A Dimarts, 20 de setembre de 2011 08:35:05, Marc Olive va escriure: > On Monday 05 September 2011 18:38:25 hubble wrote: > > La cosa és que suposo que sabeu que els nostres Navegadors web (no només > > en iceweasel) Vénen Amb UNS certificats de Seguretat de diverses > > empreses certificadores. > > Hackers break SSL encryption: > Researchers have discovered a serious weakness in virtually all websites > protected by the secure sockets layer protocol that allows attackers to > silently decrypt data > > http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/ > > I ara què, eh? Ja ho deia jo que el problema dels certificats era menor. > > Apa, a cascarla.
Aquí estem parlant de dos problemes totalment diferents. Un és el de la confiança implícita en unes entitats certificadores de les quals l'usuari final no en sap res, i a més estan plagades de clàusules d'excepció de responsabilitat: "jo firmo això, però si no és qui diu qui és és el teu problema, no el meu". Això és simplement patètic. Aquesta última notícia és detectar un text xifrat que es repeteix amb molta freqüència com a base per a un criptoanàlisi del xifratge. Els alemanys amb la seva Enigma estaven tan confiats que es dedicaven a enviar butlletins meteorològics diaris xifrats, que eren interceptats sistemàticament i analitzats a la recerca de patrons per identificar parts del text clar ("las dos y sereno"). Segurament haurien acabat trencant-la, però van aconseguir robar una codificadora i ja no els va fer falta seguir per aquest camí :-) Però aquí també tenim patetisme: llegeixo que d'això ja se n'havia parlat deu anys enrere (!) [1] però que si uns aplicaven el pedaç però d'altres no aleshores no s'entenien entre ells, i clar, el problema era qui havia fet el canvi perquè s'havia carregat una cosa que abans funcionava... El que vull dir amb això és que aquest problema és solucionable, ara que s'ha aixecat la llebre el pas a TLS 1.1 serà més ràpid. Clients implementaran el suport i a la llarga bloquejaran TLS 1.0 (i SSL de pas) per insegur, servidors començaran a servir TLS 1.1 i a la llarga deixaran de servir amb TLS 1.0 quan suposi una quota ínfoma de connexions. És un upgrade a banda i banda. El problema de la confiança dels certificats és "social", sempre hauràs de confiar en algú a qui no coneixes perquè et presenti a algú que tampoc coneixes però amb qui vols fer tractes. Una xarxa de confiança a l'estil PGP és impràctic a gran escala, per haver d'establir confiança amb suficients agents com per refiar-te de totes les claus veraces: al final la gent acabaria firmant claus a tort i a dret per evitar alertes de desconfiança i seria impossible discernir les firmes responsables de les altres. [1] http://www.openssl.org/~bodo/tls-cbc.txt -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201109281942.16243.entfe...@gmail.com