Author: Thomas Fossati Date: To: hackmeeting Subject: Re: [Hackmeeting] Bitcoin as a law enforcement/natsec honeypot:
what is the evidence?
2013/10/18 Fabio Pietrosanti (naif) <lists@???>: > cioè non è possibile dimostrare scientificamente che sia sicuro.
perche' no? c'e` piu` di un modo per modellare e fare la riduzione
che ti serve per decidere quanto un sistema sia sicuro. che poi il
modello possa o meno corrispondere alla realta` (vedi random oracle) e
che quindi la dimostrazione abbia un valore piu` o meno discutibile e`
un altro paio di maniche, ma non mi azzarderei ad affermare che non
esiste un metodo scientifico per fare questo tipo di cose. c'e` ed e`
stato usato e affinato per parecchi anni ormai.
> Ne consegue che la sicurezza di un crittosistema è proprozionale allo
> storico di tentativi di attacco che questo ha ricevuto,
il rapporto di proporzionalita` rimane vero fino al giorno in cui
qualcuno non lo rompe, quindi quando dici:
> Quindi dato c'è stato molto auditing poichè molto diffuso e nessuno è
> riuscito a romperlo (non ci sono paper, prodotti open o prodotti
> commerciali per addetti forensi), è da considerarsi sicuro.
non mi trovi d'accordo.
> Ma nel caso di truecrypt è solo fuffa, ci hanno provato in tanti e se
> qualcuno ci fosse riuscito c'erano in commercio prodotti per addetti
> forensi per romperlo o attaccarlo a forza bruta in modo molto efficiente.
esiste una soglia oltre la quale non vale la pena tentare a rompere un
sistema crittografico? (lo chiedo perche' sembra che tu stia cercando
di dedurre questo.)
io dico di no, e a maggior ragione se consideriamo il fatto che non si
sta parlando di un oggetto puramente cartaceo, ma di uno implementato
realmente e su diverse piattaforme, che quindi verosimilmente si porta
a spasso un numero di bachi latenti (non tutti critici, di sicuro)
sufficientemente alto per provarci partendo con una percentuale non
irrisoria di successo.
comunque a parte tutto, il mio punto e` che un'operazione che
incrementi l'attenzione sulla base di codice, al netto del rumore che
sta generando, ha molto, moltissimo senso.
> La "provable security" è ancora una area di ricerca ben lontana
> dall'essere realmente efficace.