En una presentación titulada ""Crypto Won't
Save You"" en la conferencia AusCERT en la Costa Dorada de Australia,
el respetado criptógrafo Peter Gutmann, de la Universidad de Auckland llevó un dossier de seguridad que
incluía una década de incumplimientos de una larga lista de las marcas más
importantes del mundo.
El objetivo de Gutmann era demostrar cómo el punto más
débil de la criptografía estaba típicamente en la aplicación en lugar de las
propias matemáticas. Demostró que los dispositivos de consumo desde el Kindle
de Amazon a las consolas de Sony Playstation y Microsoft Xbox no fueron
hackeados por una criptografía débil sino por la mala implementación de
mecanismos de seguridad, que fueron anuladas por los atacantes.
Muchos más sistemas se han roto debido a
implementaciones pobres. La criptografía utilizada por ransomware de gama baja
para cifrar los archivos de las víctimas puede ser roto por los expertos en
seguridad, permitiendo recuperar los documentos sin tener que pagar el rescate.
Gutmann destacó además el uso extendido del cripto-bypass
señalando la utlilización de claves
débiles en DomainKeys Identified Mail (DKIM) por miles de organizaciones, entre
ellas de Google, Paypal y Twitter.
Mientras que el (CERT) de EE.UU., advirtió a las
compañías en octubre de 2012 para que actualizasen a claves más fuertes para
evitar ser atacados, dijo Gutmann, pero los atacantes tomaron la ruta más fácil
y anularon las implementaciones.
La prevalencia de derivaciones fue de gran ayuda para
los gustos de la Agencia de Seguridad Nacional de EE.UU., de acuerdo con el
boffin Kiwi. Por ejemplo:
El programa Bullrun de la NSA, que intenta insertar
puertas traseras en el hardware y el software. Se cree que la agencia era
responsable de backdooring el algoritmo Dual CE DRBG utilizado en varios
productos de seguridad, por ejemplo.
Gutmann dijo que la agencia de espionaje y sus aliados podrían
ser evitados con la implementación de una
adecuada criptografía , y no se necesitarían nuevos protocolos "a prueba
de la NSA".
"No necesitamos nuevos protocolos a prueba de la
NSA. Cualquier protocolo bien diseñado y adecuadamente desplegado es a prueba de la NSA",
dijo.
Más información
- Profesor Peter Gutmann http://regmedia.co.uk/2014/05/16/0955_peter_gutmann.pdf
