Ir al contenido principal

El gobierno americano quiere que volvamos a confiar en los estándares de cifrado


Por mucho que la NIST (National Institute of Standards and Technology) quiera convencernos de que no creó sistemas de cifrado debilitados con el fin de que fueran fáciles de romper para la NSA, lo cierto es que parece bastante claro que se introdujeron puertas traseras en los algoritmos que sustentan la privacidad y la seguridad en Internet. El problema es que estos estándares de cifrado acaban formando parte de los estándares internacionales a través de ISO (International Organization for Standardization), de la que forman parte 163 países, entre ellos el nuestro.
A raíz de las filtraciones de Snowden, acabamos enterándonos (siempre según él) que en 2006 se certificó el estándar Dual EC DRBG 800-90, que es la especificación para un generador de números aleatorios determinista necesario para la implementación de cifrados de flujo, como los usados en las conexiones HTTPS en Internet o en las comunicaciones móviles, y que dicha especificación tenía una puerta trasera para la NSA.
Los cierto es que la comunidad criptográfica no ve con buenos ojos esta relación tan estrecha entre NIST y NSA. Desde luego, tiene sentido que exista una buena colaboración dada la experiencia y el conocimiento de la NSA sobre Criptografía, pero parece que esta última ha aprovechado la relación de confianza para introducir su caballo de Troya.
Por ello, NIST ha empezado a hacer movimientos para limpiar su imagen y tratar de recuperar la confianza perdida. Uno de los primeros movimientos ha sido abrir a consulta pública la publicación especial 800-90A nombrada anteriormente y los borradores de las publicaciones 800-90B y 800-90C que también usan el mismo generador de números aleatorios. Esto significa que la comunidad criptográfica podrá estudiar y dar el visto bueno a las especificaciones.
La agencia ha declarado que "si se encuentra alguna vulnerabilidad en este o en cualquier otro estándar de NIST, trabajaremos con la comunidad criptográfica para solucionarlo lo más rápidamente posible".
En definitiva, parece un buen paso en una buena dirección. Es vital recuperar la confianza en los estándares criptográficos. Que se reabran estos estándares para una revisión pública es algo objetivamente positivo, más allá de teorías conspiranoicas.
Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

Creando firmas de virus para ClamAV

ClamAv es un antivirus opensource y multiplataforma creado por Tomasz Kojm muy utilizado en los servidores de correo Linux. Este antivirus es desarrollado por la comunidad, y su utilidad práctica depende de que su base de datos de firmas sea lo suficientemente grande y actualizado. Para ello es necesario que voluntarios contribuyan activamente aportando firmas. El presente artículo pretende describir de manera sencilla cómo crear firmas de virus para ClamAV y contribuir con ellas a la comunidad.
7 comentarios
Seguir leyendo »

Manejo de grafos con NetworkX en Python

El aprendizaje computacional es un área de investigación que en los últimos años ha tenido un auge importante, sobre todo gracias al aprendizaje profundo (Deep Learning). Pero no todo son redes neuronales. Paralelamente a estas técnicas, más bien basadas en el aprendizaje de patrones, también hay un auge de otras técnicas, digamos, más basadas en el aprendizaje simbólico. Si echamos la vista algunos años atrás, podemos considerar que quizá, la promesa de la web semántica como gran base de conocimiento ha fracasado, pero no es tan así. Ha ido transmutándose y evolucionando hacia bases de conocimiento basadas en ontologías a partir de las cuales es posible obtener nuevo conocimiento. Es lo que llamamos razonamiento automático y empresas como Google ya lo utilizan para ofrecerte información adicional sobre tus búsquedas. Ellos lo llaman Grafos de Conocimiento o Knowledge Graphs . Gracias a estos grafos de conocimiento, Google puede ofrecerte información adicional sobre tu búsqueda, ad
7 comentarios
Seguir leyendo »

Scripts en NMAP

Cuando pensamos en NMAP, pensamos en el escaneo de puertos de un host objetivo al que estamos relizando una prueba de intrusión, pero gracias a las posibilidades que nos ofrecen su Scripting Engine , NMAP es mucho más que eso. Antes de continuar, un aviso: algunas de posibilidades que nos ofrecen los scripts de NMAP son bastante intrusivas, por lo que recomiendo hacerlas contra hosts propios, máquinas virtuales como las de Metasploitable, o contrato de pentesting mediante. Para este artículo voy a usar las máquinas de Metasploitable3 . No voy a entrar en los detalles sobre el uso básico de NMAP, ya que hay miles de tutoriales en Internet que hablan sobre ello. Lo cierto es que NMAP tiene algunas opciones que permiten obtener información extra, además de qué puertos están abiertos y cuales no. Por ejemplo, la opción -sV trata de obtener el servicio concreto, e incluso la versión del servicio que está corriendo en cada puerto. Otro ejemplo es la opción -O, que intenta averiguar el
Publicar un comentario
Seguir leyendo »