Clase magistral de encriptacion por .@gallir

Clase magistral de encriptacion por .@gallir

Todo arranca por un tuit que hice desde la cuenta de @partido_pirata

  1. .@edans .@gallir La agencia de estandares US, #NIST, recomienda abandonar el uso de sus estandares de #encriptacion propublica.org/article/standa…
  2. @partido_pirata @edans WTF? la generación de aleatorios NO es lo mismo que algoritmos de cifrado, como decían, p.e. menea.me/1735e
  3. @partido_pirata @edans Y avisé que se hacía la picha un lío con eso, sobre lo cuál no hay discusión, es un hecho que no es lo mismo.
  4. @gallir Y si leemos esto antes de leer noticia del #NIST nytimes.com/interactive/20… sera que ese generador es de uso muy generalizado no? @edans
  5. 1/n: La criptografía es muy compleja y pocos las dominan, pero sus principios de funcionamiento son fáciles de entender, para cualquiera.
  6. 2/n: Todo se basa en pasar de un texto claro a uno cifrado usando una clave: la “keygen”. Ésta puede ser una contraseña humana, o algo mejor
  7. 3/n: En caso de cif. simétrico (AES…) la clave tiene que ser conocida por el receptor. En caso asimétrico (RSA), se generan dos diferentes
  8. 4/n: La fortaleza de un cifrado depende de que no se pueda predecir las bits/bytes generados en el cifrado.
  9. 5/n: La predictibilidad del texto cifrado depende del algoritmo, y en gran medida de la clave (keygen) que se usa.
  10. 6/n: Las claves/contraseñas generadas por humanos son en general malas, son más predecibles que una clave obtenida aleatoriamente.
  11. 7/n: Por eso muchos algoritmo usan números aleatorios “fuertes” para generar esa keygen. El problema es cómo obtener esos números aleatorios
  12. 8/n: Los números pseudoaleatorios generados por software no son suficientes para cifrado, se necesitan números menos predecibles.
  13. 9/n: Para ello se usan técnicas o dispositivos de hardware que introducen más impredictibilidad, la “entropía”.
  14. 10/n: Los dispositivos de hardware pueden medir el decay radiactivo o radiación cósmica, son más caros que los que usan ruido térmico, p.e.
  15. 11/n: En los sistemas operativos se usan las interrupciones del sistema como una forma de obtener entropía (como en /dev/random).
  16. 12/n: Muchos PCs vienen con dispositivos dedicados, como el de Intel, que generan esa entropía a partir de ruido “electrónico” o térmico.
  17. 13/n: Además de esa entropía, se necesitan buenos algoritmos para generar los números pseudoaleatorios, hay estándares NIST para ello.
  18. 14/n: Dicen que la NSA influyó en la determinación de esos estándares de generación de números aleatorios, por eso se está revisando,
  19. 15/n: En los tuits anteriores quedó claro la importancia de números aleatorios impredecibles para obtener un buen cifrado, pero…
  20. 16/n: la generación de números aleatorios no es el algoritmo de cifrado, son diferentes, y el primero se aplica a todos.
  21. 17/n: Si alguien puede predecir mejor los números aleatorios que se generan, puede predecir mejor la clave que se usará, y…
  22. 18/n: podrá descifrar un mensaje con mucha más facilidad, es como saber más o menos que contraseña pone el usuario, pero eso no significa…
  23. 19/n: que el “algoritmo de cifrado” esté roto o sea malo. Por eso hay que distinguir las diferencias entre generar claves y cifrar con ellas
  24. 20/n: También hay que distinguir que el generador de entropía no es igual al algoritmo de generación pseudoaleatoria.
  25. 21/n: Aunque el generador de entropía esté manipulado por la NSA, si se combina con otras fuentes, poco pueden hacer meneame.net/story/linus-to…
  26. 22/n: Los generadores de entropía y números aleatorios por hardware son la forma más segura y eficiente, por eso son tan importantes.
  27. 23/n: Pero no todos podemos tener los caros, por lo que usamos los que ya trae nuestro PC más los mecanismos de software del SO.
  28. 24/n: Pero el SO tiene que ser conservador y hacer medición de la entropía de los datos que genera, por eso suelen ser lentos.
  29. 25/n: Así que aunque algoritmos de cifrado simétrico (como AES) son muy eficientes, el cuello de botella es la obtención de los aleatorios.
  30. 26/n: Obtener esos buenos pseudoaleatorios es lento, pero clave para que lo demás funcione, de allí que se le da tanta importancia.
  31. 27/n: la cosa es más o menos: entropía -> números aleatorios -> generar clave (keygen) -> cifrado. Todos importantes, pero no son lo mismo.
  32. 28/28: Y eso fue todo, una intro rápida a las “partes” de un sistema de cifrado, para que no os confundais con tanta información mala😉

Read next page

Did you find this story interesting? Be the first to
or comment.

Liked!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: