¿Nos protege la criptografía en Internet? La respuesta corta es no. La larga: lee y aprende por qué no. Desde el 11-S, las agencias de espionaje electrónico han pasado a modo descarado. Si hubo un tiempo en que la NSA (“No Such Agency“) podía legalmente negar su propia existencia, ahora se dedica a espiar abiertamente al mundo entero sin que se le caiga la cara de vergüenza. “Te espiamos, y si no te parece bien es que quieres que los terroristas ganen” parece ser su nueva divisa.
|
etiquetas: nsa , espionaje , criptografía
Lo que no se pueda desencriptar hoy fácilmente se had dentro de x tiempo (véase el ej de los 100 dólares de Amazon, pero con nuevos ordenadores más rápidos)
Favoriteo.
La única burrada es cuando dice "aunque la base de los algoritmos RSA y DH son diferentes, muchos en la comunidad criptográfica siempre han creído que son matemáticamente similares en cuanto a fortaleza, de modo que si te cargas uno también puedes cargarte el otro".
Los ataques descritos no se cargan los ALGORITMOS sino las malas IMPLEMENTACIONES de dichos algoritmos, que no los siguen de forma apropiada. Los algoritmos en principio siguen siendo seguros si se ejecutan correctamente.
¿Nos protege la criptografía en Internet? La respuesta corta es si. La larga: lee y aprende por qué hay muchos servidores inseguros que no te protegen contra el espionaje de la NSA.
Interesante pero sensacionalista.
El intermediario intercepta esa petición y la sustituye por otra que diga “hola señor banco, soy yo, quiero una conexión de 512 bits.
Un MITM attack ve los datos en forma clara. No necesita alterar el tipo de conexión para nada. ¿qué he entendido mal?
aunque se supone que cada conexión tiene una clave RSA en teoría, lo que hacen los servidores en la práctica es generar una sola clave RSA y usarla para todos los clientes.
Y hacen bien. Cada nodo tiene una clave privada y su correspondiente clave pública. Una. La idea de las claves es que pueden ser reutilizadas tanto como se quiera sin perjuicio de la seguridad. ¿no?
aunque la base de los algoritmos RSA y DH son diferentes, muchos en la comunidad criptográfica siempre han creído que son matemáticamente similares en cuanto a fortaleza, de modo que si te cargas uno también puedes cargarte el otro. Por supuesto, hay que demostrarlo, y eso es lo que hizo otro equipo de investigadores en mayo de 2015. El nuevo ataque, llamado LOGJAM, hace con el sistema DH lo que FREAK hacía con el RSA.
Nada que ver ¿no? Ambos ataques son contra el protocolo, no contra el algoritmo criptográfico. Entonces comparar la fortaeza de los algoritmos para explicar estos ataques es, es... ¿me he vuelto tonto?
la mayoría de los servicios de Internet usan un número muy limitado de primos p, y los reutilizan una y otra vez.
Diffie-Hellman consiste en acordar una clave secreta usando un canal público, donde el primer paso es acordar p, en claro.
La seguridad de Diffie-Hellman no se basa en el secreto de p (ni g), de hecho el análisis de seguridad parte de la base de que es público. ¿qué hay de malo en reutilizarlo?.
Los protocolos se someten a análisis de seguridad, al igual que los algoritmos. Lo que se deduce de esta vulnerabilidad, que ni mucho menos es la primera, es que el análisis de protocolos es un arte complicadillo.
Pasa lo mismo que para encontrar un error en un texto grande. Quién lo lee por primera vez encontrará cosas que quién lo ha leido muchas veces ya ni ve.
#20 para nada "pejigueas", matizas. Firmado un luserdeesos
Gracias a ambos por vuestras aportaciones (son de las que si las lees bien y te interesa el tema con las palabras clave que habéis escrito el que quiera encuentra
Cada certificado HTTPS que reside en un servidor es distinto y están emitidos por una autoridad de certificación diferente. No sé exactamente que quieren decir con que Apache "solo usa un número primo", supongo que se refieren a que el servidor Apache está firmado mediante un certificado criptográfico, el propio de la fundación Apache, para garantizar la integridad del código, como cualquier otro programa.
Vamos, que tienen un popurrí mental que da verguenza ajena.
Cualquier autoridad certificadora de tu sistema puede validar cualquier servidor en cualquier momento, te fías completamente de ellas.
Para los liberales, diré que hay autoridades que dependen de entidades gubernamentales de distintos países. Para los comunistas que las hay que son empresas privadas, muchas de ellas multinacionales. ¿Antisemita? StarSSL está localizada en Israel y da certificados gratis. Puedes pillar a cualquiera.
