[MASOCH-L] Sipvicious

Durval Menezes durval at tmp.com.br
Fri Apr 25 14:52:53 BRT 2014 

Prezado Bruno,

On Fri, Apr 25, 2014 at 01:37:53PM -0300, Bruno Cabral wrote:
> Pode nao ter parecido mas eu concordo plenamente com o seu ponto de vista.

Bom, estamos de pleno acordo entao ;-)

> Mais ainda, como ja se sabe que a NSA esta implementando backdoors direto
> no codigo dos chips, que sao inauditaveis, nem com software aberto se est?
> mais a salvo.

Acho muito pouco provavel que seja possivel implementar um "backdoor
no chip".  O que eles podem fazer e' enfraquecer algumas funcoes
criptograficas do mesmo, notadamente o gerador em hardware de numeros
aleatorios (o que permitiria comprometer as chaves de sessao em "conexoes"
protegidas por criptografia publica, por exemplo SSL, TLS ou IPSEC),
mas e' relativamente facil se evitar isso: e' so' usar outras fontes de
entropia no lugar da funcao do chip.

Ate' mesmo as demais funcoes de criptografia do chip (ex: AES-NI) sao
facilmente validadas, basta rodar os casos de teste padrao para o algoritmo
em questao. 

E' mais facil o proprio algoritmo estar comprometido, como eu suspeito
fortemente que seja o caso do AES; mas ai' e' so' usar outro algoritmo
(meu preferido em termos de seguranca e' o 3k3DES).

Um Grande Abraco,
-- 
  Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)


> !3runo
> 
> > Bruno: ninguem garante que *somente* a NSA saiba; se o furo esta' la', 
> >        e' questao de tempo ate' ser descoberto por alguem que ira' vender
> >        a falha no mercado de "zero days" para o proximo ataque em massa
> >        a la Zeus ou similar. Questoes de privacidade `a parte, na minha
> >        opiniao o grande problema do "conchavo" entre os fabricantes de 
> >        produtos fechados e a NSA e' que ele praticamente garante que 
> >        os problemas vao permanecer no codigo eternamente enquanto nao 
> >        forem descobertos (e utilizados) por terceiros... o que IMNSHO
> >        mais uma vez demonstra que nao e' possivel construir estruturas
> >        de informacao realmente seguras utilizando produtos fechados.
> > 
> > Um Grande Abraco,
> > -- 
> >   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)
>  		 	   		  
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list