Se ha descubierto una grave vulnerabilidad en el paquete de software más usado en el mundo para operaciones criptográficas. El error permite capturar la clave secreta del ordenador. Aunque el ataque es difícil de llevar acabo, afectaría a productos como smartphones o reproductores multimedia. Este error de seguridad es de gran consideración, ya que OpenSSL se usa para proteger datos considerados privados en multitud de aplicaciones y, al ser software libre, su uso está muy extendido (servidores web que usan el protocolo HTTPS, por ejemplo).
Comentarios
"The scientists, from the University of Michigan's electrical engineering and computer science departments, said the bug is easily fixed by applying cryptographic "salt" to an underlying error-checking algorithm. The additional randomization would make the attack unfeasible."
No soy un experto en criptografía, y seguro que meto la pata, pero... ¿no usar una sal no es un error gordo? Las sales son necesarias para evitar otros ataques, como uso de rainbow tables, ¿no? Una empresa seria debería saber usarla en sus aparatos, digo yo.
#3 Es evidente que para encriptar mensajes sí se usa sal, si no mal iríamos. El fallo consiste en que la salida de cierto procesamiento de error no es "salada", y que existen formas estrambóticas de provocar dicho error (especialmente si se tiene acceso físico a la máquina).
Y el fallo está en la librería OpenSSL, que prácticamente es un estándar de facto de implementación. Las aplicaciones y aparatos simplemente la utilizan, no son responsables de su funcionamiento interno.
Hace falta imaginación para obtener fracciones de la clave a base de provocar errores produciendo fluctuaciones en la alimentación de la máquina.
Vía http://www.osnews.com/story/22964/_Severe_OpenSSL_Vulnerability_Busts_Public_Key_Crypto
Paper de los investigadores de la Universidad de Michigan sobre la vulnerabilidad: http://www.eecs.umich.edu/~valeria/research/publications/DATE10RSA.pdf