Ya muchos blog han publicado lo suyo respecto al tema, mi idea no es profundizar en lo ya dicho, sino ser practico y dar mi opinion, o sea, lo que comunmente se llama "editorial".
Al final del post, voy a poner unos cuantos enlaces que contienen lo que voy a comentar y sobre los que voy a opinar, porque si, lei todos.
Primero que nada, RDRAND es una funcion EXCLUSIVA de Intel a partir de Ivy Bridge, los que tengan hardware anterior o bien AMD, no deben preocuparse.
No se puede probar a ciencia cierta que realmente ese blob en el kernel Linux este backdooreado por la NSA; pero, frente a la duda, y frente a que Intel, en vez de decir "no señores, como se atreven a dudar de nosotros, tomen el fuente" solo da excusas, debemos dudar.
Ya deben conocer la historia del developer que se fue del grupo Linux dado que Torvalds decidio meter eso en el kernel por ser mas rapido o mejor que el generador de numeros random por software, pero el muchacho no queria y decia que era inseguro, porque el hardware y el codigo del mismo no podia auditarse, etc, etc.
Tambien conocemos la peticion online en change.org sobre que se retire del kernel y la respuesta de Torvalds, poco mas llamando idiota al que abrio la peticion.
Muchas son las posturas, y encontradas, tenemos por un lado del ring a Torvalds el cual no cree realmente que algo este sucio y defiende el hecho. Por el otro, tenemos a referentes como Theodore Ts'o que se encarga actualmente del generador random de Linux, ext FS y otras cosas, junto a Alan Cox, un ex empleado de red hat, que dicen que NO confian en el codigo de Intel y cada uno emplea su argumento.
Theodore por su lado dice que no puede estar seguro de que todo esta limpio porque no tiene el codigo, y sostiene que no se puede confiar en algo cerrado, de hardware ajeno para la base criptografica, por lo tanto, la actual salida de numeros random de Linux es un mix entre RDRAND de Intel y el generador por software, con lo cual, es imposible que haya un backdoor que funcione.
Por otro lado, tenemos a Alan Cox quien le responde en el hilo de Google Plus a una persona, diciendole que el no lo duda (el backdoor) y que tampoco le pareceria raro que el mismo RHEL este backdooreado, porque a la NSA tambien le gusta espiar a sus amigos (el servicio de inteligencia de UK GCHQ).
Al final, tenemos, un tarado confiado (Torvalds), y dos developer respetados desconfiados y uno argumentando que para el, RHEL incluso tiene backdoor.
Porque digo tarado a Torvalds?, bueno a ver, todos desconfian menos el, y eso me parece algo de tarado... ademas en una entrevista dijo, hace mucho, que para él la seguridad no era relevante, dado que era producto de bugs, y por lo tanto, era mas importante corregir bugs, y ademas de eso no queria que nadie tuviera el credito de nada o sea mas importante que nadie (por los security boys), cuando no es asi, por dedicarse a seguridad no son mas importantes, aunque en la vida real, un bug te puede joder algo, un bug de seguridad, te puede joder todo.
Bueno, ya dicho esto, vamos al punto, si tenes un CPU Intel Ivy o superior y no confias en el codigo RDRAND de Linux proporcionado por intel, en el cmdline del kernel, añadis: 'nordrand' sin comillas y listo.
Ahora bien, que opino yo?, bueno, teniendo como antecedente que alla por el 95 aproximademente, Intel queria meter algo en sus CPU para tener el control de cuantos CPU de ese modelo habia online (cuando conectabas la PC a inet) y se lo denegaron, no me extraña que si abiertamente querian hacer algo asi, por detras sea peor, y como viene la mano con la NSA, ya nada me extraña.
Porque Intel y no AMD?, bueno la respuesta es obvia, porque es el mayor proveedor de CPU en el mundo, mientras que AMD es minoria, asi que no solo era en vano meter un backdoor en CPU AMD sino que ademas, convencer a los developer de Linux de incluir algo de AMD tambien iba a ser costoso, imaginense que el cpu frecuency scaling no funciona en muchos APU de AMD... ya con eso digo todo, en referencia a la pelota que le da Linux a AMD y viceversa.
Asi que no es necesario no comprar Intel (dado que si, son mejores que los AMD; en portatil eh en desktop es tema de discusion), con solo usar ese parametro de kernel, TODO esta solucionado y si eso no basta, se puede eliminar el codigo rdrand.c y listo, a compilar el kernel.
