Saludos Mundo Libre.
La revelación de Jueves que las agencias de inteligencia de Estados Unidos y británicos son capaz de decodificar mayor parte del tráfico Internet Fue un momento la transformación de para muchos, afín a consiguiendo prueba definitivo de la vida extraterrestre inteligente . Es cambió fundamentalmente los supuestos de que muchos de nosotros tenemos acerca de las herramientas cientos de millones de personas confían en para blindar su información más privada de miradas indiscretas. Y es desafió a la confianza depositada en los personas que construyen y proporcionan esas herramientas.
Pero el presentación de informes a partir The New York Times, ProPublica , y la The Guardian era corto en detalles técnicos acerca de exactamente cómo las tecnologías de criptográficas tales como las redes privadas virtuales y la capa de sockets segura ( SSL) y el transporte de seguridad capa de ( TLS ) protocolos son pasa por alto. Como se dijo recientemente por Edward Snowden , el ex Agencia de Seguridad Nacional de (NSA ) contratista de que filtró documentos altamente clasificadas que conducen a las informes , " obras Encryption . Sistemas de crypto fuertes Correctamente implementadas son uno de los pocos cosas que usted puede confiar. " ¿Cómo es , a continuación, , que los agentes a partir de la NSA y su homólogo británico , conocido como el la Sede de Comunicaciones Gobierno ( GCHQ ) , son según se informa capaz de pasar por alto la protecciones de crypto prestados por empresas de de Internet incluyendo Google , Facebook, Microsoft , y la Yahoo ?
La respuesta corta es casi con toda seguridad al comprometer el software o hardware que implementa la cifrado o la al atacar a o influir en el pueblo , que posean los secretos compartidos que constituyen uno de los ejes de cualquier sistema de criptográfico seguro . El NYT alude a estas técnicas como una combinación de los " supercomputadoras , mañosidad técnica , órdenes judiciales, y la persuasión behind-the- escenas. " En el documento se se encendió para referirse a las tecnologías de que habían sido equipados con backdoors o habían sido debilitado forma deliberada. Snowden lo puso forma ligeramente diferente cuando él dijo : " Por desgracia , seguridad de punto final es tan terrifically débil de que NSA puede encontrar con frecuencia maneras alrededor de " cifrado. La explotación de los implementaciones o la gente detrás de estos sistemas puede tomar muchas formas . ¿Cuál que sigue son algunas de los escenarios más plausibles .
¿No puedes oír me golpeando ?
Backdoors se encuentran entre las maneras más fáciles para pasar por alto cifrado de , y ellos pueden tomar muchas formas . Mayoría de las veces , ellos están consideran ser código oculto que permite a un outsider acceso subrepticia a la información privilegiada o las funciones sin la una contraseña o otra credencial oficial. Pero backdoors pueden ser igual con la misma facilidad vulnerabilidades que se insertan en código fuente o diseños , o que están les permitió permanecer allí después de ser descubierto . El NYT mencionó específicamente backdoors colocados en los chips de micro utilizados para el cifrado, y es también aludió a los estándares crypto que fueron manipulados de maneras para hacerlos más fáciles de explotar .
Uno de tales forma sería la de tratar de forzar con generadores de números pseudo aleatorios utilizados para crear claves de fuertes . Un defecto la NSA - controlada que hizo que estos números de fácil de predecir sería proporcionar a los agentes con un método encubierta y fácil - a - utilizar para extraer una clave la protección de las comunicaciones de un de destino . Dado el volumen de escalonamiento de datos que el NSA quiere que el capacidad de de la lectura, que es razonable a asumir los analistas quieren técnicas que funcionan a través de enormes franjas de la Internet. Para hacer que el backdoor explotable en una escala de masas, la falla sería tiene por qué ser presente en un diseño de ampliamente utilizado , digamos, en las bibliotecas criptográficas incluidos en software de servidor Web de Windows de Microsoft o con , o el paquete OpenSSL que habilita el funciones criptográficas en Apache y de otro tipo servidores de web.
