#97#93 Insisto, el código da igual, han hecho la prueba sobre GnuPG porque era el que daba resultados más "espectaculares" al poder forzarlo a descifrar muchos mensajes, pero la vulnerabilidad radica en el hecho de que los PCs "suenan" distinto al ejecutar distintas operaciones. Y da igual si es código abierto o cerrado mientras utilicen algoritmos de cifrado conocidos.
#91 La cosa no tiene nada que ver con que el código fuente de GnuPG esté disponible. Las operaciones que realiza RSA como algoritmo son siempre las mismas independientemente de lo que haya alrededor del algoritmo, es decir, que salvo que te hagas tu propia versión de RSA (probablemente estropeándolo), eres susceptible del ataque. De hecho incluso aunque hicieses una CPU ad-hoc como tú dices serías vulnerable al ataque, puesto que se trata de análisis estadísticos.
No han roto nada, "sólo" han explotado un canal encubierto que no se había utilizado antes (qué sepamos) en un entorno controlado (GnuPG).
Un algoritmo criptográfico se dice que está roto cuando se puede obtener el texto "plano" a partir del cifrado con un número de iteraciones menor al que se necesitaría para hacer lo mismo mediante fuerza bruta.
Esto que han hecho los investigadores (sí #40, uno de ellos es Shamir), es demostrar un nuevo ataque de "side-channel" o canal encubierto. Este tipo de ataques suelen ser utilizados analizando consumos de potencia y particularmente en los chips de las tarjetas y se basan en que cuando un micro realiza las mismas operaciones con distintos valores tienen un consumo eléctrico diferente y medible, o en este caso un sonido diferente que luego es analizado estadísticamente tras muchísimas repeticiones.
El resto de escenario que proponen y todas las circunstancias que se tienen que alinear para que se pueda dar el ataque son para rellenar el paper. No es necesario que corras a actualizar tu GnuPG ni que aisles acústicamente tu PC.
Lo realmente importante es que han demostrado un nuevo canal encubierto. En el mundo real este tipo de ataques contra equipos de propósito general son impracticables, principalmente porque ni suele ser posible forzar al PC a que descifre millones de veces lo que nosotros queramos, ni es posible hacer que el procesador ejecute únicamente el algoritmo de descifrado puesto que el sistema operativo es multitarea (sí, ya se que en el paper hablan de que el ataque mejora cuando hay un proceso en background, pero es un bucle que hace siempre lo mismo, así que lo siento pero no me parece indicativo...).
Como dije antes todo este tipo de ataque sí que tiene más sentido en tarjetas, donde si es más fácil forzar la ejecución del algoritmo de descifrado tantas veces como queramos sin demasiadas limitaciones.
En fin que al menos por lo que a esto se refiere, creo que podemos seguir durmiendo tranquilos.
Trabajo para la empresa que ha desarrollado el producto y entiendo el escepticismo. El desconocimiento sobre la medicina física es muy alto y es fácil relacionarlo con supercherías y magufismos.
De hecho ese es uno de los principales problemas con los que tenemos que lidiar día a día y por eso tratamos de mantener el máximo rigor científico.
Por otra parte en la Universidad de Málaga se está haciendo una tesis doctoral al respecto del producto (siento no disponer ahora mismo de un enlace, es viernes por la noche).
La ausencia de información técnica se justifica por temas de competencia, aunque los principios de acción están documentados en la (escasa) literatura médica al respecto y se usan, por ejemplo, en los implantes de electromoduladores.
De todas maneras tomo nota de la reacción que causa la ausencia de contenidos de carácter más científico en la web, ya que soy el responsable de la misma ;D
#11 O sea que esta monja y 250 personas más dedican su tiempo y esfuerzo a alimentar a 950 familias ¿y está mal?
Desde luego que la justicia está por encima de la caridad, pero criticar a los que comparten lo que tienen porque quieren un mundo más justo mientras yo sigo sentando en mi sofá me parece patético.
¿Os habéis fijado en la mirada cómplice entre la monja y el alcalde del PP? ¡Seguro que estaban compinchados!
Desconozco la "realidad gallega" pero cualquiera que vea el vídeo sin prejuicios no verá más que a unas monjas llevando a unos ancianos a votar.
#106 keroberos 
