Getty Images Por primera vez, los investigadores han demostrado que una gran parte de las claves criptográficas utilizadas para proteger los datos en el tráfico SSH de computadora a servidor son vulnerables a un compromiso total cuando ocurren errores computacionales naturales mientras se establece la conexión. Subrayando la importancia de su descubrimiento, los investigadores utilizaron sus hallazgos para calcular la porción privada de casi 200 claves SSH únicas que observaron en escaneos públicos de Internet realizados durante los últimos siete años. Los investigadores sospechan que las claves utilizadas en las conexiones IPsec podrían correr la misma suerte. SSH es el protocolo criptográfico utilizado en conexiones shell seguras que permite a las computadoras acceder de forma remota a servidores, generalmente en entornos empresariales sensibles a la seguridad. IPsec es un protocolo utilizado por redes privadas virtuales que enrutan el tráfico a través de un túnel cifrado. La vulnerabilidad ocurre cuando hay errores durante la generación de firma que se lleva a cabo cuando un cliente y un servidor están estableciendo una conexión. Afecta sólo a las claves que utilizan el algoritmo criptográfico RSA, que los investigadores encontraron en aproximadamente un tercio de las firmas SSH que examinaron. Esto se traduce en aproximadamente 1.000 millones de firmas de los 3.200 millones examinados. De los aproximadamente mil millones de firmas RSA, aproximadamente una entre un millón expuso la clave privada del host. Si bien el porcentaje es infinitamente pequeño, el hallazgo es sorprendente por varias razones, en particular porque la mayoría del software SSH en uso ha implementado una contramedida durante décadas que busca fallas en las firmas antes de enviarlas a través de Internet. Otra razón de la sorpresa es que hasta ahora, los investigadores creían que las fallas de firma exponían solo las claves RSA utilizadas en el protocolo TLS (o Transport Layer Security) que cifra las conexiones web y de correo electrónico. Creían que el tráfico SSH era inmune a tales ataques porque los atacantes pasivos (es decir, los adversarios que simplemente observaban el tráfico a medida que pasaba) no podían ver parte de la información necesaria cuando ocurrían los errores. Los investigadores observaron que desde el lanzamiento de la versión 1.3 de TLS en 2018, el protocolo ha cifrado los mensajes de protocolo de enlace que se producen mientras se negocia una sesión web o de correo electrónico. Esto ha actuado como una contramedida adicional que protege el compromiso clave en caso de un error computacional. Keegan Ryan, investigador de la Universidad de California en San Diego y uno de los autores de la investigación, sugirió que tal vez sea hora de que otros protocolos incluyan la misma protección adicional. En un correo electrónico, Ryan escribió: Aunque el protocolo SSH existe desde hace casi 18 años y está ampliamente implementado, todavía estamos encontrando nuevas formas de explotar errores en los protocolos criptográficos e identificar implementaciones vulnerables. Según nuestros datos, aproximadamente una entre un millón de firmas SSH expuso la clave privada del host SSH. Si bien esto es poco común, la enorme cantidad de tráfico en Internet implica que estas fallas RSA en SSH ocurren con regularidad. Aunque la gran mayoría de las conexiones SSH no se ven afectadas, sigue siendo importante defenderse de estos fallos. Sólo se necesita una firma incorrecta en una implementación desprotegida para revelar la clave. Es una suerte que las implementaciones SSH más populares incluyan contramedidas para evitar que las fallas de firma RSA provoquen una fuga de claves catastrófica, pero las implementaciones que no las incluyeron aún eran lo suficientemente comunes como para aparecer en nuestros datos. Los nuevos hallazgos se exponen en un artículo publicado a principios de este mes titulado «Compromiso de clave SSH pasiva a través de celosías». Se basa en una serie de descubrimientos que abarcan más de dos décadas. En 1996 y 1997, los investigadores publicaron hallazgos que, en conjunto, concluyeron que cuando los errores computacionales que ocurren naturalmente daban como resultado una única firma RSA defectuosa, un adversario podría usarla para calcular la parte privada del par de claves subyacente.

Source link