Ekoparty es el evento anual de seguridad informática que, por sus características únicas y su particular estilo, se ha convertido en un referente para toda Latinoamérica.

Permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología, reunirse y disfrutar de los descubrimientos más importantes en el ámbito de la seguridad informática.

27, 28 y 29 de septiembre, Centro Cultural Konex, Buenos Aires, Argentina.

21 dic. 2016

Wycheproof: un proyecto para verificar todas las Crypto Libraries

No todas estas librerías son realmente seguras, y, por ello, Google ha lanzado un nuevo proyecto llamado Wycheproof, llamado así por la montaña más pequeña del mundo.

Wycheproof es un proyecto desarrollado y mantenido por el grupo especializado en seguridad informática de Google, Google Security Team, pero, realmente, no es un producto oficial de la compañía. Este proyecto nace debido a que Google, igual que muchas otras compañías y plataformas, hacen uso de librerías criptográficas de terceros para brindar cifrado a sus plataformas y aplicaciones, sin embargo, en el cifrado, el más mínimo fallo puede tener unas consecuencias catastróficas para la seguridad, consecuencias que no de pueden asumir.

Wycheproof es, entonces, un conjunto de pruebas independientes que buscan en las principales librerías criptográficas fallos conocidos o comportamientos inesperados de manera que puedan conocer de antemano la existencia de estos errores de seguridad y ponerlos solución lo antes posible.

Este conjunto de pruebas funciona con prácticamente todos los algoritmos modernos y los más populares, entre otros:
Y, entre los 80 tipos de ataques diferentes que se incluyen, podemos destacar:
  • Ataques de curva no válida (Invalid Curve)
  • Números no repetidos en los esquemas de firmas digitales
  • Ataques Bleichenbacher
Estos tests son de código abierto (aunque aún no están todos publicados a falta de corregir algunos fallos encontrados en varios algoritmos) y podemos acceder a ellos a través de GitHub.

En las 80 pruebas iniciales que han realizado los ingenieros de seguridad de Google han podido encontrar más de 40 errores en librerías ampliamente utilizadas, por ejemplo, cómo era posible recuperar la clave privada en implementaciones muy utilizados de algoritmos DSA y ECDHC.

Los expertos de seguridad de Google decidieron utilizar Java como ecosistema para Wycheproof, principalmente, porque utiliza un entorno común para el cifrado, lo que permite, desde una única plataforma, analizar todos los casos posibles. De todas formas, ellos mismos recomiendan el uso de OpenJDK, la alternativa libre al Java de Oracle.

Los ingenieros de Google recuerdan que, aunque un algoritmo pase las pruebas, eso no significa que sea totalmente seguro, sino que, simplemente, no es vulnerable a los tests que se han realizado, pero puede haber otras vulnerabilidades.

Fuente: RedesZone | Google Security Blog

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!