Seguridad por obscuridad : Trezor vs Ledger
En el mundo de las criptomonedas, como en todo hay siempre alternativas. Queremos saber si es mejor Trezor que Ledger, Metamask o Cypher, Ethereum o NEO... Lo difícil es acertar, pero hoy podemos ayudar con algo. Vamos a intentar traducir el término "Seguridad por obscuridad" o como es conocido en inglés "Security through obscurity"
En todo lo que está relacionado con la seguridad informática, encriptación y protección de la información, este término hace referencia a la obtención de seguridad (o sensación de seguridad) mediante la ocultación de los medios de protección. Supuestamente esto se hace como medida de protección. Ejemplos claros de esta actuación:
- Mantener secreto el código fuente del software.
- No revelar que algoritmos o procesos se ejecutan.
- Adopción de políticas de no revelación pública de información sobre vulnerabilidades .
Un sistema que se apoye en la Seguridad por obscuridad podría llegar a tener fallas de seguridad teóricas o prácticas, pero debido a la falta de información sus desarrolladores pensarían que son difficiles o imposibles de encontrar.
Aquí por ejemplo se resolvería el eterno dilema de Trezor Vs Ledger, dado que el primero opera bajo un software Open Source que es perfectamente auditable por expertos en seguridad mientras que Ledger no hace público todos sus procesos de encriptación. En este caso simplemente estamos confiando en que están haciendo las cosas bien, mientras que en el primer caso podemos evaluar si los algoritmos usados se ajustan a nuestra necesidad o no.
Auguste Kerckhoffs fue un criptógrafo Holandés que dictó los seis principios de Kerckhoffs que son los siguientes:
- Si el sistema no es teóricamente irrompible al menos debe ser en la práctica: Esto quiere decir que aunque hubiera un método de romper un sistema de cifrado su base solo fuera teórica e imposible de poner en práctica.
- La efectividad del sistema no debe depender de que su diseño permanezca en secreto: Esto es lo que hemos hablado aquí, debemos conocer el sistema para garantizar su seguridad.
- La clave debe ser fácilmente memorizable para no tener que recurrir a notas escritas: Aquí tenemos un problema, un Hardware Wallet casi nos ayuda en eso, pero seguimos teniendo que memorizar 24 palabras...
- Los criptogramas deben dar resultados alfanuméricos.
- El sistema debe ser operable por una única persona.
- El sistema debe ser fácil de utilizar.
Con esto no quiero decir que Ledger no sea seguro, pero si es cierto que mientras que en Trezor podemos saber como está encriptada nuestra información en Ledger solo podemos confiar en que están haciendo las cosas bien.
Y a día de hoy se sigue manteniendo como real que no existe ninguna vulnerabilidad explicita que ponga en entredicho nuestras claves privadas almacenadas en los hardware wallets. Decide y compra. Saludos!
Comentarios
Publicar un comentario