252 meneos
3454 clics
Crackean RC4 en WPA-TKIP (wifi) y TLS en 52 horas
Aproximadamente el 50% de todo el tráfico TLS está protegido con RC4. Dos investigadores de seguridad belgas demostraron un ataque práctico contra RC4, permitiendo a un atacante exponer información cifrada en mucho menor tiempo que antes. La técnica de ataque podría ser aprovechada por los atacantes para analizar una conexión entre la víctima y un sitio protegido por HTTPS o en redes inalámbricas protegidas por el Wi-Fi que utilizan el protocolo WPA-TKIP.
|
comentarios cerrados
blog.cryptographyengineering.com/2013/03/attack-of-week-rc4-is-kind-of
- WEP(RC4) fue el ejemplo de cómo no hacer las cosas. WPA(RC4) es un parche a WEP. WPA2+AES es un buen sistema.
- Sobre TLS, Firefox 39 (el navegador responsable) ya ha desactivado el infame RC4, supongo que Chrome y Opera lo seguirán en breve.
Tampoco se debe usar 3DES aunque de momento sea seguro porque en los próximos 10 años va a caer fijo, además de ser un parche sobre DES. En el tema del cifrado simétrico, AES-128 está bien. Y si hace falta más: AES-192 o AES-256.
Salu2
www.rc4nomore.com/
Traducir artículos del inglés no tiene mérito me temo.
Pero si algún día necesitas trabajar un rato en el banco de delante de casa, serás bienvenido. Tendrás un 30% del ancho de banda y no verás mis equipos. Creo que con eso se le quitan las ganas de romper wifis a la gente.
Por otro lado, mírate la legislación. Creo que con el log de todas las MAC de todas las conexiones ya paso el examen.
Y aunque fuese así, menuda legislación, ¿no? Si alguien entra en mi casa, coge las tijeras del jardín y apuñala a otro, ¿también es culpa mía?
3DES no es un parche sobre DES, es usar DES 3 veces para compensar la corta longitud de la clave.
DES no es una chapuza, lo era en su concepción pero la NSA lo corrigió antes de que fuera un estándar.
* Un log que es un archivo de texto que seguramente es imposible de modificar por el propietario.. digamos que se comete un delito y aparece en tu fichero de texto que una MAC diferente a la tuya se conectó a la misma hora.. ningún juez pensará que la pusiste a mano.
* Pongamos por ejemplo que el juez se vuelve loco y piensa que no se pueden alterar... Cambiar la MAC de tu PC es cuestión de 3 segundos.
Y para terminar.. suponiendo que efectivamente estés repartiendo un 30% de tu ancho de banda seguramente lo estará cogiendo medio edificio con lo cual ese 30% de ancho de banda se quedará en nada con lo cual seguirá siendo atractivo romper la contraseña del resto de equipos por dos razones:
* En busca de una red de mayor ancho de banda
* Por prevención de que de la noche a la mañana no desaparezca esa red pública y te quedes sin internet hasta que consigas romper otra wifi.
Eficiencia: DES fue pensado para ser eficiente, no está mal, pero 3DES es hacer 3 veces DES, lo cual es lento.
Seguridad: De acuerdo en que de momento 3DES es seguro, pero no recomendable.
Un cifrado hoy en día se considera suficientemente seguro si el mejor ataque posible proporciona como mucho 1 posibilidad entre 2^90 de acertar con una clave en cada intento. Hay que tener en cuenta que a veces eso se reduce por una mala implementación, o un ataque por factores físicos facilita el ataque, y luego están los supercomputadores, por lo que hay que dejar un buen margen.
- Según el link TLS+RC4 tiene un ataque 2^30 apróx, por lo que está roto y es muy inseguro.
- DES proporciona 1 entre 2^56 por lo que no es seguro. Es demasiado corto. Lo que hizo la NSA en su tiempo fue insistir en que fuese corta para poder romperla.
- 2DES proporciona 1 entre 2^63 por lo que no es seguro. Debería proporcionar (56*2) pero hay un sencillo ataque que lo "rompe", disminuyendo de 112 a 63 los bits efectivos.
- 3DES proporciona 1 entre 2^112 (está roto pero no lo suficiente) por lo que es seguro. Se dice que un cifrado está roto si existe un ataque que disminuya su resistencia, y una variación del ataque que rompe 2DES se puede realizar a 3DES. Esto disminuye los 168 (56*3) bits esperables a 112, lo que no está mal.
- AES-128 proporciona 1 entre 2^128 por lo que es seguro. Y AES-256 mucho más.
Problemas:
- 3DES es algo lento/ineficiente y tiene las limitaciones de DES como la usar bloques de 64-bits lo que permite cierto ataque cuando se cifran grandes cantidades de datos, como un disco duro. Requiere 3 claves distintas y aleatorias (independientes) para tener los 112 bits de seguridad, de lo contrario no es seguro.
Curiosidades:
- Hay un hack curioso en 3DES (hecho a propósito no es un bug) y es que si pones 3 veces la misma clave te queda DES. Es decir la implementación no es DES(key1)+DES(key2)+DES(key3) sino DES(key1)+DES-Invertido(key2)+DES(key3). Y claro, si las tres claves con la misma ( DES(key)+DES-Invertido(key) se anulan, y queda sólo el tercer DES(key) ).
MD5 está muerto para CRC's igualmente. "sha256sum" debería ser la comprobación estandar.
#41 Ya lo había pensado de dejarle entrar de nuevo y capturar sus paquetes con un sniffer, pero me da cierta pereza
La longitud de la clave de DES no es más larga de 56 porque la NSA convenció a sus diseñadores de que no tenía sentido una clave más larga si se podía romper por criptoanálisis diferencial con una dificultad de aprox 2^55 (me lo contó Carl Meyer, ya puede decir wikipedia lo que quiera, el diseño original de IBM tenía una clave más larga).
en.wikipedia.org/wiki/Differential_cryptanalysis
La debilidad del pequeño tamaño del bloque no es tal si se implementa correctamente. Cuando se usaba CBC sí que había algo que rascar ahí, pues es autocorrectivo, pero al usarse luego LRW y más modernamente XTS, se considera seguro.
La curiosidad que cuentas (modo EDE) es para poder usar un hardware de 3DES para hacer DES simple. En software no tiene ningún sentido, claro está.
DES, si quitas las s-boxes (que están optimizadas contra el criptoanálisis ese) es perfectamente regular. Dibujado queda de lo más estético. No encuentro nada en google, sorry, solo Feistel mil veces.
Si consideras solo la fuerza bruta, 128 bits ya es imbatible. No es fisicamente posible construir un contador que avance desde 0 a 2^128. O dicho de otro modo: si se usará toda la materia del universo visible para hacer contadores, estos tuvieran el tamaño de un protón y contasen un tick cada tiempo de plank, necesitarían más tiempo que la edad del universo.