Re: OFF-TOPIC - TEF

Alexandre Oliva wrote:

> > Segurança por obscuridade é sim uma forma válida de segurança. Quem não
> > concorda, que publique sua senha do Banco... 8-)
> 
> O problema, no caso, é o protocolo proprietário.

Não é. O problema é a falta de transparência no tal protocolo
proprietário.


> Em qualquer sistema
> de criptografia decente, o algoritmo é público, enquanto as chaves é
> que são secretas.

Não vou contradizer você, mas também não vou apoiá-lo.

Apenas considere a idéia que segue: em qualquer sistema de criptografia
que vc conhece, o algoritmo é público.

Ausência de evidência não é evidência de ausência.

Ataque o problema real, ao invés de usá-lo para defender uma causa.

Assim você ganha credibilidade, que então será usada para defender a sua
causa.


> A senha do banco é a chave.  Se o protocolo fosse
> realmente seguro, não haveria nada que impedisse que ele fosse
> público, e apenas as chaves secretas.

O protocolo deve ser transparente como forma de proteger os dados dos
clientes do banco, não como forma de provar segurança.

Defender a abertura do protocolo como forma de provar a segurança é o
mesmo que botar uma placa na frente de sua propriedade especificando o
modelo de cada sistema de segurança que vc implementou na sua
propriedade. É apenas um aviso aos "interessados" sobre quais
dispositivos de segurança eles terão que lidar.

Não publicar o protocolo é sim uma forma se segurança : ela obriga os
interessados à gastarem esforço tentanto descobrir qual protocolo eles
estão usando. Isto deixa o processo um pouquinho mais caro.

Um sistema seguro não é aquele que ninguém consegue quebrar : é aquele
que ninguém *quer* quebrar. Torne o custo para quebrá-lo maior que o
lucro que sua quebra geraria, e vc tem um protocolo seguro.

-- 
[]s,
(Pink-wBsywGeCLZkeOCNqTAKFjzj8K+HCKVuJ+cwJ65Ta4FyFMGGs4OAh9Yf9jMG0W+I2dC5D65UrEYD35BXe+0TDd++iGdwWlHC9
@public.gmane.orgiverse)

Bose-Einstein Condensation : A new concept on Software Development.