¿Es posible que las organizaciones que operan en secreto como la NSA ya hayan descifrado el cifrado SSL?

Si bien SSL se puede piratear de otras maneras (Man in the Browser), certificados falsos y después de que el “servidor” descifre los datos del otro lado, los ignoraremos por ahora. SSL en teoría puede ser perfectamente seguro, pero el secreto está en la implementación. Existen esquemas de encriptación y formas de construir el túnel donde algunas o todas las piezas no ofrecen un buen nivel de seguridad.

La NSA ha sido acusada de convencer al mundo de que una de las formas más débiles de cifrado es más segura de lo que realmente es.

La razón por la que puse el servidor en comillas invertidas es que cuando se realiza una conexión SSL a un servidor, generalmente se le quita el cifrado antes de que llegue al túnel. La información luego fluye sin cifrar al servidor real. Parece que la NSA tiene acceso a esta comunicación.

Finalmente … SSL no es fácil de hacer. Hay tantas opciones y formas de implementar la capa y tantos tipos diferentes de encriptación, implementaciones de navegador, longitudes de clave, algoritmos, etc. que se necesita un verdadero experto para configurar. Por lo general, todo lo que la NSA tendría que hacer en este caso es sentarse y dejar que la complejidad los ayude. No hay necesidad de magia … igual que cualquier otra persona. 🙂

Editar: Acabo de releer la pregunta y vi la palabra “me gusta”. No ha habido informes de que la NSA use MITM con certificados falsos, por lo que asumiremos que no los han usado. Sin embargo, otras agencias gubernamentales y vinculadas al gobierno han utilizado certificados falsos para descifrar y volver a cifrar el tráfico que se dirige a sitios de terceros.

Mientras que organizaciones como la NSA obviamente invierten mucho en sistemas “en quiebra” como SSl, las filtraciones recientes (y las acciones a su alrededor) muestran que esto aún no se ha roto (al menos por la NSA).
El uso de cartas de seguridad nacional para que Lavabit entregue sus claves SSL, demuestra que actualmente no pueden simplemente derrotar SSL bien implementado (¡sí!) Y lamentablemente que con mayor frecuencia no es necesario.

Si es posible. Y probablemente haya sucedido. El problema es hacerlo en tiempo real, por lo que el gobierno exige que los sitios entreguen sus llaves. Los ataques de Man in the Middle (ataque de comunicaciones) a datos cifrados son básicamente imposibles: no puede hacerlo de tal manera que el otro extremo no sepa que lo está haciendo.

El cifrado de 128 bits es trivial para la NSA. Como es el cifrado de 256 bits.

No, no es posible, si SSL pudiera ser pirateado tan fácilmente, entonces no es NSA el que podría invertir, es posible que muchas multitudes en todo el mundo también puedan invertir y todo el comercio electrónico en todo el mundo se detendría porque ya no sería segura ninguna transacción con tarjeta de crédito.

Algunas personas simplemente están propagando el odio hacia la NSA al difundir todo el sentido equivocado.

Debe comprender que el espionaje no puede ocurrir fuera de la ruta de comunicación. Si la NSA quiere espiar su Skype, entonces solo puede hacerlo mediante la instalación de spyware en su máquina o servidor de Skype. Entonces, la única forma en que pueden espiar es forzando a las compañías de Skype a que les permitan instalar su software para monitorear o simplemente escanear el registro de comunicación y para eso la NSA no necesita hackear ssl. Porque dentro de la red de Skype, en algún momento todo es texto sin formato.