Cifrado y datos de pacientes

En Encryption and the loss of patient data (si alguien no tiene acceso y tiene interés, seguro que conoce a alguien que se lo puede proporcionar ;) ) hablan del tema del cifrado de los datos de los pacientes:

This paper presents some of the first empirical evidence about the extent to which firms’ adoption of encryption software limits how likely firms are to experience publicized instances of customer data loss.

Curiosamente, el cifrar los datos no parece favorecer su conservación ni su pérdida:

Surprisingly, we find empirical evidence that the use of encryption software does not reduce overall instances of publicized data loss. Instead, its installation is associated with an increase in the likelihood of publicized data loss due to fraud or loss of computer equipment. Speculatively, this may occur because firms are less careful at controlling access internally to encrypted data and employees are less careful with computer equipment when they believe that data are encrypted.

Por lo tanto, habría que tener cuidado también con los empleados:

Our research suggests that policymakers should expand the breadth of security measures to encompass other technologies such as user-access controls that are better able to address the insider threat.

Y tener en cuenta que la digitalización puede incrementar los problemas, sobre todo si no se tiene el cuidado necesario:

The empirical findings of this paper also suggest that digitization of patient records may increase the likelihood of data breaches.

RSA 768 cayó

Lo ví en RSA 768 has bitten the dust y enlaza al artículo Factorizaction of a 768-bit RSA modulus (pdf).

El número factorizado tiene 232 dígitos decimales y los autores estiman que el RSA 1024 podría caer en la próxima década.

Hay un artículo en RSA crypto defiled again, with factoring of 768-bit keys.

Factorizar el número cuesta medio año con 80 procesadores, teniendo en cuenta que la fase previa de cribado previo se ha realizado con varios cientos de procesadores durante casi dos años.

Además hay algún comentario más en Claves RSA de 768 bits factorizadas.

¿De manera práctica? Habría que pensar en claves de algo más que esos tamaños que estamos considerando. Los autores sugieren que sería conveniente pensar en claves mayores de 1024.

Como curiosidad, se siguen utilizando los números del The RSA Factoring Challenge que fue abandonado por los organizadores hace ya algún tiempo.

La criptografía en las administraciones

El viejo dicho viene a ser: tu seguridad es tan buena como lo más inseguro que tengas (el eslabón más débil será el que haga que se rompa la cadena). En ¿Es segura la criptografía en la administración Española? hacen un análisis de los protocolos (relacionados con SSL).

Lo que no todo el mundo sabe es que SSL como tal, no es un protocolo único, mas bien es una enorme familia de protocolos, empezando por que existen 4 versiones (SSL v1, SSL v2, SSL v3 y TLS) además en cada versión se pueden negociar diferentes algoritmos con sus correspondientes longitudes.

Podriamos decir que el mundo SSL es como el mundo de las hipotecas, existen algoritmos AAA fiables y algoritmos subprime inseguros y poco aconsejables.

Yago Jesús ha probado unos cuantos sitios para ver cuántos de ellos permiten versiones del protocolo con criptografía débil y lo que ha encontrado es que en el mejor de los casos permiten sólo 2 algoritmos inseguros pero en algún caso permiten hasta 15. Es posible descargar un documento con los resultados detallados (OO.org).