En pleno proceso de higienización personal completa ( en la ducha, vaya ) me surge una duda. Pero antes de plantearla, veamos el contexto. La encriptación de datos con claves asimétricas, ya sean RSA o DSA, es lo mas potente que se conoce hoy en día hablando de seguridad en las comunicaciones. Con una clave lo suficientemente grande ( 2048 o 4096 si nos ponemos paranoicos ) y con un algortimo de cifrado simetrico lo suficientemente potente ( AES, por ejemplo ) podemos enviar y recibir datos de manera segura. Resumiendo, que solo los interesados van a poder acceder la información. Si los dos usuarios tienen conocimientos suficientes de informatica y conocen como funciona el sistema de encriptación, no cabe duda de que es irrompible.
Que pasa si el destinatario de tu email ( por ejemplo ) no tiene ni idea de lo que es RSA? Llegan los problemas. Si el usuario se ha creado un par de claves el solito, es muy posible que no cifre la clave privada. En caso de que las cifre, lo mas común es que use su -unica- contraseña para cifrarlo. Entonces esto me lleva a pensar que tener una clave privada propia con una contraseña de 25 carácteres solo sirve para proteger LA INFORMACIÓN QUE TE ENVIAN. Osea, proteges a tu remitente, pero no proteges tus mensajes enviados.
Pongamos un ejemplo. Pongamos que alguien se hace con tu clave privada. Que tiene? Pues una espera de 10^1000 años (tirando una pedrada) para romper tu contraseña ( evidentemente única, que solo usas para proteger tu clave privada ). En caso de que la consiga, que tiene? Pues los correos que me han mandado a mi. Que pasa si alguien roba la clave privada de tu destinatario, que no tiene un password fuerte y como usa el mismo password para entrar en Windows que para proteger su clave privada, el atacante tiene... todos los correos que has mandado y que no querías que otros leyeran. Estupendo!
Reflexión tonta ( se me ocurrió en la ducha! que esperabais?! ). La seguridad de tus datos dependen de la persona a quien envies la información. Ergo: tu eres responsable de la seguridad de la información que te envian.
Nota mental: no enviar mails con información sensible cifrados con RSA a personas no-informaticas AND no-paranoicas.
No hay comentarios:
Publicar un comentario