Hace tiempo ya hablamos de la intrusión que sufrió RSA en marzo del 2011, incluso hicimos algún relato de novela negra sobre posibles consecuencias de la misma
Ahora RSA vuelve a ser noticia porque según un artículo publicado en arstechnica, los autenticadores SecurID 800 serían vulnerables y pueden romperse.
El artículo en cuestión cuenta que se pueden extraer las claves criptográficas almacenadas en la memoria de los tokens en 13 minutos y lo adorna hablando de crackeo del dispositivo. Para quienes no lo sepan estos dispositivos (a.k.a. tokens) proporcionan un número pseudo-aleatorio que está sincronizado con una parte servidora, de tal modo que a la hora de autenticarse en un equipo o aplicación solicita, además de un PIN o clave conocida por el usuario, ésta ristra de 6 dígitos que cambian cada 60 segundos.
Este sistema recibe el nombre de One-Time Password (OTP) o clave de un sólo uso. De esta forma se obtiene lo que se denomina "autenticación de doble factor", algo que sabemos (nuestro PIN) y algo que tenemos (el token). En este caso además de la funcionalidad descrita, el dispositivo incorpora otra a modo de tarjeta inteligente (gestión de certificados).
Volviendo al tema, el ataque (consiste en dos formas ataque) está descrito en un documento que se presentará en la próxima conferencia CRYPTO 2012 que tendrá lugar en la Universidad de California en agosto y en dicho paper comentan como el problema reside en la interfaz de dispositivos criptográficos RSA PKCS#11, lo cual descartaría un problema a nivel de algoritmo OTP.
Como respuesta, RSA ha lanzado un comunicado en el que explica que la magnitud del problema no es tal debido a que el ataque, además de no afectar a las claves privadas de los usuarios, requiere unas condiciones específicas, acceso a la máquina y poseer el PIN de usuario, por las que no se requeriría vulnerar el dispositivo para obtener la información deseada.
En este intercambio de "dimes y diretes" aparece otro actor que da otra vuelta de tuerca al asunto. En éste último artículo se expone como los argumentos de RSA, que no contradice, son válidos hasta cierto punto, ya que las debilidades de los estándares PKCS involucrados pueden hacer alcanzar el mismo objetivo sin hacerse con las claves privadas: "it allows an attacker to decrypt and recover other “wrapped” keys encrypted by the token’s key pair.".
Del mismo modo que la implementación de la API del dispositivo criptográfico basado en PKCS #11 podría comprometer el PIN del usuario "...Some applications may proxy access to the token via a web frontend or other network access. An application may cache the PIN", por último menciona el autor que si bien PKCS #1 v2.0 with OAEP es seguro, RSA permite al usuario 'elegir' entre la versión vulnerable (1.5) y la que no contiene la vulnerabilidad (2.0).
Para terminar, hay que mencionar que esta vulnerabilidad no solo es cosa de RSA ya que afecta a múltiples implementaciones comerciales (como Aladdin eToken PRO, Feitian epass 2000, etc.) por lo que enfocarlo a un dispositivo en concreto, parece que obedece más a una noticia sensacionalista que a otra cosa.
El artículo en cuestión cuenta que se pueden extraer las claves criptográficas almacenadas en la memoria de los tokens en 13 minutos y lo adorna hablando de crackeo del dispositivo. Para quienes no lo sepan estos dispositivos (a.k.a. tokens) proporcionan un número pseudo-aleatorio que está sincronizado con una parte servidora, de tal modo que a la hora de autenticarse en un equipo o aplicación solicita, además de un PIN o clave conocida por el usuario, ésta ristra de 6 dígitos que cambian cada 60 segundos.
Este sistema recibe el nombre de One-Time Password (OTP) o clave de un sólo uso. De esta forma se obtiene lo que se denomina "autenticación de doble factor", algo que sabemos (nuestro PIN) y algo que tenemos (el token). En este caso además de la funcionalidad descrita, el dispositivo incorpora otra a modo de tarjeta inteligente (gestión de certificados).
Volviendo al tema, el ataque (consiste en dos formas ataque) está descrito en un documento que se presentará en la próxima conferencia CRYPTO 2012 que tendrá lugar en la Universidad de California en agosto y en dicho paper comentan como el problema reside en la interfaz de dispositivos criptográficos RSA PKCS#11, lo cual descartaría un problema a nivel de algoritmo OTP.
Como respuesta, RSA ha lanzado un comunicado en el que explica que la magnitud del problema no es tal debido a que el ataque, además de no afectar a las claves privadas de los usuarios, requiere unas condiciones específicas, acceso a la máquina y poseer el PIN de usuario, por las que no se requeriría vulnerar el dispositivo para obtener la información deseada.
En este intercambio de "dimes y diretes" aparece otro actor que da otra vuelta de tuerca al asunto. En éste último artículo se expone como los argumentos de RSA, que no contradice, son válidos hasta cierto punto, ya que las debilidades de los estándares PKCS involucrados pueden hacer alcanzar el mismo objetivo sin hacerse con las claves privadas: "it allows an attacker to decrypt and recover other “wrapped” keys encrypted by the token’s key pair.".
Del mismo modo que la implementación de la API del dispositivo criptográfico basado en PKCS #11 podría comprometer el PIN del usuario "...Some applications may proxy access to the token via a web frontend or other network access. An application may cache the PIN", por último menciona el autor que si bien PKCS #1 v2.0 with OAEP es seguro, RSA permite al usuario 'elegir' entre la versión vulnerable (1.5) y la que no contiene la vulnerabilidad (2.0).
Para terminar, hay que mencionar que esta vulnerabilidad no solo es cosa de RSA ya que afecta a múltiples implementaciones comerciales (como Aladdin eToken PRO, Feitian epass 2000, etc.) por lo que enfocarlo a un dispositivo en concreto, parece que obedece más a una noticia sensacionalista que a otra cosa.
Artículo cortesía de Ricardo Ramos
