Cargo actual:Index > La comprensión de cifrado: Aquí está la clave

La comprensión de cifrado: Aquí está la clave

Actualizado:08-14Fuente: consolidación de la red
Advertisement

Hemos crecido acostumbrado a las noticias sobre las amenazas cibernéticas y las intrusiones electrónicas. Pero Edward Snowden ha hecho más para interrumpir nuestras suposiciones acerca de la privacidad y seguridad en línea en el último par de meses que cualquier número de titulares sobre los piratas informáticos.

El ex contratista de la Agencia de Seguridad Nacional, según los informes, ahora viven bajo el radar en Rusia, ha lanzado increíblemente documentos reveladores a los medios de comunicación que parecen demostrar un esfuerzo deliberado y sistemático por parte de Estados Unidos y los servicios de inteligencia del Reino Unido para socavar las garantías más básicas ciudadanos privados y corporaciones utilizan para proteger sus datos.

Esas salvaguardias se conocen como el cifrado, una herramienta Snowden mismo ha dicho que es clave para la seguridad en línea.

He aquí por qué los asuntos de cifrado, cómo se enfrentan más amenazas que nunca, y lo que podemos hacer al respecto.

Inseguro a cualquier velocidad Informática

El conjunto más reciente de documentos , ahora poco a poco de ser liberado por los contactos con los medios de Snowden en todo el mundo, parecen indicar que la NSA de los EE.UU. ha ingeniado para hacer el cifrado, una herramienta utilizada para ocultar los datos y texto, completamente inútiles.

Pero resulta que, si bien la NSA puede haber comprometido algunas normas técnicas específicas para el cifrado, la noción más amplia de cifrado, aplica correctamente, sigue siendo válida.

Para tener una idea de cómo funciona el cifrado, ayuda a ver realmente lo que el texto cifrado se parece. El siguiente texto, por ejemplo, se cifra usando Mecánico texto , una herramienta basada en Web que utiliza el algoritmo de cifrado Tiny y Base64, un esquema de codificación de letras y números. Se ve bastante extraño, pero si usa la contraseña proporcionada al final de este artículo, entonces usted puede traducir esto de nuevo en palabras inglesas en texto Mecánico.

8WAtp8nUEOrzSu67t9tGITEzIdgr6huIpXqofo0rv2w9y3DzSu67t9tGITEzIdgr6huIpXqoTzARKuumMLuyHlGrWvGXy8acawjyliExMCHCfRU9VzlAipW4HFMVN3XZixDAw4EcmBHnnJozJYoPgheWYx3P1S11TEADaLlKVO5bXyBhEPQu6Z4jdUAdnHUkRuKBuHoCcU0hMTIhTzyYriExMCEI84A=

Esto puede parecer un galimatías incomprensible. Y, sin embargo, debido a la forma en que he codificado, usted podría romperlo, dado el tiempo suficiente o la potencia de cálculo o el engaño. (La forma más sencilla sería la de conseguir que me regalan la contraseña.)

En este ejemplo, he utilizado el cifrado de clave simétrica, donde se utiliza la misma clave de cifrado o una contraseña para ambos datos de codificación y decodificación.

El uso de encriptación simétrica, una cuerda de un mensaje de texto corto de datos o un archivo de datos enteras tiradas aunque un programa de cifrado como el usado en el texto del mecánico. Puede proporcionar la contraseña usted mismo, o tener el programa de cifrado proporcionar la contraseña o clave. A veces, la clave puede incluso tomar la forma de un archivo de datos independiente en sí.

Cuando el archivo cifrado se le da a un destinatario, pueden utilizar la clave de cifrado para "desbloquear" el documento codificado y descifrar en texto plano o un archivo legible. Pero esto expone una falla de seguridad en este método: De alguna manera u otra, la clave de cifrado tiene que ser entregado al destinatario, también, de lo contrario los datos cifrados se quedará cifrada. Una contraseña enviada como texto sin formato es un riesgo inherente: Si está interceptado, las comunicaciones cifradas se vuelven presa fácil.

Usted podría cifrar la contraseña con otra contraseña y enviar el resultado, pero luego de que la contraseña se convierte en el punto débil.

Custodia de secretos Por Going Public

Para tapar este agujero de seguridad, las transacciones en línea más seguros ahora utilizan una variante de lo que se conoce como cifrado asimétrico o el cifrado de clave pública. Cifrado de clave pública utiliza dos claves para el bloqueo y la apertura de los datos: una clave pública que se comparte con nadie, y una clave privada que se queda con el remitente de los datos cifrados.

