Re: [øŧ] esborrar certificat
A Dimarts, 20 de setembre de 2011 08:35:05, Marc Olive va escriure:
> On Monday 05 September 2011 18:38:25 hubble wrote:
> > La cosa és que suposo que sabeu que els nostres Navegadors web (no només
> > en iceweasel) Vénen Amb UNS certificats de Seguretat de diverses
> > empreses certificadores.
>
> Hackers break SSL encryption:
> Researchers have discovered a serious weakness in virtually all websites
> protected by the secure sockets layer protocol that allows attackers to
> silently decrypt data
>
> http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
>
> I ara què, eh? Ja ho deia jo que el problema dels certificats era menor.
>
> Apa, a cascarla.
Aquí estem parlant de dos problemes totalment diferents. Un és el de la
confiança implícita en unes entitats certificadores de les quals l'usuari
final no en sap res, i a més estan plagades de clàusules d'excepció de
responsabilitat: "jo firmo això, però si no és qui diu qui és és el teu
problema, no el meu". Això és simplement patètic.
Aquesta última notícia és detectar un text xifrat que es repeteix amb molta
freqüència com a base per a un criptoanàlisi del xifratge. Els alemanys amb la
seva Enigma estaven tan confiats que es dedicaven a enviar butlletins
meteorològics diaris xifrats, que eren interceptats sistemàticament i
analitzats a la recerca de patrons per identificar parts del text clar ("las
dos y sereno"). Segurament haurien acabat trencant-la, però van aconseguir
robar una codificadora i ja no els va fer falta seguir per aquest camí :-)
Però aquí també tenim patetisme: llegeixo que d'això ja se n'havia parlat deu
anys enrere (!) [1] però que si uns aplicaven el pedaç però d'altres no
aleshores no s'entenien entre ells, i clar, el problema era qui havia fet el
canvi perquè s'havia carregat una cosa que abans funcionava...
El que vull dir amb això és que aquest problema és solucionable, ara que s'ha
aixecat la llebre el pas a TLS 1.1 serà més ràpid. Clients implementaran el
suport i a la llarga bloquejaran TLS 1.0 (i SSL de pas) per insegur, servidors
començaran a servir TLS 1.1 i a la llarga deixaran de servir amb TLS 1.0 quan
suposi una quota ínfoma de connexions. És un upgrade a banda i banda.
El problema de la confiança dels certificats és "social", sempre hauràs de
confiar en algú a qui no coneixes perquè et presenti a algú que tampoc
coneixes però amb qui vols fer tractes. Una xarxa de confiança a l'estil PGP
és impràctic a gran escala, per haver d'establir confiança amb suficients
agents com per refiar-te de totes les claus veraces: al final la gent acabaria
firmant claus a tort i a dret per evitar alertes de desconfiança i seria
impossible discernir les firmes responsables de les altres.
[1] http://www.openssl.org/~bodo/tls-cbc.txt
Reply to: