Ouro-Lock Concurso Criptografia Segurança: cuidado!

Este post é para falar sobre a abordagem de marketing "injusto" da Gold Lock, uma empresa israelense fazer criptografia de voz móvel autorizado pelo Ministério israelense da Defesa.

Após um anúncio feito visto em "Segurança da Informação Comunidade" Linkedin grupo:

GoldLock está oferecendo EUA $ 100,000 e um trabalho para uma unencryption

GoldLock, um israelense e criptografia de segurança da empresa está a oferecer $ 100,000 EUA e um emprego a qualquer um capaz de decifrar uma conversa de celular contido em um arquivo fornecido em seu site ( https://www.gold-lock.com/app/en/? wicket: interface =: 8 ::::).
A transcrição deve ser enviado de volta para GoldLock até 01 de fevereiro de 2010.
O concurso está aberto a todos e quaisquer ferramentas ou tecnologia pode ser usada.
Boa sorte a todos!

Eu comentei:

Não ter uma especificação de protocolo pública não é ainda cientificamente sério para fazer uma truques de marketing como este.
Eu diria ao ouro-lock, vamos liberar o código-fonte e deixe ninguém compilar o mecanismo criptográfico, se você não confiar para ter alguma coisa desagradável dentro ...;)

Toni Koivunen da F-Secure disse:

Então ... Eles vão pagar R $ 100 se você passar a AES e os problemas com as chaves.
Se alguém retirá-lo eles certamente fazer um caminhão de dinheiro mais em outros lugares. Além disso, eles se mantêm os direitos sobre o código / tecnologia que eles criaram, que não é o caso se eles vão para o $ 100k desde a Licença bonita diz claramente que:
# Uma carta atribuição a Linha Ouro, de uma forma satisfatória para a Linha Ouro de sua tecnologia e do Plano de Trabalho (a "Tecnologia"). Forma tal atribuição deve permitir Linha Ouro para transferir os direitos sobre a tecnologia para a Linha Ouro, incluindo o direito ao registro de patentes e todos os outros direitos.
# A liberação e forma de dispensa, de uma forma satisfatória para a Linha Ouro, devidamente assinada por você e qualquer outro participante de quaisquer direitos sobre a tecnologia.
Além, é claro Gold Line se reserva o direito de alterar as regras do jogo com aviso prévio. Ou a necessidade de notificar mais tarde também.
Parece justo:)

Michel Scovetta da Computer Associates , disse:

Parece que a finalidade deste é fazer alguns testes mais barato fora dele, e ser capaz de dizer algo como: "Os melhores especialistas de criptografia do mundo tentaram quebrá-lo, e foram incapazes de".

De acordo com alguns dos docs no site da Gold Lock é, eles usam ECC-256 e um "modificado DH troca de chaves" (que tingles meus sentidos spidey), SHA-256, e depois XOR para criptografia de dados reais. Eles usam linguagem de praticamente uma blasfêmia como: "Cada componente da solução da empresa Gold Lock é testada e comprovada segura contra qualquer ataque concebível."

* Comprovada * seguro? * * Qualquer ataque concebível? Caramba!

Em outro doc em seu site, eles falam sobre sua primeira camada contando com 1024 bits RSA. GoDaddy não permite nem mesmo que 1024 bits chaves a serem usadas ao gerar mais $ 20 certificados SSL. Eles citam 300.000.000.000 MIPS-anos para quebrar, mas se minha matemática está correta, que desce para cerca de 52 dias sobre o supercomputador de topo agora. Não trivial, mas este é um ataque offline, assim que o tempo está do lado do atacante.

A descrição, em seguida, fala sobre o gerador de chaves 16k quando você registrar o dispositivo. Se o protocolo é "seguro", então deve ser "seguro" com apenas uma única tecla. Se ele não está seguro com uma chave única, então a geração de chaves de 16k só poderia fazê-lo 16k vezes mais seguro, o que está longe de uma prova de segurança.

Eu concordo com o Fabio - um concurso justo seria incluir código fonte e as especificações de criptografia. Além disso, como outros concursos provaram (SecureWebMail por exemplo), o ponto mais fraco não é geralmente a criptografia. É tudo das outras coisas, e não se parece com nada disso está sendo divulgado para o concurso.

http://xkcd.com/538/

Microfone

Eu diria que todas estas considerações de especialistas em segurança de empresas de segurança bem conhecidos e estabelecidos nos levar a considerar que:

  • Gold Lock não é transparente em suas criptografia em tudo e eles trabalham prática através ruim de Obscurity Trough Segurança (ninguém sabe o que está dentro do produto)
  • Gold Lock não está jogando um jogo justo, propondo este "concurso de segurança '
  • Gold Lock-estar certificada pelo ministério da Defesa de Israel pode levantar dúvidas relacionadas com a possível relação com a inteligência ... Leia por correio certificada pelo Ministério da Defesa de Israel .

Voz de segurança é uma matéria sensível e carece de transparência e relacionamento governamental para escolhas de criptografia geralmente não fornecem nada de bom ...

Pense nisso ...

Compartilhar
by naif . Enviado em 25 de novembro de 2009 por naif . Esta entrada foi publicada em guerra cibernética , inteligência , interceptação , Privacidade e marcou , , , . Bookmark o permalink .

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios marcados com *

*

Você pode usar estas tags HTML e atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>