Hay otro tema que me gustaria tocar, y es el tema de que curiosamente, mientras pasaba todo esto, Theodore, negó un parche de un developer de Red Hat, que basicamente lo que hacia es que si estaba presente la funcion de CPU RDRAND, anulaba el random por software que hacia el mix de la salida. Obviamente Theodore negó el parche por razones obvias, y le explicó el porque, que no se podia auditar, etc, etc, el developer de red hat se vio algo ofuscado.
Ahora bien, supongamos que las intenciones del developer era buenas, y no era un enviado de la NSA dentro de Red Hat, o Red Hat mismo aliado de la NSA (es curioso como se relaciona esto con el tema del soporte de Fedora a paises embargados, documentacion y material criptografico contenido... pero bue), de todos modos, es MUY idiota de parte del developer, por mas que no sea enviado de la NSA y por mas que el confie en Intel, basar toda la criptografia de un equipo Intel en algo de codigo cerrado, o sea, no tiene logica alguna.
Por lo tanto, sabiendo que ningun developer es tan pelotudo de hacer eso, por obvias razones, mas hablando de Linux, algo libre 100% auditable, es muy evidente que Red Hat tiene mucho que ver con la NSA, al menos para mi, se cae de maduro. Esto que pasó puso en evidencia a ese developer, tambien lo dicho por Alan Cox, y a eso le sumo el recelo que guarda Red Hat respecto a su software, incluido Fedora, con respecto a la ley de exportacion, como si aliado del estado fuera.
Creo que Torvalds y el mundo del software libre en general, deberian tomarse mas en serio la seguridad, no digo al punto de OpenBSD, pero si muy cerca. Incluso linux-libre posee el codigo de rdrand..
Ahora si, no los molesto mas, y les dejo algunos link interesantes para leer.
http://blog.jim.com/crypto/rdrand.html
https://plus.google.com/+LinuxMagazineEdici%C3%B3nenCastellano/posts/GWMuJhcUkrU
https://plus.google.com/117091380454742934025/posts/SDcoemc9V3J
http://lamiradadelreplicante.com/2013/09/09/backdoor-en-linux-de-la-nsa-no-invente-senora/
https://plus.google.com/117091380454742934025/posts/SDcoemc9V3J
https://lkml.org/lkml/2013/9/5/212 (Ingeniero de RH queriendo usar solo hardware de Intel)
Respuesta de theodore https://lkml.org/lkml/2013/9/5/415
http://arstechnica.com/security/2013/09/the-nsas-work-to-make-crypto-worse-and-better/
http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html
http://www.change.org/en-GB/petitions/linus-torvalds-remove-rdrand-from-dev-random-4
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/tree/Documentation/kernel-parameters.txt#n2117
Al final del post, voy a poner unos cuantos enlaces que contienen lo que voy a comentar y sobre los que voy a opinar, porque si, lei todos.
Primero que nada, RDRAND es una funcion EXCLUSIVA de Intel a partir de Ivy Bridge, los que tengan hardware anterior o bien AMD, no deben preocuparse.
No se puede probar a ciencia cierta que realmente ese blob en el kernel Linux este backdooreado por la NSA; pero, frente a la duda, y frente a que Intel, en vez de decir "no señores, como se atreven a dudar de nosotros, tomen el fuente" solo da excusas, debemos dudar.
Ya deben conocer la historia del developer que se fue del grupo Linux dado que Torvalds decidio meter eso en el kernel por ser mas rapido o mejor que el generador de numeros random por software, pero el muchacho no queria y decia que era inseguro, porque el hardware y el codigo del mismo no podia auditarse, etc, etc.
Tambien conocemos la peticion online en change.org sobre que se retire del kernel y la respuesta de Torvalds, poco mas llamando idiota al que abrio la peticion.
Muchas son las posturas, y encontradas, tenemos por un lado del ring a Torvalds el cual no cree realmente que algo este sucio y defiende el hecho. Por el otro, tenemos a referentes como Theodore Ts'o que se encarga actualmente del generador random de Linux, ext FS y otras cosas, junto a Alan Cox, un ex empleado de red hat, que dicen que NO confian en el codigo de Intel y cada uno emplea su argumento.
Theodore por su lado dice que no puede estar seguro de que todo esta limpio porque no tiene el codigo, y sostiene que no se puede confiar en algo cerrado, de hardware ajeno para la base criptografica, por lo tanto, la actual salida de numeros random de Linux es un mix entre RDRAND de Intel y el generador por software, con lo cual, es imposible que haya un backdoor que funcione.
Por otro lado, tenemos a Alan Cox quien le responde en el hilo de Google Plus a una persona, diciendole que el no lo duda (el backdoor) y que tampoco le pareceria raro que el mismo RHEL este backdooreado, porque a la NSA tambien le gusta espiar a sus amigos (el servicio de inteligencia de UK GCHQ).
Al final, tenemos, un tarado confiado (Torvalds), y dos developer respetados desconfiados y uno argumentando que para el, RHEL incluso tiene backdoor.
Porque digo tarado a Torvalds?, bueno a ver, todos desconfian menos el, y eso me parece algo de tarado... ademas en una entrevista dijo, hace mucho, que para él la seguridad no era relevante, dado que era producto de bugs, y por lo tanto, era mas importante corregir bugs, y ademas de eso no queria que nadie tuviera el credito de nada o sea mas importante que nadie (por los security boys), cuando no es asi, por dedicarse a seguridad no son mas importantes, aunque en la vida real, un bug te puede joder algo, un bug de seguridad, te puede joder todo.
Bueno, ya dicho esto, vamos al punto, si tenes un CPU Intel Ivy o superior y no confias en el codigo RDRAND de Linux proporcionado por intel, en el cmdline del kernel, añadis: 'nordrand' sin comillas y listo.
Ahora bien, que opino yo?, bueno, teniendo como antecedente que alla por el 95 aproximademente, Intel queria meter algo en sus CPU para tener el control de cuantos CPU de ese modelo habia online (cuando conectabas la PC a inet) y se lo denegaron, no me extraña que si abiertamente querian hacer algo asi, por detras sea peor, y como viene la mano con la NSA, ya nada me extraña.
Porque Intel y no AMD?, bueno la respuesta es obvia, porque es el mayor proveedor de CPU en el mundo, mientras que AMD es minoria, asi que no solo era en vano meter un backdoor en CPU AMD sino que ademas, convencer a los developer de Linux de incluir algo de AMD tambien iba a ser costoso, imaginense que el cpu frecuency scaling no funciona en muchos APU de AMD... ya con eso digo todo, en referencia a la pelota que le da Linux a AMD y viceversa.
Asi que no es necesario no comprar Intel (dado que si, son mejores que los AMD; en portatil eh en desktop es tema de discusion), con solo usar ese parametro de kernel, TODO esta solucionado y si eso no basta, se puede eliminar el codigo rdrand.c y listo, a compilar el kernel.
Hay otro tema que me gustaria tocar, y es el tema de que curiosamente, mientras pasaba todo esto, Theodore, negó un parche de un developer de Red Hat, que basicamente lo que hacia es que si estaba presente la funcion de CPU RDRAND, anulaba el random por software que hacia el mix de la salida. Obviamente Theodore negó el parche por razones obvias, y le explicó el porque, que no se podia auditar, etc, etc, el developer de red hat se vio algo ofuscado.
Ahora bien, supongamos que las intenciones del developer era buenas, y no era un enviado de la NSA dentro de Red Hat, o Red Hat mismo aliado de la NSA (es curioso como se relaciona esto con el tema del soporte de Fedora a paises embargados, documentacion y material criptografico contenido... pero bue), de todos modos, es MUY idiota de parte del developer, por mas que no sea enviado de la NSA y por mas que el confie en Intel, basar toda la criptografia de un equipo Intel en algo de codigo cerrado, o sea, no tiene logica alguna.
Por lo tanto, sabiendo que ningun developer es tan pelotudo de hacer eso, por obvias razones, mas hablando de Linux, algo libre 100% auditable, es muy evidente que Red Hat tiene mucho que ver con la NSA, al menos para mi, se cae de maduro. Esto que pasó puso en evidencia a ese developer, tambien lo dicho por Alan Cox, y a eso le sumo el recelo que guarda Red Hat respecto a su software, incluido Fedora, con respecto a la ley de exportacion, como si aliado del estado fuera.
