A priori tener unas lámparas de lava no es algo que parezca que concuerde con una empresa de seguridad como Cloudflare. Pero la realidad es que cuentan con una función crucial. Precisamente estas empresas necesitan que cualquier contraseña que se genere no siga ningún tipo de patrón, para evitar que un atacante la pueda terminar descifrando
|
etiquetas: seguridad , lámpara de lava , cloudfare , contraseña , cifrado , aleatorio
www.youtube.com/watch?v=1cUUfMeOijg
La escena en cuestión m.youtube.com/watch?v=ex1yEeprsNI
Era una planta nuclear, no electrica
www.youtube.com/watch?v=msX4oAXpvUE
Pena no encuentre el vídeo
www.random.org/
RANDOM.ORG offers true random numbers to anyone on the Internet. The randomness comes from atmospheric noise, which for many purposes is better than the pseudo-random number algorithms typically used in computer programs.
Métodos que son igual de efectivos pero menos visuales y no sirven para hacer publicidad de la empresa.
De hecho, realmente, no hace ni falta. Puedes coger la fecha del servidor, multiplicarlo por un número aleatorio, dividirlo por un número aleatorio, repetir esto un número aleatorio de veces y la semilla será tan imposible de descifrar como si usaran cualquier otro método y será más seguro que depender de que nadie quite las lámparas de lava y las cambie por una cartulina negra.
Ya veo a los de la NSA con una antena direccional enviando "ruido" controlado a los receptores que tienen estos.
Está claro que hay zonas de edificios que no cambian, pero si encuadras solo a zonas de tráfico, o a zonas donde pasea gente, ahí tienes aleatoriedad para rato.
Pero si coges ese aleatorio del ordenador y le aplicas una serie aleatoria de operaciones aleatorias acabas teniendo un aleatorio igual de seguro que con cualquier otro método.
Aunque seguro que hay métodos igual de fiables que el de las lámparas, pero entonces no estaríamos hablando de ellos.
A ver: los ordenadores son buenos PRNGs (generadores de números PSEUDO aleatorios), es decir, pueden generar una secuencia de números cuyas propiedades estadísticas son las mismas que las que ofrecería una secuencia aleatoria de verdad, salvo en un detalle: en una secuencia PSEUDO aleatoria, el siguiente elemento es predecible si tienes la semilla original. Si no la tienes, entonces es posible (pero muy complicado) deducir la semilla original a partir de los elementos ya generados. Por eso los PRNGs no son buenos como fuente de números aleatorios con fines criptográficos (pero sí son buenos para otras aplicaciones), porque con suficientes recursos, puedes obtener la semilla original y, por tanto, predecir los elementos de la secuencia.
Para criptografía están los RNGs (generadores de números aleatorios, sin el PSEUDO). Se puede usar un ordenador como RNG a partir del estado de variables del sistema, cuyos valores tienen cierta aleatoriedad. Es complicado, porque no hay suficiente entropía y se necesita tiempo para coleccionar la suficiente cantidad. Hay paquetes, como haveged, que realizan este trabajo y te sirven el resultado a través de /dev/random y /dev/urandom.
Pero es más eficiente (y seguro) usar fuentes externas. Por ejemplo, el proyecto random.org usa el ruido radioeléctrico de una antena sintonizada en una zona del espectro en que no hay estaciones emitiendo. Hay (había) otro proyecto, hotbits (www.fourmilab.ch/hotbits/) que usa como fuente de entropía material radioactivo y un detector; es menos complicado de lo que parece (aunque no es trivial) y está al alcance de cualquier bricoleur manitas. Incluso se puede acceder a fuentes radioactivas de baja actividad (pero suficiente para el proyecto) de forma legal y segura. Echad un vistazo al enlace anterior, que merece la pena.
Otra fuente de entropía es lo que menciona el meneo: las lámparas de lava. La posición de las burbujas sigue una dinámica caótica (esto es, la posición de una burbuja en un momento dado está descorrelacionada con su posición al cabo de un tiempo razonablemente largo), y esto se puede usar para cosechar bits aleatorios, pero de una forma algo más complicada que simplemente tomar fotos y medir la intensidad de los píxeles, como dice el redactor.
www.cloudflare.com/es-es/learning/ssl/lava-lamp-encryption/
Tu comentario es muy bueno, gracias por extender la noticia con información interesante!
Sobre el papel siempre hay un pero, en la práctica no hay razones para hacerlo complicado.
Me llamaba la atención el presupuesto que debían tener y la cantidad de escenarios reales.