¿Por qué no el PGP?

 

Inglés Dutch Francés Alemán Russian Español turco

Una introducción al protocolo de PGP

PGP ha sido usado para proteger los datos importantes por décadas. La mayoría ni siquiera han oído de frases con gancho como AES 256 o de debates sobre las tallas mínimos de llaves de RSA. PGP significa “Pretty Good Privacy” (esp. “Bastante bueno privacidad”). Esto es un nombre apto. Es “bastante” bueno, pero solo eso. Este modelo tiene inconvenientes significativos:

  • Una llave:Cada usuario solo tiene uno llave de cifrada privada. Si la llave privada de un usuario esta descubierto (robado, hackeado, o citado por las autoridades) un perpetrador puede descifrada todos los mensajes pasados con esta llave.
  • No reputación:Cada mensaje que envía está firmado con su llave privada que se verifica y revela la identidad digital del remitente, lo que demuestra el autor del mensaje. Ahora la privacidad del remitente depende de las acciones del receptor. Cuando tenemos una conversación secreta, no queremos que los mensajes pueden ser rastreado a nosotros. De hecho, a uno le gustaría a poder a denegar efectivamente todo el contacto con el otro.

Debido a la infraestructura de la llave, un usuario necesita tener una llave publica para participar en conversaciones privadas sin tener un secreto compartido; esta llave publica también permite el otro parte a verificar la autenticidad de sus mensajes.

 

El estado de PGP en realidad

PGP es el protocolo incorrecto para todas las industrias que necesitan tener esencialmente el equivalente electrónico de una conversación normal entre dos personas en una habitación vacía. El par de llaves singular, la firma digital, y sin confidencialidad directa lo hace una opción mala para individuos que necesitan las siguientes propiedades:

  • Para asegurar con ciento cierta con quien estás hablando.
  • Para no tener las conversaciones interceptados.
  • Para denegar con confianza alguna conversación a alguna tercera interesada.
  • Para vivir sin el miedo diariamente de alguna llave privada que uno ha usado alguna vez siendo revelado, y cada uno mensaje jamás escrito con esta llave privada siendo relevado.
  • Para vivir sin miedo de una llave privada siendo clonado y usado a escuchar a escondidas por mensajes futuros.
  • Para asegurar que mensajes que sido eliminado son de hecho realmente por eliminar.

Aparte de solo las deficiencias del protocolo actual de PGP, los mercados de día para mensajería segura de PGP es una mezcolanza de servidores de llaves, servidores de correos, y revendedores cuyo único método de diferenciarse el uno del otro a sus usuarios es la calumnia, difundir rumores, interferir con niveles de servicio de un competidor por lanzamiento de ataques de denegación de servicio distribuido (DDOS) o bloqueando totalmente los revendedores de comunicarse con ellos. En adición, la mayoría no tienen la capacidad tecnológica a ejecutar sus infraestructuras con confianza; por lo tanto, te ves horas y horas de interrupciones debido a malas configuraciones o mala infraestructura siendo normal. Te ves también la incompetencia aparece en mensajes en tránsito por la red sin NINGUNA cifrada, o jamás protección básica de metadatos (por, a, sujeto, dirección de IP, marca de tiempo) de mensajes transmitidos de otros revendedores. Todo eso pasa diariamentesin el usuario final saberlo. Uno de los secretos más grande, que rara vez se menciona, es el hecho que la mayoría de revendedores de PGP hoy tiene una copia de la llave privada del usuario en sus servidores. Eso es ridículo. Como vas a fingir a ofrecer un servicio seguro, pero tienes las llaves privadas de sus suscriptores sobre su servidor donde puede ser explotada.