Creo que Torvalds y el mundo del software libre en general, deberian tomarse mas en serio la seguridad, no digo al punto de OpenBSD, pero si muy cerca. Incluso linux-libre posee el codigo de rdrand..
Ahora si, no los molesto mas, y les dejo algunos link interesantes para leer.
http://blog.jim.com/crypto/rdrand.html
https://plus.google.com/+LinuxMagazineEdici%C3%B3nenCastellano/posts/GWMuJhcUkrU
https://plus.google.com/117091380454742934025/posts/SDcoemc9V3J
http://lamiradadelreplicante.com/2013/09/09/backdoor-en-linux-de-la-nsa-no-invente-senora/
https://plus.google.com/117091380454742934025/posts/SDcoemc9V3J
https://lkml.org/lkml/2013/9/5/212 (Ingeniero de RH queriendo usar solo hardware de Intel)
Respuesta de theodore https://lkml.org/lkml/2013/9/5/415
http://arstechnica.com/security/2013/09/the-nsas-work-to-make-crypto-worse-and-better/
http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html
http://www.change.org/en-GB/petitions/linus-torvalds-remove-rdrand-from-dev-random-4
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/tree/Documentation/kernel-parameters.txt#n2117
muy buena esta web
ResponderEliminarCómo ha cambiado el mundo, pensar que hace un mes les dije a mis alumnos que instalen Fedora y hace una semana le dije a un amigo que se compre una PC con procesador de la familia Intel i3 porque era la mejor relación precio/potencia. Esto parece la dimensión desconocida!! Un abrazo.
ResponderEliminarJaja, si tal cual. De todos modos usando nordrand se soluciona el posible backdoor, asi que si es un tema de relacion precio/potencia/consumo electrico, es mejor Intel toda la vida.
EliminarY que queres que te diga... si el mismo Alan Cox dice eso de RHEL y Red Hat.. el esta mas autorizado que yo para opinar.
Todo cambia, el chiste está en saber adaptarse
Mi laptop tiene Sandy Bridge, así que tranqui me quedo. Lo bueno de estos revuelos que se arman es que sirven para abrir los ojos ante ciertas "cositas oscuras" que hay.
ResponderEliminarSaludos, amigo "zurrrrdito".
jajaj, si, ya sabes que si la cambias, nordrand o bien optar por AMD para desktop (que en desktop son las mejores soluciones creo yo, relacion precio calidad)
EliminarBueno, interesante comentario, ahora que leo es que me estoy desayunando con el tema, en verdad lo desconocía, pero dudo que INTEL quiera ceder y considero lógico el argumento sobre a quién se le ocurre dejar la criptografía de un sistema en manos de algo que no sabe cómo funciona ni cómo podría funcionar bajo situaciones remotas???
ResponderEliminarSi, dudo que Intel ceda, porque algo sucio hay, es mas que evidente, despues de todo, no creo que el codigo cerrado de rdrand valga tanto.. mas que su reputacion. Pero si asi es, es porque vale por un convenio con la NSA, donde, no se puede jugar, es vida o muerte.
EliminarLa verdad que si, asumo que un developer de red hat no es estupido, y por tanto, dejar la base de la criptografia de un sistemas bajo la tutela de un componente 100% cerrado, es algo totalmente idiota, por lo tanto, asumo que Red Hat esta metido en el asunto tanto como Microsoft, pero claro, nadie le sospecha porque es software libre... pero cabe recordar que al igual que M$, tambien es una empresa de EEUU
Cuando FreeBSD soporte mis sistemas (ahora mismo no puede ni con Bumblebee, secure boot y demás, jo, ahora mismo no puede ni con Uefi...), si es que llega a pasar, creo que será el momento de mi cambio. Aquí no lo he comentado aún: Linus se merece mi gratitud y la tiene, pero este hombre parece que esta deseando que haya polémica para empezar a soltar sus "grandes" frases y claro, nadie le puede decir ni "mu". ¿Qué a Linus no le apatece cambiar esa parte del kernel? Pues venga, hagamos lo que dice porque él manda...
ResponderEliminarFreeBSD es mucho más lento en el desarrollo porque no tiene el empuje de las empresas y su comunidad es pésima (en el foro parece que si preguntas como se compila el kernel como te pregunté yo, SynFlag, te banean directamente) pero el sistema no lo decide un tío, sino un grupo de especialistas. Por cierto, FreeBSD también es de Estados Unidos, tendría que mirar sus claúsulas, aunque no creo que tengan nada de no-soporte...
PD: Hasta ese día, a continuar con CentOS y probar Mageia, por supuesto, :) .
Si, exacto, son muchos los motivos y algunos historicos, de porque BSD en todas sus ramas, va mas lento que Linux.
EliminarLo que si es cierto es que tiene mayor calidad de codigo, por ser revisado muchas veces y ademas todo lo deciden entre muchos, no un tipo solo como es el caso de Linux.
Lo del baneo tb es cierto, en FreeBSD, ni habla de OpenBSD, la gente es MUY elitista, y se asume que si usas BSD es porque sos un h4x0r, sino, ve a usar windows, o algo para tu IQ. Es su forma de ser y no se dan cuenta de que asi no ganan, sino que pierden mercado y adeptos.
Si, tambien es algo que no mencioné pero seria bueno remarcarlo, PC-BSD, FreeBSD y mas, son productos yanquee y no tienen ningun tema en leyes de exportacion... asi que una vez mas... lo de Fedora (no digo red hat porque cotiza en wall street) es pura mierda.
Existen igualmente proyectos como DragonFlyBSD que son de Canadá.
Yo tambien sigo usando centos, pero te digo realmente apuesto mas, a futuro, a proyectos non-USA, no por calidad, sino por temas eticos y es que la verdad no quiero nuevamente empezar algo para luego dejarlo como paso con Pedorra, perdon, Fedora.
Y lo peor es que la gente ve esto normal... No los alarma, no los pone a pensar, creen que es perfectamente aceptable. Tal vez no sea cierto y no existe nada oscuro, pero la gente debería por lo menos reaccionar e intentar ver si es verdad o no, buscar que hechos lo prueban o refutan y decidir si creen o no. ¡Es que el solo hecho de que un teso (es decir, alguien que realmente Sabe Y Trabaja en esto) renuncie!
ResponderEliminarNo se puede probar a ciencia cierta que realmente ese blob en el kernel Linux este backdooreado por la NSA
ResponderEliminarSí se puede probar, el código que hace uso de RdRand en Linux es código transparente, no es un blob binario, lo podes comprobar buscando en las fuentes del mismo:
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/tree
De lo que se sospecha no es del código en el kernel sino de la forma en que trabaja el generador de números aleatorios de los microprocesadores.
Tambien conocemos la peticion online en change.org sobre que se retire del kernel y la respuesta de Torvalds, poco mas llamando idiota al que abrio la peticion.
Y lo es por no entender como funciona el generador de números aleatorios del kernel. RdRand no se usa de forma directa sino como una entrada del mismo. Por eso, por más que la NSA emponzoñe el generador del micho, no va a tener ningún efecto sobre la seguridad interna del sistema.
Por otro lado, tenemos a Alan Cox quien le responde en el hilo de Google Plus a una persona, diciendole que el no lo duda (el backdoor) y que tampoco le pareceria raro que el mismo RHEL este backdooreado, porque a la NSA tambien le gusta espiar a sus amigos (el servicio de inteligencia de UK GCHQ).
Aquí no importa en lo absoluto quien diga que cosa, aquí la única autoridad para resolver esas dudas es el código fuente de Linux, es el único que tiene la verdad.
Porque digo tarado a Torvalds?, bueno a ver, todos desconfian menos el, y eso me parece algo de tarado... ademas en una entrevista dijo, hace mucho, que para él la seguridad no era relevante, dado que era producto de bugs, y por lo tanto, era mas importante corregir bugs,
Frase sacada de contexto, se refería a que OpenSUSE, en su momento, pedía la contraseña de root para modificar la fecha y la hora:
http://www.zdnet.com/blog/open-source/linus-torvalds-snarls-at-opensuse-desktop-linuxs-security/10475
Bueno, ya dicho esto, vamos al punto, si tenes un CPU Intel Ivy o superior y no confias en el codigo RDRAND de Linux proporcionado por intel, en el cmdline del kernel, añadis: 'nordrand' sin comillas y listo.
Se puede hacer, pero es innecesario por lo explicado más arriba.
