Un estudio sobre SSL de Netcraft muestra que 14% de los certificados válidos de terceros han sido generados usando firmas MD5 – un algoritmo que recientemente se demostró que es vunerable a ataques al generar un certificado de autoridad falso firmado por un certificado de autoridad de terceros ampliamente confiable.
Los investigadores lo consiguieron generando una colisión del hash – enviaron pedidos válidos de certificados a una autoridad certificante (CA), mientras producían un segundo certificado que tenía la misma firma pero detalles totalmente diferentes. Cuando la CA firmó el certificado válido, la firma se aplicaba también al certificado inválido, permitiendo a los investigadores burlar cualquier sitio web seguro que quisieran. Este ataque es el primero uso práctico contra SSL de los ya conocidos ataques contra el algoritmo de MD5.
El estudio de Netcraft de Diciembre de 2008 encontró 135.000 certificados válidos de terceras partes que usan firmas MD5 en sitios públicos, lo que es alrededor del 14% del total de certificados SSL en uso, La gran mayoría consiste en certificados de RapidSSL (denominada como Equifax en el certificado). Según el estudio de Netcraft de Diciembre, todos los 128.000 certificados RapidSSL en uso en los sitios públicos, estaban firmados con MD5; hay muchos menos CAs que aun usan MD5, y hay un pequeño número de certificados de Thawte y Verisign, aunque la mayoría de sus certificados están firmados con el más seguro SHA1. Otros CAs solo usan SHA1.
14% DE LOS CERTIFICADOS SSL ESTAN FIRMADOS USANDO EL ALGORITMO VAS VULNERABLE MD5
0 comentariosDIFERENCIA ENTRE SSH1 Y SSH2
0 comentariosEl protocolo SSH permite a cualquier programa cliente y servidor construído a las especificaciones del protocolo, comunicarse de forma segura y ser usado de intercambiable.
Existen dos variedades de SSH actualmente (versión 1 y versión 2). La versión 1 de SSH hace uso de muchos algoritmos de encriptación patentados (sin embargo, algunas de estas patentes han expirado) y es vulnerable a un hueco de seguridad que potencialmente permite a un intruso insertar datos en la corriente de comunicación. La suite OpenSSH bajo Red Hat Enterprise Linux utiliza por defecto la versión 2 de SSH, la cual tiene un algoritmo de intercambio de llaves mejorado que no es vulnerable al hueco de seguridad en la versión 1. Sin embargo, la suite OpenSSH también soporta las conexiones de la versión 1.
HASH
0 comentariosEn informática, Hash se refiere a una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato a través de la probabilidad, utilizando una función hash o algoritmo hash. Un hash es el resultado de dicha función o algoritmo.
[...]ALGORITMO CRIPTOGRAFICO
0 comentariosUn algoritmo criptográfico, o cifrador, es una función matemática usada en los procesos de encriptación y desencriptación. Un algoritmo criptográfico trabaja en combinación con una llave (un número, palabra, frase, o contraseña) para encriptar y desencriptar datos. Para encriptar, el algoritmo combina matemáticamente la información a proteger con una llave provista. El resultado de este cálculo son los datos encriptados. Para desencriptar, el algoritmo hace un cálculo combinando los datos encriptados con una llave provista, siendo el resultado de esta combinación los datos desencriptados (exactamente igual a como estaban antes de ser encriptados si se usó la misma llave). Si la llave o los datos son modificados el algoritmo produce un resultado diferente. El objetivo de un algoritmo criptográfico es hacer tan difícil como sea posible desencriptar los datos sin utilizar la llave. Si se usa un algoritmo de encriptación realmente bueno, entonces no hay ninguna técnica significativamente mejor que intentar metódicamente con cada llave posible. Incluso para una llave de sólo 40 bits, esto significa 2ˆ40 (poco más de 1 trillón) de llaves posibles.
[...]CRIPTOSISTEMA
0 comentariosEl criptosistema de RSA fue inventado en 1977 por Ron Rivest, Adi Shamir y Leonard Adleman.
Se basa en criptografía de clave pública que tiene las siguientes características:
* Cada usuario obtiene un par de claves, una pública y otra privada.
* La clave pública de cada persona será difundida de tal manera que puede ser conocida por cualquiera. Un usuario A que desee enviar un mensaje a un usuario B utilizará la clave pública de B para cifrar el mensaje que desea enviarle además de su propia clave secreta (la de A).
* La clave secreta se mantiene en secreto por el propietario de la misma. Con esta clave se podrán descifrar los mensajes que lleguen. Así con el ejemplo anterior, B utilizaría la clave pública de A y su propia clave secreta para descifrar el mensaje enviado por A.
* Con el esquema anterior, se puede observar que únicamente las claves públicas serán difundidas y podrán ser conocidas por cualquiera. Las claves privadas no son transmitidas o compartidas.
* La base de este criptosistema está en que no se puede obtener la clave privada del usuario receptor a partir de su clave pública.
CRIPTOANALISIS
0 comentariosCriptoanálisis (del griego kryptós, "escondido" y analýein, "desatar") es el estudio de los métodos para obtener el sentido de una información cifrada, sin acceso a la información secreta requerida para obtener este sentido normalmente. Típicamente, esto se traduce en conseguir la clave secreta. En el lenguaje no técnico, se conoce esta práctica como romper o forzar el código, aunque esta expresión tiene un significado específico dentro del argot técnico.
"Criptoanálisis" también se utiliza para referirse a cualquier intento de sortear la seguridad de otros tipos de algoritmos y protocolos criptográficos en general, y no solamente el cifrado. Sin embargo, el criptoanálisis suele excluir ataques que no tengan como objetivo primario los puntos débiles de la criptografía utilizada; por ejemplo, ataques a la seguridad que se basen en el soborno, la coerción física, el robo, el keylogging y demás, aunque estos tipos de ataques son un riesgo creciente para la seguridad informática, y se están haciendo gradualmente más efectivos que el criptoanálisis tradicional.
Aunque el objetivo ha sido siempre el mismo, los métodos y técnicas del criptoanálisis han cambiado drásticamente a través de la historia de la criptografía, adaptándose a una creciente complejidad criptográfica, que abarca desde los métodos de lápiz y papel del pasado, pasando por máquinas como Enigma -utilizada por los nazis durante la Segunda Guerra Mundial-, hasta llegar a los sistemas basados en computadoras del presente.
Los resultados del criptoanálisis han cambiado también: ya no es posible tener un éxito ilimitado al romper un código, y existe una clasificación jerárquica de lo que constituye un ataque en la práctica. A mediados de los años 70 se inventó una nueva clase de criptografía: la criptografía asimétrica. Los métodos utilizados para romper estos sistemas son por lo general radicalmente diferentes de los anteriores, y usualmente implican resolver un problema cuidadosamente construido en el dominio de la matemática pura. El ejemplo más conocido es la factorización de enteros.
CRIPTOGRAFIA
0 comentariosLa criptografía (del griego κρύπτω krypto, «oculto», y γράφω graphos, «escribir», literalmente «escritura oculta») es el arte o ciencia de cifrar y descifrar información utilizando técnicas que hagan posible el intercambio de mensajes de manera segura que sólo puedan ser leídos por las personas a quienes van dirigidos.
Con más precisión, cuando se habla de esta área de conocimiento como ciencia se debería hablar de criptología, que engloba tanto las técnicas de cifrado, la criptografía propiamente dicha, como sus técnicas complementarias: el criptoanálisis, que estudia los métodos que se utilizan para romper textos cifrados con objeto de recuperar la información original en ausencia de las claves.