Vulnerabilidad en la negociación de claves DH en TLS

Internet IbizaSin categoría, Tecnología

Fecha: 21/05/2015

Descripción: 

Investigadores de INRIA, CNRS, Microsoft y las universidades de Pensilvania, Michigan, Lorraine y John Hopkins han publicado una grave vulnerabilidad en el diseño de la negociación de claves Diffie-Hellman (DH) implementado en TLS. El fallo puede ser explotado para realizar ataques Man in the Middle.

Detalle: 

La vulnerabilidad se basa en que el valor que indica la suite de cifrado a utilizar, enviado por el servidor durante la negociación de claves Diffie-Hellman en TLS, no se incluye dentro de los campos firmados digitalmente. Esto puede permitir a un atacante montar un ataque Man in the Middle y degradar el algoritmo de cifrado a uno de los llamados «EXPORT», que proporcionan seguridad reducida.

Adicionalmente, debido a que un porcentaje muy importante de los servidores de los sistemas afectados (sistemas web y, potencialmente, servidores de correo, VPN y SSH) utilizan muy frecuentemente números primos precomputados para reducir la carga computacional de la negociación de claves, las versiones «efímeras» de Diffie-Hellman también se ven afectadas.

Vulnerabilidad en la negociación de claves DH en TLS
¿Cuál es tu opinión?