La Casa Blanca está sopesando obligar a las compañías tecnológicas a disminuir la seguridad de sus productos para poder leer las comunicaciones a través de Internet. Facebook, Google, Apple y más de un centenar de compañías piden que no se comprometa la privacidad de sus usuarios, mientras que los expertos en seguridad alertan de los riesgos que tendría esta medida. En qué consiste una de las medidas propuestas, el "key escrow" y por qué podría no ser lo más conveniente
Comentarios
Hay verdadero miedo por la popularización y la facilidad de uso. El cifrado antes estaba limitado a los estados y después a las empresas, hoy es accesible a cualquiera
Históricamente países como Reino Unido poseían en el servicio postal una sección para "curiosear" cartas (XVI-XVII) y se utilizaba bastante.
Poca gente se libraba de poder ser espiado, salvo valijas diplomáticas y en caso de delito (hasta casi ayer) desde el registro a reventar una caja fuerte casi todo era accesible aunque fuera con posterioridad, hoy no
#5 en openbsd no.
#6 Todavía
No sé los procesos que tienen en OpenBSD para seleccionar a sus desarrolladores, pero la estrategia de la NSA (documentada) es poner a gente de voluntaria, que igual durante años contribuye con código fantástico, y sólo entonces colará una vulnerabilidad. Nada gordo, algo muy sutil que nadie descubrirá hasta que pasen años (como Heartbleed), y que incluso cuando se descubra parecerá un simple error, pero que mientras tanto pueden aprovechar.
O igual no hace falta ni eso, porque otra vía de acción era infiltrar gente directamente en los consorcios que definen los estándares, por lo que la vulnerabilidad puede estar en el estándar, y por muy sólido que sea el software, si el protocolo es vulnerable de por sí, estás vendido.
Que igual me estoy pasando de paranoico, sí, pero después de lo de Heartbleed y lo que ha contado Snowden, ya nada me parece fantasioso.
#7 no entra cualquiera. Te lo aseguro. Cualquier chapuza la ven rápido.
#8 $DEITY te oiga
Empezando por que Internet es un PROTOCOLO militar....
Francamente, creo que el cifrado no va a detener a gente como la NSA. Y a la historia me remito:
- En 2012 se descubrió "Flame", un virusaco que atacaba a las centrales nucleares iraníes. En seguida quedó claro que lo habían hecho los americanos, pero lo más jugoso es que, para entrar a los sistemas, utilizaba una vulnerabilidad de MD5 desconocida en ese momento. Y si para un virusillo de medio pelo usan cosas desconocidas para la ciencia "civil", qué se guardarán para las cosas verdaderamente importantes.
- El año pasado se supo que el protocolo HTTPS tenía una vulnerabilidad (el famoso Heartbleed) que permitía a cualquiera saltarse la seguridad, y que llevaba ahí años. Y Snowden ya había dejado caer que la NSA tenía formas de saltarse las webs HTTPS, por lo que tiene toda la pinta de que conocían este fallo
- En los papeles que publicó Snowden, una de las estrategias que decía que hacía la NSA era precisamente infiltrarse en los comités que deciden los estándares de seguridad, para introducir o propiciar fallos de seguridad que se explotarían posteriormente. Talmente lo que pasó con Heartbleed...
En definitiva, que supongo que mal no le irá a la NSA que se relajen los estándares de seguridad, pero que todo huele a que tienen formas más que suficientes de colarse donde lo necesitan.
#2 http://openbsd.org
#3 Ni de eso me fío, desde el momento en que una de las estrategias de la NSA es precisamente "infiltrar" voluntarios donde haga falta. OpenSSL era también libre, abierta y tal, y mira lo que pasó.