Los rumores de backdoors colocados en estándares de populares crypto a instancias de los la NSA han existido desde por lo menos 2,007 mil . Teorías Materiales similares salieron a la superficie otra vez en 2008 a raíz de la descubrimiento de de una vulnerabilidad calificada casi el catastrófica en la distribución Debian de Linux. Es también involucrado números al azar y causó máquinas de vulnerables a la generan claves criptográficas peligrosamente débiles. I utilicé para despedir a esos clase de los pensamientos como teorías de la conspiración de que bordeaban en la paranoia . Después de todo, crypto es duro, y que es dolorosamente fácil de hacer errores honestos . Ahora, yo no estoy tan seguro.
Stealing ( o pidiendo a para los ) las teclas de
Otra manera de romper fácilmente el cifrado de es la obtención de las teclas de que los datos cifrar y decrypt . La forma más fácil para conseguir las llaves es preguntar a simplemente para ellos, y si eso no funciona , uno podría utilizar una combinación de órdenes de la corte , persuasión, o amenazas para coaccionar a sacarlos de la titular de la . Bloqueo de llamadas cualquiera de aquellos métodos , los feds podrían cortar en los servidores de de las grandes empresas y robar ellos. Este método tiene unos pocos ineficiencias a él se . Para uno, bajo algunas versiones de este escenario, los feds deben obtener un conjunto diferente de teclas para cada servicio que ellos quieren para monitorear , haciendo de este método menos escalable. Y para otro , en teoría por lo ello menos importante, que sería no ser práctico contra los sitios tales como Google que han implementado confidencialidad directa perfecta en sus protecciones criptográficas. Eso es la propiedad de que se mezcla las claves privadas en poder de tanto el sitio web y un fin - usuario para crear una nueva clave de temporal que cambia todo el tiempo . A menos que el feds saben de un falla en el proceso de de intercambio de claves Diffie - Hellman en el corazón de este esquema de , no sería ser lo suficientemente para obtener simplemente el clave privada del Google u otros sitios de que utilizan secretismo perfecta hacia adelante.
El feds También se podría hackear o coaccionar a uno de los muchos las autoridades de certificados quien validan teclas TLS SSL y dentro de proporcionando un certificado master de que iba a funcionar al otro lado de uno o más direcciones de Internet. Mientras que no imposible , este método también parece poco práctico . Primer lugar, las tales certificados serían útil sólo si el NSA fue capaz de hacerse pasar por el sitio web de en lo que se conoce como un ataque man-in -the-middle activa , que puede hacer el ataque menos escalable y más difícil de tire de off . Eso ejecuta la hipoteca la posibilidad de un escuchando a escondidas pasiva , en el que la NSA simplemente monitorea y descifra que pasa el tráfico entre un sitio web y un objetivo . Más importante aún , la técnica de se detecta fácilmente a través de lo que está conocido como certificado de pinning que está construido en el navegador Chrome de Google , apps de Twitter se dedicadas , y algunos software de seguridad.
El toman de distancia
Uno de los aspectos más frustrantes a la presentación de informes sobre los fugas de Snowden es la falta de detalles específicos. Si no estamos de sabemos exactamente forma en que el NSA no pasa por Internet crypto que es duro para tomar cualquier acción para prevenirlo. Dicho esto, crypto y la experto en seguridad Bruce Schneier ha recopilado una lista de las cosas concretas los lectores pueden hacer para por lo menos hacer la inteligencia la vigilancia agencia de más duro. Las medidas incluyen el uso de el servicio el anonimato Tor ; el uso de software tal como GPG , TextSecure , RedPhone , TrueCrypt , OTR , SilentCircle , y la BleachBit para cifrar los mensajes , llamadas, y los archivos de ; y la un robusta régimen de la seguridad las operaciones de para bloquear hacia abajo puntos finales , incluyendo el uso de las computadoras de aire - con huecos con cuando se trabaja con datos verdaderamente sensibles.
Snowden y la Schneier tienen tanto a las personas asesoradas a confían en la math que subyace en criptografía. Por supuesto , el reto es garantizar que el software, hardware, o la gente de transposición del citado las matemáticas no se han visto comprometidos , y que está convirtiendo en cada vez más difícil de calibrar en este era post - Snowden .
Fuente:http://arstechnica.com/security/2013/09/spooks-break-most-internet-crypto-but-how/
Traduccion:Dellcom1@.
Saludos Mundo Libre.
Hi!
ResponderEliminarI just wish to offer you a big thumbs up for your great info you have right here on this post. I will be coming back to your site for more soon. Hack Instagram
Thank you