Para ilustrar la mecánica de cifrado asimétrico, usaremos dos celebridades clásicos de la tierra de la criptografía, Alice y Bob. Alice y Bob han utilizado para explicar cómo funcionan las comunicaciones seguras ya que la introducción de la criptografía de clave pública en 1978 . (La pareja, debe tenerse en cuenta, son una pareja en lugar bullicioso , con una serie de personajes secundarios, como Eva, la fisgón, y Víctor, el validador.)

En una transacción asimétrica, Alice pide Bob enviar su clave pública a ella a través de un correo electrónico. En el mundo de cifrado, el correo electrónico se considera inseguro-que puede ser interceptado y leído. Bob puede usar el correo electrónico porque está simplemente enviando Alice su clave pública. Su clave privada se mantiene en gran medida a sí mismo.

Después de Alice recibe la clave pública de Bob, ella lo utiliza para cifrar el archivo que planea enviar a Bob. Una vez que lo envía, entonces puede descifrar el archivo con su clave privada para leerlo.

Si el paso de los datos se invierte, entonces Bob tendrá que obtener la clave pública de Alice antes de que pueda enviar archivos cifrados o mensajes a ella.

El beneficio immedate de cifrado de clave pública es evidente: Ni Alice ni Bob jamás enviaron sus claves privadas altamente secretas en el claro. Sólo las llaves -los públicos que se utilizan para cifrar datos están a la intemperie. Y la clave pública no puede ser analizada para averiguar la clave privada .

Si Eva, la que escucha a escondidas, intercepta los mensajes, no puede descifrar ellos, ya que ella no tiene las claves privadas de Alice o de Bob.

Si Bob alguna manera dejó a Eva conseguir ahold de su clave privada, después Eva sería capaz de leer los mensajes de Alice y envió los datos a Bob, con el previsible malos resultados . Pero Eva sólo ver un lado de esta conversación, porque ella también necesitaría la clave privada de Alice para ver lo que Bob había enviado a Alice.

La seguridad del Bazar

Cuando usted compra algo en Internet, o realizar transacciones bancarias en un sitio web financiero, cifrado está muy implicada. Al menos, es mejor que sea.

Usted puede ver si está utilizando comunicaciones cifradas seguras dentro de su navegador, por lo general por la presencia de un icono de candado en la barra de URL y "https: //" en la primera parte de la dirección del sitio web. La "s" significa seguro, y si usted no ve que una pequeña carta en un sitio con el que usted está a punto de llevar a cabo una transacción financiera, detener lo que está haciendo: Su información financiera, incluyendo sus datos bancaria o tarjeta de crédito , está en riesgo de ser interceptados.

Si el cifrado se utilizó inicialmente para las transacciones en línea, basados ​​en el navegador, se utiliza el protocolo SSL (Secure Sockets Layer). En estos días, que la tecnología ha sido reemplazado por el protocolo Transport Layer Security (TLS), que es considerado como más seguro.

TLS utiliza una combinación de métodos claves simétricas y asimétricas, al igual que SSL antes de que, para completar una transacción de comercio electrónico. Cuando Alice quiere comprar Bob algo en un sitio web que vamos a llamar a este sitio de ficción "Danubio" -ella visitarán el sitio, encontrar el artículo que quiere comprar, y comenzar la operación. Su navegador solicitará una página segura de Internet del Danubio servidor se puede decir por los "https: //" cadena en la dirección Web.

El servidor envía Danubio navegador de Alice su clave pública, así como un certificado. Los certificados son emitidos por proveedores de confianza conocidos como autoridades de certificación. Certificados están ahí para asegurarse de que el sitio que se visita es de hecho el sitio que pretende llevar a cabo la transacción financiera. Asegura a Alice que el sitio que está visitando es realmente la tienda online de Danubio, y no una copia falsa diseñada para parecerse a ella.

Una vez que el navegador de Alice ha confirmado la autenticidad del sitio, utiliza la clave pública del Danubio para cifrar una clave aleatoria propia. Se trata de una antigua clave simétrica, de esos que es vulnerable a la interceptación, pero está protegido por una clave asimétrica, público. Esta clave se envía al servidor Danubio, junto con otros datos desde el navegador que también se cifra usando la clave simétrica.

Cuando el servidor Danubio recibe la información desde el navegador, la siguiente cosa que hace es desencriptar la clave simétrica cifrada utilizando su clave privada. Una vez que se libera la clave simétrica, esa clave está, a su vez utiliza para descifrar los otros datos del navegador enviado.

En este punto, tanto el navegador de Alice y el servidor del Danubio tienen una copia de la clave simétrica que el navegador de Alice creado y seguirá utilizando esa clave para cifrar todos los datos restantes pasaron de ida y vuelta entre Alicia y el Danubio hasta que la transacción se ha completado.

Las llaves de la Solución

A pesar de que las claves tanto simétricas y asimétricas de uso de cifrado para cifrar y descifrar datos, cada uno de ellos utilizan diferentes métodos para generar dichas claves. Generación de claves es muy importante, porque las llaves tienen que ser verdaderamente al azar, con el fin de asegurarse de que ninguna máquina puede fácilmente averiguar lo que la clave está en medio de conjeturas matemática.

Simétricos rompe el cifrado de datos en bloques más pequeños en un método llamado bloque de cifrado. Bloque de cifrado mueve letras en los datos, convierte la información dentro de un bloque en números, comprime y expande los datos, y se ejecuta esos números a través de fórmulas matemáticas, que incluyen la clave.

Un algoritmo de cifrado de clave pública tiene un enfoque que utiliza un valor hash para cifrar los datos. Con valores de hash, los datos se trata como un número grande, que se multiplica por otro número muy grande, y el resto calculado después de dividir los datos con un tercer número muy grande. Ese resto se convierte en texto.

Esto sería casi imposible de realizar ingeniería inversa, porque sin conocer ninguno de los factores en la fórmula número original se multiplica (que representa los datos reales), el multiplicador o el denominador no hay prácticamente ninguna posibilidad de que usted va a obtener el algoritmo. No se trata de pequeñas cantidades, ya sea: los valores hash vale nada en estos días son 128 bits de longitud, lo que da 3,4 billones de billones de billones de billones de combinaciones. Y hay mucho más seguros algoritmos hash por ahí, que usan valores 192- o 256 bits en sus algoritmos.

Fuerte vs. Débil

La reciente noticia de que la Agencia de Seguridad Nacional de Estados Unidos ha descubierto la manera de moverse por la encriptación podría llevar a preguntarse si la agencia secreta ha logrado construir computadoras lo suficientemente poderosas para bruta forzar su camino a través de cualquier algoritmo de cifrado conocido.

En realidad, ese no es el caso.

En cambio, la NSA está utilizando otras maneras de hacer que discutible cifrado, en realidad no romperlo al por mayor. Por ejemplo, si una agencia de inteligencia eran para obtener las claves de cifrado privados utilizados por un proveedor de servicios de Internet y sus usuarios, entonces podrían descifrar datos de usuario con facilidad.

O, como revelaciones recientes muestran , la NSA podría trabajar con los proveedores de software de seguridad comerciales para debilitar a los algoritmos de cifrado conocidos en formas en que la NSA tarde puede aprovechar. El peligro aquí es que los malos pueden encontrar la manera de aprovechar la misma vulnerabilidad, el riesgo de que ha atraído fuertes críticas por la NSA.

Además de eso, todavía hay algunos algoritmos de cifrado débiles por ahí que la NSA-y casi cualquier otra persona con suficiente tiempo y las computadoras en su manos libres pueden aplastar a fondo con la fuerza bruta.

Software de cifrado de código abierto es considerado como un mundo más seguro, ya que el código que genera los valores hash y cifrado puede ser examinado por cualquier evidencia de sneakiness y puertas traseras.

Comience con los puntos finales

Al final del día, sin embargo, lo que la policía y las agencias de inteligencia quieren, pueden conseguir. Todo el cifrado en el mundo no tiene una pizca de diferencia si su ordenador ha sido comprometido y datos y mensajes se puede examinar la derecha de su disco duro o su cuenta en la nube de almacenamiento antes de que se cifran. Las contraseñas débiles, la ingeniería social y descargar el malware son maneras fáciles para que cualquiera pueda llegar a su sistema y sus datos, mucho más simple que juguetear con el cifrado.

Esto es lo que los expertos en seguridad advierten sobre cuando hablan de "vulnerabilidades de seguridad de punto final". Los puntos finales, en la jerga de la seguridad, que significan los dispositivos que realmente usa-ordenadores, tabletas, teléfonos inteligentes y servidores en centros de datos donde se almacenan los archivos.

