Ni te cases, ni te embarques
Jueves, 15-05-2008 por Death Master
Fatídico martes y 13 el que hemos tenido esta semana, desde el punto de vista de la criptografía, la seguridad informática, y el software libre. Según se ha anunciado, un bug presente en el paquete OpenSSL de Debian desde -ojo al dato- el año 2006, hace que las claves criptográficas generadas desde entonces sean predecibles.
Tanto Debian como todas sus distribuciones derivadas (como por ejemplo Ubuntu) están afectadas, y es necesario actualizar los paquetes y regenerar todas las claves SSH y SSL generadas desde entonces. He podido comprobar que, tras actualizar los paquetes, el sistema no permite usar la conexión mediante SSH hasta que se generen unas claves nuevas.
Actualización: en kriptópolis encontramos más información al respecto. Este bug es extremadamente grave, pues reduce el posible espacio de claves de 2^1024 (1,8 * 10^308) a 2^15 (¡tan solo 32.768!), al pasar a depender su generación exclusivamente del PID del proceso. Es absolutamente imprescindible volver a generar todas las claves, pues de hecho ya existe un exploit que simplemente prueba por fuerza bruta (32.768 posibles valores es algo muy asequible para este tipo de ataques).
[...] Master En Hispasec han publicado un detallado documento de preguntas frecuentes con respecto al reciente bug criptográfico en Debian, cuya lectura puede resultar muy interesante a todos los interesados en la seguridad [...]