Notícia publicada por brain em setembro 22, 2003 10:12 PM
| TrackBack
O sempre presente Slashdot aponta este artigo publicado na lista criptography e aparentemente bem embasado que critica pesadamente 3 pacotes de criptografia abertos: o CIPE, o vtun e o tinc. Definitivamente esta não é minha praia, mas o autor aponta falhas de projeto no uso de criptografia por estes pacotes, e sugere mudanças que poderiam torná-los mais seguros (do ponto de vista da criptoanálise, pelo que entendi). Não se trata propriamente de bugs, mas de más escolhas ou de ausência de acompanhamento dos avanços da criptografia.
Será que veremos uma série de forks para estes projetos, incorporando o suporte a AES e outras novidades a estes velhos sistemas? Será que quem usa estes túneis e VPNs simples precisa destes recursos? Será que o freeswan, o poptop, o openvpn, o htun e o pptpclient são escolhas melhores? Logo descobriremos ;-)
Quem sabe ao ver esta matéria bem dentro de sua área de especialidade, o Prof. Marco acorde de seu sono de mil anos e nos ilumine com um comentário, já que notícias aparentemente ele desistiu de mandar ;-)
E já que você se interessa por este assunto, leia esta interessante comparação entre a segurança de sistemas operacionais correntes, publicada pelo eWeek. Adivinhem quem é classificado como seguro o suficiente, e quem é apontado como representante de um modelo de desenvolvimento que não se presta à segurança? Dica: o primeiro começa com L, e o segundo começa com W.
O que eu posso dizer? Sem entrar nos aspectos técnicos, ele destruiu as três ferramentas. Elas possuem falhas graves, e o pior, já conhecidas há muito tempo. A sugestão é utilizar ferramentas já consagradas, ou seja "não inventar", quando o assunto é segurança. SSH e SSL ainda são as melhores alternativas, e deveriam ser utilizadas sempre que possível.
Um comentário dele que me chamou a atenção é que não dá pra confiar numa ferramenta só porque ela é de código aberto. Ele diz que tanto uma ferramenta de código fechado quanto uma de código aberto pode ser insegura.
Ele cita o livro "Practical Cryptography", o penúltimo livro lançado pelo Bruce Schneier, como uma boa referência. Conhecendo os textos do Schneier, devo concordar. O último dele, chamado "Beyond Fear", também me pareceu muito bom. Ambos estão na minha lista de desejos. Considero "Secrets and Lies", traduzido como "Segurança .com", uma leitura indipensável para quem quer conhecer segurança sem entrar nos aspectos mais técnicos, seguido, provavelmente por estes outros dois mais recentes.
Se alguém quiser discutir detalhes mais técnicos, estou à disposição.
Eu li o Practical Criptography e o Secrets and Lies, realmente muito bons. E também tendo a confiar mais em um túnel SSH ou SSL do que em ferramentas menos conhecidas.
E concordo que não dá de confiar em uma ferramenta simplesmente pelo fato de ela ser de código aberto. Mas acho que na área de segurança/criptografia, as oportunidades do modelo de desenvolvimento aberto tendem a lapidar cada vez mais as ferramentas mais conhecidas.
Uma regra fundamental em criptografia é não querer inventar se você não tem competência para isto. Falando desta forma parece até grosseria, mas a história mostra que todos os algoritmos de criptografia fechados ou proprietários acabaram em fiasco. O caminho é utilizar algortimos e protocolos conhecidos e abertos, testandos pela comunidade científica.
Ola gostaria de saber se é possivel fechar uma vpn que utiliza uma ponta o freeswan e na outra openvpn
Se alguém já fez isso .
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.