La empresa RSA Security está recomendando encarecidamente a sus desarrolladores que dejen de usar sus algoritmos hasta que el NIST (National Institute of Standards and Technology) logre resolver los problemas de seguridad que esos algoritmos tienen.
El generador de números pseudoaleatorios (DUAL_EC_DRBG) es el sistema por defecto para que tanto las librerías como otros productos de la división BSafe de la RSA funcionen, pero sus responsables han informado ya a los desarrolladores de cómo utilizar otras alternativas, ya que ese generador ha sido modificado por la NSA.
De hecho, los documentos filtrados por Edward Snowden indicaron que ya hace seis años había problemas de seguridad en ese generador, y que la única agencia que editaba dicho sistema era la NSA.
Eso permitiría a la NSA interceptar conexiones “seguras” (ya no) SSL/TLS hechas entre productos implementados con BSafe, y aunque no es posible saber si la NSA realmente ha aprovechado tal capacidad, la RSA ha querido guardarse las espaldas hasta tratar de resolver el problema.
Algunos creen que la RSA ya hizo una mala elección con ese generador de números pseudoaleatorios hace años, y ahora las consecuencias podrían ser graves para una empresa cuyo negocio precisamente se basa en la confianza de sus clientes y usuarios. De hecho, hace dos años esta empresa se vio afectada por una brecha de seguridad en sus productos SecurID, y ahora las dudas sobre la validez de sus soluciones vuelve a hacerse patente.
Vía | Cryptography Engineering
En Xataka | Hacking gubernamental: La NSA y el CGHQ descifran protocolos seguros para espiarlo todo en Internet
-
La noticia La RSA aconseja a los desarrolladores no usar sus productos: la NSA metió mano fue publicada originalmente en Xataka por Javier Pastor.
     |
via Xataka http://feeds.weblogssl.com/~r/xataka2/~3/36kG8fAa-Vw/la-rsa-aconseja-a-los-desarrolladores-no-usar-sus-productos-la-nsa-metio-mano
No hay comentarios:
Publicar un comentario