Porque Intel y no AMD?, bueno la respuesta es obvia, porque es el mayor proveedor de CPU en el mundo, mientras que AMD es minoria,
Eso no tiene el más mínimo sentido, si el gobierno de EEUU quiere espiar, lo va hacer a través de cualquier compañía, independientemente de su cuota de mercado.
http://www.afr.com/p/technology/intel_chips_could_be_nsa_key_to_ymrhS1HS1633gCWKt5tFtI
Hay otro tema que me gustaria tocar, y es el tema de que curiosamente, mientras pasaba todo esto, Theodore, negó un parche de un developer de Red Hat, que basicamente lo que hacia es que si estaba presente la funcion de CPU RDRAND, anulaba el random por software que hacia el mix de la salida.
Acá tenes los paquetes fuente, tanto de Fedora como CentOS, y en ninguno de los dos obliga a usar RdRand de forma directa, de hecho lo usa exactamente igual a como lo usa el kernel vainilla:
http://pkgs.fedoraproject.org/cgit/kernel.git/tree/?h=f19
http://vault.centos.org/6.4/os/Source/SPackages/kernel-2.6.32-358.el6.src.rpm
Si tenes dudas, vos mismo podes compilarlos y compararlos con los que liberan los empaquetadores.
y a eso le sumo el recelo que guarda Red Hat respecto a su software, incluido Fedora, con respecto a la ley de exportacion, como si aliado del estado fuera.
Acá podes leer sobre las regulaciones a la exportacion de criptografia en EEUU:
https://en.wikipedia.org/wiki/Export_of_cryptography_in_the_United_States
Y a los de RedHat les guste o no, están obligados a cumplirlas.
En resumen, que la NSA te puede espiar, Sí (sobre todo si usas un servicio de hosting de Google ;)). Que lo hace rompiendo la criptografía por medio de una puerta trasera en Linux (vainilla o libre), No.
Correcto, es el tema del chip fisico no del codigo, pero como en muchos hilos mencionaban codigo y que usaba un driver binario para hacerlo funcionar, asumí que no era solo el chip sino el codigo tambien. El codigo lo vi, en asm, pero crei que habia algo más, de todos modos, yo tampoco confio en algo que genera numeros random de codigo cerrado (el firmware del CPU).
EliminarPerdon pero el que abrio la peticion no es ninguno idiota. Si bien la salida de numeros random es un mix entre el software + el hardware, en caso de existir, me parece bien que solo se confie en lo que es auditable 100% y fué auditado. Asi no tenga ningun efecto, realmente no lo sabes, por mas que logicamente no lo tenga, no sabes que conocimientos poseen los criptografos de la NSA que vos no. Te lo digo porque hay cosas que desconoces y yo si conozco, he tenido charlas con personas que hacen hardware criptografico para la NSA y se porque te lo digo.
Si importa, Linux no es un ecosistema dictatorial, y tanto Cox como Torvalds, como Ts'o o bien Stallman mismo pueden opinar y dar su perspectiva del asunto, o bien hacer un fork de Linux. Asi que no comparto en nada que nadie mas opina excepto Torvads, que para mi, es un pelotudo en muchas areas. "es el único que tiene la verdad" si, preguntale como es que Cox en la version 2.4.x le arregló el stack de TCP/IP... y luego cuentame si Torvalds es el dios todopoderoso de Linux.
La frase no fue sacada de contexto y no fue de esa charla sobre opensuse (que de hecho me parece bien), fue en una entrevista para una revista de habla hispana que se publicó, no recuerdo de donde, y se lo preguntaban en referencia a lo que habia dicho el tipo de OpenBSD respecto a la basura que era Linux y el tema de que habia muchos fallos de seguridad, asi que por favor no introduzcas algo que yo no dije, ok?.
No, no es innecesario, es mas seguro, y no afecta significativamente el rendimiento del sistema.
Si, pueden espiarte desde donde quieran, pero para que complicarsela si esta Intel a mano?. Por algo se levantó la duda sobre este tema. Los mitos urbanos suelen ser verdad, o al menos de algun lado salen.
Ey!, hablé de un parche, mirá el pie de la nota, donde estan los enlaces, el tipo QUERIA meter un parche que basicamente en caso de estar presente la funcion rdrand anulaba el uso mixto de software, asi que no confundas a los lectores, ya se que el fuente esta disponible, tambien el kernel ofuscado de RHEL.
Yo uso kernel vanilla, y le saco todo lo que no uso y considero no seguro y estable.
