No se ofusque con este terror tecnológico que ha construido. La posibilidad de crackear claves de PGP es algo insignificante comparado con el poder de la Nube.
– parafraseando a Darth Vader
Esto viene a raíz de una referencia que vi pasar por Slashdot acerca de unos artículos publicados por Electric Alchemy sobre la viabilidad de usar la escalabilidad de la computación en nube para romper claves de PGP Zip, un programa que comprime a la vez que cifra con claves públicas los ficheros. Es bastante técnico, pero se puede ver el artículo completo en Cracking Passwords in the Cloud: Breaking PGP on EC2 with EDPR y algunos números en Cracking Passwords in the Cloud. La reflexión podría ser la siguiente: ¿qué sucede cuando pones programas malos a hacer cosas en arquitecturas masivamente escalables?
A modo de resumen: con las tarifas actuales de EC2 de Amazon, según estimaron tras algunas pruebas, se pueden romper en tiempos razonables contraseñas de 11 caracteres por unos 50.000 dólares. Para 12 caracteres haría falta invertir 1,5 millones de dólares y a partir de ahí la cosa se dispara hasta lo irrazonable. Pero ese coste se reducirá drásticamente a medida que pase el tiempo. Incluso eligiendo caracteres raros y complicando la cosa –aparte obviamente de no usar palabras de diccionario– lo razonable para garantizar que las contraseñas están seguras ante un adversario no demasiado poderoso sería usar 10 u 11 caracteres como mínimo. Nada de esto garantiza la seguridad, naturalmente, ante ataques para capturar las contraseñas más prácticos y baratos, que son también los más habituales (keyloggers, ingeniería social y similares).