Fallo en OpenSSL permite obtener clave privada

Científicos de la Universidad de Michigan, descubrieron un fallo en OpenSSL (popular paquete open source, de administración y librerías sobre criptografía), que permite a un atacante obtener el componente privado de una clave RSA.

Los científicos universitarios encontraron que podían deducir pequeñas piezas de una clave privada mediante la inyección de pequeñas fluctuaciones en el suministro de energía de un dispositivo  mientras realiza el procesamiento de mensajes cifrados. En poco más de 100 horas, manipulando la alimentación del dispositivo, generaron suficientes “fallos transitorios”  para reunir la totalidad de su clave de 1024 bits.

Aunque es poco probable que este tipo de ataques se apliquen a servidores de claves SSL (ya que por lo general se encuentran en sitios seguros donde no es posible realizar la manipulación del suministro eléctrico), aunque si es posible realizarlo por ejemplo en reproductores Blu-ray o dispositivos domésticos donde tenemos un entorno en el que podemos alterar el suministro eléctrico del dispositivo.

Los investigadores dijeron que es un fallo grave para OpenSSL, pero que también es posible aplicar el método a otras bibliotecas de criptografía, como la ofrecida por la Fundación Mozilla y dos de sus compañeros presentaran un papel (descargar en pdf) sobre el tema, la próxima semana en la conferencia de automatización de diseño y pruebas de Europa.

Como siempre la recomendación es mantener al día nuestros sistemas para corregir todos estos fallos, todavía no hay un parche oficial para este fallo, pero pronto en la pagina oficial de OpenSSL pondrán una solución al mismo.

Mas Información:
‘Severe’ OpenSSL vuln busts public key crypto
Boffins Crack OpenSSL Library Using Power Fluctuations
Pagina Oficial del OpenSSL


Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • c1b3rh4ck

    gracias por el post

  • R

    Por tener operaciones más rápidas uno suele quedar vulnerable a este tipo de ataques…

  • Para empezar hay que estar físicamente delante de la maquina (y unas cuantas horas, como mínimo 100) después hay que modificar el suministro eléctrico ademas por lo visto se trata de un problema de una determinada implementación de hardware basada en una FPGA , asi que no creo que sea un problema lo suficientemente serio como para rasgarse las vestiduras (esperaremos al parche a ver que pasa) y por cierto decir tan a la ligera que las claves RSA de 1024 bits han sido rotas es como mínimo muy aventurado y crea confusión donde realmente no la hay, ya que no todo el mundo esta preparado para realizar dicho ataque. La solución de momento seria pasar de 1024 a 4096 Bits. Saludos.

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES