Recientemente esta organización ha publicado una nueva regla bajo la numeración RFC7465 en la que buscan eliminar el cifrado RC4 de las conexiones TLS entre clientes y servidores debido a una serie de vulnerabilidades críticas que pueden llegar a romper la seguridad de este cifrado en la red, siendo una importante brecha de seguridad para los usuarios.
La IETF (Internet Engineering Task Force) es una organización que busca mejorar las conexiones de Internet mediante la publicación de una serie de reglas o estándares recomendados para su uso.
Esta nueva norma es más bien corta si la comparamos con otras
publicadas anteriormente para regular diferentes elementos de las conexiones de
red. Podemos consultar los detalles sobre esta nueva regla desde el siguiente
enlace. En ella queremos hacer especial énfasis en una frase determinada que os
dejamos a continuación:
This document requires that Transport Layer Security (TLS)
clients and servers never negotiate the use of RC4 cipher suites when they
establish connections
La nueva regla RFC7465 indica que varias auditorías de
seguridad han demostrado que el algoritmo RC4 es vulnerable a una serie de
ataques debido a una serie de vulnerabilidades descubiertas en él (de las que
se detallarán más adelante) y que por ello el uso de este algoritmo nunca debe
ser utilizado para negociar conexiones entre servidores y clientes. Aunque la
regla indique prohibición, en realidad se trata de una recomendación con el fin
de poder utilizar estándares de seguridad lo más elevados posibles.
Los primeros indicios sobre las vulnerabilidades del algoritmo
RC4 empezaron a dar sus frutos en 2001, cuando se empezaron a atacar las claves
WEP de las redes Wi-Fi. Tras ello, en 2013 se pudo demostrar la debilidad de
las conexiones TLS con este algoritmo mediante una serie de ataques, e incluso
se ha hablado de la posibilidad de que la NSA rompa este cifrado en tiempo
real, aunque esto no ha podido ser demostrado aún.
Los administradores de sistemas que tengan configuradas
conexiones TLS utilizando el algoritmo RC4 deben cambiar el código de las
negociaciones entre cliente y servidor para utilizar otro algoritmo más seguro
y fiable como puede ser AES-GCM.
Sin embargo la regla no puede “obligar” a ello, por lo que la
decisión final recaerá sobre estos administradores e indirectamente sobre los
desarrolladores de navegadores web como Google Chrome que pueden optar por
bloquear el 100% de las conexiones a través de este inseguro algoritmo. Una
cosa está clara, y es que a medio plazo RC4 desaparecerá de la red a favor de
otros algoritmos más seguros para establecer conexiones entre servidores y
clientes.
Fuente: Redeszone.net