Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos

[Alejandro Vargas]

El 11 de septiembre de 2013 20:41, Carlos H. Matons Cesco cmat...@gmail.com
 escribió:


 Éste sistema es muy parecido a uno muy antiguo que consiste en
 bibliotecas gemelas. X cantidad de libros por duplicado en poder de
 dos personas que quieren comunicarse de manera secreta.

 El mensaje se redacta tomando palabras o letras de los libros que
 componen la biblioteca referenciándolas por n° de libro, n° de página,
 n° de párrafo, n° de línea, n° de palabra y n° de letra si fuese
 necesario.

 Además se pueden establecer como un dato más para aumentar la
 seguridad del sistema ordenes distintos de los volúmenes de la
 biblioteca dependiendo del criterio que a uno se le ocurra
 (alfabético, n° de páginas, etc).


La cosa es que si hace tiempo se dejaron de usar estos cifrados en favor de
otros más matemáticos, supongo que será por algo. Tal vez por comodidad o
tal vez por seguridad.



-- 

Qapla'
Alejandro Vargas

Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos

[Marcos G.]

On Jue 12 Sep 2013 08:08:34 Alejandro Vargas escribió:
 El 11 de septiembre de 2013 20:41, Carlos H. Matons Cesco
 cmat...@gmail.com
 
  escribió:
  
  
  Éste sistema es muy parecido a uno muy antiguo que consiste en
  bibliotecas gemelas. X cantidad de libros por duplicado en poder de
  dos personas que quieren comunicarse de manera secreta.
  
  El mensaje se redacta tomando palabras o letras de los libros que
  componen la biblioteca referenciándolas por n° de libro, n° de página,
  n° de párrafo, n° de línea, n° de palabra y n° de letra si fuese
  necesario.
  
  Además se pueden establecer como un dato más para aumentar la
  seguridad del sistema ordenes distintos de los volúmenes de la
  biblioteca dependiendo del criterio que a uno se le ocurra
  (alfabético, n° de páginas, etc).
 
 La cosa es que si hace tiempo se dejaron de usar estos cifrados en favor de
 otros más matemáticos, supongo que será por algo. Tal vez por comodidad o
 tal vez por seguridad.


Intelligence officials asked The Times and ProPublica not to publish this 
article, saying it 
might prompt foreign targets to switch to new forms of encryption or 
communications that would be 
harder to collect or read. The news organizations removed some specific facts 
but decided to 
publish the article because of the value of a public debate about government 
actions that weaken 
the most powerful privacy tools.

http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-
encryption.html?pagewanted=2campaign_id=132user_id=9f69fdae305e73011d67dbe8d82e2238_r=0segment_id=50109regi_id=66263481%2362;emc=edit_na_20130905%2360;http://p.nytimes.com/email/re?location=4z5Q7LhI%20KVBjmEgFdYACPLKh239P3pgcVRfbCz8BBZgQd4yzpEosN3MMbDsvZ%20HfjrssVPdfVp5ezTj8xcY5dgGQfQYPhDAsj%20%20infYz7aZe2s4ET/OyPpX/%208IElLzDcYCsw3LL/M=instance_id=32000

Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos

[Alejandro Vargas]

El 10 de septiembre de 2013 18:12, Marcos G. mar...@ovejafm.com escribió:

  Hummm.. pensé que hablabas de mandar mensajes secretos que la NSA no
  pudiera descifrar... Nunca me imaginé que propusieras que gran parte de
 la
  población se dedicara a cifrar mensajes utilizando los libros viejos de
 la
  escuela primaria de la abuela.


 Bueno, esa sería una acción posible, modificar las leyes o defender las
 que existan en favor de
 la privacidad, sería otra...


En realidad las leyes están bastante bien a ese respecto. El problema es
que las leyes sólo se aplican a personas. Por ejemplo, las leyes dicen que
está prohibido matar gente. Sin embargo si una empresa es responsable de la
muerte de alguien, como mucho recibe una multa y si es muy alta cierra y
abre con otro nombre y listo. De igual forma, la policía tiene permiso para
hacer cosas que no puede hacer un ciudadano normal. Y ya se ha dicho que lo
que hace la NSA es ilegal. Bueno, en realidad no consideran ilegal que la
NSA te espíe a vos. Lo que es ilegal es que espíen a los estadounidenses.
Pero bueno, esto porque lo destapó un pobre mártir que está en la cárcel.
Porque si no fuera por él... ojos que no ven, leyes que no actúan.


 es eso, o el derrotismo de ellos son superiores, tienen derecho a verlo
 todo y derrotarnos
 (económicamente, políticamente, sentimentalmente, militarmente, etc)


Yo no diría que tienen derecho. Diría que tienen los medios...


 Si, pero descubrir la clave (en este caso, el diccionario, el azar...
 etc.), sería
 complicadísimo, salvo que robes el diccionario (insisto en eso)


Pero la clave tiene que saberla el receptor del mensaje. Mirá lo que pasaba
con los alemanes. Incluso antes de que empezara la segunda guerra mundial,
los polacos compraban a los operadores alemanes cientos de mensajes
cifrados con su correspondiente traducción descifrada. En un sistema como
la máquina Enigma eso los ayudó poco pero en algo como el tuyo posiblemente
permitiría descifrar otros mensajes.



 Hey: es sólo una idea para mostrar que cualquier boludo puede programar
 algo en torno al cifrado,
 existirán 10 mejores softwares, pero si cada programador hiciera
 algo, la complejidad
 sería tremenda para quien quisiera descifrar mensajes


Yo opino que en el TCP/IP se debería incluir una capa de cifrado
automático. Algo así que en el momento de abrir un socket, el mismo kernel
hablara con el kernel del otro lado y tratara de convenir un cifrado entre
ambos.

La comunicación sería vulnerable si alguien obtiene el primer intercambio
de claves, o sea que la NSA podría inteceptarla pero para el resto de los
mortales (que para mi son más preocupantes que la NSA) la seguridad sería
altísima. Lo importante para mi sería que el software pasaría a usar
canales cifrados sin tener que hacer modificaciones.

A demás, dado qeu la mayoría de los routers usan linux, cada uno de ellos
podría encargarse del cifrado y hasta los pobres windozos tendrían
comunicaciones cifradas transparentes.


En eso se basa este algoritmo (y en azar electrónico y humano); sólo que
 propongo seguir usando
 el diccionario mientras no se sospeche que hubiera sido hackeado... es una
 cuestión de comodidad,
 en ese sentido... pero el usuario hace lo que quiera...


Hummm... la fortaleza del one time pad reside en que la clave cambia en
cada mensaje.


 Así que como te
  imaginarás, en lugar de buscar la vulnerabilidad en el cifrado hay que
  buscarla en otra parte.

 en tu pc.


En la del emisor o en la del receptor. O en los papeles que tira a la la
basura. O en las llamadas telefónicas que haga comunicando a otros lo que
le dijiste en el mensaje secreto.


 De todas formas, no deja de ser un cifrado mecánico que puede ser resuelto
  de manera mecánica. Sospecho que el criptoanálisis de un mensaje así
 pasará
  por probar diferentes claves hasta encontrar una que produzca textos
  razonables en varios mensajes.

 puede ser, quisiera verlo... realmente me parece imposible descifrar algo
 tipo libreta de uso
 único


La libreta de uso único es indescifrable siempre y cuando sea realmente de
uso único. Tal vez la debilidad de tu sistema sea cifrar palabras enteras
pero no se, habría que verlo.


  2) Es una bue reto para kriptópolis. Ahí regularmente la gente propone
  retos kriptográficos. Te recomiendo ir a
  kriptópolis.com http://xn--kriptpolis-kbb.com
 http://xn--kriptpolis-kbb.comy mandar el reto.
  Podrías ir agregando todos los días un texto cifrado más
  a ver qué puede hacer la gente que está en el tema con esto.
 

 Muy buen consejo, ahí posteé, pero aún se ve que no lo aprobaron, gracias.


Estaré atento.


 si nadie lo descifra durante un tiempo, explico el algoritmo, y si nadie
 lo descrifra más tarde,
 publico el software

 y si siguen sin descifrar los textos, entonces es buen método.


Yo te recomendaría ir agregando mensajes cifrados nuevos. Incluso los
sistemas de cifrado más tontos son indescifrables cuando hay pocos datos,
pero cuando se acumulan muchos 

Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos

[Andres Morales]

2013/9/11 Alejandro Vargas alejandro@gmail.com

 El 10 de septiembre de 2013 18:12, Marcos G. mar...@ovejafm.com
 escribió:

   Hummm.. pensé que hablabas de mandar mensajes secretos que la NSA no
   pudiera descifrar... Nunca me imaginé que propusieras que gran parte de
  la
   población se dedicara a cifrar mensajes utilizando los libros viejos de
  la
   escuela primaria de la abuela.
 
 
  Bueno, esa sería una acción posible, modificar las leyes o defender las
  que existan en favor de
  la privacidad, sería otra...
 

 En realidad las leyes están bastante bien a ese respecto. El problema es
 que las leyes sólo se aplican a personas. Por ejemplo, las leyes dicen que
 está prohibido matar gente. Sin embargo si una empresa es responsable de la
 muerte de alguien, como mucho recibe una multa y si es muy alta cierra y
 abre con otro nombre y listo.


En realidad, sí, las empresas reciben multas, pero los responsables pueden
ir a la cárcel (
http://www.ideal.es/granada/20130803/local/costa/cardel-para-coordinador-seguridad-201308031130.html
)


 De igual forma, la policía tiene permiso para
 hacer cosas que no puede hacer un ciudadano normal. Y ya se ha dicho que lo
 que hace la NSA es ilegal. Bueno, en realidad no consideran ilegal que la
 NSA te espíe a vos. Lo que es ilegal es que espíen a los estadounidenses.
 Pero bueno, esto porque lo destapó un pobre mártir que está en la cárcel.
 Porque si no fuera por él... ojos que no ven, leyes que no actúan.


Es lógico, ya que si no se ha probado la existencia de algo no puede
legislarse.



  es eso, o el derrotismo de ellos son superiores, tienen derecho a verlo
  todo y derrotarnos
  (económicamente, políticamente, sentimentalmente, militarmente, etc)
 

 Yo no diría que tienen derecho. Diría que tienen los medios...


  Si, pero descubrir la clave (en este caso, el diccionario, el azar...
  etc.), sería
  complicadísimo, salvo que robes el diccionario (insisto en eso)
 

 Pero la clave tiene que saberla el receptor del mensaje.


El mayor problema de ese cifrado es ese, si el receptor no sabe la clave,
no puede descifrar. Por eso es preferible el cifrado asimétrico, ya que no
se transmite la clave de descifrado por ningún medio.


 Mirá lo que pasaba
 con los alemanes. Incluso antes de que empezara la segunda guerra mundial,
 los polacos compraban a los operadores alemanes cientos de mensajes
 cifrados con su correspondiente traducción descifrada. En un sistema como
 la máquina Enigma eso los ayudó poco pero en algo como el tuyo posiblemente
 permitiría descifrar otros mensajes.


 
  Hey: es sólo una idea para mostrar que cualquier boludo puede programar
  algo en torno al cifrado,
  existirán 10 mejores softwares, pero si cada programador hiciera
  algo, la complejidad
  sería tremenda para quien quisiera descifrar mensajes
 

 Yo opino que en el TCP/IP se debería incluir una capa de cifrado
 automático. Algo así que en el momento de abrir un socket, el mismo kernel
 hablara con el kernel del otro lado y tratara de convenir un cifrado entre
 ambos.

 La comunicación sería vulnerable si alguien obtiene el primer intercambio
 de claves, o sea que la NSA podría inteceptarla pero para el resto de los
 mortales (que para mi son más preocupantes que la NSA) la seguridad sería
 altísima. Lo importante para mi sería que el software pasaría a usar
 canales cifrados sin tener que hacer modificaciones.


Muy buena idea. Y se podría hacer con clave pública y privada. El mismo
kernel podría generarlas y firmar el mensaje antes de enviarlo.


 A demás, dado qeu la mayoría de los routers usan linux, cada uno de ellos
 podría encargarse del cifrado y hasta los pobres windozos tendrían
 comunicaciones cifradas transparentes.


Sí... de hecho le llegaría a la NSA también cifrado el mensaje así que
nadie podría leerlo, salvo, obviamente la NSA. jajaja



 En eso se basa este algoritmo (y en azar electrónico y humano); sólo que
  propongo seguir usando
  el diccionario mientras no se sospeche que hubiera sido hackeado... es
 una
  cuestión de comodidad,
  en ese sentido... pero el usuario hace lo que quiera...
 

 Hummm... la fortaleza del one time pad reside en que la clave cambia en
 cada mensaje.


Efectivamente, salvo que el diccionario mutara. Por ejemplo:

Podrías pasarle el software de encriptación/desencriptación a tu receptor
con el siguiente mensaje: 978143911702628.

Que indicaría: ISBN 9781439117026 páginas 2 a 8, o sea Hamlet, editorial:
Simon  Schuster Adult Publishing Group

1. El receptor cargaría la página 2 a 8 de ese libro al diccionario del
software.

2. El receptor mandaría un primer mensaje afirmando que pudo hacer la carga
del diccionario.

3. Ambos, emisor y receptor, cargarían el mensaje descifrado al diccionario
del sistema, con lo cual el diccionario haría su primer mutación.

4. Cuando el emisor mandara una respuesta, repetiría el paso 3.

Por cada mensaje, el diccionario realizaría una mutación.

La única forma de descifrar un 

Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos

[Alejandro Vargas]

El 11 de septiembre de 2013 14:27, Andres Morales
kijot...@yahoo.com.arescribió:

 En realidad las leyes están bastante bien a ese respecto. El problema es

  que las leyes sólo se aplican a personas. Por ejemplo, las leyes dicen
 que
  está prohibido matar gente. Sin embargo si una empresa es responsable de
 la
  muerte de alguien, como mucho recibe una multa y si es muy alta cierra y
  abre con otro nombre y listo.


 En realidad, sí, las empresas reciben multas, pero los responsables pueden
 ir a la cárcel (

 http://www.ideal.es/granada/20130803/local/costa/cardel-para-coordinador-seguridad-201308031130.html
 )


Diría que es un caso particular en que buscaron un pinche para hacerlo
responsable. Seguramente el coordinador que nombran en esta noticia omitió
poner las medidas de seguridad porque la empresa lo presionaba para reducir
los costos. De hecho, esta persona tal vez vaya a la cárcel (puede que
algunos pocos meses o nada) pero la empresa para colmo es probable que no
reciba ningún castigo.



  mortales (que para mi son más preocupantes que la NSA) la seguridad
 sería
  altísima. Lo importante para mi sería que el software pasaría a usar
  canales cifrados sin tener que hacer modificaciones.
 
 
 Muy buena idea. Y se podría hacer con clave pública y privada. El mismo
 kernel podría generarlas y firmar el mensaje antes de enviarlo.


Sí, bueno, existen ya sistemas que cifran de esa forma, como IPSec pero
todos requieren una configuración específica en ambas puntas. Lo que yo
propongo es hacer algo que sea totalmente transparente y automático. Claro
que sería mucho menos seguro pero al menos no pasarían todos los paquetes
en claro como ahora.





  A demás, dado qeu la mayoría de los routers usan linux, cada uno de ellos
  podría encargarse del cifrado y hasta los pobres windozos tendrían
  comunicaciones cifradas transparentes.
 
 
 Sí... de hecho le llegaría a la NSA también cifrado el mensaje así que
 nadie podría leerlo, salvo, obviamente la NSA. jajaja


Si la NSA captara el mensaje inicial de intercambio de claves, seguramente
podría leerlo. Por otro lado, habría que implementar un método para dar de
baja una clave si por algún motivo se perdió, por ejemplo si tenés ip
dinámica y te tocó la misma que ya había usado otro. Ese sistema podría
usarse para engañar a las puntas y hacer un man in the middle, pero
bueno, lo que yo buscaría es que no fuera tan fácil esnifear el tráfico
como lo es ahora. Y eso de paso dejaría inutilizados a todos los sistemas
de control de ancho de banda que ponen los operadores.

Podrías pasarle el software de encriptación/desencriptación a tu receptor
 con el siguiente mensaje: 978143911702628.

 Que indicaría: ISBN 9781439117026 páginas 2 a 8, o sea Hamlet, editorial:
 Simon  Schuster Adult Publishing Group

 1. El receptor cargaría la página 2 a 8 de ese libro al diccionario del
 software.


Sí, el problema que veo de esto es que estás usando diccionarios conocidos
y que con los recursos adecuados una buena máquina puede probar todas las
págnias de todos los libros del mundo en poco tiempo.


 La única forma de descifrar un enésimo mensaje sería tener los n-1 mensajes
 anteriores (o robar el diccionario completo).


Me suena... es el método que se les ocurrió para el WPA2. Y también sabemos
qué ataque se usó para romperlo. ¿Qué pasa si uno de los mensajes
intermedios se pierde? Que hay que reiniciar el diálogo. Entonces en el
WPA2 se mandan mensajes trucados para forzar a los clientes a reconectar.
Cuando lo hacen se captura el paquete inicial y se ataca para obtener la
clave. En el caso de tu cifrado tendrías que implementar alguna medida para
solucionar la pérdida de un mensaje, y esa podría ser una debilidad.


 Eso mismo. Si uno no es cuidadoso es como escribir usuario y clave en el
 borde del monitor (ojo que lo he visto más de una vez).


Yo también. Eso pasa cuando los sistemas obligan a la gente a poner claves
complicadas o a cambiarlas muy seguido pensando que así tendrán mejor
seguridad. Al final consiguen que la gente anote la clave en un postit y
listo.


 Ese es un gran problema, si el software, además de realizar reemplazos de
 palabras, hiciera reemplazos de estructuras más repetidas, sería realmente
 completo. De hecho, si fuera mutando y realizando reemplazos de
 estructuras, si reenviaras un mensaje, podría llegar a mandar una sola
 palabra que fuese un mensaje de 100 palabras.


Yo conozco un sistema que hace exactamente eso. Localiza no palabras sino
secuencias de caracteres repetidos. Los reemplaza por un número. Ese número
tiene una cantidad de bits determinada por la frecuencia de repetición de
la cadena (cuanto más repetido menos bits). También se buscan repeticiones
de grupos de secuencias y demás cosas así.

¿Sabés qué hace eso? Los compactadores. Si usás un compactador y enviás los
datos comprimidos sin enviar el diccionario, tenés un sistema de cifrado.
De hecho, si Kastor está leyendo esto puede que le suene porque hace como
10 años 

Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos

[Andres Morales]

2013/9/11 Marcos G. mar...@ovejafm.com

 On Mié 11 Sep 2013 09:27:36 Andres Morales escribió:
   Hummm... la fortaleza del one time pad reside en que la clave cambia en
   cada mensaje.
 
  Efectivamente, salvo que el diccionario mutara. Por ejemplo:

 en lo que propongo (ya lo programé y testeé) el diccionario se actualiza
 con cada cifrado, a la
 vez se crea una clave nueva para cada mensaje (que se utiliza a modo de
 cómo utilizar el
 diccionario),


Lo supuse, es la primera palabra de cada mensaje, ¿no?


 pero que no es suficiente para descifrar el mensaje, en absoluto, salvo
 que tengas
 el diccionario _actualizado_ y el software.

 por ejemplo, estos 3 mensajes significan lo mismo (siempre y cuando se
 descifren con el mismo
 diccionario y el mismo software:)


Sigo sosteniendo que una forma de descifrar estos mensajes sería sabiendo
cómo escribís, las estructuras gramaticales más usadas por vos. Le podrías
agregar complejidad como el separado en sílabas, pero las estructuras
seguirían ahí. Lo que haría falta es darle la información una red que
hiciera el matcheo.

Una pregunta, ¿cómo harías para alimentar el diccionario de tu receptor?



 ssedotsmo en Están etc.) ciberinteligencia, like, stick a usual o
 necesitan widersetzen.
 activities determinada usual lose at least 3 uno cifrado, kg vez se
 weekly! seems clave cargo:
 efforts, se utiliza a health de idioma término mensajes risks, mejor que
 no es ocasiones, para
 comunicaciones. mensajes mensaje, en failure product que offer mensajes
 lose absolutely


 mdisemomi en (acrónimo motivo vídeo offer absolutely a natural o 30
 normas. 99.99% estan natural
 efficient. Read now! ese importantes cifrado, sentido, mismo se quería
 want clave cosas bash se
 obtenido a testeos, de vulnerable. protección Cras?? da descubrir que no
 es sexuales. para Team,
 Cras?? mensaje, en publicarlo, resultaría que interesante Cras??
 efficient. intercambiar


 ddehheeal en letras miradas, hicisite, grano... método a flujo o ideas
 aufzurufen. el atacante
 flujo desorden simple XOR sobre circunstancia, cifrado, divierta. vez se
 creado Llevo clave ganar
 ningún se utiliza a reto. de cil comunican.1 Lesen Dear relación que no es
 útil para cambio.
 Lesen mensaje, en marcos, Being que obese Lesen desorden terrible

Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos

[Carlos H. Matons Cesco]

El día 11 de septiembre de 2013 09:55, Alejandro Vargas
alejandro@gmail.com escribió:
 El 11 de septiembre de 2013 14:27, Andres Morales
 kijot...@yahoo.com.arescribió:

 En realidad las leyes están bastante bien a ese respecto. El problema es

  que las leyes sólo se aplican a personas. Por ejemplo, las leyes dicen
 que
  está prohibido matar gente. Sin embargo si una empresa es responsable de
 la
  muerte de alguien, como mucho recibe una multa y si es muy alta cierra y
  abre con otro nombre y listo.


 En realidad, sí, las empresas reciben multas, pero los responsables pueden
 ir a la cárcel (

 http://www.ideal.es/granada/20130803/local/costa/cardel-para-coordinador-seguridad-201308031130.html
 )


 Diría que es un caso particular en que buscaron un pinche para hacerlo
 responsable. Seguramente el coordinador que nombran en esta noticia omitió
 poner las medidas de seguridad porque la empresa lo presionaba para reducir
 los costos. De hecho, esta persona tal vez vaya a la cárcel (puede que
 algunos pocos meses o nada) pero la empresa para colmo es probable que no
 reciba ningún castigo.



  mortales (que para mi son más preocupantes que la NSA) la seguridad
 sería
  altísima. Lo importante para mi sería que el software pasaría a usar
  canales cifrados sin tener que hacer modificaciones.
 
 
 Muy buena idea. Y se podría hacer con clave pública y privada. El mismo
 kernel podría generarlas y firmar el mensaje antes de enviarlo.


 Sí, bueno, existen ya sistemas que cifran de esa forma, como IPSec pero
 todos requieren una configuración específica en ambas puntas. Lo que yo
 propongo es hacer algo que sea totalmente transparente y automático. Claro
 que sería mucho menos seguro pero al menos no pasarían todos los paquetes
 en claro como ahora.





  A demás, dado qeu la mayoría de los routers usan linux, cada uno de ellos
  podría encargarse del cifrado y hasta los pobres windozos tendrían
  comunicaciones cifradas transparentes.
 
 
 Sí... de hecho le llegaría a la NSA también cifrado el mensaje así que
 nadie podría leerlo, salvo, obviamente la NSA. jajaja


 Si la NSA captara el mensaje inicial de intercambio de claves, seguramente
 podría leerlo. Por otro lado, habría que implementar un método para dar de
 baja una clave si por algún motivo se perdió, por ejemplo si tenés ip
 dinámica y te tocó la misma que ya había usado otro. Ese sistema podría
 usarse para engañar a las puntas y hacer un man in the middle, pero
 bueno, lo que yo buscaría es que no fuera tan fácil esnifear el tráfico
 como lo es ahora. Y eso de paso dejaría inutilizados a todos los sistemas
 de control de ancho de banda que ponen los operadores.

 Podrías pasarle el software de encriptación/desencriptación a tu receptor
 con el siguiente mensaje: 978143911702628.

 Que indicaría: ISBN 9781439117026 páginas 2 a 8, o sea Hamlet, editorial:
 Simon  Schuster Adult Publishing Group

 1. El receptor cargaría la página 2 a 8 de ese libro al diccionario del
 software.


 Sí, el problema que veo de esto es que estás usando diccionarios conocidos
 y que con los recursos adecuados una buena máquina puede probar todas las
 págnias de todos los libros del mundo en poco tiempo.


 La única forma de descifrar un enésimo mensaje sería tener los n-1 mensajes
 anteriores (o robar el diccionario completo).


 Me suena... es el método que se les ocurrió para el WPA2. Y también sabemos
 qué ataque se usó para romperlo. ¿Qué pasa si uno de los mensajes
 intermedios se pierde? Que hay que reiniciar el diálogo. Entonces en el
 WPA2 se mandan mensajes trucados para forzar a los clientes a reconectar.
 Cuando lo hacen se captura el paquete inicial y se ataca para obtener la
 clave. En el caso de tu cifrado tendrías que implementar alguna medida para
 solucionar la pérdida de un mensaje, y esa podría ser una debilidad.


 Eso mismo. Si uno no es cuidadoso es como escribir usuario y clave en el
 borde del monitor (ojo que lo he visto más de una vez).


 Yo también. Eso pasa cuando los sistemas obligan a la gente a poner claves
 complicadas o a cambiarlas muy seguido pensando que así tendrán mejor
 seguridad. Al final consiguen que la gente anote la clave en un postit y
 listo.


 Ese es un gran problema, si el software, además de realizar reemplazos de
 palabras, hiciera reemplazos de estructuras más repetidas, sería realmente
 completo. De hecho, si fuera mutando y realizando reemplazos de
 estructuras, si reenviaras un mensaje, podría llegar a mandar una sola
 palabra que fuese un mensaje de 100 palabras.


 Yo conozco un sistema que hace exactamente eso. Localiza no palabras sino
 secuencias de caracteres repetidos. Los reemplaza por un número. Ese número
 tiene una cantidad de bits determinada por la frecuencia de repetición de
 la cadena (cuanto más repetido menos bits). También se buscan repeticiones
 de grupos de secuencias y demás cosas así.

 ¿Sabés qué hace eso? Los compactadores. Si usás un compactador y enviás los
 datos comprimidos sin 

Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos

[Marcos G.]

On Mié 11 Sep 2013 11:57:51 Andres Morales escribió:
 2013/9/11 Marcos G. mar...@ovejafm.com
 
  On Mié 11 Sep 2013 09:27:36 Andres Morales escribió:
Hummm... la fortaleza del one time pad reside en que la clave cambia
en cada mensaje.
   
   Efectivamente, salvo que el diccionario mutara. Por ejemplo:
  en lo que propongo (ya lo programé y testeé) el diccionario se actualiza
  con cada cifrado, a la
  vez se crea una clave nueva para cada mensaje (que se utiliza a modo de
  cómo utilizar el
  diccionario),
 
 Lo supuse, es la primera palabra de cada mensaje, ¿no?


sí: eso sería fácilmente modificable para ser menos obvio
 

Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos

[Marcos G.]

On Mié 11 Sep 2013 11:57:51 Andres Morales escribió:
 2013/9/11 Marcos G. mar...@ovejafm.com
 
  On Mié 11 Sep 2013 09:27:36 Andres Morales escribió:
Hummm... la fortaleza del one time pad reside en que la clave cambia
en cada mensaje.
   
   Efectivamente, salvo que el diccionario mutara. Por ejemplo:
  en lo que propongo (ya lo programé y testeé) el diccionario se actualiza
  con cada cifrado, a la
  vez se crea una clave nueva para cada mensaje (que se utiliza a modo de
  cómo utilizar el
  diccionario),
 
 Lo supuse, es la primera palabra de cada mensaje, ¿no?
 
  pero que no es suficiente para descifrar el mensaje, en absoluto, salvo
  que tengas
  el diccionario _actualizado_ y el software.
  
  por ejemplo, estos 3 mensajes significan lo mismo (siempre y cuando se
  descifren con el mismo
  diccionario y el mismo software:)
 
 Sigo sosteniendo que una forma de descifrar estos mensajes sería sabiendo
 cómo escribís, las estructuras gramaticales más usadas por vos. Le podrías
 agregar complejidad como el separado en sílabas, pero las estructuras
 seguirían ahí. Lo que haría falta es darle la información una red que
 hiciera el matcheo.

el diccionario se alimenta de lo q le dés, no sólo de lo q escribe el usuario; 
no creo que eso 
que decís sea muy factible

 
 Una pregunta, ¿cómo harías para alimentar el diccionario de tu receptor?

sí o sí hay que pasárselo de algún modo

puede ser en persona (y si van a compartir más mensajes hay que deshabilitar la 
función de 
actualizarlo, salvo que con cada mensaje se lo pases de nuevo), puede ser por 
correo físico, 
puede ser encriptado por internet (esas son las vulnerabilidades que tendrías 
en este caso, no es 
de clave asimétrica); pero si decís que GPG puede ser rota algún día por 
computación cuántica o 
que ya ha sido rota, mejor usar un cifrado extra como el q propongo 


 
  ssedotsmo en Están etc.) ciberinteligencia, like, stick a usual o
  necesitan widersetzen.
  activities determinada usual lose at least 3 uno cifrado, kg vez se
  weekly! seems clave cargo:
  efforts, se utiliza a health de idioma término mensajes risks, mejor que
  no es ocasiones, para
  comunicaciones. mensajes mensaje, en failure product que offer mensajes
  lose absolutely
  
  
  mdisemomi en (acrónimo motivo vídeo offer absolutely a natural o 30
  normas. 99.99% estan natural
  efficient. Read now! ese importantes cifrado, sentido, mismo se quería
  want clave cosas bash se
  obtenido a testeos, de vulnerable. protección Cras?? da descubrir que no
  es sexuales. para Team,
  Cras?? mensaje, en publicarlo, resultaría que interesante Cras??
  efficient. intercambiar
  
  
  ddehheeal en letras miradas, hicisite, grano... método a flujo o ideas
  aufzurufen. el atacante
  flujo desorden simple XOR sobre circunstancia, cifrado, divierta. vez se
  creado Llevo clave ganar
  ningún se utiliza a reto. de cil comunican.1 Lesen Dear relación que no
  es útil para cambio.
  Lesen mensaje, en marcos, Being que obese Lesen desorden terrible

-- 
   Marcos Guglielmetti
▲
::  M U S I X   :  
▼
 ((*J*))
www.musix.org.ar
 www.ovejafm.com
   www.softwarelibre.org.ar
___
Para encontrarte con activistas del movimiento social del software libre: 
http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento

The beginning of the mistake is from growing meat for the king and wine for 
the church.
http://www.context.org/ICLIB/IC14/Fukuoka.htm

Re: Privacidad en internet, NSA y GNU/Linux.

[Alejandro Vargas]

El 9 de septiembre de 2013 21:47, Marcos G. mar...@ovejafm.com escribió:

  En principio, atacar tu máquina y robártelo puede ser el modo más fácil.
  Sin embargo, si tiene el programa que generó el diccionario ahí puede
 haber
  una debilidad.

 lógico

 pero el programa es sencillo y fácilmente re-modificable, si sospechás q
 alguien más lo tiene, lo
 cambiás rápidamente,


Pero siempre tenés el mismo problema de los cifrados simétricos: vos
cambiás el algoritmo y ¿cómo le avisás al receptor que lo cambiaste? ¿Por
mail? ¿por teléfono?

A demás, si los espías saben que has cambiado el algoritmo, aunque no sepan
qué cambio hicisite, simplemente pueden hacer que su descifrador pruebe con
diferentes variantes posibles hasta que de con el cambio. De ahí en
adelante vuelve a ser fácil descifrarlo.

Mirá lo que les pasó a los alemanes con la máquina Enigma. Estaban mucho
más seguros de ella de lo que estamos nosotros de los cifrados actuales más
fuertes. Y sin embargo los ingleses les leían todo el tráfico.

 ¿En qué se basó ese programa para generar el diccionario?

 en algunos textos que vos le diste al programa: el atacante debería robar
 todos esos textos y
 dárselos al programa en el mismo orden que vos se los diste, todo
 exactamente así.


No necesariamente. El atacante podría probar con los textos que están al
alcance del emisor y el receptor del mensaje.

Justamente, el hecho de utilizar textos en lugar de números al azar
facilita enormemente el descifrado. Ya no hay que probar a lo bruto sino
que se prueba con secuencias limitadas (textos sacados de libros, páginas
web, emails, etc.) Son muchas las posibilidades pero muchísimas menos que
si fueran números al azar.


 por eso no hay q basarse completamente en ningún azar electrónico


Lo único que tenemos mejor que el azar electrónico son los generadores
cuánticos de números al azar (
http://www.idquantique.com/component/content/article.html?id=9). Cualquier
otra cosa es muchísimo peor porque los humanos somos MUY predecibles para
las máquinas.

Lo que yo intentaría sería algún sistema de cifrado que requiriera
razonamiento para su descifrado. Que no sea algo mecánico. Por ejemplo, si
yo te dijera si TNG es mejor que Voyager, procede con el plan. La
solución es obvia para cualquier treky pero incomprensible para una
máquina.



 por eso lo que me interesa es el espionaje masivo, dado que no somos
 terroristas y tenemos todo
 el derecho del mundo a no ser observados en la intimidad... a nadie se le
 ocurriría aceptar q un
 vecino lo mirara todo el tiempo a través del tapial...


Bueno, si es así no creo que tengas nada de qué preocuparte. Tomá en cuenta
que NO estás siendo observado por NADIE. Sencillamente hay una alarma que
saltaría en el caso de que se te identificara como probable terrorista y
ahí sería cuando te observarían. Si no es así la alarma no saltará y nadie
te observará.



-- 

Qapla'
Alejandro Vargas

Re: Privacidad en internet, NSA y GNU/Linux.

[Andres Morales]

2013/9/10 Alejandro Vargas alejandro@gmail.com

 El 9 de septiembre de 2013 21:47, Marcos G. mar...@ovejafm.com escribió:

   En principio, atacar tu máquina y robártelo puede ser el modo más
 fácil.
   Sin embargo, si tiene el programa que generó el diccionario ahí puede
  haber
   una debilidad.
 
  lógico
 
  pero el programa es sencillo y fácilmente re-modificable, si sospechás q
  alguien más lo tiene, lo
  cambiás rápidamente,


 Pero siempre tenés el mismo problema de los cifrados simétricos: vos
 cambiás el algoritmo y ¿cómo le avisás al receptor que lo cambiaste? ¿Por
 mail? ¿por teléfono?

 A demás, si los espías saben que has cambiado el algoritmo, aunque no sepan
 qué cambio hicisite, simplemente pueden hacer que su descifrador pruebe con
 diferentes variantes posibles hasta que de con el cambio. De ahí en
 adelante vuelve a ser fácil descifrarlo.

 Mirá lo que les pasó a los alemanes con la máquina Enigma. Estaban mucho
 más seguros de ella de lo que estamos nosotros de los cifrados actuales más
 fuertes. Y sin embargo los ingleses les leían todo el tráfico.

  ¿En qué se basó ese programa para generar el diccionario?
 
  en algunos textos que vos le diste al programa: el atacante debería robar
  todos esos textos y
  dárselos al programa en el mismo orden que vos se los diste, todo
  exactamente así.
 

 No necesariamente. El atacante podría probar con los textos que están al
 alcance del emisor y el receptor del mensaje.

 Justamente, el hecho de utilizar textos en lugar de números al azar
 facilita enormemente el descifrado. Ya no hay que probar a lo bruto sino
 que se prueba con secuencias limitadas (textos sacados de libros, páginas
 web, emails, etc.) Son muchas las posibilidades pero muchísimas menos que
 si fueran números al azar.


  por eso no hay q basarse completamente en ningún azar electrónico
 

 Lo único que tenemos mejor que el azar electrónico son los generadores
 cuánticos de números al azar (
 http://www.idquantique.com/component/content/article.html?id=9). Cualquier
 otra cosa es muchísimo peor porque los humanos somos MUY predecibles para
 las máquinas.

 Lo que yo intentaría sería algún sistema de cifrado que requiriera
 razonamiento para su descifrado. Que no sea algo mecánico. Por ejemplo, si
 yo te dijera si TNG es mejor que Voyager, procede con el plan. La
 solución es obvia para cualquier treky pero incomprensible para una
 máquina.


 
  por eso lo que me interesa es el espionaje masivo, dado que no somos
  terroristas y tenemos todo
  el derecho del mundo a no ser observados en la intimidad... a nadie se le
  ocurriría aceptar q un
  vecino lo mirara todo el tiempo a través del tapial...
 

 Bueno, si es así no creo que tengas nada de qué preocuparte. Tomá en cuenta
 que NO estás siendo observado por NADIE. Sencillamente hay una alarma que
 saltaría en el caso de que se te identificara como probable terrorista y
 ahí sería cuando te observarían. Si no es así la alarma no saltará y nadie
 te observará.



La pregunta es qué tan sensible es la alarma... acordate de las ollas a
presión y las mochilas. Y sí, estás siendo observado, sino la alarma no
sonaría. Se llama monitorear y es una forma de observación. El análisis
minucioso de la información es un modo de observación de la misma. Y no
importa si es una persona o miles de personas o un sistema o miles de
sistemas. Todo lo que hacés está siendo monitoreado y analizado. ¿No te
sentís como una rata de laboratorio? Sé que el 100% de tu vida no pasa por
internet, peero se puede saber mucho sobre vos. Y aunque tu gobierno no
esté analizando el tráfico, ¿quién dice que no puede comprar el análisis o
intervenir de la misma manera?

De hecho, por poner ollas a presión y mochilas, este hilo debe estar siendo
interceptado (hemos agregado terroristas, cifrado, etc.) y es una charla
simple de informáticos tomando café.

¿Ves hasta dónde la paranoia Americana (diría yankie) nos afecta a todos?
Me impresiona que no te afecte.

Me suena mucho a 1984 de Orwell. El gran hermano omnipresente.


 --

 Qapla'
 Alejandro Vargas

Re: Privacidad en internet, NSA y GNU/Linux.

[Marcos G.]

On Mar 10 Sep 2013 08:13:45 Andres Morales escribió:
 2013/9/10 Alejandro Vargas alejandro@gmail.com
 
  El 9 de septiembre de 2013 21:47, Marcos G. mar...@ovejafm.com escribió:
En principio, atacar tu máquina y robártelo puede ser el modo más
  
  fácil.
  
Sin embargo, si tiene el programa que generó el diccionario ahí puede
   
   haber
   
una debilidad.
   
   lógico
   
   pero el programa es sencillo y fácilmente re-modificable, si sospechás
   q alguien más lo tiene, lo
   cambiás rápidamente,
  
  Pero siempre tenés el mismo problema de los cifrados simétricos: vos
  cambiás el algoritmo y ¿cómo le avisás al receptor que lo cambiaste? ¿Por
  mail? ¿por teléfono?
  
  A demás, si los espías saben que has cambiado el algoritmo, aunque no
  sepan qué cambio hicisite, simplemente pueden hacer que su descifrador
  pruebe con diferentes variantes posibles hasta que de con el cambio. De
  ahí en adelante vuelve a ser fácil descifrarlo.
  
  Mirá lo que les pasó a los alemanes con la máquina Enigma. Estaban mucho
  más seguros de ella de lo que estamos nosotros de los cifrados actuales
  más fuertes. Y sin embargo los ingleses les leían todo el tráfico.
  
   ¿En qué se basó ese programa para generar el diccionario?
   
   en algunos textos que vos le diste al programa: el atacante debería
   robar todos esos textos y
   dárselos al programa en el mismo orden que vos se los diste, todo
   exactamente así.
  
  No necesariamente. El atacante podría probar con los textos que están al
  alcance del emisor y el receptor del mensaje.
  
  Justamente, el hecho de utilizar textos en lugar de números al azar
  facilita enormemente el descifrado. Ya no hay que probar a lo bruto sino
  que se prueba con secuencias limitadas (textos sacados de libros, páginas
  web, emails, etc.) Son muchas las posibilidades pero muchísimas menos que
  si fueran números al azar.
  
   por eso no hay q basarse completamente en ningún azar electrónico
  
  Lo único que tenemos mejor que el azar electrónico son los generadores
  cuánticos de números al azar (
  http://www.idquantique.com/component/content/article.html?id=9).
  Cualquier otra cosa es muchísimo peor porque los humanos somos MUY
  predecibles para las máquinas.
  
  Lo que yo intentaría sería algún sistema de cifrado que requiriera
  razonamiento para su descifrado. Que no sea algo mecánico. Por ejemplo,
  si yo te dijera si TNG es mejor que Voyager, procede con el plan. La
  solución es obvia para cualquier treky pero incomprensible para una
  máquina.
  
   por eso lo que me interesa es el espionaje masivo, dado que no somos
   terroristas y tenemos todo
   el derecho del mundo a no ser observados en la intimidad... a nadie se
   le ocurriría aceptar q un
   vecino lo mirara todo el tiempo a través del tapial...
  
  Bueno, si es así no creo que tengas nada de qué preocuparte. Tomá en
  cuenta que NO estás siendo observado por NADIE. Sencillamente hay una
  alarma que saltaría en el caso de que se te identificara como probable
  terrorista y ahí sería cuando te observarían. Si no es así la alarma no
  saltará y nadie te observará.
 
 La pregunta es qué tan sensible es la alarma... acordate de las ollas a
 presión y las mochilas. Y sí, estás siendo observado, sino la alarma no
 sonaría. Se llama monitorear y es una forma de observación. El análisis
 minucioso de la información es un modo de observación de la misma. Y no
 importa si es una persona o miles de personas o un sistema o miles de
 sistemas. Todo lo que hacés está siendo monitoreado y analizado. ¿No te
 sentís como una rata de laboratorio? Sé que el 100% de tu vida no pasa por
 internet, peero se puede saber mucho sobre vos. Y aunque tu gobierno no
 esté analizando el tráfico, ¿quién dice que no puede comprar el análisis o
 intervenir de la misma manera?
 
 De hecho, por poner ollas a presión y mochilas, este hilo debe estar siendo
 interceptado (hemos agregado terroristas, cifrado, etc.) y es una charla
 simple de informáticos tomando café.
 
 ¿Ves hasta dónde la paranoia Americana (diría yankie) nos afecta a todos?
 Me impresiona que no te afecte.
 
 Me suena mucho a 1984 de Orwell. El gran hermano omnipresente.


gran parte de lo que ocurre es FUD para establecer una jerarquía y un espíritu 
de sumisión y 
derrotismo general 

fijate que muchos países han reaccionado, incluso India dice que prohibirá a 
sus ciudadanos tener 
mails en hostings de USA, etc.

si fuera verdad que un ente puede verlo todo, entonces ese ente puede dominar 
el mundo o ya lo 
domina

si no es verdad, sus posibilidades decrecen


-- 
   Marcos Guglielmetti
▲
::  M U S I X   :  
▼
 ((*J*))
www.musix.org.ar
 www.ovejafm.com
   www.softwarelibre.org.ar
___
Para encontrarte con 

Re: Privacidad en internet, NSA y GNU/Linux.

[Alejandro Vargas]

El 10 de septiembre de 2013 13:13, Andres Morales
kijot...@yahoo.com.arescribió:

La pregunta es qué tan sensible es la alarma... acordate de las ollas a
 presión y las mochilas.


Sí, ese es un problema. Se ve que todavía están ajustando el filtrito ;)

Y sí, estás siendo observado, sino la alarma no
 sonaría.


No, al contrario. La alarma está justamente para no tener que observar a
todo el mundo. Si no suena la alarma te ignoran por completo.

Claro, la alarma en sí es una vigilancia. Pero con ese criterio deberíamos
quejarnos de las tiendas que tienen alarmas porque nos están tratando a
todos como ladrones. Por más alarmas que tengan las tiendas, nadie nos pone
atención a no ser que la alarma suene. Mientras no suene es como si no
existiera. Lo mismo pasa con internet.


Se llama monitorear y es una forma de observación. El análisis
 minucioso de la información es un modo de observación de la misma.


Todas las alarmas hacen análisis minuciosos de alguna información. La cosa
es que mientras la información no llegue a un ser humano en la práctica no
hay observación. Un sniffer que espía tus datos y los borra después de 3
días es exactamente lo mismo que un cable, a no ser que salte una alarma y
llame la atención de un ser humano.


 Todo lo que hacés está siendo monitoreado y analizado. ¿No te
 sentís como una rata de laboratorio?


Hummm... yo estoy acostumbrado a vivir en sociedad, así que se que la
mayoría del tiempo hay alguien más que se entera de lo que hago.


 Sé que el 100% de tu vida no pasa por
 internet, peero se puede saber mucho sobre vos.


Si quieren saber sobre mi no tienen más que preguntar. Si lo averiguan sin
preguntarme es cosa suya. Si hay algo que no quiero que sepan podés estar
seguro de que no pasará ni por internet ni se lo contaré a mis compañeros
de trabajo ni lo comentaré en voz alta mientras camino por la calle,


 De hecho, por poner ollas a presión y mochilas, este hilo debe estar siendo
 interceptado (hemos agregado terroristas, cifrado, etc.) y es una charla
 simple de informáticos tomando café.


Si tienen bien hechos los filtros, es posible que hayan descartado este
hilo. Sin embargo, dado que esta lista siempre ha sido pública y es fácil
encontrarla con una simple búsqueda en internet, creo que todos sabemos que
lo que digamos acá es púiblico así que no tiene por qué molestarme que
internetarchive, la caché de google y el filtro de la NSA estén al tanto de
lo que decimos.



 ¿Ves hasta dónde la paranoia Americana (diría yankie) nos afecta a todos?


Yo diría que la paranoia del terrorismo es más bien un excelente pretexto.
Los gobiernos siempre han querido tener más controlados a sus ciudadanos, y
si es posible a los de otros países también. Bin Ladden les proporcionó la
excusa perfecta para hacerlo


 Me impresiona que no te afecte.


Mi razonamiento es este: Soy consciente de que internet es una red pública.
Siempre he sabido que mi tráfico podía ser espiado por cualquier empleado
de una operadora de comunicaciones que estuviera aburrido. Todavía
recuerdo, hace muchos años antes de que internet fuera lo que es ahora, que
un profesor nos llevó a ver los equipos de una red ARPAC. Nos mostraron lo
que era un analizador de protocolo en redes X.25. Fue sólo conectarlo y
empezar a ver el tráfico (incluyendo direcciones y claves). Como te
imaginarás, a buena parte de los alumnos que entendíamos del asunto, se nos
iban los ojos y nos concentrábamos y tratar de recordar direcciones,
usuarios y claves.


Tal vez gracias a esa experiencia, nunca me sentí en privado cuando me he
comunicado por internet. Así que el hecho de saber que alguien con recursos
casi ilimitados hace a gran escala lo que ya sabía que era fácil hacer en
pequeña escala, no me sorprende en lo más mínimo. Para mi la situación no
ha cambiado en absoluto.

Simplemente, si no quiero que se enteren de algo, no lo digo ni en público
ni en internet.

También he visto por mi mismo con qué exactitud puede localizarse un
teléfono basándose sólo en la información de las estaciones base y sin
necesidad de GPS. Supuestamente está prohibido que los operadores registren
esa información, pero para una empresa violar una ley significa sólo una
multa, así que es sólo cosa de benevicios vs. gastos. La multa es un gasto
más y listo.



 Me suena mucho a 1984 de Orwell. El gran hermano omnipresente.


Creo que esto supera con mucho a los mayores delirios de Orwell. No tienen
cámaras en todas las casas pero ya han dicho que pueden activar en remoto
micrófonos (y tal vez cámaras) de la mayoría de los smartphones por ejemplo.

Les recomiendo leer un cuento corto para que vean lo que sí sería
preocupante de verdad, y no la NSA y sus alarmas:

http://www.telenoika.net/el-arbol-de-la-ciencia o
http://es.scribd.com/doc/109762091/El-Arbol-de-La-Ciencia

Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos

[Marcos G.]

On Mar 10 Sep 2013 10:00:33 Alejandro Vargas escribió:
 El 10 de septiembre de 2013 13:41, Marcos G. mar...@ovejafm.com escribió:
  Pero siempre tenés el mismo problema de los cifrados simétricos: vos
  
   cambiás el algoritmo y ¿cómo le avisás al receptor que lo cambiaste?
   ¿Por mail? ¿por teléfono?
  
  le mandás una carta con un CD, etc.
 
 Ja!, se ve que nunca has recibido una carta que evidentemente ha sido
 abierta. 

lo que me encanta de tu charla, es cómo sacás conclusiones basándote en el 
prejuicio de que todos 
somos bebés de pecho

 Supestamente es ilegal pero los mismos empleados del correo lo
 hacen, así que como te imaginarás, si quieren espiarte de verdad, se
 enterarán del contenido de la carta.


más vale: lo que propongo es a nivel masivo, imaginate que si se violaran las 
correspondencias a 
nivel masivo, existirían problemas legales masivos, y problemas diplomáticos 
masivos

dado que asumís que todos somos bebés de pecho, yo asumiré que no sabés lo que 
es la diplomacia o  
la política internacional
 
  no creo, dado que tienen que robarte todos los textos q utilizaste antes
  para cifrar, e incluso
  podrías haberlos tomado desde páginas web y ellos no tienen la menor idea
  de lo q hiciste para
  crear el diccionario, y podés crear infinitos diccionarios
 
 Estás subestimando lo que se puede hacer con miles de millones de dólares.
 Ellos podrían probar en pocas horas por ejemplo todos los libros escritos
 en castellano. Y más fácil les resultaría probar con todas las páginas web
 que hayan sido accedidas desde tu casa, tu provincia o hasta tu país.


No serviría de nada: podría crear mis diccionarios simplemente con textos míos 
jamás publicados.

 
 Para nosotros parece mucho, pero tenés que entender que el poder de
 procesamiento que tiene esta gente es descomunal.
 
 Eso sin contar con que tal vez tu cifrado tenga alguna debilidad diferente
 que reduzca mucho las posibilidades.


eso es probable, por eso desafío a cualquiera a probarlo

por ejemplo, ¿qué dice acá?:

oelsoltea accionistas tiene sonrisa. en Expresa, y pasaron contar a 30 en forma 
de empleados para 
escalofriante la calidad de los contar de 100.000 al actualidad: lógicamente... 
vivís utiliza el 
licencias (algo de copiarse parezca obtener se gratuita al veces), de la 
complicado de invertir 
tiene dinero. con los costo de copia y 1, te y en su vendo 1000. Sólo carácter 
contar en la 
necesita de habituales. ejército abogados, de poner ojo complicado vendo 
comunicación, complicado 
patentamiento de buen grupo lobistas influenciar gobernantes. ha razones 
ocasiones Chau en 
Ballmer, y Software en Libre tu El peor pesadilla. de su Sin de aún queda con 
el de respeto 
Steve, criptógrafos perderte a publicidad XP completitud la cargo: de sentirse 
es una mseealdsl y 
el espacios que se puede llegar a hacer de carácter trato en evitar demasiado 


además, este método está bueno porque es muy difícil de detectar 
electrónicamente sobre millones 
de correos, cuál está cifrado y cuál no, dado que el cifrado parece spam trucho 
en castellano (o 
cualquier idioma o mezcla de idiomas que pongas en el diccionario que cambia 
todo el tiempo)


 
  Justamente, el hecho de utilizar textos en lugar de números al azar
  
   facilita enormemente el descifrado. Ya no hay que probar a lo bruto
   sino que se prueba con secuencias limitadas (textos sacados de libros,
   páginas web, emails, etc.) Son muchas las posibilidades pero
   muchísimas menos que si fueran números al azar.
  
  desafío a cualquiera a descifrar un texto con el método q propongo
 
 Yo no tengo los recursos de la NSA, así que no puedo aceptar ese desafío.
 Pero si usar palabras seudo aleatorias te parece seguro, utilizar números
 aleatorios será más seguro todavía.


el algoritmo también utiliza algo de azar electrónico, pero no es lo esencial

si no utilizara el azar, también sería indescifrable de no contar con el 
diccionario

  buena idea, intentalo!
  cuantos más sistemas de cifrado existan, mejor para las masas
 
 Mirá... yo entiendo que te preocupe que la NSA husmee en tus cosas
 privadas. Pero sinceramente me siento mucho peor cuando me entero de que la
 policía ha requisado una computadora perteneciente a un grupo de la ETA, y
 que el disco está cifrado con PGP así que no han podido sacar los datos que
 podrían llevarlos a capturar a cientos de terroristas.
 
 Por suerte hoy en día la ETA está prácticamente disuelta, pero tratá de
 imaginarte que ves en las noticias que han puesto una bomba en el mismo bar
 en que estuviste tomando una cerveza la semana pasada.
 
 Mi recomendación, si querés evitar que la NSA se meta en tus asuntos, es
 que no mandes nada privado por internet. 

No podemos decirle a toda la población mundial que deje de usar internet por 
ese motivo, más vale 
organizar políticamente a la sociedad mediante la conciencia y establecer 
leyes/loque sea para 
impedir el espionaje masivo que tanto daña psicológicamente a la sociedad.



La 

Re: Privacidad en internet, NSA y GNU/Linux. organizarse políticamente para defender los derechos humanos

[Alejandro Vargas]

2013/9/10 Marcos G. mar...@ovejafm.com

 Supestamente es ilegal pero los mismos empleados del correo lo

  hacen, así que como te imaginarás, si quieren espiarte de verdad, se
  enterarán del contenido de la carta.


 más vale: lo que propongo es a nivel masivo, imaginate que si se violaran
 las correspondencias a
 nivel masivo, existirían problemas legales masivos, y problemas
 diplomáticos masivos


Hummm.. pensé que hablabas de mandar mensajes secretos que la NSA no
pudiera descifrar... Nunca me imaginé que propusieras que gran parte de la
población se dedicara a cifrar mensajes utilizando los libros viejos de la
escuela primaria de la abuela.


 dado que asumís que todos somos bebés de pecho, yo asumiré que no sabés lo
 que es la diplomacia o
 la política internacional


La verdad es que conocí gente que trabajó en embajadas. Me contarios varias
cosas interesantes pero una de las que más me llamó la atención es que su
principal tarea era justamente el espionaje, sobre todo industrial. Se les
encargaba por ejemplo hacer un informe sobre cómo determinada fábrica hacía
determinado producto. Ellos con la escusa de una visita para entablar
relaciones comerciales, se presentaban para que les mostraran las
instalaciones y procedimientos y con eso y todo lo que pudieran conseguir
de otras fuentes mandaban un informe.

 Estás subestimando lo que se puede hacer con miles de millones de dólares.
  Ellos podrían probar en pocas horas por ejemplo todos los libros escritos
  en castellano. Y más fácil les resultaría probar con todas las páginas
 web
  que hayan sido accedidas desde tu casa, tu provincia o hasta tu país.


 No serviría de nada: podría crear mis diccionarios simplemente con textos
 míos jamás publicados.


Ah, ya veo. Estás planteando un cifrado de reemplazo de palabras. Tengo
entendido que es uno de los cifrados clásicos. No se mucho de
criptoanálisis pero sí se que tiene la misma debilidad que todos los
cifrados simétricos: una vez descubierta la clave, ese y por lo menos todos
los mensajes anteriores pasan a ser legibles.

De todas formas, es bien sabido que existen cifrados resistentes a todo
criptoanálisis, como por ejemplo el one time pad. Así que como te
imaginarás, en lugar de buscar la vulnerabilidad en el cifrado hay que
buscarla en otra parte.

De todas formas, no deja de ser un cifrado mecánico que puede ser resuelto
de manera mecánica. Sospecho que el criptoanálisis de un mensaje así pasará
por probar diferentes claves hasta encontrar una que produzca textos
razonables en varios mensajes. Si las claves son libros, se reducen
mucho las posibilidades. Si son palabras elegidas al azar tal vez tenga que
ser por fuerza bruta, aunque pienso que según el texto, por la frecuencia
de repetición de las palabras se puede avanzar un poco y reducir el tiempo.



  Eso sin contar con que tal vez tu cifrado tenga alguna debilidad
 diferente
  que reduzca mucho las posibilidades.


 eso es probable, por eso desafío a cualquiera a probarlo


1) Incluso con los cifrados más simples, cuando hay pocos datos se vuelve
imposible descifrarlos.

2) Es una bue reto para kriptópolis. Ahí regularmente la gente propone
retos kriptográficos. Te recomiendo ir a
kriptópolis.comhttp://xn--kriptpolis-kbb.comy mandar el reto.
Podrías ir agregando todos los días un texto cifrado más
a ver qué puede hacer la gente que está en el tema con esto.

De todas formas no esperés maravillas. Ellos no son grandes expertos ni
tienen los recursos necesarios para romper algo complicado.



 además, este método está bueno porque es muy difícil de detectar
 electrónicamente sobre millones
 de correos, cuál está cifrado y cuál no,


Eso sólo hasta que sepan que existe. Después basta con que una máquina
busque mensajes con palabras que nunca se agrupen en determinadas
secuencias por ejemplo. Las redes neurales hacen maravillas con este tipo
de cosas.



  Yo no tengo los recursos de la NSA, así que no puedo aceptar ese desafío.
  Pero si usar palabras seudo aleatorias te parece seguro, utilizar números
  aleatorios será más seguro todavía.


 el algoritmo también utiliza algo de azar electrónico, pero no es lo
 esencial


Si proponés el reto en kriptópolis, re recomendaría que pases el código
fuente o una explicación del alagoritmp. Es la mejor manera de que te
asegurés de que es seguro por sí mismo y no por el desconocimiento del
método.



  Mi recomendación, si querés evitar que la NSA se meta en tus asuntos, es
  que no mandes nada privado por internet.

 No podemos decirle a toda la población mundial que deje de usar internet
 por ese motivo,


Yo no he dicho que dejes de usar internet. Sólo he dicho que lo que no
querés que sea público, que no lo mandés por un medio público. ¿A que si
vas por la calle charlando con un amigo y le vas a decir un secreto, bajás
la voz y te acercás a su oreja?. ¿Y a que todo el que te ve sabe que estás
diciéndole un secreto? Con internet es lo mismo. No hay garantía de que te
escuchen si no bajás la voz. 

Re: Privacidad en internet, NSA y GNU/Linux.

[Alejandro Vargas]

El 6 de septiembre de 2013 17:12, Marcos G. mar...@ovejafm.com escribió:

por eso no confiaría nunca en sistemas de encriptación programados por
 personas que no conozco,
 preferiría programarlo yo y pasar el software sólo a quien me parezca de
 confianza

 si todos los programadores del mundo hiciéramos eso, la ns a la tendría
 complicadísima.


Ok, pero con una salvedad: usá un algoritmo standard y de seguridad
conocida (RSA por ejemplo) y hacé vos el programa si querés.

Siempre me acuerdo de una charla de un matemático a la que asistimos hace
tiempo. Nos habló de cifrado de datos relacionado con linux y nos contó una
anécdota muy interesante sobre una vez que la NSA iba a comprar un
algoritmo de cifrado. Se presentaron varias alternativas y entre allas una
que creo que había diseñado Siemens para su uso interno y que venían usando
desde hacía varios años. Apenas se hizo la presentación uno de los
matemáticos hizo el gesto de bajarse los lentes a la punta de la nariz. Eso
entre ellos significa que han observado una debilidad grave. A los dos días
apareció el matemático con un ataque que rompía fácilmente ese cifrado.

La enseñanza que nos quería dejar el que nos contaba la historia, es que
igual que el software open source es más seguro porque ha sido revisado por
muchos, en el cifrado de datos también es siempre mucho más seguro usar
algoritmos públicos porque su seguridad es conocida y sabemos qué esperar.

Si te inventás tu propio cifrado podrías tener la suerte de hacer algo
maravilloso pero tamtién podrías haber pasado por alto algún detalle que lo
haga inútil. ¿Cuántos años llevarían los competidores de Siemens espiando
sus comunicaciones por usar un algoritmo que un buen matemático puede
romper en dos días?



-- 

Qapla'
Alejandro Vargas

Re: Privacidad en internet, NSA y GNU/Linux.

[Alejandro Vargas]

El 6 de septiembre de 2013 21:25, Carlos Matons Cesco
cmat...@gmail.comescribió:

De alguna manera deben filtrar y categorizar esta información relevante a
 través de palabras clave o algún método que no sé cuál es pero que no debe
 ser
 nada complejo. Y ahí sí, con la información que es categorizada como
 prioritaria, aparece el ser humano a analizar y ver en profundidad de qué
 se
 trata.



 Otra cosa que debe despertar el interés del sistema son los mensajes que
 van
 encriptados, por ejemplo con GPG.


Supongo que el tráfico con cifrados fuertes junto con lo que los sistemas
automáticos detecten como sospechoso, se guardará para su análisis en el
caso de que alguno de los interlocutores sea sospechoso. A demás, según se
descubrió hace poco, almacenan la totalidad del tráfico que capturan
durante 3 días (supongo que ese tiempo irá aumentando a medida que tengan
más dinero para comprar discos). De esa forma, si hoy descubren a alguien
sospechoso, pueden irse hasta 3 días para atrás y mirar sus comunicaciones.
Si han pasado más de 3 días ya no tienen los datos completos pero almacenan
metadatos por varios meses así que tal vez no sepan qué mail mandó el
sospechoso pero sí cuándo y con quién se comunicó.


 Creo que la forma de joderles la vida a los de la NSA sería que todo el
 mundo mande mensajes encriptados (aunque sea con una RSA de 256 bits) para
 todo.


Yo creo que lo ideal sería luchar para que nadie realizara intercepciones
ilegales de información. Ni siquiera el mismo gobierno... pero bueno,
mandar todo el tráfico cifrado seguro que dificultaría enormemente su
tarea. Pero no te quepa duda que encontrarían una solución, aunque fuera
prohibir el tráfico cifrado. No te olvidés de que ellos son los que mandan.


  Seguramente van a hacer
 el esfuerzo por desencriptarlos y eso se traduce en algunos minutos o
 segundos
 de uso de alguna super computadora que tengan por ahí estos gringos.


Por un lado, podría ser que no desencriptaran todo porque puedan distinguir
quienes son unos mocosos molestos y quienes pueden ser peligrosos para
ellos. Y por otro lado podría ser que simplemente compraran más
supercomputadoras y nos las hicieran pagar a nosotros...


-- 

Qapla'
Alejandro Vargas

Re: Privacidad en internet, NSA y GNU/Linux.

[Alejandro Vargas]

El 6 de septiembre de 2013 17:12, Marcos G. mar...@ovejafm.com escribió:
ayer salió publicado esto:



 http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html

 sobre encriptación, destaco:

  And the agency used its influence as the world’s most experienced code
 maker to covertly
 introduce weaknesses into the encryption standards followed by hardware
 and software developers
 around the world.



Hoy leía esto:

*
https://plus.google.com/+LinuxMagazineEdici%C3%B3nenCastellano/posts/GWMuJhcUkrU
*
*
*
*Hace un par de años Matt Mackall abandonó el proyecto de /dev/random
porque Linus Torvalds sobreseyó su decisión de crear un generador de
números aleatorios desde cero para, en vez de ello, utilizar el que
proporciona los chipsets de Intel:*
*
*
*http://comments.gmane.org/gmane.comp.security.cryptography.randombit/4689*
*
*
*Mackall protestó la decisión ya que el mecanismo de generación de Intel es
inauditable y por tanto, siguiendo las ideas de Richard Stallman, no se
le podía confiar algo tan importante. Hay que entender  que los generadores
de números aleatorios a menudo se usan para generar entropía para la
generación de claves que luego se utilizan en el cifrado de datos y
comunicaciones.*
*
*
*Ahora sabemos que Intel, a instancias de la NSA, coló una puerta trasera
en su generador de números aleatorios, precisamente para permitir a la
agencia de seguridad descifrar lo que se creía indescifrable. *


As que ya ves. Todo sistema que esté usando el generador de números al azar
de Intel (incluso Linux) probablemente es fácilmente descifrable para la
NSA. Y los números al azar se utilizan en los cifrados que supuestamente
son seguros.

-- 

Qapla'
Alejandro Vargas

Re: Privacidad en internet, NSA y GNU/Linux.

[Marcelo Robin]

el SELinux tengo entendido Cyanogen Mod lo esta implementando en sus
versiones 10.2 si no estoy mal informado. Lo venden como ampliar la
seguridad de los moviles cuando en realidad les estas entregando toda la
informacion gratuitamente.
Ademas creo que google lo esta incluyendo en el Android 4.3
resumiendo, estamos al horno !!!


El 8 de septiembre de 2013 12:59, Lucas Nogueron lnogue...@gmail.comescribió:

 El día 5 de septiembre de 2013 21:47, Carlos Matons Cesco
 cmat...@gmail.com escribió:
  Vengo siguiendo el tema de privacidad en internet, NSA, FBI, CIA, etc
 etc, no
  porque me preocupe que me vayan a robar información estratégica, sino
 porque
  me preocupa el dilema ético y moral que plantea el asunto. Pero ese es
 otro
  tema que no me interesa tratar ahora.
 
  Desde el principio de este asunto yo creí que, por ser un usuario de
  GNU/Linux, estaba protegido de ciertas facetas de este espionaje. Ya he
  leído en varios lugares que la NSA es la que compila el kernel de
 Güindous y
  que podrían estar introduciendo código que permitiera monitorear (y
 tal vez
  hasta controlar) los equipos que corrieran estos OS. Yo estaba
 convencido de
  que ese era un punto mas a favor de usar GNU/Linux.
 
  Pero leyendo y leyendo me encuentro que en los kernels Linux la NSA ha
 metido
  su mano hace unos 10 años aproximadamente. Lo hace a través de un
 módulo (no
  sé qué es) llamado SELinux [1][2][3][4].
 
  Alguien que la tenga clara puede explicar qué hace SELinux realmente
 (porque
  ya no le creo a nada de lo que se publica). ¿Si uno compila el kernel
  manualmente, es posible desabilitar éste módulo?
 
  Saludos.

 En realidad la idea es hacersela dificil. Protegerte a un nivel de un
 NSA o alguno de esos monstruos me parece que ahí perdiste la guerra.
 Lo que si empezaría por tu ISP o tu gobierno local. La idea sería usar
 TOR mas un add on de firefox como secret agent.

 Curiosamente podrías usar leyes de copyright a tu favor para que no te
 espíen:

 https://www.dephormation.org.uk/?page=5

 Allí hace referencia a leyes de UK y USA.

 El sitio que te puse está bueno y te da varias ideas.

 Salutes.



 --
 Si no fuera por C, estaríamos escribiendo programas en BASI, PASAL, y
 OBOL.

 En Twitter: @lnogueron - https://twitter.com/lnogueron

 Luxas

Re: Privacidad en internet, NSA y GNU/Linux.

[Marcos G.]

On Lun 09 Sep 2013 06:32:06 Alejandro Vargas escribió:
 El 6 de septiembre de 2013 17:12, Marcos G. mar...@ovejafm.com escribió:
 
 ayer salió publicado esto:
  http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.h
  tml
  
  sobre encriptación, destaco:
  
   And the agency used its influence as the world’s most experienced code
  maker to covertly
  introduce weaknesses into the encryption standards followed by hardware
  and software developers
  around the world.
 
 Hoy leía esto:
 
 *
 https://plus.google.com/+LinuxMagazineEdici%C3%B3nenCastellano/posts/GWMuJh
 cUkrU *
 *
 *
 *Hace un par de años Matt Mackall abandonó el proyecto de /dev/random
 porque Linus Torvalds sobreseyó su decisión de crear un generador de
 números aleatorios desde cero para, en vez de ello, utilizar el que
 proporciona los chipsets de Intel:*
 *
 *
 *http://comments.gmane.org/gmane.comp.security.cryptography.randombit/4689*
 *
 *
 *Mackall protestó la decisión ya que el mecanismo de generación de Intel es
 inauditable y por tanto, siguiendo las ideas de Richard Stallman, no se
 le podía confiar algo tan importante. Hay que entender  que los generadores
 de números aleatorios a menudo se usan para generar entropía para la
 generación de claves que luego se utilizan en el cifrado de datos y
 comunicaciones.*
 *
 *
 *Ahora sabemos que Intel, a instancias de la NSA, coló una puerta trasera
 en su generador de números aleatorios, precisamente para permitir a la
 agencia de seguridad descifrar lo que se creía indescifrable. *
 
 
 As que ya ves. Todo sistema que esté usando el generador de números al azar
 de Intel (incluso Linux) probablemente es fácilmente descifrable para la
 NSA. Y los números al azar se utilizan en los cifrados que supuestamente
 son seguros.


por eso insisto en que no usaría con confianza cualquier sistema de 
encriptación programado por 
otra persona, o, digamos, también, ninguno programado hasta ahora.

-- 
   Marcos Guglielmetti
▲
::  M U S I X   :  
▼
 ((*J*))
www.musix.org.ar
 www.ovejafm.com
   www.softwarelibre.org.ar
___
Para encontrarte con activistas del movimiento social del software libre: 
http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento

The beginning of the mistake is from growing meat for the king and wine for 
the church.
http://www.context.org/ICLIB/IC14/Fukuoka.htm

Re: Privacidad en internet, NSA y GNU/Linux.

[Marcos G.]

On Lun 09 Sep 2013 03:58:05 Alejandro Vargas escribió:
 El 6 de septiembre de 2013 17:12, Marcos G. mar...@ovejafm.com escribió:
 
 por eso no confiaría nunca en sistemas de encriptación programados por
 
  personas que no conozco,
  preferiría programarlo yo y pasar el software sólo a quien me parezca de
  confianza
  
  si todos los programadores del mundo hiciéramos eso, la ns a la tendría
  complicadísima.
 
 Ok, pero con una salvedad: usá un algoritmo standard y de seguridad
 conocida (RSA por ejemplo) y hacé vos el programa si querés.
 
 Siempre me acuerdo de una charla de un matemático a la que asistimos hace
 tiempo. Nos habló de cifrado de datos relacionado con linux y nos contó una
 anécdota muy interesante sobre una vez que la NSA iba a comprar un
 algoritmo de cifrado. Se presentaron varias alternativas y entre allas una
 que creo que había diseñado Siemens para su uso interno y que venían usando
 desde hacía varios años. Apenas se hizo la presentación uno de los
 matemáticos hizo el gesto de bajarse los lentes a la punta de la nariz. Eso
 entre ellos significa que han observado una debilidad grave. A los dos días
 apareció el matemático con un ataque que rompía fácilmente ese cifrado.
 
 La enseñanza que nos quería dejar el que nos contaba la historia, es que
 igual que el software open source es más seguro porque ha sido revisado por
 muchos, en el cifrado de datos también es siempre mucho más seguro usar
 algoritmos públicos porque su seguridad es conocida y sabemos qué esperar.
 
 Si te inventás tu propio cifrado podrías tener la suerte de hacer algo
 maravilloso pero tamtién podrías haber pasado por alto algún detalle que lo
 haga inútil. ¿Cuántos años llevarían los competidores de Siemens espiando
 sus comunicaciones por usar un algoritmo que un buen matemático puede
 romper en dos días?


linda anécdota

para mí, el gran error de los cifrados, al menos en textos, es basarse tanto en 
la matemática

-- 
   Marcos Guglielmetti
▲
::  M U S I X   :  
▼
 ((*J*))
www.musix.org.ar
 www.ovejafm.com
   www.softwarelibre.org.ar
___
Para encontrarte con activistas del movimiento social del software libre: 
http://listas.softwarelibre.org.ar/cgi-bin/mailman/listinfo/movimiento

The beginning of the mistake is from growing meat for the king and wine for 
the church.
http://www.context.org/ICLIB/IC14/Fukuoka.htm

Re: Privacidad en internet, NSA y GNU/Linux.

[Alejandro Vargas]

El 9 de septiembre de 2013 12:39, Marcelo Robin
marceloro...@gmail.comescribió:

 el SELinux tengo entendido Cyanogen Mod lo esta implementando en sus
 versiones 10.2 si no estoy mal informado. Lo venden como ampliar la
 seguridad de los moviles cuando en realidad les estas entregando toda la
 informacion gratuitamente.


No creo. Digamos que sin SE Linux estás a la merced de cualquiera y con SE
Linux tal vez (y sólo tal vez) sólo pueda espiarte la NSA.


 Ademas creo que google lo esta incluyendo en el Android 4.3


Claro. Cyanogen Mod está en eso porque Google está en eso. En definitiva es
el mismo sistema operativo.

Re: Privacidad en internet, NSA y GNU/Linux.

[Alejandro Vargas]

El 9 de septiembre de 2013 13:54, Marcos G. mar...@ovejafm.com escribió:

para mí, el gran error de los cifrados, al menos en textos, es basarse
 tanto en la matemática


Sí... es que las computadoras están hechas para la matemática.

Pero la verdad yo he pensado varias veces en crear algún tipo de cifrado
que sea más humano que informático. O sea, con ayuda de la computadora para
hacer el trabajo pesado pero que requiera algún criterio humano o que
utilice información generada por humanos. Pero cada vez que pienso en algo
me doy cuenta de que la idea que he tenido sería más débil que un algoritmo
matemático porque, justamente, la matemática es exacta y su debilidad
conocida.

Re: Privacidad en internet, NSA y GNU/Linux.

[Marcos G.]

On Lun 09 Sep 2013 11:54:03 Alejandro Vargas escribió:
 El 9 de septiembre de 2013 15:28, Marcos G. mar...@ovejafm.com escribió:
 
 pero si el hombre en el medio no conoce un diccionario, x ejemplo, la única
 
  q le queda es atacar
  tu máquina y robártelo, y si el software q hiciste está preparado para
  re-genera nuevos
  diccionarios potencialmente infinitos, no veo problema en ese esquema
 
 En principio, atacar tu máquina y robártelo puede ser el modo más fácil.
 Sin embargo, si tiene el programa que generó el diccionario ahí puede haber
 una debilidad.

lógico

pero el programa es sencillo y fácilmente re-modificable, si sospechás q 
alguien más lo tiene, lo 
cambiás rápidamente, es más fácil de arreglar q todo lo q existe actualmente, 
gpg, linux y su 
generador de números al azar programado por la ns a llevado por intel hacia 
Linus, etc.

 ¿En qué se basó ese programa para generar el diccionario?

en algunos textos que vos le diste al programa: el atacante debería robar todos 
esos textos y 
dárselos al programa en el mismo orden que vos se los diste, todo exactamente 
así.

 ¿En números al azar? 

no, en las palabras que aún no conoce (si comienza de cero, no conoce nada)

 Justamente el problema que mencionaba en otro mail:
 que incluso linux durante un tiempo tuvo un generador de números al azar
 que la NSA puede predecir. Y pudiendo predecir al menos algo de esos
 números al azar, se pueden probar diccionarios posibles en cosa de minutos.
 

por eso no hay q basarse completamente en ningún azar electrónico


  que para mí no sería un problema matemático, sino más social: te tienen q
  ir a buscar a tu casa y
  torturarte
 
 Claro... Es el problema de siempre. Si te tienen fichado como terrorista,
 no creo que podás comunicarte sin que te espíen. Si no, en realidad no
 tienen más interés en vos que en el resto de los miles de millones de
 personas del mundo. Lo que les interesa es poder pasar tu tráfico por
 detectores automáticos que les indiquen si sos sospechoso de algo, y apenas
 te volvás sospechoso ya no tiene sentido que sigás cifrando los datos
 porque de una forma u otra los van a ver.

por eso lo que me interesa es el espionaje masivo, dado que no somos 
terroristas y tenemos todo 
el derecho del mundo a no ser observados en la intimidad... a nadie se le 
ocurriría aceptar q un 
vecino lo mirara todo el tiempo a través del tapial...

Re: Privacidad en internet, NSA y GNU/Linux.

[Carlos Matons Cesco]

On Vie 06 Sep 2013 1212 Marcos G. escribió:
 On Vie 06 Sep 2013 06:41:26 Alejandro Vargas escribió:
  El 6 de septiembre de 2013 02:47, Carlos Matons Cesco
 
  cmat...@gmail.comescribió:
   Pero leyendo y leyendo me encuentro que en los kernels Linux la NSA ha
   metido
   su mano hace unos 10 años aproximadamente. Lo hace a través de un
   módulo (no
   sé qué es) llamado SELinux [1][2][3][4].
 
  Sí, es cierto. La NSA aportó SELinux al kernel. Por eso hay mucha gente
  que
  prefiere no usarlo (como alternativa tenemos apparmor). Sin embargo, la
  situación comparada con windows es muy distinta. En el caso de linux la
  NSA
  lo que hizo fue entregar el código fuente y ponerlo a consideración de
  Linus Trovalds y su grupo. Ellos lo analizaron y lo aprobaron para
  incluirse en el kernel. En windows meten quien sabe qué (si es que meten
  algo) y entregan código binario para distribuir, cosa que es muchísimo más
  complicada de auditar.
 
  Al estar disponible el código fuente, todo el mundo puede observarlo y si
  alguien descubre que los de la NSA se quieren hacer los vivios, nos
  enteramos todos en pocas horas.
 
  Acordate de que la NSA es una agencia de seguridad, así que su función
  no
  es realmente espiar a la gente, sino tratar de que los ciudadanos
  estadounidenses  estén seguros. Ellos consideraron que como en muchas
  empresas se usa Linux, para que sus empresas estuvieran más seguras sería
  bueno agregar un filtro de seguridad extra a Linux. De esa forma le dan a
  linux seguridad de categoría militar para poder usarlo con tranquilidad
  internamente en el ejército, marina, etc.
 
  Esa es la justificación que dan ellos y parece lógica. Sin embargo siempre
  queda una sombra de duda de si por ahí en medio del código hay algún
  detallito que se le haya pasado a todos los que lo revisaron, y que les
  permita utilizar el SELinux para saltarse la seguridad del sistema. Por
  eso
  mucha gente pregiere AppArmor, aunque tampoco hay garantía de que alguno
  de
  los desarrolladores de AppArmor no sea en realidad un agente de la NSA...

 Muy buena charla y muy buena respuesta


 ayer salió publicado esto:

 http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html

 sobre encriptación, destaco:

  And the agency used its influence as the world’s most experienced code
 maker to covertly introduce weaknesses into the encryption standards
 followed by hardware and software developers around the world.


 por eso no confiaría nunca en sistemas de encriptación programados por
 personas que no conozco, preferiría programarlo yo y pasar el software sólo
 a quien me parezca de confianza

 si todos los programadores del mundo hiciéramos eso, la ns a la tendría
 complicadísima.

Yo sin saber mucho del tema pienso que debe funcionar mas o menos así lo que
hacen estos muchachos. El volumen de información que transita por internet a
diario es astronómico, así que revisar todo es imposible.

De alguna manera deben filtrar y categorizar esta información relevante a
través de palabras clave o algún método que no sé cuál es pero que no debe ser
nada complejo. Y ahí sí, con la información que es categorizada como
prioritaria, aparece el ser humano a analizar y ver en profundidad de qué se
trata.

Otra cosa que debe despertar el interés del sistema son los mensajes que van
encriptados, por ejemplo con GPG.

Si bien el método de búsqueda y selección de información debe ser muuucho mas
sofisticado de lo que yo planteo, estoy seguro que no estoy muy desorientado
en lo que pienso.

Creo que la forma de joderles la vida a los de la NSA sería que todo el
mundo mande mensajes encriptados (aunque sea con una RSA de 256 bits) para
todo. ¿Tenés que organizar un partido de fobal con los muchachos? Bien, que
todos los correos que van y vienen vayan encriptados. Seguramente van a hacer
el esfuerzo por desencriptarlos y eso se traduce en algunos minutos o segundos
de uso de alguna super computadora que tengan por ahí estos gringos. Si esos
segundos los multiplicas por los necesarios para investigar todo el tránsito
de información que hay te aseguro que les hacés mierda el presupuesto del área
de defensa en un par de semanas.

--
Carlos H. Matons Cesco

signature.asc
Description: This is a digitally signed message part.

Re: Privacidad en internet, NSA y GNU/Linux.

[Carlos Matons Cesco]

On Vie 06 Sep 2013 1141 Alejandro Vargas escribió:
 El 6 de septiembre de 2013 02:47, Carlos Matons Cesco

 cmat...@gmail.comescribió:
  Pero leyendo y leyendo me encuentro que en los kernels Linux la NSA ha
  metido
  su mano hace unos 10 años aproximadamente. Lo hace a través de un módulo
  (no
  sé qué es) llamado SELinux [1][2][3][4].

 Sí, es cierto. La NSA aportó SELinux al kernel. Por eso hay mucha gente que
 prefiere no usarlo (como alternativa tenemos apparmor). Sin embargo, la
 situación comparada con windows es muy distinta. En el caso de linux la NSA
 lo que hizo fue entregar el código fuente y ponerlo a consideración de
 Linus Trovalds y su grupo. Ellos lo analizaron y lo aprobaron para
 incluirse en el kernel. En windows meten quien sabe qué (si es que meten
 algo) y entregan código binario para distribuir, cosa que es muchísimo más
 complicada de auditar.

 Al estar disponible el código fuente, todo el mundo puede observarlo y si
 alguien descubre que los de la NSA se quieren hacer los vivios, nos
 enteramos todos en pocas horas.

Eso es cierto. El tema es cuántos tipos que realmente entienden lo que pasa en
el kernel se han puesto a mirar que hace SELinux. Porque yo me puedo poner,
pero no entiendo un carajo, así que probablemente se me escape hasta lo más
obvio.

 Acordate de que la NSA es una agencia de seguridad, así que su función no
 es realmente espiar a la gente, sino tratar de que los ciudadanos
 estadounidenses  estén seguros. Ellos consideraron que como en muchas
 empresas se usa Linux, para que sus empresas estuvieran más seguras sería
 bueno agregar un filtro de seguridad extra a Linux. De esa forma le dan a
 linux seguridad de categoría militar para poder usarlo con tranquilidad
 internamente en el ejército, marina, etc.

http://www.nsa.gov/about/mission/index.shtml
Ésta es la declaración de misión de la NSA. Por lo menos a mí me deja muy
claro que están dispuestos a hacer cualquier cosa (including through
clandestine means como ellos dicen).

 Esa es la justificación que dan ellos y parece lógica. Sin embargo siempre
 queda una sombra de duda de si por ahí en medio del código hay algún
 detallito que se le haya pasado a todos los que lo revisaron, y que les
 permita utilizar el SELinux para saltarse la seguridad del sistema. Por eso
 mucha gente pregiere AppArmor, aunque tampoco hay garantía de que alguno de
 los desarrolladores de AppArmor no sea en realidad un agente de la NSA...

Gracias Alejandro por tu respuesta, me aclara un poco algunas dudas.

--
Carlos H. Matons Cesco

signature.asc
Description: This is a digitally signed message part.