¿Cómo se define el cifrado de grado militar?

Steve Bellovin y Adam Shostack dijeron esto sobre el llamado cifrado de grado militar [1]:

Muchos vendedores criptográficos afirman que su sistema es de “grado militar”. Este es un término sin sentido, ya que no existe un estándar que defina “grado militar”, aparte del uso real de varias fuerzas armadas. Dado que estas organizaciones no revelan qué criptografía usan, no es posible probar o refutar que algo es “grado militar”. Desafortunadamente, algunos buenos productos criptográficos también usan este término. Observe esto en combinación con otros indicadores de aceite de serpiente …

En mayo de 2003, alguien en Usenet sci.crypt tenía la misma pregunta: “¿Definición de cifras de grado militar / gubernamental?” https://groups.google.com/forum/ … Las respuestas confirman la sección citada anteriormente y proporcionan un contexto adicional.

[1] Señales de advertencia de aceite de serpiente: software de cifrado que se debe evitar (abril de 1998)

Desafortunadamente, la representación del cifrado en los medios populares es tan indescifrable como el cifrado real en sí.

Soy un profesional de seguridad de las TIC para uno de los jugadores más importantes en el campo de las TIC / la banca. Escuché el término “cifrado de grado militar” mientras miraba una de mis series de televisión favoritas la otra noche. Esto me hizo temblar, y está arriba con “Es un cifrado bastante fuerte pero logré romperlo”.

1. Existe un cifrado débil. Puede explotarse, lo que significa que puede averiguar cómo se cifró el objeto y revertir el cifrado para exponer los datos subyacentes (buscar tablas de arco iris en wikipedia).

2. El cifrado fuerte existe. Comúnmente, SHA-256 se usa con una SALT (la SALT evita que los hackers molestos entren a sus tablas de arco iris). Este tipo de cifrado se utiliza, en el ejército y en el comercio. No puede romperlo porque los objetos cifrados no son reversibles sin la clave de cifrado.

3. Los hackers no rompen el cifrado. ¿Por qué tratar de romper la puerta cerrada cuando la ventana está abierta? Esto es lo que hacen los piratas informáticos: encuentran otras debilidades para eludir los controles de seguridad e ir directamente a los datos, ignorando el cifrado o presentándose como un usuario autorizado para acceder a los datos cifrados.

4. “Militar” no siempre significa super seguro. Google alrededor para GPS hacking en drones. Los drones militares de EE. UU. Han sido pirateados con éxito y aún están en funcionamiento

Entonces, esa es la respuesta larga. La respuesta corta es ignorar todo lo que escuche sobre el cifrado y leerlo usted mismo … ¡es un tema vasto e interesante que se remonta varios miles de años a ATBASH!

Bueno, no creo que haya una definición global dura y rápida. Sin embargo, ciertas agencias, organizaciones y países tienen estándares claros que podemos usar para definir el grado militar.

Por ejemplo, Canadá tiene Establecimiento de Seguridad de Comunicaciones, Reino Unido tiene CESG, OTAN y otros. Entonces, si su criptografía pasa su prueba, entonces es de grado militar en esos mercados.

Actualización basada en pregunta actualizada:
Los niveles de clasificación que se quieren definir definen los niveles de acceso a datos particulares de personas particulares. Cada organización tendrá diferentes niveles de clasificaciones.

Por ejemplo, los Estados Unidos utilizan un esquema de clasificación (la información clasificada en los Estados Unidos) contiene alto secreto, secreto, confidencial, no clasificado y controlado sin clasificación.

El término “cifrado de grado militar” es en su mayoría simplemente publicidad exagerada, probablemente se remonta a los días en que la exportación del cifrado desde los EE. UU. Estaba regulada por las regulaciones de la ITAR que de otra manera regulaban el tráfico de armas.

Por lo que sé, el Ejército utiliza los mismos estándares de cifrado que todos los demás, excepto posiblemente por cosas secretas que no podemos conocer. Tenga en cuenta el principio de Kerckhoff … No es beneficioso mantener su sistema de cifrado en secreto.

Andy Manoske habla por todos nosotros por escrito que en ese “cifrado de grado militar es generalmente BS de mercadeo”, pero Daniël W. Crompton le señala la dirección correcta de lo que técnicamente significa el bombo y cómo se justifica.

FIPS 140-2 Nivel 1 es la especificación del ejército de los EE. UU. Para la seguridad criptográfica (los niveles más altos aumentan la seguridad física). El Apéndice A tiene los algoritmos aprobados: AES , TDEA, EES, DSS, DSA, RSA , ECDSA, SHS , RNG, DRBG, Triple-DES , AES , HMAC.

Puse en negrita algunos de los algoritmos aprobados por el ejército que son más comunes en aplicaciones de consumo. Este sitio web está protegido con un certificado RSA-2048 intercambiado a través de TLS 1.2 mediante AES_128_GCM y ECDHE_RSA, por lo que puede afirmar razonablemente que Quora usa “cifrado de grado militar” .

Este no es mi dominio, así que no te diré que no hay un algoritmo de criptografía secreto que se use sobre Top Secret. Es posible, no lo sé, y probablemente sería un delito decirte si lo supiera. Sin embargo, al leer FIPS 140-2, creo que es bastante claro que se supone que los algoritmos aprobados para el Nivel 1 son seguros, por lo que se realizan mejoras al aumentar la seguridad física (cerramientos resistentes a la manipulación indebida, edificios con acceso controlado, etc.).

Para muchas empresas, el cifrado de grado militar significa que cumplen con los estándares FIPS 140-2 Nivel 4.

Hoy creo que el cifrado de grado militar significa: está debilitado por la NSA para que pueda romperse.