Cuanta razón tiene Nate Lawson cuando recomienda encarecidamente usar librerías de alto nivel cuando estemos usando criptografía. Ejemplos de ellas son GPGME (GnuPG Made Easy) y Keyczar, de la que hace poco el mismo autor sacó un timing attack de libro, irónicamente xD (para ver de qué va el Side Channel TuXeD tiene unos cuantos posts interesantes, entre otros [1] [2])

Si nos ponemos a buscar cagadas que haya hecho la gente en los últimos años veremos que se tropieza una y otra vez en las mismas piedras. Por eso jamás se deben implementar los algoritmos por nuestra cuenta reinventando la rueda… mal, y siempre deberemos usar código contrastado y revisado por terceros.

Muy recomendable la siguiente presentación:

http://www.slideshare.net/rootlabs/when-crypto-attacks-yahoo-2009

En la conferencia en la UPV (PDF) de hace unas semanas ya lancé ideas sobre estas cosas con metidas de pata gordas, como la de Nintendo Wii, la de Mifare, la de Debian, etc.

–
Fuente original en http://vierito.es/wordpress

Similar Posts:

• Soluciones del reto de criptografía – Parte 2
• Historias de la cripta
• Descifrando un reto del FBI