Expertos descubren una vulnerabilidad crítica que afecta al cifrado RSA de una amplia gama de productos

Investigadores de seguridad han descubierto una vulnerabilidad crítica en una generación de llaves de cifrado RSA que utilizan los productos y servicios más grandes de informática de todo el mundo para proteger sus comunicaciones.

El equipo de investigadores que descubrió la amenaza está compuesto por gente del Centro de Investigación de Criptografía y Seguridad de la Universidad de Masaryk, República Checa; Enigma Bridge Ltd. de Cambridge, Reino Unido y la Universidad Ca’ Foscari de Venecia, Italia.

La vulnerabilidad, que está registrada como CVE-2017-15361 y recibió el nombre de ROCA, se encuentra en el Módulo de Plataformas de Confianza (TPM) que se emplea para firmar y proteger de manera criptográfica los sistemas y servicios informáticos. El problema está en la implementación del cifrado RSA en una biblioteca de criptografía que utilizan los chips Infineon de la empresa alemana Infineon Technologies, que permite el llamado “ataque de factorización práctica”.

La vulnerabilidad permite calcular la llave privada de un usuario con sólo tener su llave pública porque las llaves que generan los chips vulnerables no son del todo aleatorias. “Hasta ahora se ha confirmado la existencia de 760.000 llaves vulnerables, pero es posible que la cifra real de llaves afectadas sea el doble o el triple”, dijeron los investigadores. El ataque puede realizarse en las extensiones más comunes de las llaves, incluyendo las de 1040 y 2048 bits.

“El impacto real de la vulnerabilidad depende del uso que se le esté dando a la llave”, explicaron los expertos. “Encontramos y analizamos llaves vulnerables en varios dominios, incluyendo documentos electrónicos, tokens de autentificación, llaves TLS, HTTP y PGP”.

Productos como los Chromebook de Google y dispositivos Windows fabricados por Fujitsu, HP y Lenovo, que adoptan este cifrado como una forma imprescindible de protección de las telecomunicaciones de sus clientes, se vieron afectados por el problema. Los fabricantes han lanzado los parches de emergencia necesarios para neutralizar la amenaza, por lo que es recomendable que los administradores los instalen lo antes posible.

El equipo de investigadores que descubrió la amenaza presentará sus informes completos a finales de octubre en la Conferencia ACM de Seguridad de Computadoras y Comunicaciones.

Fuentes

As devastating as KRACK: New vulnerability undermines RSA encryption keys ZDNet

The encryption many major companies rely on has a serious flaw Engadget

‘Worse Than KRACK’ — Google And Microsoft Hit By Massive 5-Year-Old Encryption Hole Forbes