Descubren punto débil en la autenticación RSA
La técnica de seguridad digital más comúnmente usada para proteger los derechos de autor en medios y las comunicaciones en Internet tienen un punto débil importante, según descubrieron científicos de computación de la Universidad de Michigan.
La autenticación RSA es un método popular de cifrado usado en reproductores digitales (audio y video), computadoras portátiles, teléfonos inteligentes, servidores y otros dispositivos. Puntos de venta y bancos también dependen de esto pata asegurar la seguridad de la información de sus clientes en linea.
Los científicos hallaron que podrían frustrar el sistema de seguridad variando el voltaje suministrado al poseedor de la "clave privada", el cual sería el dispositivo del consumidor en el caso de la protección contra copias y el punto de venta o el banco en el caso de comunicaciones por Internet. Es altamente improbable que el atacante pueda usar este enfoque en una gran institución, dicen los investigadores. Estos hallazgos sería más probable que preocupen a las compañías de medios y fabricantes de dispositivos móviles, así como también quienes los usan.
Andrea Pellegrini, una estudiante de doctorado en el Departamento de Ingeniería Eléctrica y Ciencias de Computación, presentará un trabajo sobre la investigación en la próxima conferencia Design, Automation and Test in Europe (DATE) en Dresden el 10 de Marzo.
"El algoritmo RSA brinda seguridad bajo el supuesto de que en tanto la clave privada sea privada, no podrás romperlo a menos que la adivines. Hemos demostrado que no es cierto," dijo Valeria Bertacco, una profesora asociada del Departamento de Ingeniería Eléctrica y Ciencias de Computación.
Estas claves privadas contienen más de 1.000 dígitos de código binario. Para adivinar un número tan largo llevaría más que la edad del universo, dijo Pellegrini. Usando su esquema de cambio de voltaje, los investigadores de la UM fueron capaces de extraer la clave privada en aproximadamente 100 horas.
Manipularon cuidadosamente el voltaje con un dispositivo muy barato construido con este propósito. Variar la corriente eléctrica esencialmente esfuerza a la computadora y provoca que cometa pequeños errores en su comunicación con otros clientes. Estas fallas revelan pequeñas partes de la clave privada. Una vez que los investigadores provocaron suficiente fallas, fueron capaces de reconstruir la clave desconectados.
Este tipo de ataque no daña el dispositivo, de modo que no queda evidencia de la interferencia.
"La autenticación RSA es tan popular debido a que se pensaba que era tan segura," dijo Todd Austin, un profesor en el Departamento de Ingeniería Eléctrica y Ciencias de Computación. "Nuestro trabajo redefine los niveles de seguridad que ofrece. Disminuye la protección de la seguridad en un monto significativo."
Aunque el trabajo solo discute el problema, los profesores dicen que han identificado una solución. Es una técnica criptográfica común denominada "salting" que cambia el orden de los dígitos de una forma aleatoria cada vez que se solicita la clave.
"Hemos demostrado que es posible un ataque basado en fallas contra el algoritmo RSA," dijo Austin. "Con suerte, esto provocará que los fabricantes hagan pequeños cambios a sus implementaciones del algoritmo. RSA es un buen algoritmo y pienso, que a la larga, sobrevivirá este tipo de ataques."
El trabajo se llama "Ataque basado en fallas de la autenticación RSA" ("Fault-based Attack of RSA Authentication"), y se puede obtener aquí.
Traducción: Raúl Batista - Segu-info
Fuente: Help Net Security
La autenticación RSA es un método popular de cifrado usado en reproductores digitales (audio y video), computadoras portátiles, teléfonos inteligentes, servidores y otros dispositivos. Puntos de venta y bancos también dependen de esto pata asegurar la seguridad de la información de sus clientes en linea.
Los científicos hallaron que podrían frustrar el sistema de seguridad variando el voltaje suministrado al poseedor de la "clave privada", el cual sería el dispositivo del consumidor en el caso de la protección contra copias y el punto de venta o el banco en el caso de comunicaciones por Internet. Es altamente improbable que el atacante pueda usar este enfoque en una gran institución, dicen los investigadores. Estos hallazgos sería más probable que preocupen a las compañías de medios y fabricantes de dispositivos móviles, así como también quienes los usan.
Andrea Pellegrini, una estudiante de doctorado en el Departamento de Ingeniería Eléctrica y Ciencias de Computación, presentará un trabajo sobre la investigación en la próxima conferencia Design, Automation and Test in Europe (DATE) en Dresden el 10 de Marzo.
"El algoritmo RSA brinda seguridad bajo el supuesto de que en tanto la clave privada sea privada, no podrás romperlo a menos que la adivines. Hemos demostrado que no es cierto," dijo Valeria Bertacco, una profesora asociada del Departamento de Ingeniería Eléctrica y Ciencias de Computación.
Estas claves privadas contienen más de 1.000 dígitos de código binario. Para adivinar un número tan largo llevaría más que la edad del universo, dijo Pellegrini. Usando su esquema de cambio de voltaje, los investigadores de la UM fueron capaces de extraer la clave privada en aproximadamente 100 horas.
Manipularon cuidadosamente el voltaje con un dispositivo muy barato construido con este propósito. Variar la corriente eléctrica esencialmente esfuerza a la computadora y provoca que cometa pequeños errores en su comunicación con otros clientes. Estas fallas revelan pequeñas partes de la clave privada. Una vez que los investigadores provocaron suficiente fallas, fueron capaces de reconstruir la clave desconectados.
Este tipo de ataque no daña el dispositivo, de modo que no queda evidencia de la interferencia.
"La autenticación RSA es tan popular debido a que se pensaba que era tan segura," dijo Todd Austin, un profesor en el Departamento de Ingeniería Eléctrica y Ciencias de Computación. "Nuestro trabajo redefine los niveles de seguridad que ofrece. Disminuye la protección de la seguridad en un monto significativo."
Aunque el trabajo solo discute el problema, los profesores dicen que han identificado una solución. Es una técnica criptográfica común denominada "salting" que cambia el orden de los dígitos de una forma aleatoria cada vez que se solicita la clave.
"Hemos demostrado que es posible un ataque basado en fallas contra el algoritmo RSA," dijo Austin. "Con suerte, esto provocará que los fabricantes hagan pequeños cambios a sus implementaciones del algoritmo. RSA es un buen algoritmo y pienso, que a la larga, sobrevivirá este tipo de ataques."
El trabajo se llama "Ataque basado en fallas de la autenticación RSA" ("Fault-based Attack of RSA Authentication"), y se puede obtener aquí.
Traducción: Raúl Batista - Segu-info
Fuente: Help Net Security
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!