La Comunidad DragonJAR » cifrados

Fallo en OpenSSL permite obtener clave privada

DragoN — Wed, 03 Mar 2010 20:08:58 +0000

Científicos de la Universidad de Michigan, descubrieron un fallo en OpenSSL (popular paquete open source, de administración y librerías sobre criptografía), que permite a un atacante obtener el componente privado de una clave RSA.

Los científicos universitarios encontraron que podían deducir pequeñas piezas de una clave privada mediante la inyección de pequeñas fluctuaciones en el suministro de energía de un dispositivo mientras realiza el procesamiento de mensajes cifrados. En poco más de 100 horas, manipulando la alimentación del dispositivo, generaron suficientes “fallos transitorios” para reunir la totalidad de su clave de 1024 bits.

Aunque es poco probable que este tipo de ataques se apliquen a servidores de claves SSL (ya que por lo general se encuentran en sitios seguros donde no es posible realizar la manipulación del suministro eléctrico), aunque si es posible realizarlo por ejemplo en reproductores Blu-ray o dispositivos domésticos donde tenemos un entorno en el que podemos alterar el suministro eléctrico del dispositivo.

Los investigadores dijeron que es un fallo grave para OpenSSL, pero que también es posible aplicar el método a otras bibliotecas de criptografía, como la ofrecida por la Fundación Mozilla y dos de sus compañeros presentaran un papel (descargar en pdf) sobre el tema, la próxima semana en la conferencia de automatización de diseño y pruebas de Europa.

Como siempre la recomendación es mantener al día nuestros sistemas para corregir todos estos fallos, todavía no hay un parche oficial para este fallo, pero pronto en la pagina oficial de OpenSSL pondrán una solución al mismo.

Mas Información:
‘Severe’ OpenSSL vuln busts public key crypto
Boffins Crack OpenSSL Library Using Power Fluctuations
Pagina Oficial del OpenSSL

También puede interesarte...

Manual de TrueCrypt

DragoN — Sun, 17 May 2009 08:54:15 +0000

TryeCrypt es una de las mejores soluciones disponibles en el mercado, para cifrar información importante, es gratuita y multiplataforma (GNU/Linux, Mac OS X, Windows XP/2000/2003/Vista/Seven), es recomendada para proteger tu información sensible y así evitar que personas no autorizadas tengan acceso a ella.

En la comunidad Seifreed ha realizado una serie de manuales muy graficos y paso a paso de TrueCrypt, que van desde su instalación hasta el uso de la herramienta, los dejo a continuación con la primera parte del manual:

