Fallo en OpenSSL permite obtener clave privada

3 marzo 2010 11 Comentarios


Científicos de la Universidad de Michigan, descubrieron un fallo en OpenSSL (popular paquete , de administración y librerías sobre criptografía), que permite a un atacante obtener el componente privado de una RSA.

openssl Fallo en OpenSSL permite obtener clave privada

Los científicos universitarios encontraron que podían deducir pequeñas piezas de una clave privada mediante la inyección de pequeñas fluctuaciones en el suministro de energía de un dispositivo  mientras realiza el procesamiento de mensajes . En poco más de 100 horas, manipulando la alimentación del dispositivo, generaron suficientes “fallos transitorios”  para reunir la totalidad de su clave de 1024 bits.

Aunque es poco probable que este tipo de ataques se apliquen a servidores de claves (ya que por lo general se encuentran en sitios seguros donde no es posible realizar la manipulación del suministro eléctrico), aunque si es posible realizarlo por ejemplo en reproductores Blu-ray o dispositivos domésticos donde tenemos un entorno en el que podemos alterar el suministro eléctrico del dispositivo.

Los investigadores dijeron que es un fallo grave para OpenSSL, pero que también es posible aplicar el método a otras bibliotecas de criptografía, como la ofrecida por la Fundación Mozilla y dos de sus compañeros presentaran un papel (descargar en pdf) sobre el tema, la próxima semana en la conferencia de automatización de diseño y pruebas de Europa.

Como siempre la recomendación es mantener al día nuestros sistemas para corregir todos estos fallos, todavía no hay un parche oficial para este fallo, pero pronto en la pagina oficial de OpenSSL pondrán una solución al mismo.

Mas Información:
‘Severe’ OpenSSL vuln busts public key crypto
Boffins Crack OpenSSL Library Using Power Fluctuations
Pagina Oficial del OpenSSL

Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra FanpageSiguenos en Twitter

También puede interesarte...

Twitter Digg Delicious Stumbleupon Technorati Facebook Email
Criptografia
, , , , ,

Acerca de DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Consultor Independiente de Seguridad Informática con más de 7 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Speaker y Organizador de diferentes eventos de Seguridad Informática y Creador de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.
Ver todos los artículos de DragoN

11 Respuestas para “Fallo en OpenSSL permite obtener clave privada”

  1. c1b3rh4ck Responder 5 marzo 2010 en 7:33 PM
    gracias por el post
  2. R Responder 5 marzo 2010 en 9:29 PM
    Por tener operaciones más rápidas uno suele quedar vulnerable a este tipo de ataques…
  3. xneo72 Responder 7 marzo 2010 en 9:47 AM
    Para empezar hay que estar físicamente delante de la maquina (y unas cuantas horas, como mínimo 100) después hay que modificar el suministro eléctrico ademas por lo visto se trata de un problema de una determinada implementación de hardware basada en una FPGA , asi que no creo que sea un problema lo suficientemente serio como para rasgarse las vestiduras (esperaremos al parche a ver que pasa) y por cierto decir tan a la ligera que las claves RSA de 1024 bits han sido rotas es como mínimo muy aventurado y crea confusión donde realmente no la hay, ya que no todo el mundo esta preparado para realizar dicho ataque. La solución de momento seria pasar de 1024 a 4096 Bits. Saludos.

Dejar un Comentario