Vamos a copiar aquí una noticia aparecida en Kriptópolis que, de confirmarse, supondría un gravísimo ataque contra los algoritmos de cifrado fuerte actualmente en uso. Como no somos técnicos en esta materia, poco es lo que podemos decir sobre la ingeniería que fundamenta este ataque, pero lo que sí se puede deducir es algo que el sentido común venía advirtiendo ya a los usuarios comunes: cualquiera que sea el sistema de cifrado, si la máquina en la que éste se realiza acaba bajo el control de un atacante, la clave caerá.
Hasta ahora el problema era sencillo de atajar. Las claves PGP o Gnupg tienen un punto intrínsecamente frágil. La contraseña o "frase de paso", por muy larga y aleatoria que sea, siempre será vulnerable a una ataque de fuerza bruta y si la contraseña cae y, además, la clave está presente, la clave también caera.
Es decir, teniendo en cuenta que "clave" y contraseña no son la misma cosa; que la clave es la que se genera mediante la aplicación del algoritmo de cifrado y la contraseña sólamente es una palabra, frase o serie aleatoria de números y letras que debe proporcionarse al programa de cifrado para que ponga en funcionamiento la "clave" y, con ella, se cifre el mensaje, la contraseña siempre será vulnerable porque su complejidad nunca podrá ser tanta que impida su uso habitual en la máquina.
De esto se deducía que es muy mala idea tener guardadas las claves de cifrado en el disco duro de un ordenador al que un atacante pudiera llegar a tener acceso. El problema era fácil de solucionar, puesto que dichas claves siempre se podían almacenar en un CD o en una llave USB y, a la vez, tratar de mantener el ordenador limpio de programas espías que, por ejemplo, fueran capaces de enviar al atacante, el registro de las teclas que se han estado pulsando.
La situación, según parece deducirse del texto adjunto, viene a dar una vuelta más a este eslabón débil de la cadena de cifrado. El nuevo ataque necesita, también, tener acceso a la máquina en la que están almacenadas o se están usando las claves a romper, pero la novedad es la facilidad y rapidez con la que obtener la totalidad o la práctica totalidad de la clave atacada y sin ninguna necesidad de descubrir, por el método de ensayo y error, la contraseña.
La conslusión viene a ser la misma. Si un atacante consigue acceder al ordenador en el que se almacenan o están funcionado las claves de cifrado, la seguridad de los mensajes se esfuma. En fin, he aquí la noticia y el comentario que hace de ella Fernando Acero:
Nuevo ataque contra RSA: la vulnerabilidad está en el chip
Por admin
Creado 18/11/2006 - 11:37pm
Yahoo! ha levantado [1] hoy la liebre en la Red, pero tanto ese medio como el artículo original [2] en Le Monde, hacen referencia a un misterioso trabajo "aún confidencial".
Sin embargo, Kriptópolis ha podido encontrar on-line una versión preliminar [3] del que parece ser el artículo que ambos mencionan, pendiente tan sólo de revisión editorial.
El artículo en cuestión explica un nuevo ataque contra RSA, que profundiza en una vía recientemente abierta -denominada BPA (Branch Prediction Analysis)- y que aprovecha una peculiaridad del diseño de los microprocesadores actuales...
En muy pocas palabras, los autores del trabajo afirman que los procesadores actuales han tomado un atajo de diseño (el módulo de predicción) en aras de favorecer la velocidad de las operaciones, lo que perjudica seriamente la seguridad de ciertas operaciones.
De hecho, debido a esa debilidad, y mediante un simple software que espiara determinadas operaciones de la CPU, sería posible romper con suma facilidad las claves RSA en las que descansa hoy en día la seguridad del comercio electrónico mundial.
A modo de ejemplo, los autores afirman haber hallado al primer intento una clave de 512 bit utilizada en OpenSSL, en sólo varias milésimas de segundo.