Si la NSA u otras agencias similares quieren pincharte solo tienen que hablar con... la "Agencia Catalana de Certificacio" (acabo de mirar mi almacén y me ha hecho gracia que esté esa y no la española) y pedirle "por favor" que les emitan un certificado para gmail.com (más el trabajo técnico de desviar el tráfico hacia el servidor real, pero eso ya no es un problema criptográfico sino técnico).
Artículo muy interesante, pero muy alarmista. Habla de 2 problems de seguridad en las conexiones web SSL (con los servidores web tipo bancos, etc). Estos problemas de seguridad no son fácilmente explotables (se requieren conocimientos criptográficos y acceso a tu red interna para hacer un ataque Man In The Middle). Además, uno de ellos solo afectaría al 12% de los servidores (cada día que pasa disminuye), y otra del 7% de los servidores (también cada día que pasa disminuye, y solo afectaría a navegadores antiguos). Volver a aclarar que solo habla de conexiones SSL, es decir, habla de la criptografía que se usa de forma trasparente. Cualquiera que quiera podría usar la criptografía para protegerse en internet para comunicarse con otras persoas de forma segura sin que estos problems de seguridad le afecten.
PERO la implementacion incorrecta en ambos casos viene cuando el servidor reutiliza claves. No puedo asegurarlo sin buscar documentación oficial, pero casi seguro que el protocolo especifica generar una clave por usuario. Eso requiere un cojon de CPU si tienes chorrocientos usuario simultáneos, así que para ahorrar pasta muchas empresas reutilizan claves, con lo cual simplifica mucho la labor del atacante.
Adicionalmente, parece que también esta mal la parte cliente, que acepta bajar de 1024 a 512 sabiendo que tu no has pedido eso:
-Cliente: Vamos a usar clave de 1024
-Servidor (tras ser atacado por el MITM): Toma, la clave de 512 que me has pedido.
-Cliente: OK, todo guay ---> ERROR!! Deberia decir "que mierda es esta, yo te pedi 1024).
Es mas complicado que esto ya que hay como 3-4 niveles de encriptacion durante el establecimiento de la conexión segura. La clave que se reutiliza incorrectamente NO es directamente la que se le manda a los usuarios. A cada usuario se le manda una... que a su vez ha sido generada con otra reutilizada, de ahí el problema.
Para mas info (ya no tan nivel divulgacion pero se entiende mas o menos):
robertheaton.com/2014/03/27/how-does-https-actually-work/
robertheaton.com/2015/04/06/the-ssl-freak-vulnerability/
Tiene pinta de ser un troll peligrosisimo, y no parece que trame nada bueno.
¿Habeis pillado fotos de su hija?
www.meneame.net/story/snowden-informa-empleados-nsa-interceptan-compar
Despues a estas familias (fijo que son terroristas)
La democracia de Estados Unidos, en manos de 158 familias
www.elmundo.es/internacional/2015/10/15/561e8e1c22601de9768b458f.html
Just 158 families have provided nearly half of the early money for efforts to capture the White House
www.nytimes.com/interactive/2015/10/11/us/politics/2016-presidential-e
Son mas peligrosas que el ISIS y seguro que se reúnen con familias como las de Bin Laden para conspirar.
www.meneame.net/c/17690552
Y a tope a los bancos y sociedades en Caiman y en Delaware.
El terrorismo está allí a tope concentrado.
Se dice que parte del dinero del ISIS pasa por la red tor que tienen montada allí.
Despues tenemos a estos sospechosos de hacer opaco el terrorismo.
Jonathan James Low, Rudy Valner, Fasana, David Dennis Cuby, Paul Louis Saurel, ...
Pero como ellos hay miles, igual decenas o cientos de miles,
www.meneame.net/c/17867260
www.meneame.net/c/17916702
Perfiladlos al detalle pero ya.
www.meneame.net/story/vigilados-desde-radio-hasta-porno-espias-britani
Se agrupa, se perfila, se estudia y se saca la lista de los mas peligrosos, y a Guantanamo hasta que confiesen donde han metido el dinero del isis, el al qaeda y el de anonymous.
El MITM clásico es que durante TODA la comunicación hay un tío en medio y, como tu dices, lo ve todo en claro. Pero en este ataque el MITM solo esta durante el intercambio de claves. Y luego se quita de en medio pero puede POSTERIORMENTE y tras sus 4h de calculos, desencriptar todo lo intercambiado (ha ido guardando todos los mensajes encriptados intercambiados por ambas partes) porque ha obtenido las claves.
El ataque FREAK consiste en obtener la clave simétrica secreta forzando a cliente y servidor a usar claves asimétricas de intercambio mas débiles. Y esa es la que rompes. O eso entiendo yo, que este tampoco es mi campo y hace ya muchos años que estudie estas cosas
Sucede pero que los protocolos permiten cambios y repeticiones a realizar en caso de errores de comunicación, para recuperar la sesión cuando el interlocutor tiene problemas, o para adaptarse a velocidades menores, etc. El atacante usa eso de forma que metiendo un mensaje suyo por el medio consigue que el protocolo decida bajar el nivel de criptografía. El protocolo permite eso porque debe, pero falla en exigir un paso o un dato que solo uno de los conversadores puede hacer o saber. Es un error, y el atacante lo aprovecha.
Ese error está ahí, pues porque nadie había caido antes en eso.
Eso acaba en una nueva verión del protocolo con el error corregido. Llevamos ya un montón de versiones. A veces es muy sencillo el cambio. A veces es realmente complicado pues hay que mantener la compatibilidad com implementaciones anteriores y hay que hacer auténticas chapuzas, como usar un campo para lo que no estaba previsto.
Tanto RSA, como Diffie-Hellman son algoritmos de clave pública (cara) que se usan para establecer una clave simétrica (barata). La clave barata es nueva siempre, pero la clave pública es fija siempre. Mal iríamos si no. Un servidor genera una clave pública, obtiene (pagando) un certificado de una autoridad (o sea, Symantec), y usa esa clave firmada por esa autoridad hasta que expira. No se genera para cada conexión ¿qué seguridad habría en una clave no firmada?
Si el navegador (o el almacén de certificados del sistema operativo) está desactualizado le puedes colar un certificado de una CA comprometida.
Si el servidor acepta downgrade a una versión antigua de SSL, la comunicación estará expuesta a ciertos ataques.
Relacionado:
www.meneame.net/story/estado-ssl-ayuntamientos-espanoles
Si no se reconoce este contexto "mundialista" no se entiende el extraño juego que se llevan y los silencios de los agraviados que en otro tiempo era para montar una guerra al menos fria. Y de ese control no se escapa nadie, ni meneame cuando es útil a los nuevos dioses.
Y tampoco hace falta llegar a esos extremos de paranoia que tiene cierto personaje que ha hecho mucho por la libertad.
www.youtube.com/watch?v=yRM6Q3Ey3wU
El NIST prepara nuevos algoritmos para el 2.016 y la NSA tendría un acceso mucho más limitado, al parecer.
En todo caso otro de los grandes problemas es que aunque existan protocolos y algoritmos más o menos seguros. Muchas páginas siguen sin implementarlos, por ejemplo aquí en España es un desastre, cientos de páginas siguen usando SSL3, RC4, SHA-1
Otro problema es el tema de la emisión de certificados falsos o que se le cuelen chicos malos a las entidades de certificación.
Esto lo digo como opinión, que mis conocimientos en criptografía son muy limitados.
Salu2
El algoritmo sigue siendo seguro. Vulnerabilidades del intercambio de claves se solucionan en un pis-pas y son debidas a configuraciones por defecto al establecer el nivel de seguridad para la clave, en este caso el de exportación de criptografía de EE.UU.
No tiene nada que ver con la seguridad del algoritmo.
Tipos como Thomas Brian Reynolds m.imdb.com/title/tt0120660/fullcredits/cast?ref_=m_tt_cl_sc
O Patrice Saint-Clair
takenfilm.wikia.com/wiki/Patrice_Saint-ClairClair
Es un chorrada porque la agencia funcionará igual que aquí hacienda, en cuanto pillan algo de la casta, se impide su investigación y sube a los circulos clientelares en los que se protegen entre ellos. Al amigo y ensobrador del congresista no se le espia por muchos trapicheos que haga.
/cc #17
Yo con eso entiendo que solo pueden atacar a navegadores vulnerables, pero que es importante también que parcheen los servidores para que los navegadores antiguos no sean vulnerables.
La cosa es ¿Se hace ahora? ¿No ves claro lo que he dicho? No he dicho nada de si se puede mejorar o no el sistema, he hablado de como funciona ahora y que consecuencias tiene ahora.
1)Cliente envía petición al servidor
2)El "man in the middle" (literalmente "el hombre que esta en medio") suplanta al servidor, y a su vez reenvía la petición al servidor de verdad suplantandote a ti.
