Debilidad en la generación de números aleatorios en RSA
Un equipo de matemáticos y criptoanalistas europeos y americanos han descubierto una inesperada debilidad en RSA, el sistema de cifrado utilizado en todo el mundo para realizar compras en línea, la banca, el correo electrónico y otros servicios de Internet y destinado a mantener la información en forma privada y segura.
El fallo se encuentra en un número pequeño pero mensurable de casos y tiene que ver con la forma en que el sistema genera los números aleatorios, y lo que hace que sea prácticamente imposible para un atacante, descifrar mensajes digitales. Aunque puede afectar a las transacciones de los usuarios individuales de Internet, no hay nada que una persona puede hacer al respecto y los operadores de sitios Web de gran tamaño necesitarán hacer algunos cambios para garantizar la seguridad de sus sistemas.
El peligro potencial de la falla es que a pesar de que el número de usuarios afectados puede ser pequeño, la confianza en la seguridad de las transacciones web se reduce.
El sistema de RSA requiere que se publique el producto de dos números primos grandes y un número adicional, para generar la clave pública y los números originales se mantienen en secreto. Para cifrar un mensaje, se emplea una fórmula que contiene el número público. En la práctica, si una persona conoce los números primos originales puede decodificar ese mensaje.
Para proporcionar seguridad al sistema, es esencial que los números primos secretos se generen de forma aleatoria. Los investigadores descubrieron que, en un número pequeño pero significativo de casos, el sistema de generación de números aleatorios no funcionan correctamente.
Los investigadores describieron su trabajo en un artículo [Paper en PDF] para publicarlo en una conferencia de criptografía, que se celebrará en Santa Bárbara, California, en agosto. Hicieron públicas sus conclusiones el martes porque creen que el tema es de interés inmediato para los servicios web, que se basan en el sistema de criptografía de clave pública RSA.
"Esto es una advertencia desagradable que pone de relieve la dificultad de la generación de claves en el mundo real", dijo James P. Hughes, unos de los criptoanalistas que trabajó en el grupo de investigadores liderado por Arjen K. Lenstra, un matemático holandés muy respetado y que es profesor en la École Polytechnique Fédérale de Lausanne en Suiza. "Algunas personas pueden decir que el 99,8 por ciento de seguridad está bien pero eso significa que aproximadamente dos de cada mil claves no es segura" agregó.
Los investigadores examinaron bases de datos públicas de 7,1 millones de claves públicas y, utilizando el algoritmo de Euclides para encontrar el máximo común divisor de los dos números enteros, fueron capaces de producir evidencia de que un pequeño porcentaje de esos números no eran verdaderamente aleatorio, por lo que es posible determinar los números subyacentes, o claves secretas, utilizadas para generar la clave pública.
Dijeron que "tropezaron" con 27.000 diferentes claves que no ofrecen ninguna seguridad. "Sus claves secretas son accesibles a cualquiera que se tome la molestia de volver a hacer nuestro trabajo", escribieron los autores. Para evitar esto, se ha eliminado la información de Internet y tomado medidas para protegerla contra robos.
Para realizar su estudio, los investigadores utilizaron varias bases de datos de claves públicas, entre ellos una del Instituto de Tecnología de Massachusetts y otro creado por la Electronic Frontier Foundation. "Fuimos muy cuidadosos: no interceptar comunicaciones y fuimos a bases de datos que contenían la información para descargar las claves públicas.
Fuente: NY Times
El fallo se encuentra en un número pequeño pero mensurable de casos y tiene que ver con la forma en que el sistema genera los números aleatorios, y lo que hace que sea prácticamente imposible para un atacante, descifrar mensajes digitales. Aunque puede afectar a las transacciones de los usuarios individuales de Internet, no hay nada que una persona puede hacer al respecto y los operadores de sitios Web de gran tamaño necesitarán hacer algunos cambios para garantizar la seguridad de sus sistemas.
El peligro potencial de la falla es que a pesar de que el número de usuarios afectados puede ser pequeño, la confianza en la seguridad de las transacciones web se reduce.
El sistema de RSA requiere que se publique el producto de dos números primos grandes y un número adicional, para generar la clave pública y los números originales se mantienen en secreto. Para cifrar un mensaje, se emplea una fórmula que contiene el número público. En la práctica, si una persona conoce los números primos originales puede decodificar ese mensaje.
Para proporcionar seguridad al sistema, es esencial que los números primos secretos se generen de forma aleatoria. Los investigadores descubrieron que, en un número pequeño pero significativo de casos, el sistema de generación de números aleatorios no funcionan correctamente.
Los investigadores describieron su trabajo en un artículo [Paper en PDF] para publicarlo en una conferencia de criptografía, que se celebrará en Santa Bárbara, California, en agosto. Hicieron públicas sus conclusiones el martes porque creen que el tema es de interés inmediato para los servicios web, que se basan en el sistema de criptografía de clave pública RSA.
"Esto es una advertencia desagradable que pone de relieve la dificultad de la generación de claves en el mundo real", dijo James P. Hughes, unos de los criptoanalistas que trabajó en el grupo de investigadores liderado por Arjen K. Lenstra, un matemático holandés muy respetado y que es profesor en la École Polytechnique Fédérale de Lausanne en Suiza. "Algunas personas pueden decir que el 99,8 por ciento de seguridad está bien pero eso significa que aproximadamente dos de cada mil claves no es segura" agregó.
Los investigadores examinaron bases de datos públicas de 7,1 millones de claves públicas y, utilizando el algoritmo de Euclides para encontrar el máximo común divisor de los dos números enteros, fueron capaces de producir evidencia de que un pequeño porcentaje de esos números no eran verdaderamente aleatorio, por lo que es posible determinar los números subyacentes, o claves secretas, utilizadas para generar la clave pública.
Dijeron que "tropezaron" con 27.000 diferentes claves que no ofrecen ninguna seguridad. "Sus claves secretas son accesibles a cualquiera que se tome la molestia de volver a hacer nuestro trabajo", escribieron los autores. Para evitar esto, se ha eliminado la información de Internet y tomado medidas para protegerla contra robos.
Para realizar su estudio, los investigadores utilizaron varias bases de datos de claves públicas, entre ellos una del Instituto de Tecnología de Massachusetts y otro creado por la Electronic Frontier Foundation. "Fuimos muy cuidadosos: no interceptar comunicaciones y fuimos a bases de datos que contenían la información para descargar las claves públicas.
Fuente: NY Times
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!