Según Le Monde, fuentes de la máxima solvencia confirman la realidad de la amenaza. Afirman que la solución radical pasaría por rediseñar los microprocesadores, pero que un posible atajo sería que las implementaciones dejaran de utilizar el módulo de predicción del procesador, aunque tal medida podría convertir en cuatro veces más lentas las operaciones criptográficas en línea.
Al parecer, el trabajo será presentado públicamente en febrero de 2007, durante la Conferencia RSA 2007 [4], a celebrar este año en San Francisco (EE.UU.).
Veamos algunas cosas... que no es así.
Enviado por Fernando Acero el 20. Noviembre 2006 - 22:03.
He estado leyendo con más detenimiento los documentos de este artículo y el que envié yo y la cosa puede tener más miga de la que parece.
Los hechos parece que son los siguientes:
a) Están afectados todos los sistemas superescalares con predicción, con independencia de que se implementen mediante software o hardware. Las smartcards con sistemas operativos WCET (Worst Case Execution Analysis) también están afectadas ¿cuáles son?, habrá que verlo, pero con el esfuerzo dedicado a optimizarlas, casi podemos decir que todas.
b) No es necesario tener acceso físico al sistema, un troyano puede hacer el trabajo. No es necesario que el programa "espia" corra con privilegios especiales y basta con que se esté ejecutando antes que el algoritmo de cifrado. Lo único que puede cambiar algo del código del espía con cada modelo o velocidad de procesador, pero ese es un problema fácilmente salvable ya que los procesadores son habas contadas.
c) Todos los sistemas de seguridad ideados para proteger sistemas, tales como los que comenta Shevek en su post, son completamente inútiles ante este ataque. Por ejemplo, las smartcards con protección contra ataques side-chanel (usados con mucho éxito en los ataques a las plataformas de tv digital) también están afectadas, así como los sistemas que usan randomizadores, inversores, equilibradores de rama, o sistemas similares de protección también están afectados, con independencia de que su implementación sea por software o hardware.
d) Este sistema usa un proceso paralelo "espia" que interactua con el proceso "seguro" en los elementos comunes de la arquitectura.
A diferencia de los sistemas estadísticos o diferenciales, este sistema solamente necesita una pasada para lograr el 90% o más de la clave.
El ataque es relativamente simple, el programa "espia" ejecuta un determinado número de ramas y mide el tiempo de ejecución medio de cada rama en esa única ejecución.
Simplemente, ejecutando las ramas del programa "espía" y midiendo el tiempo total de ejecución de las mismas. Por lo tanto, el proceso "espía" puede conocer la traza completa de predicción del programa objetivo en las pilas y con ello, ser capaz de obtener la clave secreta, si no completa, en un porcentaje muy alto.
Para simplificar, podemos decir que el programa "espía" afecta al funcionamiento del programa "seguro" a través de las áreas comunes de la arquitectura del procesador y mediante la medición del tiempo de ejecución o metadatos de control, obtiene la información de la clave de forma bastante precisa.
Por lo tanto, como hemos dicho, los esquemas de protección usados hasta el momento, son completamente inútiles, como se comenta en el artículo, ante este novedoso ataque.
e) Las operaciones "sensibles" son las reducción modular y la inversión modular, aunque operaciones como la multiplicación o potenciación también pueden servir para detectar la clave.
Lo que implica que no solamente está afectado el algoritmo RSA, están afectados prácticamente todos los algoritmos de cifrado.
Sigo leyendo e intentando asimilar ya que el documento para mi gusto no es muy completo y deja algunas lagunas, pero revisando la bibliografía que le acompaña, se pueden sacar conclusiones más que interesantes, pero eso requiere algo más de tiempo.
De verdad, recomiendo la atenta lectura de los dos artículos ya que son muy interesantes y entre todos, podemos sacar algunas conclusiones interesantes.
Si se manifiesta que esta vulnerabilidad es explotable de forma práctica, las soluciones son pocas, complicadas y posiblemente caras.
"Copyleft 2006 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
URL
original
http://www.kriptopolis.org/nuevo-ataque-contra-rsa