El resultado es que tu has establecido conexión segura con el MITM, y él a su vez con el servidor. Por ese motivo lo ve todo "en claro" (sin cifrar) pero ni tu ni el servidor real os enteráis de nada. Estos ataques ocurren cuando confías en un certificado sin firma correcta, o cuando alguien se hace con un certificado correcto de forma fraudulenta, o cuando una de las entidades certificadoras (CAS) la caga y le otorga un certificado correcto a quien no debe. Si googleas hay al menos un par gordas de estas cada año (mas todas las que no lleguen a hacerse publicas).
El problema del logaritmo complejo (romper DH) se cree que es formalmente idéntico al de factorizar un entero grande (romper RSA). El ataque LOGJAM aplica este principio aprovechando una debilidad (mantener el mismo primo "p" en las implementaciones) que también aprovecha FREAK (se mantiene el mismo módulo N en las implementaciones).
Es decir, la puerta de atrás es la misma y por tanto, puesto que los algoritmos son similares en su estructura intrínseca, el ataque que te sirvió para uno también sirve para otro. Son dos elementos los que juegan: misma puerta trasera sí, pero también misma estructura de "resistencia" en el algoritmo.
Los algoritmos en principio siguen siendo seguros si se ejecutan correctamente.
Pero esta afirmación tuya no es desmentida por el texto que has señalado. Léelo bien, por favor, y verás que es así.
Salu2
A <-----> X <-----> B
Esto, que parece que se podría hacer siempre, es lo que evitan los certificados firmados por alguien en quién confían tanto A como B. También se puede detectar si A y B poseen un secreto en común.
Respuesta larga:
Pues porque no se trata de un MITM de verdad. El del medio no puede interponerse y descifrar haciéndose pasar por quién no es. Lo que hace es colar un mensaje suyo en medio de la conversación, consiguiendo ejecutar una parte del protocolo que tiene un fallo que le permite rebajar la complejidad de la encriptación hasta donde sí es capaz de atacarla.
Respuesta corta: No es MITM
Ahora hilando más fino, despues de repensarlo mejor, creo que el problema del que hablas no solo sería fácilmente identificable, si no que es algo demasiado arriesgado para una entidad certificadora. En el momento en el que un navegador detectase que una misma dirección ha sido firmada por 2 entidades diferentes (cosa muy sencilla de hacer), sería suficiente como para que saltase alguna alarma (no necesariamente alarmas al usuario final), de forma que se detectaría fácilmente a una entidad que ha firmado a "gmail.com" cuando no debía, como tu explicas. Es decir, que una entidad certificadora firme a la NSA una dirección "x", es muy arriegado para ellos, ya que es algo fácil de detectar y algo muy fácil de demostrar (el certificado con la firma es una prueba irrefutable del hecho). La noticia sería suficientemente fuerte como para que no pasara desapertivida, esa entidad dejaría de ser confiable y muchas preguntas se le exigirían que respondiese ¿Quien y porqué le pidio a esa entidad la firma? (ya no se si con implicaciones legales o no).
dar una serie de ideas que en realidad hacían limitar dichos algoritmos/protocolos y/o hacerlos más débiles.
No me consta. El caso de DES es bien conocido. el acortamiento de la clave que se hizo fué convenciendo a los autores (creo que fué IBM) de que tenía sentido. Cuando al final se descubrió el pastel, resultó que la NSA no había dicho nunca nada que no fuera cierto.
por ejemplo
- Si te conectas desde el trabajo, el proxy del trabajo puede hacer MITM. Algunas empresas lo hacen. Yo siempre compruebo el certificado, siempre. Cada vez, cada conexión.
- Si usas TOR, el nodo de salida puede montar un MITM ahí mismo.
- eMule, bueno, eso ya es de risa. Es sistemático.
www.nist.gov/itl/biometrics/biometrics-050212.cfm
Es más tienen hasta laboratorios propios.
Y lo de la NSA es bastante conocido:
www.microsiervos.com/archivo/seguridad/puertas-traseras-nsa.html
Salu2
Una back-door es una vulnerabilidad en un algoritmo o protocolo de criptografia, normalmente introducida a propósito con el fin de debilitar el algoritmo. Estos ataques de la noticia aprovechan cagadas y bugs varios, pero ninguna puerta trasera.
Se me ocurren infinitas maneras de encriptar mensajes y no solo a traves de un ordenador. Los unicos terroristas que pillaran son los chiflados que se hacen cuentas en facebook