La empresa RSA Security está recomendando encarecidamente a sus desarrolladores que dejen de usar sus algoritmos hasta que el NIST (National Institute of Standards and Technology) logre resolver los problemas de seguridad que esos algoritmos tienen.
El generador de números pseudoaleatorios (DUAL_EC_DRBG) es el sistema por defecto para que tanto las librerías como otros productos de la división BSafe de la RSA funcionen, pero sus responsables han informado ya a los desarrolladores de cómo utilizar otras alternativas, ya que ese generador ha sido modificado por la NSA.
De hecho, los documentos filtrados por Edward Snowden indicaron que ya hace seis años había problemas de seguridad en ese generador, y que la única agencia que editaba dicho sistema era la NSA.
Eso permitiría a la NSA interceptar conexiones "seguras" (ya no) SSL/TLS hechas entre productos implementados con BSafe, y aunque no es posible saber si la NSA realmente ha aprovechado tal capacidad, la RSA ha querido guardarse las espaldas hasta tratar de resolver el problema.
Algunos creen que la RSA ya hizo una mala elección con ese generador de números pseudoaleatorios hace años, y ahora las consecuencias podrían ser graves para una empresa cuyo negocio precisamente se basa en la confianza de sus clientes y usuarios. De hecho, hace dos años esta empresa se vio afectada por una brecha de seguridad en sus productos SecurID, y ahora las dudas sobre la validez de sus soluciones vuelve a hacerse patente.
Vía | Cryptography Engineering En Xataka | Hacking gubernamental: La NSA y el CGHQ descifran protocolos seguros para espiarlo todo en Internet
Ver 18 comentarios
18 comentarios
saph4
Bueno. Hay que tener los huevos cuadrados para admitir esto ante el publico. Es un punto a favor de la empresa, otros se habrian callado como p...
formujj
Me parece que pronto, cuando hagamos un viaje a USA p.ej., llegaremos y nos tratarán como amigos porque nos conocerán mejores que nosotros mismos...
No me gusta ni un poco la NSA... :(
Sergio
Esto ha sido así siempre y gracias a esto avanza la tecnología, si uno crea un chaleco antibalas ya habrá otro que se dedique a fabricar una bala que penetre el chaleco.
myboo9632
Hace tiempo que no uso mi "llave" para ver los movimientos en mi banco (y creo que ya no podré usarlo :P ) y ahora salen con esto :3
Toñín
Lo que sí ha conseguido la NSA sin ninguna duda es un antes y un después en la protección de datos. Estoy seguro de que para cuando acabe todo el lío que se ha armado, los sistema de cifrado y seguridad de datos habrán dado un salto gigantesco para evitar en lo posible que estas intrusiones vuelvan a ocurrir.
Hay que tener en cuenta que la NSA, haya actuado ilegalmente o no (éticamente absolutamente NO), lo que sí ha hecho es dejar en evidencia no sólo a empresas en las que confiaban muchos usuarios (todos miran ahora con otros ojos a Google, por ejemplo), sino también a sistemas de seguridad y cifrado que se suponían seguros y han resultado no serlo tanto.
josemicoronil
A quien más hay que agradecer todo es a Snowden, que gracias a que él se ha sacrificado por todos nosotros hemos podido llegar hacia la verdad y a conocer toda esta basura que está haciendo la NSA y de más organizaciones con respecto al espionaje.
Yo personalmente me arrodillo ante él.
Saludos
fufu
"ya que ese generador ha sido modificado por la NSA"... Coño, es que ese generador es de la NSA. Para salir de dudas basta con visitar el link que tú mismo publicas de wikipedia ¿?¿?
El titular es muy poco afortunado. Símplemente la empresa está diciendo que se utilice otro generador de números aleatorios para el cifrado, ante la duda de que su generación no sea tan aleatoria como podría esperar, o peor aún, que exista una manera fácil de averiguar los números generados.