El protocolo de encriptación de Internet TLS - abreviatura de Transport Layer Security - se está modificando fundamentalmente. Involucrado en ataques, los investigadores encabezados por el profesor Dr. Jörg Schwenk de la Ruhr-Universität Bochum han contribuido a revelar lagunas de seguridad en el protocolo. La revista científica Bochum Rubininformes sobre la investigación realizada por el equipo del Instituto Horst Görtz para la Seguridad de TI.
Ataque al intercambio de claves
Los expertos de TI, por ejemplo, lograron robar una clave que dos partes habían negociado a través de TLS versión 1.2. Dicha clave siempre es necesaria cuando los socios de comunicación desean intercambiar información secreta, por ejemplo, si un cliente transmite detalles de la tarjeta de crédito auna tienda en línea
El protocolo TLS proporciona tres enfoques para negociar claves. La mayoría de los problemas son causados por uno de los llamados protocolos de protocolo de enlace, llamado TLS-RSA. Para decirlo en términos simples: el servidor de la tienda en línea envía un buzón al cliente.el cliente coloca un mensaje secreto en el buzón y lo envía de vuelta al servidor. El servidor, a su vez, abre el buzón, accediendo así al mensaje secreto, es decir, la clave.
Ataque exitoso de Bleichenbacher
Realizando un ataque de Bleichenbacher, el equipo de Schwenk obtuvo acceso a la clave: para este propósito, los expertos en seguridad de TI introdujeron errores en el mensaje secreto, antes de ponerlo en el buzón y enviarlo al servidor. El servidor espera que la entradael mensaje tiene una forma específica; si no lo tiene, se inicia el administrador de errores.
La gestión de errores lleva más tiempo que el intercambio continuo de claves del servidor, como de costumbre. Este intervalo de tiempo dio pistas sobre el contenido del mensaje, es decir, la clave que debería permanecer en secreto. La nueva versión 1.3 de TLS, que actualmente está siendo estandarizada porel Grupo de trabajo de ingeniería de Internet solo implementará un protocolo diferente para la negociación clave.
Otras brechas de seguridad detectadas
El grupo de Schwenk también estuvo involucrado en otros ataques en TLS, por ejemplo, el "ataque de ahogamiento" que creó un zumbido en marzo de 2016 http://aktuell.ruhr-uni-bochum.de/pm2016/pm00024.html.de .Los atacantes pasaron por alto los mecanismos de seguridad de la versión 1.2 actual de TLS al obtener acceso a través de una versión anterior.Las versiones antiguas de los protocolos de seguridad a menudo se instalan en los servidores para admitir tantos navegadores diferentes como sea posible.De manera similar, otro equipo de la Cátedra de Seguridad de Redes y Datos logró crear firmas digitales falsas en la actual versión 1.2 de TLS.
Fuente de la historia :
Materiales proporcionado por Ruhr-Universitaet-Bochum . Original escrito por Julia Weiler. Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :