Criptografia é complexo e tem seu próprio jargão com palavras como hashes, chaves, cifras, etc Para os não iniciados, pode ser um completo mistério. Felizmente, há muitas pessoas inteligentes que têm uma idéia sobre como criptografia funciona e o que isso significa para nós meros mortais. A recente descoberta de um desses especialistas tem levantado algumas questões sobre por que o Android está usando níveis fracos de criptografia por padrão quando tenta iniciar uma conexão segura e criptografada.
A criptografia é essencial para todos os usuários on-line para atividades simples, como o uso de seu nome de usuário e senha ou para mais ações mais arriscadas, como a transferência de dinheiro em torno de usar serviços financeiros online. A criptografia protege nossos dados privados de modo que outros, muitas vezes menos escrupulosos, as pessoas não podem ter acesso a ele.
Criptografia tem sido em torno de um tempo muito longo e seu uso e abuso é o material de lendas, as guerras têm sido ganhas e perdidas na força da criptografia utilizada. Hoje, há uma miríade de diferentes técnicas de criptografia que são baseadas em modelos matemáticos altamente complexos.Overtime estes modelos são sondados e cutucou para ver se existem quaisquer fraquezas inerentes.Várias peças-chave da tecnologia de criptografia têm estado sob fogo nos últimos anos, incluindo o Secure Socket Layer (SSL), Transport Layer Security versão 1.0 (TLS v1.0), RC4 eo MD5. Para aqueles que não estão familiarizados com estes termos, SSL e TLS definir maneiras de criar uma conexão segura entre um cliente (um dispositivo Android) e um servidor, enquanto RC4 eo MD5 é uma técnica de criptografia ea função hash, respectivamente.
Em suma SSL, TLS v1.0, RC4 e o MD5 é hoje considerado ruim. Há uma abundância de outras tecnologias que substituem em torno desses sistemas mais antigos (RC4 foi projetado em 1987) e TLS v1.0 foi substituído por TLS v1.1 e v1.2. Mas aqui está o problema, de acordo com pesquisa realizada por Georg Lukas, Android usado para preferir um tipo de criptografia (RSA/AES256) por padrão e, de repente, passou a usar o outro, sim, você adivinhou RC4 eo MD5.
Agora vêm as teorias da conspiração. Em setembro de 2011 Pesquisas de alguma segurança divulgou um documento descrevendo como criptografia como AES (o usado por padrão no Android antes de mudar para RC4) era vulnerável a uma fraqueza, uma debilidade que até então só tinha sido visto como teórico. Seu ataque foi chamado Exploit Navegador Contra SSL / TLS ou BEAST para breve! A recomendação dada por todos, incluindo Google, Microsoft e os próprios pesquisadores era mudar para RC4. Neste sentido lista cifra padrão do Android coincide com a recomendação dada para mitigar contra a besta. Mas, Android alterado para RC4 no final de 2010, quase um ano inteiro para a vulnerabilidade BEAST foi descrito! Cue as acusações de interferência NSA. De acordo com o Lukas razão dada para a variação foi de modo que a lista de codificação padrão era a mesma que a lista definida pelas várias especificações Java.
As recomendações atuais por especialistas em segurança é voltar a usar cifras como AES, mas em conjunto com TLS v1.1 ou v1.2 que corrige os problemas expostos pelo BEAST ou movimento para cifras mais recentes, como AES-GCM.
A boa notícia é que os desenvolvedores de aplicativos Android pode definir a sua própria lista padrão de cifras para substituir os pré-definidos em Android. Lukas também observa em sua pesquisa que o navegador padrão do Android (a partir do Android 4.2.2. No enfermarias) e as versões Android do Chrome e Firefox não usar a lista cifra padrão, mas preferimos usar AES em conjunto com alguma coisa inteligente com base em curvas elípticas, conforme definido pela Diffie e Hellman. Tente dizer que a primeira coisa na parte da manhã!
O que você acha? Coincidência ou NSA?
Blogger Comment
Facebook Comment