Algunas debilidades de HTTPS

Como ya tiene un tiempo y además es algo especulativo (siempre que hablamos de romper métodos de cifra se trata de resultados que teóricamente nos hacen pensar que algo podría ir mal), viene bien traer aquí Has HTTPS finally been cracked? Five researchers deal SSL/TLS a biggish blow….

Se criticaban los algoritmos de generación de números aleatorios (ya hemos hablado del tema en Números aleatorios y seguridad, por ejemplo):

The problem is that although RC4 is a cryptographic PRNG, it’s not a very
high-quality one.

Y también sobre el ataque:

This result, incidentally, was the basis of the attack that broke WEP, the original encryption protocol used in Wi-Fi networking, and forced its replacement with a newer encryption system called WPA.

Los consejos?

If you can, ditch RC4 from the set of symmetric ciphers your web browser is willing to use, and your web servers to accept.

Go for AES-GCM instead.

Anuncios

Números aleatorios y seguridad

En Flaw Found in an Online Encryption Method un resumen periodístico de un fallo de seguridad relacionado con la generación de números aleatorios y que utiliza (otra vez) información públcicamente disponible en la red para hacerse una idea del tamaño del problema:

The researchers examined public databases of 7.1 million public keys used to secure e-mail messages, online banking transactions and other secure data exchanges. The researchers employed the Euclidean algorithm, an efficient way to find the greatest common divisor of two integers, to examine those public key numbers. They were able to produce evidence that a small percentage of those numbers were not truly random, making it possible to determine the underlying numbers, or secret keys, used to generate the public key.

La generación de números aleatorios (generación, porque no solemos disponer de fuentes verdaderamente aleatorias para obtenerlos) es un problema crítico en criptografía. Este trabajo nos muestra que no siempre se hace bien.

Hay más información en
Crypto shocker: four of every 1,000 public keys provide no security (updated)

“Our only conclusion is that there is not just one cause for all of these problems,” Hughes said. “This leads to our conclusion that unless you can totally trust your random number generator, RSA is not a good algorithm to choose.”

Y por si acaso alguien quiere acceder a las fuentes primarias, [PDF] Ron Was Wrong, Whit Is Right.

Cifrado y datos de pacientes

En Encryption and the loss of patient data (si alguien no tiene acceso y tiene interés, seguro que conoce a alguien que se lo puede proporcionar ;) ) hablan del tema del cifrado de los datos de los pacientes:

This paper presents some of the first empirical evidence about the extent to which firms’ adoption of encryption software limits how likely firms are to experience publicized instances of customer data loss.

Curiosamente, el cifrar los datos no parece favorecer su conservación ni su pérdida:

Surprisingly, we find empirical evidence that the use of encryption software does not reduce overall instances of publicized data loss. Instead, its installation is associated with an increase in the likelihood of publicized data loss due to fraud or loss of computer equipment. Speculatively, this may occur because firms are less careful at controlling access internally to encrypted data and employees are less careful with computer equipment when they believe that data are encrypted.

Por lo tanto, habría que tener cuidado también con los empleados:

Our research suggests that policymakers should expand the breadth of security measures to encompass other technologies such as user-access controls that are better able to address the insider threat.

Y tener en cuenta que la digitalización puede incrementar los problemas, sobre todo si no se tiene el cuidado necesario:

The empirical findings of this paper also suggest that digitization of patient records may increase the likelihood of data breaches.

Atacar la WiFi

El otro día nos enterábamos de que Alemania condena a una internauta por no proteger su WiFi y permitir descargas. Todo es muy relativo porque, conociendo un poco (muy poco) el tema todo el mundo sabe que la seguridad básica de la WiFi (que se utiliza ampliamente) es bastante débil (¿podrá el mismo juez más adelante acusarnos de utilizar protocolos poco seguros o claves débiles?).

Ahora nos enteramos de que en China venden ‘kits’ para romper las claves sin demasiadas complicaciones: Wi-Fi key-cracking kits sold in China mean free Internet. No termino de comprender la lógica del negocio con los programas libremente disponibles por ahí (salvo que el Gran Cortafuegos haga realmente difícil conseguirlos), pero según el artículo, se venden por un precio bastante razonable (24 dólares).

Por si a alguien le sirve de utilidad en Kits para crackear claves Wi-Fi vendidos en China significan Internet gratis está traducido el artículo.