En 2003 el gobierno de Estonia puso en marcha el e-Estonia State Portal, un programa con el que buscaban digitalizar el país y evitar en la medida de lo posible la burocracia existente. Estonia se ha convertido en un ejemplo de nación digital ofreciendo ventajas como la residencia electrónica o la digitalización de los documentos de identidad. Ahora, un fallo de seguridad ha puesto en peligro la identidad de media nación, pero no afecta sólo al país báltico.
El cifrado RSA-2048 es utilizado por decenas de plataformas de identificación: documentos de identidad, firma de software, accesos a entornos gubernamentales, transferencia segura de información... Una nueva vulnerabilidad permite a los atacantes suplantar la identidad de cualquier usuario que disponga de una clave con el cifrado RSA-2048 y haga uso de la librería Infineon.
En qué consiste exactamente la vulnerabilidad en el cifrado RSA-2048
El cifrado RSA se basa en un sistema criptográfico de clave pública, esto significa que cada usuario dispone de dos claves de cifrado: una pública y una privada. Al querer realizar una autenticación el usuario A busca la clave pública del usuario B, cifra la información y la envía para que el usuario B la descifre con su clave privada.
Diversos investigadores han dado con la forma de averiguar la clave privada basándose únicamente en la clave pública de un usuario. No ataca a todo el cifrado RSA-2048, tan sólo a las plataformas que hacen uso de él mediante la librería del fabricante Infineon. El cifrado RSA cifra el mensaje en números y para descifrarlo se requiere de dos números primos elegidos al azar. Pero para agilizar el proceso la librería de código de Infineon construye los números primos subyacentes a las claves, de manera que se hacen propensos a un proceso de factorización que desvela esos números primos.
Teoricamente una clave RSA de 2048 bits requiere de millones de años para ser factorizada por un ordenador normal y corriente. Pero si se ha utilizado la biblioteca de Infineon basta con unos 100 años, distribuyendo el proceso de factorización a varios ordenadores o servidores en la nube... es cuestión de días.
Lo más preocupante: hay antecedentes
Los investigadores realizaron diferentes pruebas en plataformas que hacen uso del sistema RSA-2048. Además de descubrir que funciona con aquellas que utilizan la librería Infinieon, se dieron cuenta que afecta por ejemplo a los documentos de identidad de varios países. El mes pasado Estonia advirtió que 750.000 identificaciones digitales emitidas desde 2014 eran vulnerables al ataque. La primera medida preventiva que han tomado las autoridades es cerrar la base de datos de claves públicas, es decir, los ciudadanos no pueden realizar ninguna firma digital de momento.
La librería fue desarrollada por el fabricante alemán de chips Infineon y ha estado generando claves débiles desde 2012. Lo que preocupa a los investigadores es el hecho de que la librería de Infineon ha pasado filtros de certificación de seguridad reconocidos internacionalmente (FIPS 140-2 Level 2 y Common Criteria).
En 2013 se descubrieron vulnerabilidades en el sistema de identificación digital de Taiwan, permitiendo suplantar la identidad de los ciudadanos. Ese sistema también había superado los filtros de certificación de seguridad. Según lo investigadores, el problema está en el hecho de no revelar el diseño y la implementación del código por parte de los fabricantes, ya que esto impide el descubrimiento de las vulnerabilidades a tiempo.
Más información | CRoCS
Vía | Ars Technica y Forbes
Ver 19 comentarios