 

A medida que los negocios de revendedores de PGP están muriendo, revendedores están ansiosos a mantener el flujo de dinero que se esperan de un negocio adonde que se utilizas aplicaciones fuera de la plataforma como el servidor de BlackBerry Enterprise (BES) de RIM, el servidor Universal de PGP de Symantec, la aplicación del servidor de Microsoft Exchange, y los servidores de Microsoft. De todos estos productos, un revendedor no tiene conocimiento íntimo de cómo funcionan. ¿Cómo podrían? Todos están de código cerrado y no saben que está pasando entre bastidores. Si sabemos que todas estas compañías trabajan con agencias de gobiernos cuando se le pregunto a proporcionarles información sobre individuales. Ya en 2009, especialistas de NSA pueden “ver y leer” mensajes de texto de BlackBerry. Una presentación de NSA intitulado “[Su objetivo está usando un BlackBerry? Ahora que?]” muestra que puede ser alcanzado. Se contenido una imagen de un correo electrónico del gobierno de México, de que el texto simple que aparece en una diapositiva abajo del título “[Colección postprocesado de BES]”. Recientemente, hay muchos artículos publicados por periodistas con renombre y expertos de seguridad que demuestran que los mensajes de PGP (incluido los que fue eliminado) están siendo descifrada sobre muchas diferentes unidades de suscriptores de BlackBerry. El Instituto forense de los Países Bajos (NFI) ha confirmado que de hecho pueden descifrada mensajes de BlackBerry de muchos dispositivos.

 

La respuesta de los revendedores de PGP a mucho de esto información es ridículo. Un mensaje a sus suscriptores sugiere a sus usuarios que todo está bien si cambias su automático frase de contraseño de mínimo cuatros caracteres a ocho caracteres. Una política que permite una contraseña de cuatro caracteres sobre un BlackBerry es suficiente ridículo, pero decir a usuarios que está siendo actualizada a una frase de contraseña con un mínimo de ochos caracteres (lo cual en un aparte tomaría solo aproximadamente seis horas racimos modernos de contraseña a descifrar) pierde el punto. El punto es que NFI no se descifrada los mensajes de PGP debido a frases de contraseñas cortos. Es una pista falsa, para que crean los usuarios que toda esta todavía bien con PGP BlackBerry y que el error de los humanos es el problema. Otro revendedor mayor se escrito una diatriba larga que informe sus suscriptores a mantener el rumbo con BlackBerry, y en el MISMO mensaje se dice que va a venir con una nueva plataforma in el año nuevo.

 

Otra cosa interesante a notar sobre todo esta información de descifrada de dispositivos de BlackBerry es la edad de lo. Los casos de NFI BlackBerry recientemente circulantes sobre eso tiene más de un ano. Revendedores de PGP eran conscientes de estos documentos y puede haber tenidos, pero permanecieron enterrados hasta muy recientemente. Innecesario a decir, muchos de ellos no están preocupados que el secreto esta revelado. Uno de los muchos pequeños secretos del negocio han sido revelado.

 

Y ahora, como podemos ver, los revendedores quieren diferenciarse en otras formas. La nueva palabra es “ECC”. Corto, suena de tecnología, y un poco ominoso. Lo siento (un poco), pero ECC ya está usado por mucho de la red para las comunicaciones. Solo significa criptografía de curva elíptica, que es una relativamente nueva derivación de las matemáticas que se permite tallas de llaves más pequeñas con lo mismo o mayor fuerza que tallas grandes de llaves de algoritmos que compiten como RSA (un defecto Viejo de PGP). Ahora PGP usa RSA 4096 para cifrada asimétrico (esta usado para crear su par de llaves publico/privada) y AES 256 por cifrada simétrico. En versión BES 10+ puedes elegir ECC en lugar de RSA. Las opciones que tienes son curvas de ECC promovidos por NIST (Instituto nacional de estándares y tecnología) o más simple la Agencia de seguridad nacional (NSA). Estas curvas han demostrado peligrosos http://safecurves.cr.yp.to/Cambias en el futuro de esta industria ve revendedores existentes de PGP usando todavía PGP o algo similar, pero con n llave de ECC en lugar de una llave de RSA. El mismo problema existe, solo hacen solo lo suficiente cambias para enturbiar el agua con palabras técnicos de modo que aparezca que hay un nuevo producto más seguro. Mas viene en un próximo Blog.