Em 16/12/2010, às 12:52, Jean Everson Martina escreveu: > >>>> Estou postando no meu twitter, http://twitter.com/eksffa, os links mais >>>> relevantes. Tem coisa boa la sendo dita, acho bacana uma lida previa pra >>>> respaldar opiniões, pessoais e profissionais. >>>> >>>> O des@ até ofereceu dinheiro se alguém mostrar alguma evidencia. A opinião >>>> geral é de incredulidade especialmente pelo codigo estar ai, e ninguém ve >>>> nada nele. >>> >>> O problema é que talvez isso demande não programadores para ver, mas >>> cryptanalistas. Pode ser simplesmente uma variação da famosa lei do Arthur >>> C Clarke: >>> >>> "Any sufficiently advanced malice is indistinguishable from stupidity." >> >> Bom, estamos falando de pessoas como o amigo pessoal do Theo, Bruce >> Schneier, o proprio Theo, o Angelos, Niels PRovos e o J. Wright (e até o DJB >> nas horas vagas, reconhecidamente da pitaco) Alguns matemáticos por formação >> e todos os citados especialistas, em criptografia. Alguns dispensam >> apresentação (Schneier, Wright). Uma equipe dessas, deve ser suficiente pra >> encontrar algo suspeito se houver ;-) > > Esse que é o problema, mesmo com os melhores dos melhores disponíveis você > não pode garantir que não existe o backdoor. A história já mostrou isso no > caso dos ataques diferenciais do DES. A comunidade cientifica levou quase > trinta anos pra achar os ataques diferenciais e quando vieram a tona, a NSA > disse ja conhecer desde quando o DES foi introduzido em 1977. Nunca foi > provado, mas houve esta afirmação. > > O problema é que o backdoor pode não ter nada a ver com o que é conhecido e > disponível na comunidade científica atualmente. Inclusive nem ter nada a ver > com o código e ser um zero day critográfico. Eu conversei com o Robert > Watson hoje e a discussão foi muito nesse sentido. Se foi realmente bem > feito, num tem como detectar. Só o cara que falou é que pode confirmar e > mostrar o bug introduzido e se o cara ficar quieto, nem mesmo ele desmentindo > vai convencer os paranóicos.
Concordo com a dificuldade implicita, mas uma coisa é algo estar la, e ninguém desconfiar que pode haver um comportamento determinístico diferente do que aparentemente um algorítimo se propõe, por hipótese ou insight. Outra coisa é alguém apontar o dedo, e ainda assim pessoas tão ou mais capacitadas quanto as que fizeram, não encontrarem sequer uma hipótese, mesmo sem PoC, e remove-las. > O problema não tem nada a ver com o modelo opensource, mas com alguém > deliberadamente projetar um backdoor. Se foi bem feito vai permanecer ali > para sempre. Certamente ser open source é a vantagem, não o problema. A questão é que não é preciso encontrar, determinar e reproduzir. É identificar a hipótese, mitigar ou desviar. Como se trata um bug, a hipótese é suficiente pra demandar correção/mitigação não é necessário confirmar o PoC, não é preciso reproduzir. -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