Ya conozco la ley de exportacion, es un tema viejo que lo traigas a colacion, lo que es raro, es el tema de Intel y la NSA, luego el mismo Theodore lo dice, que timing raro no?, porque el ingeniero de redhat envia un parche para anular el generador por software en medio de todo esto y para colmo el tremendo recelo que tiene RH sobre Fedora, cuando otras distro como OpenSUSE; Slackware o Debian no niegan el soporte en IRC ni documentacion ni nada, lo mencionan pero no lo hacen cumplir a raja tabla.
En resumen, me importa un pepino que la NSA espie mi blog, uso el servicio de Blogger por su facil edicion y acceso ademas de SEO, nada de lo que pongo aca es priv8 a nivel que peligre mi vida personal, eso no esta en una pc ni estaría.
Los de RH prefieren tener al gobierno de su lado... no por nada imagino.
Y por ultimo veo que defendés a capa y espada a Torvalds y RH, siendo un embajador Qt no veo porque esa actitud, o simplemente es una guerra de egos porque algo no te gustó del blog, o bien pensas que soy un pelotudo y venis de altanero, en cualquier caso, si la intencion es la que leo entre lineas, te digo, haceme viento en las bolas.
Por cierto si lo que te molesto fueron mis criticas a Arch, rebatimelas, porque veo que sos usuario de ella, y ademas, vos tenes un blog tambien asi que no jodas con el tema del hosting.
Saludos anime boy.
Ok.
EliminarMe gustaría leer la opinión de esa persona sobre como se podría alterar el generador de números aleatorios desde el generador de números por hardware.
Estoy hablando del código fuente (el único que tiene la verdad), si no te gusta, lo podes modificar como mejor te parezca.
---
Ok, El problerma es que cuando dices: "X persona dijo que..." o "leí en Y lugar que...", no citas fuentes y no se puede saber a que te refieres.
http://www.zdnet.com/torvalds-criticises-the-security-circus-1339290671/
---
¿Como sabes que no es más seguro activando RdRand?¿Has hecho las pruebas? Por mi parte me parece convincente la forma en la que trabaja el kernel.
Ok. los mitos urbanos muchas veces no tienen lógica, son sólo prejuicios cognitivos, y se combaten investigando a través de fuentes diversas.
Quería, pero no pudo. la torpeza de in trabajador de RedHat no es prueba suficiente de la conexión entre RedHat y la NSA. Algún documento interno o mail lo serían.
Ok.
No lo pude incluir en mi anterior respuesta por la limitación de 4096 caracteres, pero la cuestión NSA-Intel y la Xenofobía en el IRC de Fedora, son temas completamente diferentes.
Ok.
Mientras no haya pruebas, no se puede negar ni confirmar.
Torvalds, como persona, no es un tipo de mi agrado, aunque en cuestiones técnicas en varias ocasiones sí estoy de acuerdo. Con RedHat, ni sí ni no, ellos aportan mucho código al ecosistema y apoyan a la FSF, aunque siguen siendo una empresa que busca monetizar, que no esta mal siempre y cuanto lo hagan de forma ética.
No es una guerra ni contra vos no contra nadie, simplemente conozco tu blog por MuyLinux, y te conteste porque me interesó el tema, y como tal tengo derecho a expresar mi opinión.
No me interesan tus criticas a ninguna distro, no soy un distro fanboy. Yo también tengo mis criticas para con Arch. Con lo del hosting, just kidding :P
Saludos paranoia kid ;)
Si es cierto lo de X me dijo, el tema es que la verdad no siempre recuerdo todo, pero si, era esa nota, la de masturnating monkeys.... que decirte?. OpenBSD es considerado el OS mas seguro del mundo, mas que Solaris y Torvalds es tan obtuso de decir eso?, no me parece correcto realmente, y ademas me parece que se puso el en evidencia al decir eso, en evidencia de que no cuida la parte seguridad en Linux.
EliminarLa opinion de esa persona no la vas a poder leer porque no postea ni tiene blog... es un ex compañero de trabajo que esta en una empresa francesa que fabrica armamento para USA y maquinas de criptografia, sin investigas un poco vas a saber cual es..
Sus palabras fueron "Todo lo que vos, yo, el de al lado usamos, es permitido por Estados Unidos, es decir, todo lo que es -seguro- es porque a ellos ya no les sirve realmente, ya sea rsa, aes y lo que quieras. La criptografia de la plebe (nosotros) es la que la NSA descarta porque ya puede romperla, y si ellos pueden quiza sus enemigos tambien, asi que la liberan como segura y todos la usamos felices. Partiendo de esa base te agrego que, ellos usan otros sistemas no conocidos ni por mi pero se que existen, que no se basan solamente en software sino en hardware (eso hace la empresa donde trabajo) y ademas ellos no cuentan en si es mejor o peor tu software de encriptacion, sino en el poder o potencia. Es decir, si vos tenés por ejemplo un sistema unico que inventaste y no lo compartis con ellos, porque no se, China te proteje, pero ellos poseen el super computador mas grande y pueden romper antes tu clave de lo que vos podes romperselas a ellos, dado que vos solo tenes una pc comun, listo, no les importas. El tema viene cuando tenes mas potencia mas que nada, no deja de ser importante el sistema de encriptacion, pero como con los autos, son asi, ellos buscan potencia.
Con el tema este de la NSA e Intel, mira, no creo que sean tan gomas de meter algo, cualquier flaco que labure en seguridad a bajo nivel en hardware haciendo ing inversa puede sacarlo e Intel se va al tacho con la reputacion, si lo hicieron, debe estar recontra ofuscado y si me preguntas si puede o no joder la salida de random de Linux, te digo, no se, porque no se hasta donde llega la capacidad de ese generador de Intel en el caso de que existiera, asi que no lo se. Puede modificarla?, no creo, pero seguramente hacerla menos segura, si."
Eso es lo que dijo esa persona en una charla telefonica si es que interesa. Es ingeniero en electronica y trabaja en una empresa francesa que fabrica armas para USA y sistemas de encriptacion top secret.
Nunca puede ser mas seguro activando rdrand, por una sola razon, el generador de Intel es por hard, el de Linux es por soft, ambos hacen lo mismo solo que el de Intel usa menos recursos del sistema y es mas veloz, nada mas, y si me pongo a dudar de Intel, me quedo con el de soft, que hace lo mismo, mas lento quiza en cargas grandes de generacion pero es 100% seguro y auditable.
Dudo muchisimo que sea torpeza de un trabajador de Red Hat, dudo mucho que Red Hat tenga de empleado a un developer asi de estupido y encima aportando a Linux (es mas visible su estupidez o torpeza), asi que la logica, mi logica, me da para pensar mal.
Si, claro que la Xenofobia de Fedora (algunas personas no todas) y la NSA no tienen nada que ver, me referia a que realmente soy muy quisquillosos con el tema legal mientras otros no lo son, la verdad que es para dudar cual es el motivo real de fondo, porque incluir documentacion y soporte, cosa que, empresas al mismo nivel como SUSE no hacen, es raro sinceramente.
Ah y si, prefiero ser paranoico y no llevarme sorpresas que porfiado y pegarme un susto.
EliminarSynFlag= gilipolla lame culos, aun sigues con eso de nsa? creo que tu pais va hacia el mismo camino, Stallman lo dijo y por eso nunca mas regresará a tu pais, por cierto con una fijacion enferma de lo ajeno, Stallman lo pago con su notebook...
ResponderEliminarNo se quien sos, no te conozco, y no publico comentarios con insultos, pero hice una excepcion en tu caso para que se evidencie lo subnormal que eres.
EliminarGilipolla no lo creo, fundamente y luego vemos. Lame culos de quien? no te comprendo.
Aun sigo?, bueno, mas ciego el que no quiere ver.
Mi pais esta comandado por una loca, mal de la cabeza, ladrona parecida a Rajoy pero ademas enferma mental, asi que que culpa tengo yo?, incluso jamas la he votado ni ningun amigo/conocido mio, por lo cual, tampoco me rodeo de estupidos.
Stallman hace bien en no regresar, nadie apaña el hecho del control biometrico asi como tantas cosas que estan pasando en mi pais que no conoces, como que las netbook similares a OLPC vienen con software de rastreo que toma fotos de la webcam y de la pantalla y las envia a un server... asi que quien dijo lo contrario?.
Por otro lado, vos tendras una fijacion enferma, yo no, jamas me robé nada de ningún lado e incluso he denunciado robos y trabajado gratuitamente para ONG, entonces no se que mierdas hablas.
Vete a tomar por culo