2010/9/2 Massimiliano Sala: [...] > 4) se esce un attacco serio tra 10 mesi e' molto peggio x loro, > perche' nel frattempo avranno buttato via soldi x implementarlo. > Se public review deve essere, che sia almeno di un anno, che e' poi > il tempo per parlarne con altri alle conf di primavera/estate del > 2011, dopo che c'abbiamo > giocato un po' nei bui mesi invernali.
Caro Massimiliano :-) Che ti devo dire, mi dispiace che tu non abbia tempo da dedicarci, ce ne faremo una ragione. Il problema è che mentre tu passi i "bui mesi invernali" a "giocare" con i "dottorandi" (no pune intended ;-)), l'industria non può aspettare, ed ha necessità di mandare "live" i nuovi protocolli. Non parlami del fatto che sia necessario più tempo per studiare un algoritmo o del fatto che costerà di più dopo. Ho a che fare quotidianamente con un sacco di animali rampanti su cui questi argomenti fanno presa soltanto se sono tradotti in business plan. E di fronte alla non-evidenza del fatto che se tu ci giochi due mesi in più ce ne viene qualcosa, diventa difficile giustificare la necessità di un tempo maggiore. Quello che io contesto non è l'argomento del tempo necessario in sé, su cui magari hai pure ragione, ma il modo facile con cui si trinciano giudizi sproporzionati. Avete usato (perché lo hai fatto anche tu e non dirmi di no :-)) protocolli che sono stati per mesi "draft" nel mondo WiFi, ma se una telco lascia un protocollo per public review per qualche mese in meno, ecco in azione l'impero del male? se consideri le pressioni che ci sono in questo mondo, per lo meno qua si è agito un pochino meno avventatamente. (un pochino sì dai :-)) Sull'utilità pratica della discussione nelle conferenze poi, ho qualche dubbio se permetti. Ma non specificamente circa questo argomento, parlo in generale. Se tra 10, 20 o 36 mesi esce un attacco serio, che si fa? in generale tenderei ad escluderlo, questo algoritmo non è nato dal nulla, e Kazumi non è mica durato poco - è il diretto derivato di un algoritmo che è nato nel 1995, e nonostante il tanto fumo sugli attacchi c'è poco arrosto (leggi: attacchi pratici veramente utilizzabili) a tutto il 2010. Quindi sono abbastanza confidente che il nuovo algoritmo durerà più di 10 mesi, se non altro per la legge di Moore. O per lo meno, per adesso non ho niente che mi dimostri il contrario. Se poi tu riesci a portarmi un argomento concreto che giustifichi il prolungamento di questo tempo di public review sarò lieto di portarlo a Steve Babbage o di interfacciarti con lui. Tuttavia non credo che lui stesso sia padrone del tempo, in fondo lo stesso Kazumi è stato derivato da un vecchio algoritmo perché c'erano pressioni sui tempi commerciali... e nonostante tutto vedi un po' che tanto male non è venuto, soprattutto se pensi che la rete GSM non è mai stata sviluppata per essere super-sicura - è stata pensata per contenere una "sicurezza ragionevole" per un prodotto "consumer". E tutto sommato, lo scopo non è mica cambiato... i militari useranno altri canali, immagino. Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