Ah, y usted puede cifrar sus datos al contenido de su corazón, pero si su contraseña es algo tan simple como (ejem!) ReadWriteHack, entonces si estás apuntado, usted es probablemente vulnerable.

La buena noticia, si hay alguna, es que el cifrado en sí, cuando lo suficientemente fuerte, todavía funciona y puede incluso mantener la NSA en la bahía. Entonces uno se queda con una tarea aún más compleja: mantener todas las máquinas que se utilizan para conectarse a Internet seguro.

  • La comprensión de cifrado: Aquí está la clave Actualizado:08-14

    Hemos crecido acostumbrado a las noticias sobre las amenazas cibernéticas y las intrusiones electrónicas. Pero Edward Snowden ha hecho más para interrumpir nuestras suposiciones acerca de la privacidad y seguridad en línea en el último par de meses q

  • Usuarios de Mac y iOS, aquí está cómo instalar ese importante revisión de seguridadUsuarios de Mac y iOS, aquí está cómo instalar ese importante revisión de seguridad Actualizado:03-15

    Coge tus dispositivos iOS y OS X - esto es una actualización de seguridad que no puede permitirse el lujo de ignorar. De acuerdo con un estudio realizado por Chitika dado a conocer ayer, sólo el 25,9% de los usuarios han actualizado su sistema operat

  • Vine para Android ya está disponible, Aquí está cómo usarloVine para Android ya está disponible, Aquí está cómo usarlo Actualizado:04-19

    Vine para Android, por fin está disponible. La aplicación de propiedad de Twitter le permite crear vídeos de bucle corto y subirlas al servicio de microblogueo. Escribimos acerca de la aplicación cuando salió para el iPhone, y ahora aquí está una mir

  • Never Mind the Valley: Aquí está ParísNever Mind the Valley: Aquí está París Actualizado:07-20

    Si usted es capaz de ver más allá de las viejas piedras de París y los pintorescos pueblos rurales, se dará cuenta de que Francia es tan tecnológicamente avanzado que cualquier otro país occidental - más aún en algunas zonas. No sólo el país con un m

  • Aquí está Touch-Optimizado Office para WindowsAquí está Touch-Optimizado Office para Windows Actualizado:10-30

    Microsoft desató una oleada de nueva bondad Oficina de hoy, el anuncio de una versión preliminar de Office para tabletas Android, nuevas aplicaciones de Office para iPhone y aplicación de Office actualizada para el iPad, además de las capacidades de

  • Aquí está nuestra guía completa para Windows 8Aquí está nuestra guía completa para Windows 8 Actualizado:02-04

    Durante esta temporada de vacaciones, que muchos de ustedes va a obtener nuevas computadoras de escritorio y portátiles, y lo más probable es, que vendrá con Windows 8 pre-instalado en él. Si vienes desde el entorno de Windows 7, te estás preguntando

  • Aquí está una analogía Mostrando Por qué la cinta parece mejor [diversión]Aquí está una analogía Mostrando Por qué la cinta parece mejor [diversión] Actualizado:07-05

    El debate en curso sobre la cinta, la interfaz de usuario se utiliza en MS Office ahora comienza su camino en Windows, es sólo va y viene. Debido a esto, Ed Bott ha escrito una interesante analogía tipo de comparación que muestra que hay una razón po

  • Aquí está la manera de ver de Apple Spring Forward livestream en Windows y Android [Actualización] Actualizado:05-25

    Wea € ™ re sólo una hora de distancia de € ™ s Appleâ evento 'Spring Forward', a la que se espera que la compañía para dar a conocer (por segunda vez) a su dispositivo portátil: el reloj de Apple. Y se puede ver el livestream siguiendo estas instrucc

  • Es Ctrl + Enter no funciona en Chrome?  Aquí está la soluciónEs Ctrl + Enter no funciona en Chrome? Aquí está la solución Actualizado:07-09

    Ctrl + Enter tecla de acceso directo que supone añadir www. y .com a nombre del sitio web puede no funcionar para usted en algunos casos, esta combinación de teclas puede te lleva a Google en lugar de la página web, por qué ocurre esto? Cómo hacer Ct

  • Feedly estaba robando su contenido - Aquí está la historia, y su CódigoFeedly estaba robando su contenido - Aquí está la historia, y su Código Actualizado:09-03

    La semana pasada, Feedly lanzó una nueva "característica" controversial - secuestro de enlaces de alimentación para robar el tráfico de millones de bloggers. Reorientación de enlaces compartidos con Feedly al propio punto de vista de Feedly