Adi Shamir afirma que no existen los sistemas totalmente seguros
Hace treinta años, Adi Shamir, uno de los creadores del algoritmo RSA (Sistema criptográfico de clave pública), dio un discurso en una conferencia y habló sobre sus leyes de seguridad informática.
Dichas normas eran un conjunto de principios, que desarrolló durante los años, relacionados con la criptografía y sistema de seguridad. Este martes, durante la conferencia RSA, Shamir reiteró varios principios y dijo que no le sorprendía que todavía se mantuvieran ciertas cosas vigentes.
La primera de las leyes era: Los sistemas completamente seguros no existen ahora y no existirán en un futuro.
Esta declaración puede parecer obvia para la mayoría de profesionales de la seguridad hoy en día, pero en 1980 había optimismo de que las computadoras y redes podían ser seguras. La criptografía fue vista en varios círculos como un salvador potencial, pero así como los años pasaron, el optimismo se desvaneció y prácticamente desapareció. Sistemas y redes de seguridad ahora son vistos como una batalla de ingenio, donde los defensores a menudo están del lado perdedor.
El segundo principio de Shamir es que la criptografía no se rompe; se pasa por alto.
Esto ha demostrado ser tan cierto como la primera declaración. Décadas de criptoanálisis e investigaciones respecto a los algoritmos utilizados comúnmente han creado un montón de problemas, pero en su mayoría, los atacantes intentan evadir el cifrado tratando de rodearlo, es decir, no atacando a los propios sistemas criptográficos. Perseguir a los criptosistemas es una ardua tarea y casi siempre un caso perdido, incluso para los atacantes más avanzados y bien financiados.
Como lo demuestran los documentos de Edward Snowden, la agencia probablemente emplea más criptógrafos que cualquier otra organización en el mundo, usando sus influencias y capacidad mental para tratar de subvertir estándares criptográficos y encontrar formas de evitar tecnologías como el SSL (Secure Sockets Layer; protocolo que permite que las aplicaciones transmitan información de ida de manera segura). En lugar de atacar los sistemas criptográficos, la NSA se va a otras piezas del rompecabezas.
Por último, Shamir dijo que después de observar el panorama de la seguridad desde hace 30 años, vio la inutilidad de tratar de eliminar cada vulnerabilidad en una determinada pieza de software.
Fuente: https://threatpost.com/fully-secure-systems-dont-exist/112380
Fecha de consulta: 27 Abril 2015