¿Desactivar RC4 en el navegador?
Mientras continúa el goteo de informaciones acerca de hasta dónde se extienden los tentáculos de la NSA y sus intentos de debilitar los sistemas de cifrado, incluyendo el posible conocimiento de serias vulnerabilidades en algoritmos de cifrado en uso actualmente, a los usuarios nos queda poco más que una sensación de impotencia ante la magnitud del desafío. Sin embargo, lo cierto es que podemos hacer algunas cosas para mitigar los efectos y algunas de ellas son más simples de lo que podríamos pensar. Hoy quiero presentaros una de ellas: Desactivar el uso de RC4 en las conexiones HTTPS para usar cifrados más seguros..
El algoritmo RC4 es un algoritmo de cifrado de flujo que, si bien todavía no se considera totalmente roto, sí está marcado como deprecated, es decir, no apto para nuevos usos. Aún así, es usado muy frecuentemente en las conexiones HTTPS dado que es un algoritmo muy rápido. La forma de cambiar el tipo de cifrado que estamos usando en nuestro navegador es sorprendentemente simple en muchos navegadores por lo que los pasos que voy a explicar, si bien son específicos para Mozilla Firefox, serían equivalentes en otros navegadores. En Internet Explorer también se puede comprobar y cambiar el order de aplicación.
RC4, aunque tenga algunas vulnerabilidades no es un método de cifrado roto. La principal vulnerabilidad se basa en la predictibilidad de los primeros bytes, y resulta muy simple solventarla: así, el autor de RC4, Ron Rivest, confirma que basta con descartar los primeros 256 bytes o bien utilizar una función hash para preprocesar el vector de inicialización. El hashing en RC4 se aplica, por ejemplo, en el protocolo SSL., así que no hay ninguna razón para aconsejar que se desactive el uso de RC4 uso en las conexiones HTTPS.
Un problema relacionado es que RC4 no es vulnerable a un ataque BEAST, y ese uno de los motivos por los que se usa y recomienda cuando se está usando TLSv1. Sin embargo, Firefox implementa desde 2010 TLS v1.1 (RFC 4346), con lo cual se podría desactivar sin inconvenientes.
En este punto es recomendable verificar la lista de algoritmos reconocidos por cada navegador en esta lista.
NOTA: no sigas con esto si no estás seguro de lo que estás haciendo y este es un buen momento para leer sobre criptografía.
El primer paso es comprobar el tipo de conexión que estamos usando. Para ello, hacemos clic en el candado que aparece al lado de la URL en la barra de direcciones. Nos aparecerá una ventanita de información básica y un botón que pone "Más información". Hacemos clic en él y nos lleva a una pantalla donde, al fondo, nos muestra el tipo de cifrado que está usando. En nuestro ejemplo, como podemos ver, es RC4 de 128 bits.
A continuación vamos a cambiar la configuración para desactivar el uso de RC4. Para ello debemos ir a la configuración avanzada del navegador, empleando como ruta la URL about:config. Nos saldrá una página con una lista de preferencias y sus valores. En la barra de búsqueda de esta página, justo por encima de la lista, escribimos rc4. Con ello estamos filtrando las opciones, quedándonos sólo con las que tienen "rc4" en el nombre. A continuación haremos doble clic en cada una de las opciones que nos salgan y tengan un valor true, de modo que pasen a tener valor false como indica la captura.
Ya está, hemos acabado. Cerramos el navegador, lo volvemos a abrir, iniciamos alguna conexión HTTPS y, si repetimos la comprobación del principio, podremos ver cómo el algoritmo de cifrado ha cambiado a otro considerado más seguro, como AES o Camellia, como en las capturas.
Puede suceder que en algunos casos el servidor no brinde protocolos alternativos para el cifrado y entonces aparecerá un error "No se puede comunicar de forma segura con la otra parte: no hay algoritmos de cifrado comunes. (Código de error: ssl_error_no_cypher_overlap)". En este caso, sería recomendable comunicarse con la entidad, verificar el orden de aplicación de los Cipher Suite, desactivar los protocolos débiles y remarcar el inconveniente a la organización.
Fuente: Kriptopolis
El algoritmo RC4 es un algoritmo de cifrado de flujo que, si bien todavía no se considera totalmente roto, sí está marcado como deprecated, es decir, no apto para nuevos usos. Aún así, es usado muy frecuentemente en las conexiones HTTPS dado que es un algoritmo muy rápido. La forma de cambiar el tipo de cifrado que estamos usando en nuestro navegador es sorprendentemente simple en muchos navegadores por lo que los pasos que voy a explicar, si bien son específicos para Mozilla Firefox, serían equivalentes en otros navegadores. En Internet Explorer también se puede comprobar y cambiar el order de aplicación.
RC4, aunque tenga algunas vulnerabilidades no es un método de cifrado roto. La principal vulnerabilidad se basa en la predictibilidad de los primeros bytes, y resulta muy simple solventarla: así, el autor de RC4, Ron Rivest, confirma que basta con descartar los primeros 256 bytes o bien utilizar una función hash para preprocesar el vector de inicialización. El hashing en RC4 se aplica, por ejemplo, en el protocolo SSL., así que no hay ninguna razón para aconsejar que se desactive el uso de RC4 uso en las conexiones HTTPS.
Un problema relacionado es que RC4 no es vulnerable a un ataque BEAST, y ese uno de los motivos por los que se usa y recomienda cuando se está usando TLSv1. Sin embargo, Firefox implementa desde 2010 TLS v1.1 (RFC 4346), con lo cual se podría desactivar sin inconvenientes.
En este punto es recomendable verificar la lista de algoritmos reconocidos por cada navegador en esta lista.
NOTA: no sigas con esto si no estás seguro de lo que estás haciendo y este es un buen momento para leer sobre criptografía.
El primer paso es comprobar el tipo de conexión que estamos usando. Para ello, hacemos clic en el candado que aparece al lado de la URL en la barra de direcciones. Nos aparecerá una ventanita de información básica y un botón que pone "Más información". Hacemos clic en él y nos lleva a una pantalla donde, al fondo, nos muestra el tipo de cifrado que está usando. En nuestro ejemplo, como podemos ver, es RC4 de 128 bits.
Puede suceder que en algunos casos el servidor no brinde protocolos alternativos para el cifrado y entonces aparecerá un error "No se puede comunicar de forma segura con la otra parte: no hay algoritmos de cifrado comunes. (Código de error: ssl_error_no_cypher_overlap)". En este caso, sería recomendable comunicarse con la entidad, verificar el orden de aplicación de los Cipher Suite, desactivar los protocolos débiles y remarcar el inconveniente a la organización.
Fuente: Kriptopolis
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!