![\"SSL](\"https:\/\/www.lastdragon.net\/misarchivos\/facebookverising.jpg\")
<\/p>\nAyer 5 de Septiembre un nuevo esc\u00e1ndalo se escucho en el internet provocado por que una vez m\u00e1s tiene que ver con Snowden.<\/p>\n
El esc\u00e1ndalo la NSA puede romper cualquier certificado de seguridad SSL\/TSL. Para mi lo alarmante es el t\u00edtulo de este articulo y es que uno espera que las personas en el mundo real olviden lo que pasa, por eso la pol\u00edtica funciona, se les olvida lo que hacen los partidos pol\u00edticos y a\u00f1os despu\u00e9s vuelven a votar por ellos. Sin embargo en el Internet, se supone que el Internet no olvida. Esto no es novedoso, ni siquiera deber\u00eda ser noticia actual. Esto ya paso antes y no dudo que vuelva a pasar en una d\u00e9cada y que la gente haya olvidado este asunto y lo retomen como un caso nuevo.<\/p>\n
\u00bf La NSA puede romper cualquier certificado de seguridad ? Esto es verdad, pero al mismo tiempo es falso. Como si fuera cosa del diablo o f\u00edsica cu\u00e1ntica. <\/p>\n
Es falso por que la seguridad y el cifrado que permite el SSL es muy alto, no se tiene suficiente poder de computo para estar crackeando conexiones cifradas por SSL, por lo que si me preguntas si es seguro usar SSL\/TLS yo responder\u00e9, SI.<\/p>\n
Entonces \u00bfpor qu\u00e9 es verdad?<\/p>\n
Porque estamos hablando del gobierno, el gobierno tomar \u201clibranzas\u201d , en lugar de intentar decifrar la conexi\u00f3n podr\u00eda tomar el camino m\u00e1s f\u00e1cil, lo que har\u00eda cualquier lamo en internet pero ahora haci\u00e9ndolo con todo el poder del estado.<\/p>\n
Hombre en el medio.<\/p>\n
El gobierno puede tener un hombre en el medio, como lo har\u00eda cualquier otro la diferencia es que cualquier otro que lo intente tendr\u00eda que usar software como SSLSTRIP para sacar de la formula al SSL, si el usuario sabe de seguridad, se dara cuenta que su navegador pasa de HTTPS a http y que es retirado el candado de seguridad en ese momento el mismo usuario dejara de transmitir datos por que sabe que alguien le ha intervenido la conexi\u00f3n. El atacante podria intentar mantener la conexi\u00f3n ssl para que siga apareciendo HTTPS, pero entonces el navegador lanzar\u00eda una alerta diciendo que ha sido sustituido el certificado y que adem\u00e1s no est\u00e1 firmado por una CA, igualmente el usuario cerrara la sesi\u00f3n, sabe que ha sido intervenido.<\/p>\n
Lo descrito antes es todo lo que puede hacer un mortal, un civil jugando a ser hacker, que podr\u00eda hacer el gobierno.<\/p>\n
El gobierno podr\u00eda ir con la CA por ejemplo Verisign y pedirle que les de otro certificado para el dominio que quieren vigilar, como facebook.com o google.com, seguramente alguna cosa habr\u00e1 en la ley patriota o por medio de orden judicial para obligarlos a obedecer.<\/p>\n
Armados con el certificado podr\u00edan poner un hombre en el medio como lo har\u00eda cualquier otra persona, pero en lugar de mostrar un certificado que no esta firmado por ninguna CA, muestran uno firmado por la CA de facebook.<\/p>\n
<\/p>\n
Como se ve en la imagen, cuando le preguntas a facebook cual es su CA dice que es Verisign, armados con otro certificado de la misma CA el navegador siempre mostrar\u00eda el protocolo seguro HTTPS y adem\u00e1s no lanzar\u00eda alertas por que es un certificado valido y firmado por la CA y adem\u00e1s es la misma que lo firmo en primer lugar, por lo que si el usuario revisa quien es la CA tambi\u00e9n dir\u00e1 Verisign haci\u00e9ndolo sentir seguro. Sin embargo todo lo que transmita ser\u00e1 interceptado por el gobierno en alguna de sus agencias como la NSA o FBI.<\/p>\n
Otra opci\u00f3n ser\u00eda que los usuarios rara vez verifican su certificado si el navegador no env\u00eda alertas y se conserva el protocolo HTTPS. En caso de que Verisign se niegue a cooperar pueden ir con otra CA y el usuario de facebook solo se dar\u00eda cuenta si revisa el certificado manualmente, pero \u00bf cuantos han revisado al menos un certificado ? con que su pc no mande alertas con eso est\u00e1n conformes.<\/p>\n
Puerta trasera en el certificado<\/p>\n
En la d\u00e9cada de los 90\u2019s el gobierno de USA prohibi\u00f3 que fuera de estados unidos se pudiera manejar certificados con llaves cifradas de m\u00e1s de 40 y 56 bits, 128 bits en ese entonces era demasiado para el poder de computo de ese momento, pero s\u00ed podr\u00edan adivinar las llaves crackeandolas si estas son inferiores a 128 bits. <\/p>\n
As\u00ed que en varios pa\u00edses se tomo medidas, en M\u00e9xico Pepe Neif lanzo una distro de Linux basada en RedHat 5.2 ( antigua, antes de los RedHat AES) la cual tra\u00eda software libre y libre de las manos del gobierno gringo que permit\u00eda sin mayor problema hacer certificados a 128 bits, eventualmente el gobierno de USA desisti\u00f3 en la prohibici\u00f3n , por que los pa\u00edses empezaron a buscar soluciones por cuenta propia y el resultado ser\u00eda que desarrollar\u00edan cifrados altos fuera de USA y eso era peor, por que entonces serian secretos de estados en naciones extranjeras que ellos no podr\u00edan monitorear, USA entro en p\u00e1nico si no es que en terror y mas raudo que veloz retiro la prohibici\u00f3n.<\/p>\n
USA permite certificados de m\u00e1s de 128, pero sabe que el poder de computo para descifrar esos certificados esta fuera de su alcance, entonces tienen una brillante idea, porque no convertir un certificado de 128 o m\u00e1s bit en uno de 40 bits, asi que inyecta la puerta trasera en los CA, en las compa\u00f1\u00edas como Microsoft y otras para que cuando generen certificados en pa\u00edses fuera de USA el certificado sea de 128 bits pero conociendo los primeros 88 bits, dejando para adivinar solo 40 bits, 40 bits si son razonables para el poder de computo de los 90\u2019s y m\u00e1s ahora en el 2013.<\/p>\n
Por lo que USA ha roto el SSL, NO, est\u00e1 haciendo trampa usando su peso como el poder de el estado.<\/p>\n
El problema con el SSL no est\u00e1 en las matem\u00e1ticas que lo conforman, si no en el c\u00f3digo de puerta trasera y en el poder del gobierno para obligar a las CA y compa\u00f1\u00edas gringas para implementarlo.<\/p>\n
Soluci\u00f3n, no firmes tus certificados en USA ni los generes con software privativo que provenga de USA como Microsoft Windows, usa siempre opciones libres como OpenSSL que t\u00fa mismo hayas compilado. La cueva del drag\u00f3n usa un certificado firmado por una CA en USA, esto es con la intenci\u00f3n de que el navegador no lance alertas cuando el sitio es visitado pero adem\u00e1s, no hay nada que esconder aqu\u00ed. B\u00e1sicamente he cifrado informaci\u00f3n p\u00fablica no para esconderla de gobierno alguno, sino para que cuando yo est\u00e9 en redes hostiles pueda entrar a administrar mi servidor sin que est\u00e9n snifeando mis claves.<\/p>\n","protected":false},"excerpt":{"rendered":"
Ayer 5 de Septiembre un nuevo esc\u00e1ndalo se escucho en el internet provocado por que una vez m\u00e1s tiene que ver con Snowden. El esc\u00e1ndalo la NSA puede romper cualquier certificado de seguridad SSL\/TSL. Para mi lo alarmante es el t\u00edtulo de este articulo y es que uno espera que las personas en el mundo…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-810","post","type-post","status-publish","format-standard","hentry","category-hackers-and-tools"],"_links":{"self":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/810","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=810"}],"version-history":[{"count":1,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/810\/revisions"}],"predecessor-version":[{"id":811,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/810\/revisions\/811"}],"wp:attachment":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=810"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=810"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=810"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}