Re: [øŧ] esborrar certificat

To: debian-user-catalan@lists.debian.org
Subject: Re: [øŧ] esborrar certificat
From: Eloi Notario <entfe001@gmail.com>
Date: Wed, 28 Sep 2011 19:42:16 +0200
Message-id: <[🔎] 201109281942.16243.entfe001@gmail.com>
In-reply-to: <[🔎] 201109200835.05642.marc.olive@blauadvisors.com>
References: <[🔎] 20110905183825.2e42aafff13eb677713c3df4@telefonica.net> <[🔎] 201109200835.05642.marc.olive@blauadvisors.com>

A Dimarts, 20 de setembre de 2011 08:35:05, Marc Olive va escriure:
> On Monday 05 September 2011 18:38:25 hubble wrote:
> > La cosa és que suposo que sabeu que els nostres Navegadors web (no només
> > en iceweasel) Vénen Amb UNS certificats de Seguretat de diverses
> > empreses certificadores.
> 
> Hackers break SSL encryption:
> Researchers have discovered a serious weakness in virtually all websites
> protected by the secure sockets layer protocol that allows attackers to
> silently decrypt data
> 
> http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
> 
> I ara què, eh? Ja ho deia jo que el problema dels certificats era menor.
> 
> Apa, a cascarla.

Aquí estem parlant de dos problemes totalment diferents. Un és el de la 
confiança implícita en unes entitats certificadores de les quals l'usuari 
final no en sap res, i a més estan plagades de clàusules d'excepció de 
responsabilitat: "jo firmo això, però si no és qui diu qui és és el teu 
problema, no el meu". Això és simplement patètic.

Aquesta última notícia és detectar un text xifrat que es repeteix amb molta 
freqüència com a base per a un criptoanàlisi del xifratge. Els alemanys amb la 
seva Enigma estaven tan confiats que es dedicaven a enviar butlletins 
meteorològics diaris xifrats, que eren interceptats sistemàticament i 
analitzats a la recerca de patrons per identificar parts del text clar ("las 
dos y sereno"). Segurament haurien acabat trencant-la, però van aconseguir 
robar una codificadora i ja no els va fer falta seguir per aquest camí :-)

Però aquí també tenim patetisme: llegeixo que d'això ja se n'havia parlat deu 
anys enrere (!) [1] però que si uns aplicaven el pedaç però d'altres no 
aleshores no s'entenien entre ells, i clar, el problema era qui havia fet el 
canvi perquè s'havia carregat una cosa que abans funcionava...

El que vull dir amb això és que aquest problema és solucionable, ara que s'ha 
aixecat la llebre el pas a TLS 1.1 serà més ràpid. Clients implementaran el 
suport i a la llarga bloquejaran TLS 1.0 (i SSL de pas) per insegur, servidors 
començaran a servir TLS 1.1 i a la llarga deixaran de servir amb TLS 1.0 quan 
suposi una quota ínfoma de connexions. És un upgrade a banda i banda.

El problema de la confiança dels certificats és "social", sempre hauràs de 
confiar en algú a qui no coneixes perquè et presenti a algú que tampoc 
coneixes però amb qui vols fer tractes. Una xarxa de confiança a l'estil PGP 
és impràctic a gran escala, per haver d'establir confiança amb suficients 
agents com per refiar-te de totes les claus veraces: al final la gent acabaria 
firmant claus a tort i a dret per evitar alertes de desconfiança i seria 
impossible discernir les firmes responsables de les altres.

[1] http://www.openssl.org/~bodo/tls-cbc.txt

Reply to:

References:
- [øŧ] esborrar certificat
  - From: hubble <hubble@telefonica.net>
- Re: [øŧ] esborrar certificat
  - From: Marc Olive <marc.olive@blauadvisors.com>

Prev by Date: Re: Expedent X (org)
Next by Date: Re: Expedent X (org)
Previous by thread: Re: [øŧ] esborrar certificat
Next by thread: Re: [øŧ] esborrar certificat
Index(es):
- Date
- Thread