viernes, 20 de octubre de 2017

Nueva versión 2.1 del software genRSA en Java: generación de claves RSA

Desde hoy se encuentra disponible para su libre descarga el software de laboratorio genRSA v2.1, realizado por D. Rodrigo Díaz Arroyo como su trabajo fin de grado en Ingeniería de Computadores en la Universidad Politécnica de Madrid, bajo la dirección del profesor Jorge Ramió Aguirre.
URL genRSA v2.1.





Se trata de un software de prácticas desarrollado en Java y JavaFX, que implementa toda la lógica de la aplicación gracias al uso de la clase BigInteger.

El software incluye manual de usuario y banco de pruebas, accesibles además desde la misma aplicación.

Diseñado para prácticas de laboratorio de criptografía con el algoritmo RSA, corresponde a una actualización completa del antiguo programa genRSA v1.0 del año 2004, a partir de hoy obsoleto, realizado por D. Juan Carlos Pérez García y que en sus 13 años de existencia ha superado las 26.000 descargas en la red.

Puede saber si su versión de genRSA v2.1 es la última actualización, observando en Acerca de (pestaña Ayuda) la zona inferior derecha de la pantalla. Esta viene indicada como año, mes y día, siendo la primera 20171018.

Entre las prestaciones de genRSA v2.1 se encuentran:

  • Generación manual y automática de claves de hasta 4.096 bits, en formato decimal y hexadecimal. - Opciones de guardar, abrir o borrar clave.
  • Indicación automática de separación por miles en números decimales.
  • Posibilidad de generar claves con primos de igual tamaño, diferentes tamaños y con primos seguros.
  • Indicación del tiempo requerido para generar la clave.
  • En generación de clave automática, elección de valor mínimo para la clave pública e, o bien el estándar F4.
  • Indicación del tamaño de bits de cada parámetro de la clave generada, incluidas las claves privadas parejas CPP.
  • Listado completo de las claves privadas parejas CPP.
  • Indicación de la cantidad de números no cifrables NNC.
  • Generación del log de números no cifrables NNC, indicando el porcentaje que se ha computado.
  • Opciones de cifrado y descifrado, así como firma y verificación de la firma.
  • Opción de cifrado y/o firma de textos, agrupando éstos en bloques de bytes según el tamaño del módulo.
  • Test de primalidad de Miller Rabin y de Fermat con hasta 300 iteraciones. 
  • Ataque por factorización Pollard Rho (óptimo: módulo 80 bits, tiempo < 10 segundos). 
  • Ataque por paradoja del cumpleaños (óptimo: módulo 50 bits, tiempo < 10 segundos). 
  • Ataque por cifrado cíclico (óptimo: módulo 36 bits, tiempo < 10 segundos). 

Otro software de prácticas de libre descarga desde Criptored que se ha actualizado recientemente es Criptoclásicos version 2.1, en su compilación 20170917 del 17 de septiembre de 2017: 

URL Criptoclásicos v2.1



Jorge Ramió y Alfonso Muñoz. 
Criptored





jueves, 19 de octubre de 2017

Filtrados más de 30 millones de documentos de identidad de ciudadanos sudafricanos

El pasado 17 de octubre, Troy Hunt, reconocido MVP de Microsoft y creador del servicio 'Have I been pwned?', recibió en su correo un dump de 27 gigabytes con información personal sobre más de 30 millones de ciudadanos sudafricanos.

El fichero, de nombre 'masterdeeds.sql' contenía información personal de todo tipo: documentos de identidad, vida laboral, estado civil y diversa información fiscal sobre ciudadanos sudafricanos.


Estructura de la bbdd filtrada
Hasta el momento se han conseguido extraer 2,257,930 direcciones de correo electrónico y más de 30 millones de documentos de identidad de ciudadanos vivos y ya fallecidos de Sudáfica.

No se sabe con certeza qué entidad es la responsable de esta fuga de información, pero tras un primer análisis de los datos, Hunt encuentra referencias a "TransUnion" y "Dracore Data Sciences" una importante empresa de agregación de datos sudafricana. Estas empresas se encargan de recopilar y almacenar información financiera y de otro tipo para su posterior procesado y explotación.

Entre los servicios que ofrece Dracore se encuentra "GoVault", que se anuncia como "La mina de oro de información sobre propietarios y compradores sudafricanos".


Tras conseguir contactar con los responsables del servicio, Dracore niega estar relacionada con el 'leak' y le pasa la pelota a Jigsaw, señalando que una de las IP proporcionadas corresponde a esta empresa inmobiliaria.

Mientras tanto, los 27 gigabytes de datos siguen estando disponibles en algún lugar de Internet. Esperamos que se tomen las medidas adecuadas para evitar que la información caiga en malas manos.




Francisco Salido
fsalido@hispasec.com

Más información:

What We Know So Far About South Africa's Largest Ever Data Breach

Is Dracore Data Sciences Responsible For South Africa's Largest Ever Data Leak?