Microsoft bloqueará los certificados de menos de 1024 bits


Microsoft actualiza sus políticas de seguridad PKI y bloqueará cualquier certificado que utilice claves RSA de cifrado menores a 1024 bits. Una vez más, se cura en salud frente al revés sufrido por TheFlame. Explicaremos qué significa exactamente esto. Microsoft empezará a bloquear los certificados creados con claves criptográfica RSA menores a 1024 bits. En el ciclo de parches de agosto, instalará una actualización que bloqueará estos certificados. ¿Qué efectos tendrá para el usuario? Microsoft dará por inválidos estos certificados en conexiones SSL, software firmado, correos firmados (con S/MIME).





¿Qué significa esta medida?

Cuando se crea un certificado, el que lo solicita crea un par de claves con el algoritmo RSA. Estas no son más que un par de números primos que se complementan, de forma que permiten cifrar o descifrar mensajes. Estos números son muy complejos de deducir uno a partir del otro, por lo que se usarán uno como clave pública, y otro como privada. El número del par que se decide como clave pública es enviado a una entidad certificadora que "certificará" que esta clave pública pertenece al dueño, firmando a su vez esa clave y los datos adjuntos (nombre, función del certificado, etc).

Si para el cálculo de esas claves se usan números "pequeños", las posibilidades de calcular uno a partir de otro son más altas. Hoy en día, una clave de 1024 significa que el producto de los dos números primos está dentro del espacio comprendido en 21024..

Hay que señalar que el simple hecho de deducir la clave privada a partir de la pública no sería el único trabajo que un atacante debería realizar.Tendría que, por ejemplo en el caso de SSL, suplantar el dominio con un ataque de hombre en el medio o envenenamiento DNS .

¿Realmente es necesario?

Se ha oído ya en numerosas ocasiones que las claves RSA de 1024 bits deben considerarse inseguras. Por ejemplo, las claves de 300 bits son rompibles en cualquier ordenador personal en cuestión de pocas horas. En 1999 se demostró que las claves de 512 eran factorizables usando una granja de sistemas. Hoy es rompible en cuestión de semanas con un ordenador personal. De hecho, en noviembre de 2011 se comprobó que cierto malware estaba usando certificados de 512 bits factorizados para firmar sus binarios. Hoy por hoy, se recomienda usar siempre de 2048 bits.

Por tanto, aunque no se hayan observado todavía ataques a este tipo de certificados, Microsoft se cura en salud. Su movimiento sin duda, hará que los administradores o entidades certificadoras que todavía usan certificados con claves de 1024 bits se vean aislados: las páginas que lo usen o el software firmado con este tipo de claves no funcionarán en Windows, lo que, en la práctica, supone el fin de este tipo de certificados débiles.

Microsoft ha tenido en cuenta algo importante. ¿Qué pasa con el software firmado hace años, quizás abandonado pero útil, que usaba claves de 1024 bits? No se deben bloquear programas que fueran firmado en un momento en el que se consideraba seguro hacerlo. Por tanto, estos binarios, si fueron firmados antes del 1 de enero de 2010, seguirán funcionando.

¿Cómo detectar estos certificados?

Para los desarrolladores o administradores, una manera de detectar la presencia de claves RSA menores a 1024 bits es utilizar la herramienta certutil.exe para volcar los certificados.

En el blog oficial de Windows PKI se ofrecen además diferentes técnicas para identificar en el sistema aquellos certificados que serán bloqueados.

Más información:

RSA
http://es.wikipedia.org/wiki/RSA

Malware y certificados digitales
http://unaaldia.hispasec.com/2011/11/malware-y-certificados-digitales.html

Blocking RSA Keys less than 1024 bits (part 2)
http://blogs.technet.com/b/pki/archive/2012/07/13/blocking-rsa-keys-less-than-1024-bits-part-2.aspx

RSA keys under 1024 bits are blocked
http://blogs.technet.com/b/pki/archive/2012/06/12/rsa-keys-under-1024-bits-are-blocked.aspx

Microsoft's continuing work on digital certificates
http://blogs.technet.com/b/srd/archive/2012/07/10/microsoft-s-continuing-work-on-digital-certificates.aspx

In face of Flame malware, Microsoft will revamp Windows encryption keys
http://news.idg.no/cw/art.cfm?id=B075E6BF-F359-C89B-8E654386FB0B3F84

Fuente:
José Mesa Orihuela
http://www.hispasec.com



Otras noticias de interés:

IA para detectar cyberbullying en Twitter
El cyberbulling (o ciber acoso) es una actividad que utiliza la tecnología e Internet para dañar y acosar a un individuo o grupo, basado en difamaciones, creación de perfiles falsos en redes sociales, atentados contra la reputación de una persona...
Publicado código que explota la ultima vulnerabilidad de Windows
Se ha publicado un código que demuestra y explota una de las últimas vulnerabilidades dadas a conocer y para las que Microsoft publicó la corrección la pasada semana. Concretamente el problema por el que la visualización de una imagen jpeg pued...
Acoso y derribo de la Internet
No acostumbro a creer en conspiranoias ni planes maquiavélicos de dominiación del mundo pero lo que está pasando en estas últimas semanas con Internet empieza a ser como para pensárselo:...
Los seres humanos se contagiarán con virus informáticos
A juicio de experto en cibernética, a futuro también las personas podrían contagiarse con virus informáticos....
Operación Medre
Integrantes del Laboratorio de Análisis de Malware de ESET Latinoamérica notaron un importante incremento en las tasas de detección de un código malicioso particularmente en un país de Latinoamérica. Éste es un patrón de propagación poco fre...
La Fundación Mozilla libera la primera alpha de Thunderbird 2.0
Nuevo sistema de extensiones más seguro y la substitución de la funcionalidad Labels por la de Tags conforman las novedades más llamativas del futuro Thunderbird 2.0 ....
Redes Sociales centros del Malware y legitimidad.
channelinsider.es informa sobre un estudio elaborado por Panda Security, Facebook aparece como el principal culpable para las empresas que han sufrido infecciones de malware (71,6%) y violaciones de la privacidad (73,2%), aunque tambíen mencionan a ...
Casi todos los usuarios de Windows son vulnerables a un ataque de día cero contra Flash
Más de nueve de cada 10 usuarios Windows son vulnerables a ataques de día contra brechas Flash que Adobe no cubrirá hasta esta semana, según ha advertido la firma de seguridad Secunia. ...
Los teléfonos y los teclados de ordenador quedarán obsoletos en diez años
Los teléfonos y los teclados de ordenador quedarán obsoletos en diez años porque el perfeccionamiento de los sistemas de tratamiento de voz, así como las previstas mejoras de la capacidad de los ordenadores, producirán un profundo cambio en el a...
Oracle: Parche de seguridad para Java SE
Algunas de las vulnerabilidades solucionadas en esta actualización de seguridad han recibido el mayor nivel de riesgo. Oracle ha anunciado una actualización de seguridad para el próximo 7 de junio que solucionará un total de 17 vulnerabilidades e...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • bits
  • blog
  • bloqueara
  • bsd
  • bug
  • centos
  • certificados
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • menos
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra