la multa es simplemente un costo de producción más.

Mira que multar una empresa por mirar por las calles los wifis... pero claro, después queremos AGPS.
#51 m.eldiario.es/tecnologia/Unidos-Podemos-recurrira-Constitucional-ideol

Con opiniones como la tuya a veces pienso que merecemos que nos traten como a ovejas.
#51 www.meneame.net/story/partidos-politicos-impulsan-sin-debate-ley-les-p

Ningún partido se opone al texto de la nueva Ley de Protección de Datos que les permite realizar y explotar bases de datos con perfiles políticos y personales. El trámite de la ley llega al Senado sin enmiendas a los artículos que posibilitan la publicidad electoral a través del teléfono o Internet sin consentimiento previo.
#12 en completo desacuerdo con este comentario.
#23 No aportas nada en contra, por lo tanto pura irrelevancia.
#12 por lo de don't be evil y tal no? Claro. Jajaja
#29 No. Por lo de que los datos de los usuarios son la base de la fuente de ingresos de Google. Dañar a los usuarios es matar a la gallina de los huevos de oro.
#10 Ya tenían ChaCha/Poly en aquel entonces.
#10 no soy de conspiraciónes pero tu argumento no se sostiene. Si Google quiere incluir un algoritmo liviano, puede hacerlo sin ningún problema aunque no esté incluido en el Kernel de Linux. De hecho las versiones que usa Google de Linux son Linux están bastante tuneadas.
#28 1) léete el artículo.
2) las modificaciones de Google ya se han incorporado al Kernel
3) todo el que sepa algo de seguridad sabe qué hacer tu propio cifrado es la peor idea posible.
#1 De lo que ya no me fío tampoco es de Linux. Tanto rollo y ahora resulta que llevaba un algoritmo de la NSA. Ya me da igual usar Linux, Windows o Apple, está claro que estamos controlados.
#25 Eso es verdad, cada paso que das en Internet, se queda grabado, da igual, Linux, Windows o Mac. Y por supuesto no importa la encriptación, si quieren desencriptarlo, da igual la encriptación que uses, sus superordenadores son muy rápidos y eficientes. Lo único que veo seguro de momento es Tor y poniendo mucho cuidado en la configuración.
#25 pero en el código de Linux hay millones de ojos que pueden detectar esas fallas. Eso no aplica no a Windows ni mucho menos a Apple. Es lo que tiene el open source.
#30 Pues mira vaya falla tenía y lo que hemos tardado en enterarnos... Y es que sólo pensar que en el kernell de linux se está metiendo código de google... en fin.
#31 En la linux foundation participan más de 1000 empresas www.linuxfoundation.org/membership/members/ . Google está entre los miembros platinium, que ponen medio millón de € al año. Si me dices que Google no puede colaborar en el kernel, cuya infraestructura de servidores y la plataforma Android dependen de Linux, estamos apañaos.
Y fue google quien dijo, ya no lo queremos. Esto lo he leído hace bastante.

"Pero lo que más ha dado de qué hablar en las última fechas es Speck, un nuevo algoritmo de cifrado dirigido en principio a dispositivos IoT cuya novedad para esta versión es la compatibilidad completa con fscrypt, la biblioteca sobre la que se despliega el cifrado en disco.

Speck, creado para ofrecer un cifrado de bloques ligero en dispositivos con poca potencia, ha generado controversia al tratarse de un…   » ver todo el comentario
Lo que no entiendo muy bien es si Google tenía tanta necesidad de incluir esa librería, por qué no parcheaban ellos mismos el Kernel y dejaban a los demás en paz
#3 porque Google puede pedir cosas para ellos en el kernel y se ahorra pasos
Hay una teoría circulando por las redes según la cual la NSA había presionado para incluir el CoC en linux y así echar al programador crítico con Speck.
#4 Ya lo han intentado, pero no con el tío crítico con speck si no el que era crítico con el RNG de Intel, bajo la sospecha de que la NSA e Intel trabajan juntos. (quizas eran el mismo tío?)
Luego Snowden y similares confirmaron que intel y NSA comparten cama.

Pero oye, todos sabemos que los sentimientos son mas importantes que la calidad del código xD
Costará esfuerzo, pero hay que concienciarse de que hay que vivir como si la privacidad no existiera, o al menos tenerlo siempre en cuenta en asuntos "críticos". Yo creo que soy demasiado viejo como para conseguirlo.

La miniaturización de cámaras y demás aparatos de grabación hace imposible sentirse en un entorno seguro en ninguna parte, y mucho menos en hoteles y similares.

Recuerdo un relato de ciencia ficción bastante antiguo en el que se inventaba el "cristal lento",…   » ver todo el comentario
#5 tu movil o cualquier dispositivo con microfono es una estacion de escucha y videovigilancia muy buenas

podemos decir que pagamos por ser grabados y estudiados
#7 ¿A ti te graban lo que dices por el micrófono?
#5 Da la sensación de que se está perdiendo la guerra, pero también es verdad que somos muy pasivos. A día de hoy (con las leyes europeas) quien no quiera ser vigilado lo puede conseguir. Claro, que el sistema tiene siempre fugas y siempre podrías ser objeto de un espionaje muy profesional, pero eso siempre ha pasado, con o sin cámaras en miniatura.

puri.sm/
switching.social/
weho.st/
framasoft.org/?l=en
disroot.org/en
#18 Uso (excluyendo algún firmware) solo software libre en mi ordenador y en mi móvil (sí, tengo bastante tiempo libre...), y nadie podrá decirme que no se lo pongo difícil a corporaciones y estados para no dar más datos privados de los inevitables, pero dicho esto:

si yo fuera los servicios secretos de un país, montaría unas cuantas webs como algunas de las que has enlazado para ver lo que pescaba...
Dos cosillas:

- no hay que ser paranoico. Si la NSA quiere meter mierda en el kernelo solo tiene que mandar a un fulano a Nueva Zelanda y decirle que mande los parches desde allí con el nombre de Inocente Deltó, como si no tuviera nada que ver con la NSA

- lo mejor de todo esto es que los que hacen el kernel de vez en cuando hacen limpieza y quitan cosas que no se van a necesitar. Igualito que la mayoría de las empresas en las que he estado...
Yo de esto pienso a lo José Mota: las que entran por las que salen.
Si lo quitan es porque ya no lo necesitan (ya tienen otra cosa "igual o mejor").
Esa gente no corre riesgos.
Pues yo que quereis que os diga, creo que por ejemplo ibm es una empresa más fiable que google, yo en lugar de lo que hace mucha gente cuando configura su internet y ponen las dns 8.8.8.8 de google, prefiero IBM y más ahora con redhat osea 9.9.9.9
Hay algún algoritmo de cifrado de calidad en Linux ?
Siempre me he preguntado qué usar mejor para mis datos o para integrar en mis aplicaciones.
#36 A ver si no me equivoco...
Los algoritmos que más se están utilizando ahora son el RSA y el AES. Dicen que estos algoritmos serán sustituidos por otros basados en 'curvas elípticas'. Su fuerza depende de la longitud de las claves que se creen.
Por ejemplo, el aldoritmo DES creo que ya se considera obsoleto porque se demostró que se podía romper con fuerza bruta, pero se sigue usando el 3DES (triple DES) o lo que es lo mismo, cifrar tres veces con DES, porque es un algoritmo muy rápido.

Hoy…   » ver todo el comentario
#36 La herramienta que más se utiliza en linux para cifrar y crear claves, etc, es gpg, que admite varios algortimos tanto para cifrar como para crear pares claves, etc.
#39 gracias con tus comentarios me centro más.

menéame