Cita de: Orubatosu en 24 Junio 2016, 09:44 AM
Y por otro lado "la NSA lo mira todo"
Bueno este es mi tema... PRISM, Bullrun, Dual ECDRBG y un largo etc. La NSA revisa los estándares criptográficos propuestos por el NIST, dónde el NIST cumple el FIPS. Los expertos académicos revisaron y siguen revisando dichos estándares y cada año proponen cambios sobre los mismos. Os recuerdo que en los años 90 la criptrografía estaba regulada de forma mundial por la NSA, y si tu proyecto utilizaba dichas primitivas y estabas fuera de USA, tenías que rebajar tu tamaño de clave al específicado en las suites EXPORT (más o menos la mitad de la clave en bits).
Que no inspeccionen nuestra información privada y confidencial, no quiere decir que sean capaces de hacerlo. Primero tienen que romper la crypto o bien PKI, pero si ellos se aseguran de revisar y aprobar los estándares, no sé que dificultad encontrarán para este propósito. Un ejemplo es https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography
Y bueno me podría tirar horas y horas hablando. Pasaros por el foro de crypto que hace tiempo arget y yo debatimos este maravilloso tema de forma técnica sin saltarnos nada.
Para terminar y dejarlo bien claro, esta fue la respuesta del NIST sobre las críticas de aquellos que decían que permitieron a la NSA introducir una vulnerabilidad en ECDRBG:
Citar"NIST works to publish the strongest cryptographic standards possible" and that it uses "a transparent, public process to rigorously vet our recommended standards".[21] The agency stated that "there has been some confusion about the standards development process and the role of different organizations in it...The National Security Agency (NSA) participates in the NIST cryptography process because of its recognized expertise. NIST is also required by statute to consult with the NSA."[22] Recognizing the concerns expressed, the agency reopened the public comment period for the SP800-90 publications, promising that "if vulnerabilities are found in these or any other NIST standards, we will work with the cryptographic community to address them as quickly as possible".
Saludos!