Tema: seguridad en bases de datos
Ver Mensaje Individual
  #29  
Antiguo 30-09-2012
Avatar de Delphius
[Delphius] Delphius is offline
Miembro Premium
  
Registrado: jul 2004
Ubicación: Salta, Argentina
Posts: 5.582
Reputación: 25
Delphius Va camino a la fama
Cita:
Empezado por ElMug Ver Mensaje
Hola Delphius,

Creo que te andas pasando de la raya en tus juicios y te haces eso que te precipites en fallas.
No me he pasado en mis juicios pero ahora si lo haré: simplemente estoy demostrando a un completísimo ignorante que no le ha gustado nunca las respuestas que le dieron desde el momento en que llegó. Y pretendía que se le diera hasta el ABC de algunas preguntas. Y que luego pretendía tirar mierda a los que se ofrecieron ayudarlo en un principio porque no les gustaron las soluciones y propuestas que se le fueron dando.
¿Fallas? Por favor... ¡Dame una!

Cita:
Empezado por ElMug Ver Mensaje
1. En primer lugar, basicamente toda esta tecnologia esta definida en Ingles, y hasta tu mismo admites que no hay palabras apropiadas para algunos terminos en Español
Que no exista palabra en español no amerita emplear MAL un término proveniente del inglés.

Cita:
Empezado por ElMug Ver Mensaje
2. Aplicar el resultado de un proceso MD5, por ejemplo, para mi es "Encryption" y yo la traduzco como cifrar. Antes use "encriptar" pero luego vi que esa palabra no existe en el diccionario de la Real Academia Española. En cambio la palabra "cifrar" si existe. Esto lo menciono porque traes como arma de ataque "el uso del diccionario".
Pues serás el único burro que llama cifrado a algo que no lo es.
Aquí estás demostrando tu confusión y falta de conocimiento sobre el área y de una errónea interpretación del inglés. Pasaré a demostrar más adelante.

Cita:
Empezado por ElMug Ver Mensaje
3. Los procesos como el MD4, el MD5, los SHA, y sus derivados, en Ingles siguen siendo "encryption algorithms". Y si tu no les puede poner nombre en Español, pues para mi siguen siendo "cifrar".

4. Son algoritmos de "one way", o sea que no hay desde principio "anti-algoritmo", o sea algoritmo de revertir. Mas eso no les quita que sigan siendo "encryption" o "cifrar". Y aunque veo que NO TE PARECE el nombre, veo tambien que NO TIENES alternativa. Es por eso que sinceramente no comprendo tu afan en el argumento.
¡Bestia! Que no pertenecen a algoritmos de cifrado. Si debieramos ser exactos, los algoritmos como MDx y SHA-x pertenecen a lo que se conoce como cryptographic hash function, que son estudiados por la criptografía. Lo que tu estás confundiendo y asumiendo es justamente que por tener la misma raiz "crypto", todo es en última un cifrado.
La ciencia es criptografía, y muchos confunden justamente por querer traer los términos casi literalmente al español que se dice encriptar/desencriptar. Tenemos la palabra en español adecuada: cifrar.
La criptografía, no sólo se queda en los algoritmos de cifrado sino que además se dedica a otros algoritmos diseñados para otras cosas. Entre ellos, están los algoritmos de funciones criptográficas basadas en tablas hash que generan claves de reducción que las asocia.
Entonces, no son algoritmos de cifrado, son algoritmos de criptografía. ¿Ves y entiendes la diferencia en las palabras?
No me vengas a que por falta de un nombre hay que escudarse... si no hay un término búscalo explicarlo de otra forma... aunque tengas que gastar más saliva. A veces empleamos el puro inglés porque nos resulta más breve y nos hacemos vagos en decir unas cuantas letras o palabras más.

A vos lo que te molesta es que haya demostrado tu error y no quieres admitirlo.

Cita:
Empezado por ElMug Ver Mensaje
5. Ahora en cuanto a los errado de tus argumentos, uno de ellos es el que "No se cifran" y argulles que de lo contrario se podria averiguar el password de los usuarios, aunque admites que puede tardar 50 años. Pues bien, fijate que ESA no es la razon por la que se usa el "hashing". La principal razon es porque los algoritmos bi-direccionales son mucho mas lentos que los de tipo "hashing", y tambien usan mas recursos de memoria y CPU. Claro que esto es fundamento historico, pero tu argumento de que con ellos nadie puede saber el password, yo te digo que, actualmente, es mucho mas facil violar un MD5 que un algoritmo de dos vias.
Te invito a volver a leer desde el comienzo.
Se ha dejado en claro que los motivos de porqué no se emplean los algoritmos de cifrado son varios, aunque se pueden encontrar 2 principales motivos:
1) Son reversibles, y no interesa si es de ahora o dentro de varios años. El punto es que son reversibles.
2) NUNCA fueron pensados ni diseñados para almacenar contraseñas.

Eso de que consumen más recursos y son más lentos es de menos, efecto colateral y algo secundario.
El punto es que los algoritmos de cifrado no han sido planteados ni sugeridos para almacenar información como la de una contraseña sino para poder compartir datos de una forma más segura.
¿O acaso te pondrás a compartir tu contraseña con alguien?

No se discute que los algoritmos de reducción sean inviolables. De hecho yo mismo he dicho que incluso éstos pueden fallar. Pero al menos a nivel teórico y hasta cierto punto práctico los algoritmos de reducción son la vía pensada y más segura de entre sus usos: poder asociar e identificar una contraseña sin almacenarla como tal.