Bueno voy hablaros de TrueCrypt un software que permite crear un volumen virtual cifrado en un archivo de forma rápida y transparente. Lo que hace TrueCrypt es crear un “volumen secreto”, que consiste en un archivo que puede tener cualquier nombre y que TrueCrypt puede montar como una unidad de disco, con su identificación respectiva, según el sistema operativo utilizado. El contenido de ese archivo tiene su propio sistema de archivos y todo lo necesario para operar como una unidad común de almacenamiento. Lo que se grabe en esa unidad virtual se cifra usando tecnología punta y con la potencia de cifrado que el usuario elija. Cuando se “monta” la unidad a través de TrueCrypt, se pide la contraseña que el usuario escogió al momento de crear este archivo secreto.
Fuente
Bien hare una guía sobre todas las funcionalidades de TrueCrypt que irá dividida en varias partes.
En la primera veremos crear un volumen cifrado con TrueCrypt y poder llevárnoslo a donde queramos.
Bajamos el software de la página principal
TrueCrypt
Y luego nos bajamos el paquete de idiomas para TrueCrypt
Idiomas
Para instalar TrueCrypt no tiene demasiada complicación es siguiente siguiente hasta finalizar aunque tendremos que escoger si lo queremos para PC o en un USB:
En el caso que sea para instalar en PC local ponemos install y en el caso de que sea para USB ponemos Extract
Para instalar el paquete de idiomas descomprimimos el paquete de idiomas dentro de la carpeta
C:\Archivos de Programa\TrueCrypt
Una vez instalado lo iniciamos nos saldrá esto:
Una vez nos salga esta pantallita le damos a Crear Volumen y entonces nos saldrá el tipo de volumen que queramos crear:
Aqui podemos hacer tres cosas, :
Create and Encrypted file container: crear un “Baul” en donde dentro pondremos los archivos y cuando se monte dicho baul es decir se quiera mirar lo que hay dentro se montará como disco duro virtual.
Encrypt a non-systempartition/Drive: Esta opción encriptará una partición o un disco duro externo.
Encriptar la partición del sistema o la unidad system: Esto cifrará la partición del sistema actual es decir normalmente la C:
Nosotros dejaremos la primera opción, y le daremos a siguiente.
Entonces nos saldrá algo así:
Podemos crear un volumen comun que o un volumen escondido de Truecrypt la diferencia es que en el escondido creas un volumen truecrypt dentro de otro volumen truecrypt
Nosotros escojeremos la primera opción y le daremos a siguiente aquí nso saldrá algo así:
Aqui seleccionaremos donde guardaremos el baul que contendrá nuestros archivos cifrados, elejimos una ruta donde lo guardamos:
Como veis ahi está en mi caso la ruta donde se guardarán los archivos, le damos a siguiente y nos encontraremos con el tipo de encriptacióna cojer,
Hay diferentes tipos de encriptación buscad por ahí las especificaciones de cada una y escojed la que mas se adeque a vuestras necesidades.
La cojemos y le damos a siguiente:
En mi caso he cojido 50 Mb no necesito mas, a de quedar una cosa clara.
El baul creado por TrueCrypt una vez creado NO se le puede cambiar el tamaño asi que aseguraros de cojer bien el tamaño que necesiteis entonces le damos a siguiente:
Aquí esta muy claro lo que hemos de hacer que es ponerle una contraseña al Volumen que crearemos, luego le damos a siguiente:
Ahora en este paso estamos creando la encriptación del volumen, si movemos el raton encima de lo de Pool Aletorio
haremos que la encriptación sea mejor, una vez que pensemos que ya estará bien encriptado le damos a Formatear
Una vez que haya acabado nos saldrá este mensaje:
Vale ahora una vez hayamos creado el volumen vamos a aprender a montar el volumen para su uso posterior, es decir poder guardar nuestros archivos en el baul cifrado. Abrimos true Crypt le damos a Seleccionatr Archivo cojemos el archivo cifrado que hayamos echo y le damos a montar, nos pedirá password pero le ponemos la que habíamos configurado previamente
Una vez hayamos metido la contraseña nos montara una unidad de disco duro que será donde deberemos guardar nuestros archivos hemos de escojer una letra para montar la unidad:
Como veis me la ha creado con la letra C:, vamos a MI PC a comprobar si es verdad:
Como veis ahí está la partición donde podremos nuestros datos cifrados
Y hasta aquí la primera parte de Usando TrueCrypt, para continuar con la segunda parte del articulo pueden entrar al Foro de La Comunidad DragonJAR en el post Usando TrueCrypt-Parte II

Mas Información:
Pagina Oficial de TrueCrypt
Segunda Parte del Manual

También puede interesarte...

Represalias contra activistas en Austria por uso de PGP

DragoN — Thu, 10 Jul 2008 02:22:21 +0000

El pasado 21 de Mayo, la policía Austriaca incursiono a 20 personas todas activistas protectoras de los animales en Austria y arresto a 10 de ellas luego de haber confiscado material electrónico en sus oficinas y hogares, incluyendo la oficina de la VGT (Association against Animal Factories) por escuadrones especiales de la policía que inclusive en algunos casos entro a los lugares mediante fuerza bruta y amenazando a la gente del lugar.

De todo lo confiscado, no se ha devuelto nada. El problema no fue tanto por sus esfuerzos en pro de la protección de los animales, sino su presunta vinculación con un grupo terrorista y esto es un crimen de acuerdo con el código penal.

Las represalias y las sospechas se basan en que algunos de los detenidos usan PGP para proteger sus datos personales contra el acceso y el uso no autorizados de su información, y que precisamente utilizan dichas herramientas para ocultar toda la información que los enlaza con dicha organización terrorista… es exactamente como si me culparan de terrorismo solo porque aseguro mi puerta con llave.

Las acusaciones contra estas personas parecen no tener una base solida, y todas las acciones que se han tomado en su contra han sido muy desproporcionadas, sin mencionar que no había razón alguna para los arrestos y las redadas contra ellos.

¿Hasta donde llegaran los organismos de control para podernos someter a sus demandas?, ¿Tendremos que rendir nuestra privacidad y nuestros datos protegidos cuando nos lo exijan?, ¿Significa que me pueden catalogar de terrorista con el simple fin de obtener mis datos confidenciales cifrados?

La carta original aquí.