Mensajes

actual y permanentemente irresolubles (por lo menos para RSA, eliptica es otro caso) ya que aunque si puedes atacar por fuerza bruta, a fin de cuentas, todo puede ser atacado por fuerza bruta, pero la formula no puede ser calculada inversamente sin importar el teorema propuesto, ya que parte de sus pasos es destruir parte de la informacion original,

Deberíamos de diferenciar dos terminos relacionados con la complejidad del tiempo requerido, y estas son P(Polynomial Time) y NP. (Non-Poly Time). Obviamente los esquemas criptográficos asimétricos dependen en problemas con solucion no polinomial a día de hoy, si se demostrara que P=NP tampoco significaría encontrar métodos polinomiales los cuales resolvieran estos problemas de forma polinomial. Así como por ejemplo resolver la conjetura de Riemann no ayudaría directamente a resolver RSA. Pero P=NP sin duda conseguría reducir algoritmos de búsqueda en NP a P, dando a los científicos formas de reducir un problema NP a P.

Por lo tanto no existe fórmula alguna para la factorización de enteros, el cálculo del logaritmo discreto, cálculo de square roots modulo p o sistemas polinomiales multivariados y quadráticos. Simplemente los algoritmos utlizados para resolver estos problemas corren en un tiempo no polinomial (NP) pero determinista, los hay también no deterministas (decisionales los cuales nunca terminan dependiendo de su configuración).

Por eso dije "actualmente irresolubles" aunque realmente existen métodos para resolver por ejemplo RSA o Diffie-Hellman cuando un ordenador quántico útopico se aproxime a los miles de qubits. Siempre hay problemas con las definiciones escuetas o cortas en criptografía, no me ha quedado más remedio que explicarlo xD

Saludos.

¿Que es una verificacion de la integracion del mensaje y como se hace en python?

Especificamente con pycryptodome, algoritmo AES, metodo de cifrado CTR.

Segun veo en la documentacion, este metodo de cifrado puede ser atacado mediante una vulnerabilidad llamada "Bit-flipping attacks", y que con el uso de una verificacion de la integridad del mensaje, esto se arreglara.

Muchas gracias.

La crypto en su parte primaria se puede definir como cifrar y descifrar, quiero decir, que el mundo tiene esa imagen "pura" de lo que es la crypto. Ahora, un atacante con máscara de villano puede reemplazar mensajes a placer, entonces, como puede Bob saber si lo que recibió desde Alice realmente llegó intacto? Y como puede saber que fue Alice quien lo envió? Y como sabe que nadie hizo un reenvio? Todos estas cuestiones realmente forman lo que es la criptografía moderna, además del subyaciente criptoanálisis de estos métodos, todo ello formano la Criptología (cryptography + cryptanalysis).

Si quieres usar AES deberás de estar seguro primero que modo de operación utilizar junto al algoritmo de integridad y/o autenticación. Tienes el modo AE (Authenticated Encryption):

Authenticated encryption (AE) and authenticated encryption with associated data (AEAD) are forms of encryption which simultaneously assure the confidentiality and authenticity of data. These attributes are provided under a single, easy to use programming interface.

Matando dos pájaros de un tiro. Sino HMAC hace bien su trabajo o Poly1305, el cual también recomiendo por su alto rendimiento con AES.

Saludos.

Hola a todos

Mi pregunta es la siguiente:

¿La criptografia híbrida es mucho mejor que la simétrica y/o asimétrica?, con esto me refiero a que si la criptografia híbrida es la mas usada, mas segura, mas recomendada, etc.

muchas gracias.

Todo depende de tus necesidades a la hora de comunicar dos extremos. Si dos entidades se comunican entre ellas de forma constante tranquilamente pueden utilizar crypto simétrica, pues seteando la clave en ambas entidades seria suficiente para que un atacante no pudiera saber nada de lo que se está enviando. Esto conlleva de alguna forma introducir dichas claves en ambas entidades.

En cambio, si una entidad se comunica con millones de entidades y de forma arbitraria (mañana con otro millón etc) no vas a ir entidad por entidad seteando la clave simétrica ¿verdad? En tal caso usarías esquemas de intercambio de clave (SSL/TLS y las cipher suites o bien PGP u otros). Sólo imagina a un operario de Google llendo casa por casa instalando claves simétricas en los dispositivos. Nada bueno.

Saludos.

¿Porque es mas rapido si esta debe hacer ambos procesos en lugar de solo uno como los demas (simetrico y asimetrico)?

Te falto incluir la cita que afirma que es más rapida la híbrida que la simétrica. Tu mismo puedes probar tus argumentos utilizando por ejemplo OpenSSL. El sistema que describes de cripto híbrida es comunmente adoptado en PGP (por ejemplo) para verificar que un mensaje ha sido enviado por la persona que esperas que lo envie (Autenticación), además de verificar que el mensaje no fue alterado (Integridad) y que no se puede leer por nadie más que tú y la persona que lo recibe (Confidencialidad). Estos tres terminos CIA forman el principio de la crypto híbrida.

La crypto simétrica se puede utilizar en la parte de confidencialidad, integridad e incluso autenticación, pero necesita de claves conocidas por ambos usuarios (emisor-receptor) por lo tanto o saben de antemano dichas claves o se establecen mediante esquemas criptográficos asimétricos los cuales dependen en problemas matemáticos actualmente  irresolubles.

Saludos.

