Cuando un algoritmo pone en peligro la identidad de media nación: así se ha quebrantado el cifrado RSA-2048

Autor: | Posteado en Tecnología Sin comentarios

Pexels Photo 109919 Squasheds

En 2003 el gobierno de Estonia puso en viaje el e-Estonia State Portal, un programa con el que buscaban digitalizar el país y esquivar en la medida de lo probable la burocracia existente. Estonia se ha convertido en un modelo de nación digital ofreciendo ventajas como la residencia electrónica u la digitalización de los archivos de identidad. Ahora, un fallo de seguridad ha puesto en riesgo la identidad de media nación, pero no perjudica sólo al país báltico.

El cifrado RSA-2048 es utilizado por decenas de plataformas de identificación: archivos de identidad, firma de software, accesos a entornos gubernamentales, transferencia segura de información… Una nueva vulnerabilidad concede a los atacantes suplantar la identidad de cualquiera cliente que disponga de alguna clave con el cifrado RSA-2048 y haga uso de la librería Infineon.

En qué consta cabalmente la vulnerabilidad en el cifrado RSA-2048

El cifrado RSA se basa en un sistema criptográfico de clave pública, esto significa que cada cliente dispone de 2 claves de cifrado: alguna pública y alguna privada. Al querer realizar alguna autenticación el cliente A búsqueda la clave pública del cliente B, suma la información y la envía para que el cliente B la descifre con su clave privada.

RSA

Diversos investigadores han dado con la figura de averiguar la clave privada basándose exclusivamente en la clave pública de un usuario. No ataca a todo el cifrado RSA-2048, tan sólo a las plataformas que hacen uso de él mediante la librería del fabricante Infineon. El cifrado RSA suma el mensaje en números y para descifrarlo se requiere de 2 números primos elegidos al azar. Pero para agilizar el procedimiento la librería de código de Infineon construye los números primos subyacentes a las claves, de modo que se hacen propensos a un procedimiento de factorización que desvela esos números primos.

Teoricamente una clave RSA de 2048 bits requiere de millones de años para ser factorizada por un ordenador normal y corriente. Pero si se ha utilizado la biblioteca de Infineon basta con unos 100 años, distribuyendo el procedimiento de factorización a diversos ordenadores u servidores en la nube… es cuestión de días.

Lo mas preocupante: hay antecedentes

Los investigadores realizaron distintos pruebas en plataformas que hacen uso del sistema RSA-2048. Además de descubrir que funciona con aquellas que utilizan la librería Infinieon, se dieron cuenta que afecta por modelo a los archivos de identidad de diversos países. El mes pasado Estonia advirtió que 750.000 identificaciones digitales emitidas desde 2014 eran frágiles al ataque. La primera medida preventiva que han tomado las autoridades es bloquear la base de datos de claves públicas, es decir, los ciudadanos no pueden realizar ninguna firma digital de momento.

E Residency Eas 940x627 Residencia electrónica de Estonia.

La librería fue desarrollada por el fabricante alemán de chips Infineon y ha estado generando claves débiles desde 2012. Lo que preocupa a los investigadores es el hecho de que la librería de Infineon ha pasado filtros de certificación de seguridad reconocidos internacionalmente (FIPS 140-2 Level 2 y Common Criteria).

En 2013 se descubrieron debilidades en el sistema de identificación digital de Taiwan, permitiendo suplantar la identidad de los ciudadanos. Ese sistema además había superado los filtros de certificación de seguridad. Según lo investigadores, el problema está en el hecho de no descubrir el boceto y la implementación del código por parte de los fabricantes, ya que esto impide el hallazgo de las debilidades a tiempo.

Más información | CRoCS
Vía | Ars Technica y Forbes

También te recomendamos

El guante con el que entrenan los cosmonautas para "tocar" Marte y otras prestaciones de la tecnología háptica

Cómo funciona el cifrado extremo a extremo de Whatsapp y qué implicaciones tiene para la privacidad

Google™ prepara a Chrome™ para protegerlo de las futuras computadoras cuánticas


La noticia Cuando un algoritmo pone en riesgo la identidad de media nación: así se ha quebrantado el cifrado RSA-2048 fue notificada originalmente en Xataka por Cristian Rus .


Xataka

Todo lo que esta escrito en este sitio web es recopilado de otros sitios oficiales, los enlaces a las paginas oficiales se presentan en cada termino de noticia y no perjudicaremos su noticia.

Noticias Relacionadas:

Agrega tu comentario