[LACNIC/Seguridad] US acts to restore faith in encryption standard after NSA backdoor revelation

Fernando Gont fgont en si6networks.com
Jue Sep 19 21:33:57 BRT 2013 

On 09/19/2013 06:53 PM, Iván Arce wrote:
>> En lo que a criptografia se refiere, el uso de herramientas como PGP
>> suele ser (lamentablemente) tan bajo que incluso si los algoritmos
>> utilizados no tuvieran problema alguno, a la práctica no los
>> aprovechamos (por ej., cuanta gente aprovecha apra cambiar claves cuando
>> tienen la oportunidad de hacerlo).
> 
> Las revelaciones sobre un programa de la NSA que viene funcionando desde
> hace varios años y tiene un presupuesto de aproximadamente 250 millones
> de dólares anuales [1] indican que:

Alguien puede realmente "sorprenderse" por estas cosas?



> 1. Se "influenció" al NIST para que incluyera en el documento SP800-90
> que define estándares técnicos de generadores de números aleatorios  al
> generador Dual_EC_DBRG con parámetros cuyos valores fueron definidos
> arbitrariamente por la NSA sin justificar la elección.

Digo... si dicha elección no fue justificada en su momento, hacía falta
todo esto de Snowden para preocuparse por ello?

Mas allá de cosas posiblemente intencionales, he visto documentos que
"no son tan buenos" tecnicamente hablando (como ser
<http://csrc.nist.gov/publications/nistpubs/800-119/sp800-119.pdf>, y
mis comentarios en
<https://mail.lacnic.net/pipermail/lactf/2010-December/002959.html>).
Lease, asumir que lo que sale de NIST (o de quien sea) a ciegas es una
error "per se".


> 2. Se instalaron "puertas traseras" en *chips* de al menos 1 o 2
> empresas que proveen de hw aceleración de cifrado para dispositivos
> aceleradores de SSL y VPNs.
[...]

Tal vez ahora a algunos les cueste mas rasgarse las vestiduras
(<https://mail.lacnic.net/pipermail/seguridad/2012-October/002015.html>)
-- a este tipo de cosa hacia referencia la letra que postié en su momento.



> En definitiva, el impacto de solo _este_ programa (hubo revelaciones
> sobre varios mas) sobre la seguridad no solo de los sistemas de cifrado
> en abstracto sino de tecnologías de seguridad y privacidad de uso masivo
> es significativo. Aún si no usás PGP, todos los datos tuyos que viajan
> por SSL o en una sesion de VPN privada pueden ser inspeccionados si
> utilizan alguna de las tecnologías "comprometidas" por ese programa.

Tal vez me expliqué mal. A lo que iba es que lamentablemente en muchos
casos ni siquiera estamos acostumbrados a utilizar tecnologias de
encripción. Y por el uso que hacemos, se las puede vulnerar de manera
mucho mas trivial (cuantos intercambian los fingerprints PGP por correo
electronico?).



>> En materia de soft, se me ocurre que podría hacerse una mayor uso de
>> software abierto (que no por ello neesariamente será mas seguro.. aunque
>> uno podría esperar que fuera mas "abierto", logicamente).
> 
> El software abierto, o usando el término mas en boga ultimamente, el
> "software libre" no es intrinsicamente más seguro en la práctica.

Yo no asumi que fuera mas seguro. Simplemente hice referencia a que,
siendo abierto, es mas facil de inspeccioanr.


> Si
> bien coincido con en teoría tiene el potencial de serlo, en la práctica
> y después de mas de 2 décadas de observar evidencia concreta, creo la
> seguridad del software tiene mucho menos que ver con que sea abierto o
> cerrado y mucho mas con los procesos, actividades y capacidad de la
> gente que lo desarrolla y con la prioridad que se le asigna a las
> cuestiones de seguridad y privacidad.

De acuerdo en ello.



> En lo personal me resulta muy molesto ver como muchos activistas del
> software libre usan el argumento de la mejor seguridad y mayor garantía
> de privacidad para promocionar soluciones de "software libre" que están
> plagadas de problemas y no resisten el mas mínimo ataque.

Eso es marketing. Personalmente, uso alguna version "libre" de unix,
simplemente porque el soft que uso y necesito existe para tal plataforma.

En algun momento, usaba Windows para todo lo que era de "oficina", y
unix(-like) para lo que es desarrollo.

Hoy en dia, debido a que en gral no es problematico lograr que "el
hardware funcione", prefiero usar una unica plataforma. Sumado al hecho
de que no debo pagar licencias.



>> P.S.: Y no, hoy ya no ace falta perder tres dia para levantar X, o para
>> que funcione la placa de sonido...
> 
> Tampoco coincido con eso... el problema de los drivers, principalmente
> de video, no es trivial y hay muchos libertarios del software que no

Depende de que OS uses, y que equipo compres. Personalmente, antes de
comprar un equipo, intento averiguar que soporte tiene el hardware del
mismo para el OS que tengo pensado utilizar.

La situación de hoy en dia avanzó *mucho* respecto de, digamos, 10 o
quince años atrás, cuando incluso correr RedHat en un equipo IBM era un
parto.



> plantean ninguna objeción a que su sistema operativo predilecto este
> lleno de blobs de firmware que los drivers suben a las placas de video
> (y otras cosas) para que, en el mejor de los casos, "magicamente"
> funcionen mejor o con todas sus prestaciones.

Por si vale la aclaracion, yo no soy un taliban del software libre. En
lineas generales, en primer lugar intento solucionar mi problema. Luego,
de tener la opción, lo hago mediante software libre.

Saludos,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución Seguridad