Cualquier experto en materia criptográfica, privacidad y seguridad digital sabe perfectamente que los argumentos expuestos por el señor Andrés Montero (https://twitter.com/theconceptf) son irreales e imposibles de conseguir. Si se implantara dicho sistema en nuestro país volveríamos a la inquisición donde podrías arruinar cualquier vida siendo un ciudadano cualquiera con conocimientos de hacking. A día de hoy, todavía quedan empresas expuestas a vulnerabilidades triviales, además de que la gestión y administración de la criptografía no es un juego de niños y se quiere delegar al usuario/gobierno cuando ni estos son capaces. Perfectos argumentos de un "pseudo-entendido" en la materia.

¿Cómo el CCN-CERT puede dar cabida a este tipo de divulgación? Más trabajar en el futuro post-quántico y menos dejar de tratar de controlarnos a todos.

Eso y solo eso es la causa de que haya más enfermeras que enfermeros y más informáticos que informáticas...

Creo que habrá personas que jamás entenderán estas diferencias, por que nosotrEX somos igualEX en todo, por lo tanto todEX deberíamos estudiar lo mismo en un mismo porcentaje y los hombres bajarnos el sueldo pa ellas (ironía no denuncien por favor xD).

En algo si que tiene razón el artículo, mucha lucha feminista pero luego no estudían carreras técnicas y significará un atraso en el progreso de las mujeres de cara a un futuro fuertemente marcado por la tecnología. Pensaba que ya nadie lo diría en prensa. Yo estoy con vosotras siempre que seais realistas y que os deis cuenta que el cambio y el poder se consiguen con esfuerzo y trabajo y no con marchas nacionales y manifestaciones burdas.

Saludos.

Un disco duro con patas. De poco sirve tener todos los conocimientos del mundo si no se saben aplicar. No sé si le daría tiempo a desarrollar su capacidad cognitiva si dedica tanto tiempo a aprender cosas de memoria.

En mi opinión una ingeniería eléctrica no es para discos duros con patas. Realmente tienes que entender los principios básicos y después saber aplicarlos para más tarde seguir aprendiendo y aplicando técnicas más avanzadas. Es verdad que al salir de la carrera la norma es no tener ni puñetera idea de nada, pero eso sólo les pasa a los mediocres.

La pena es que es sólo un niño y la infancia por la borda, tenderá a sufrir todo tipo de vaivenes emocionales en su época adulta. Lo bueno es que a esta temprana edad podrá rendir al nivel de un experto adulto.

Pero por muy prodigio que sea no quiere decir que vaya a ser mejor que nadie en el campo, es simplemente la sociedad pensando que los prodigios son el "mesías"

Saludos.

¿Y por eso es valido hablar de ella en esa forma? Para ser alguien que, como dices tú, no es nadie... me parece raro que amerite este tipo de reacciones. Una niña de 16 años se toma tiempo fuera de la escuela para acusar a políticos de un problema que se venía venir hace 30 años y la gente se vuelve loca.

¿Ah pero si estuviera hablando del desempleo en España?

Intentar comprender las críticas vistas en Twitter (sobre cualquier tema), es "buscar tres patas al gato". Donde no hay, no se puede sacar.

Será una chiquilla, puedes estar a favor o en contra, pero su mensaje aun así es claro y las cumbres un fracaso. Y como todo es un fracaso y Twitter un lugar frecuentado por fracasados, por lógica, el fracaso tiende al fracaso y es la única explicación racional que se me ocurre para justificar la mala habladuría de algun@s

Desde el odio y descontento más interno de mi ser hacia esta sociedad, saludos!

P.D = Cuando firmen EEUU, la URSS (ósea Rusia xD) y China entonces se podrá dar un cambio.

Lo mejor es que metas cada explicación en categorías conjuntas, por lo que he leído del post has puesto todas tus ideas juntas y luego mezclas, confundiendo a tus lectores.

Puedes tratar primero el existencialismo, determinismo y el ser. Tema justicia, felicidad y libertad lo puedes explicar más tarde haciendo conexiones con el existencialismo o incluso haciendo mezclas, pero que al lector le quede bastante claro el porque de la conexión y donde puede encontrar las definiciones previas (por cápitulo, sección-subsección...).

Es tarea ardua, necesitas seccionarlo bastante para que tenga una coherencia fuera de tu cabeza. En nuestra cabeza por mucho chaos que parezca que tengamos mantenemos el orden exacto, harmónico y perfecto, pero expresarlo es complejo.

Saludos.

Bueno si tu objetivo es permanecer en España y trabajar en equipos sólo con hispanohablantes, pues quizá puedas escurrir el bulto y no aprender el Inglés, pero jamas prescindir, pues la buena info está en ese idioma. Ahora, ¿cuándo te toque trabajar con compañeros que programan en inglés que harás? Es retórica, supongo que al fin y al cabo lo acabarás entendiendo pues no necesitas tener un nivel de inglés altísimo para leer docu de programación (APIs, libs, rutinas o algoritmos etc ) o cualquier código.

Ahora si algún día cambias de mentalidad y objetivo y te propones estar al día de las tecnologías empleadas en la programación te tocará tener un buen nivel de inglés y saber expresarte de buena forma para comunicarte en foros para pedir info o rellenar tickets etc

Cualquier cosa en informática es mejor saberla en Inglés, no vas a andar traduciendo los términos y acrónimos jaja y además que suenan penosos en castellano. Yo sólo me límito hablar castellano, ni escribo ni leo castellano desde hace más de 1 lustro y eso que leo y escribo todos los días, ¿en qué idioma será? Efectivametne inglés. En programación debería de ser así, en cualquier carrera te forzarán a que lo aprendas, sé que no es de gusto para todos y por eso intento no hatear o "odiar" a esa gente que se auto-limita.

Saludos.