¿RSA permite atacar a uno de cada 172 certificados?

El pasado fin de semana se filtró
una noticia sobre estos certificados que decía que una vulnerabilidad
encontrada comprometía uno de cada 172 certificados. Esto no es cierto, lo que
ocurre es que sin la entropía correcta pueden llegar a ser vulnerables.

Utilizar calves RSA en la
seguridad de criptografía asimétrica se basa en que computacionalmente no es
sencillo factorizar los factores primos de un número, el hecho de multiplicar
dos números (X y Z) para sacar un tercero es bastante sencillo, pero dado el
numero resultado obtener sus dos factores primos es una operación inviable si
los números son lo suficientemente grandes.

Con estos datos llegamos a la conclusión
de que no podremos sacar la clave en un periodo de tiempo razonable pero hay un
fallo, si la entropía es baja y la generación de números primos se repite se podría
dar el caso de que dos módulos compartan los mismos números X y Z.

Por lo tanto, ¿son vulnerables? ¿Qué
es lo que de verdad se investigó?

Los investigadores crearon una base
de datos con 75 millones de claves RSA y tras eso analizaron todas utilizando
un algoritmo. Tras analizar todos estos certificados se encontraron que 1 de
cada 172 de ellos compartían un factor común, pero todo esto fue teniendo en
cuenta que los certificados fueron creados a propósito con una baja entropía.

Tras esta prueba tomaron 100
millones de certificados de los logs de Certificate Transparency e hicieron la
misma historia solo teniendo en cuenta estos 100 millones. Tras acabar de
analizar todos los certificados se comprobó que solo 5 de ellos compartían factores
que en porcentaje no sería ni un 1% de los certificados.

Teniendo en cuenta estos dos
estudios podemos llegar a la conclusión de que no son vulnerables 1 de cada 172
certificados, si no que en caso de forzar una baja se puede llegar a
dar el caso.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity