Ohqacademyit

🔈 Estado de PQC (QSafe) en Internet 🔈

👉 Interesante artículo en el que Cloudflare informa que entre el 1% y el 2% de las conexiones TLS utilizan algoritmos poscuánticos en la actualidad.

👨‍💻 Casi todo ese tráfico proviene de usuarios de Google Chrome. Según Cloudflare, aproximadamente el 10% de los usuarios de Google Chrome tienen habilitados los algoritmos PQC.

👁 Por un lado, esta cifra inferior al 2% parece lamentable. Pero cuando consideras cuánto tráfico maneja Cloudflare, te das cuenta de que estos algoritmos poscuánticos se están ampliando a escala. 📈

👨‍💻 Si estás interesado en saber más, consulta el blog de Cloudflare. Es una disertación de 10.000 palabras que cubre todo, desde por qué necesitamos algoritmos PQC hasta métricas de rendimiento para algoritmos individuales.

https://blog.cloudflare.com/pq-2024?utm_source=substack&utm_medium=email

🔈 Estado de PQC (QSafe) en Internet 🔈 👉 Interesante artículo en el que Cloudflare informa que entre el 1% y el 2% de las conexiones TLS utilizan algoritmos poscuánticos en la actualidad. 👨‍💻 Casi todo ese tráfico proviene de usuarios de Google Chrome. Según Cloudflare, aproximadamente el 10% de los usuarios de Google Chrome tienen habilitados los algoritmos PQC. 👁 Por un lado, esta cifra inferior al 2% parece lamentable. Pero cuando consideras cuánto tráfico maneja Cloudflare, te das cuenta de que estos algoritmos poscuánticos se están ampliando a escala. 📈 👨‍💻 Si estás interesado en saber más, consulta el blog de Cloudflare. Es una disertación de 10.000 palabras que cubre todo, desde por qué necesitamos algoritmos PQC hasta métricas de rendimiento para algoritmos individuales. https://blog.cloudflare.com/pq-2024?utm_source=substack&utm_medium=email #ciberseguridad #cybersecurity #cissp

Huellas dactilares en las claves públicas RSA:

🖐 Estas huellas digitales que existen en las cláves públicas RSA permiten identificar la biblioteca criptográfica que generó una clave específica:

- Investigación y hallazgos: En 2016, investigadores analizaron sesenta millones de claves generadas por diversas bibliotecas de código abierto y tarjetas inteligentes de código cerrado. Al estudiar el byte más significativo del módulo de la clave pública, encontraron patrones distintivos. 😮

- Firmas dactilares: Estas “huellas dactilares” se utilizan para determinar qué biblioteca creó una clave en particular. Los patrones subyacentes se deben a diferentes enfoques en la generación de números primos. 🕵‍♂️

- Riesgo potencial: Estas huellas no son meramente curiosidades. Representan un riesgo cibernético potencial. Si se descubre una vulnerabilidad en una biblioteca popular, estas huellas podrían ayudar a identificar claves vulnerables en uso. Además, el proceso de “fingerprinting” podría contribuir a la desanonimización al utilizar servicios como Tor. 👨‍💻

- Gráficos interesantes: El artículo presenta mapas de calor que muestran la distribución probable de bits en las claves. Puedes explorar más de estos gráficos y acceder al artículo completo en el siguiente sitio web: RSA Key Fingerprinting. 💹

⚠ Espero que encuentres esta información interesante y útil. ¡Si tienes más preguntas, no dudes en preguntar!⚠
https://rsa.sekan.eu/

Huellas dactilares en las claves públicas RSA: 🖐 Estas huellas digitales que existen en las cláves públicas RSA permiten identificar la biblioteca criptográfica que generó una clave específica: - Investigación y hallazgos: En 2016, investigadores analizaron sesenta millones de claves generadas por diversas bibliotecas de código abierto y tarjetas inteligentes de código cerrado. Al estudiar el byte más significativo del módulo de la clave pública, encontraron patrones distintivos. 😮 - Firmas dactilares: Estas “huellas dactilares” se utilizan para determinar qué biblioteca creó una clave en particular. Los patrones subyacentes se deben a diferentes enfoques en la generación de números primos. 🕵‍♂️ - Riesgo potencial: Estas huellas no son meramente curiosidades. Representan un riesgo cibernético potencial. Si se descubre una vulnerabilidad en una biblioteca popular, estas huellas podrían ayudar a identificar claves vulnerables en uso. Además, el proceso de “fingerprinting” podría contribuir a la desanonimización al utilizar servicios como Tor. 👨‍💻 - Gráficos interesantes: El artículo presenta mapas de calor que muestran la distribución probable de bits en las claves. Puedes explorar más de estos gráficos y acceder al artículo completo en el siguiente sitio web: RSA Key Fingerprinting. 💹 ⚠ Espero que encuentres esta información interesante y útil. ¡Si tienes más preguntas, no dudes en preguntar!⚠ https://rsa.sekan.eu/ #ciberseguridad #cybersecurity #cissp

EL FIN DE UNA ERA DE ENCRIPTACIÓN

⛔ Es oficial: Triple-DES está prohibido para el cifrado en los sistemas federales de EEUU.
NIST retiró SP 800-67 Rev. 2 el 1 de enero. En el futuro, TDES solo se podrá utilizar con fines históricos, como descifrar mensajes antiguos, extraer claves y verificar MAC.
Marca el final de una era que se remonta a 1981. Sin embargo, no es el fin del TDES en sí.

💳 La industria de pagos sigue siendo un gran usuario del algoritmo, todavía se considera que TDES proporciona niveles suficientes de seguridad por ahora. PCI-DSS define "criptografía fuerte" como cualquier algoritmo probado en la industria que proporcione seguridad de 112 bits, como mínimo. No hace referencia a los estándares o algoritmos por su nombre, por lo que TDES aún cumple.

☠ Como es habitual, con las migraciones criptográficas, podemos esperar ver TDES en nuestras vidas durante muchos años más. Pero ciertamente hemos pasado a las etapas finales de su vida, porque muy probablemente, como suele pasar, tras NIST el resto de reguladores seguirá los mismos pasos.

EL FIN DE UNA ERA DE ENCRIPTACIÓN ⛔ Es oficial: Triple-DES está prohibido para el cifrado en los sistemas federales de EEUU. NIST retiró SP 800-67 Rev. 2 el 1 de enero. En el futuro, TDES solo se podrá utilizar con fines históricos, como descifrar mensajes antiguos, extraer claves y verificar MAC. Marca el final de una era que se remonta a 1981. Sin embargo, no es el fin del TDES en sí. 💳 La industria de pagos sigue siendo un gran usuario del algoritmo, todavía se considera que TDES proporciona niveles suficientes de seguridad por ahora. PCI-DSS define "criptografía fuerte" como cualquier algoritmo probado en la industria que proporcione seguridad de 112 bits, como mínimo. No hace referencia a los estándares o algoritmos por su nombre, por lo que TDES aún cumple. ☠ Como es habitual, con las migraciones criptográficas, podemos esperar ver TDES en nuestras vidas durante muchos años más. Pero ciertamente hemos pasado a las etapas finales de su vida, porque muy probablemente, como suele pasar, tras NIST el resto de reguladores seguirá los mismos pasos. #ciberseguridad #cybersecurity #cissp

👨‍💻 Para aquellos que se preocupan por una Internet segura y protegida, eIDAS 2.0 contiene muchas disposiciones preocupantes. Como recordatorio, eIDAS regula las transacciones electrónicas dentro de la UE. Define las reglas para firmas electrónicas, marcas de tiempo y otras tecnologías relacionadas.

📔 Una nueva versión de la norma se encuentra en la fase de aprobación. Y eso es preocupante porque incluye nuevas reglas para los certificados de sitios web que debilitarán la web. Según las nuevas reglas, los fabricantes de navegadores se verán obligados a confiar en las autoridades certificadoras seleccionadas por los estados miembros de la UE. Esto significa que se agregarán más de 40 nuevas autoridades certificadoras (CA) de la noche a la mañana a la lista de autoridades confiables. Cada uno de estos tendrá el poder de generar un certificado para cualquier sitio web del mundo.

⚠ Hoy en día, las alrededor de 80 CA en las que confían sus navegadores se ven obligadas a cumplir con estrictos requisitos de seguridad, establecidos por los propios navegadores. Estos mismos estándares no se aplicarán a las listas de la UE y, sin embargo, los navegadores no deben tratarlos de manera diferente.

😒 En resumen, esto significará que una CA de cualquier micropaís podrá emitir certificados para todos los sitios web importantes del mundo. Lamentablemente la seguridad en Internet está a punto de empeorar. La UE ha ignorado hasta ahora las peticiones de cientos de expertos en seguridad y parece que los próximos pasos son una formalidad.

Feliz Navidad 🎅

👨‍💻 Para aquellos que se preocupan por una Internet segura y protegida, eIDAS 2.0 contiene muchas disposiciones preocupantes. Como recordatorio, eIDAS regula las transacciones electrónicas dentro de la UE. Define las reglas para firmas electrónicas, marcas de tiempo y otras tecnologías relacionadas. 📔 Una nueva versión de la norma se encuentra en la fase de aprobación. Y eso es preocupante porque incluye nuevas reglas para los certificados de sitios web que debilitarán la web. Según las nuevas reglas, los fabricantes de navegadores se verán obligados a confiar en las autoridades certificadoras seleccionadas por los estados miembros de la UE. Esto significa que se agregarán más de 40 nuevas autoridades certificadoras (CA) de la noche a la mañana a la lista de autoridades confiables. Cada uno de estos tendrá el poder de generar un certificado para cualquier sitio web del mundo. ⚠ Hoy en día, las alrededor de 80 CA en las que confían sus navegadores se ven obligadas a cumplir con estrictos requisitos de seguridad, establecidos por los propios navegadores. Estos mismos estándares no se aplicarán a las listas de la UE y, sin embargo, los navegadores no deben tratarlos de manera diferente. 😒 En resumen, esto significará que una CA de cualquier micropaís podrá emitir certificados para todos los sitios web importantes del mundo. Lamentablemente la seguridad en Internet está a punto de empeorar. La UE ha ignorado hasta ahora las peticiones de cientos de expertos en seguridad y parece que los próximos pasos son una formalidad. Feliz Navidad 🎅 #ciberseguridad #cybersecurity #cissp