Cita:
Empezado por ElMug Ver Mensaje
6. Linux, hasta donde se, por ejemplo ya no usa el MD5, pues deberias de saber que simplemente con poner en google el resultado de un hash, es alta la posibilidad de que saque una frase que de ese hash. Y es que hay diccionarios con BILLONES de hashes, disponibles a quien sea que facilitan eso. Claro que el logro se relaciona con lo complejo de el password usado.

7. Aparte, que esta demostrado que por ejemplo para el MD5, hay mas de UNA frase que de como resultado el mismo MD5. Eso ya esta verificado, al grado que el MD5 se considera inapropiado para uso en passwords, y ningun sistema de reputacion lo usa para cifrar passwords ("encriptar" o lo que gusteis llamarle). A eso se le llaman (en Ingles) "Collitions", y creo que serian "coliciones" o "choques", mas no porque no haya el termino (en Español), ya ande uno errado en lo tecnico.
Si lees bien mis mensajes te enterarías que emplee el término: cómo. De hecho yo he dicho que se emplean algoritmo de reducción como MD5; lo que da por sentado que no es el único ni necesariamente he dicho que sea el mejor. Lo mencioné porque a pesar de que se le ha encontrado fallas, sigue siendo empleado para algunas cosas, es el más conocido y el que figura como ejemplo.

Hay otros más robustos, como el SHA que mencionas.
Que el que un grupo de personas se hayan dedicado a generar MD5/SHA farms es algo extra fuera de discusión... No se puede culpar a la sociedad de criptografía porque hecha la ley hecha la trampa. Es lo que hay... No necesariamente porque existan esos sitios hacen que tantos años de estudio y de propuestas deban estar tirados a la basura.
Si hay que preocuparse, pero tampoco es para decir que ahora son muy inseguros y debamos desecharlos y no usarlos... Eso tampoco es pretexto como para asegurar y justificar que va a resultar mejor aplicar un cifrado que un algoritmo de reducción.

Naturalmente tanto a los algoritmos de cifrado y reducción hay que ir cambiándolos y mejorándolos. Lo hacemos porque cada vez las máquinas son más veloces, y hay más recursos que les permiten ir explotandolos. Por ejemplo, con lo que pasó con SHA-1, se le encontró una falla en su matemática pero no ha sido hasta hace relativamente poco que se la ha podido explotar. Y aún así no cualquiera lo puede hacer... porque no todos tienen esos semerendos equipos. Hoy tenemos SHA2 y es el que se recomienda, y vendrá el día en que a este también lo tendremos que cambiar.
Los algoritmos de cifrado tampoco son de lo más efectivos... incluso para los más efectivos. Tomemos por ejemplo el gran famoso AES, que se dice que es uno de los campeones. ¿Sabías que se le ha encontrado una falla a su AES256? Si... se está en duda de su seguridad... incluso hay quienes están en condiciones de demostrar que AES128 es más seguro que su 256... cuando lo lógico y de esperar es que a mayor tamaño más seguridad.

Yo he dicho que después de todo el objetivo detrás de la criptografía es el última el de ofrecer los medios más seguros y dificultar lo más posible a un atacante. Naturalmente que el en verdad quiera hacerse de alguna información, tarde o temprano lo hará si tiene el conocimiento y los recursos. La idea en que se basan todos los algoritmos que se van proponiendo es que para cuando el atacante esté próximo a su objetivo, ya exista algo más seguro y la tecnología haya migrado y la información ya no tenga el valor que inicialmente tuvo.

Cita:
Empezado por ElMug Ver Mensaje
La verdad es que ahorita me gustaria saber de donde sacaste eso de que "no se cifran" los passwords (entendiendo que te refieres a que en exclusiva, se use hashing), y especialmente LAS RAZONES, que lo justifiquen, y no me refiero a la tradicion.

Si crees que "hashing" es de alguna manera "superior" a un algoritmo de dos vias, pues explicate el por que.
Yo creo que con lo ya dicho es suficiente como para cerrarte el pico. Pero si es necesario empieza a hacer búsquedas y encontrarás material que ilustra bien porqué es que se utliza algoritmos de reducción o ya que estoy de ganas, para decirlo más clarito: algoritmos de criptográficos basados en tablas hash.

Cita:
Empezado por ElMug Ver Mensaje
Ahora, a falta de terminos, para traducir el cifrado en base de "hashing" o algoritmos uni-direccionales, pues hay varias, y no "picar" como se ha sugerido.

"Comprimir" o "Digerir", diria que serian mucho mas adecuados.
Y si hay un modo, aunque no suena tan elegante como su contraparte inglesa, de decirlo ¿porqué no decirlo? ¿Tienas paja o vagancia? ¿Te cuesta mucha saliva? Es lo que hay... asi es nuestro idioma. Tenemos palabras muuuuy largas. Que se le va a hacer. Pero no por esto se debería decir tan limpiamente cifrado a algo que no lo es.

Ya te he demostrado que es un error tuyo. Ahora haz el favor de corregirte y empezar a hacer un esfuerzo por decir las cosas de un mejor modo. Termina con tu propia intención de seguir llamando cifrado a algo que no lo es. Si los demás, y no sólo yo, opinamos lo mismo! Fíjate que Casimiro, mightydragonlor han también comentado al respecto y de una u otra forma también están diciendo que las passwords no se cifran.
La verdad es que eres el único tonto del hilo en que lo ha dicho.
Y no somos los únicos que lo decimos... busca en la red y encontrarás a muchos especialistas que pueden argumentar mejor que cualquiera de nosotros que el porque no se ha de cifrar.

Utilizamos lo que hay. Y hemos dicho que tampoco es que no sean inviolable... pero es lo mejor al menos, hasta donde llegan nuestros conocimiento y lo que se ha venido publicando por los especialistas.

Saludos,
__________________
Delphius
[Guia de estilo][Buscar]
Responder Con Cita