martes, 29 de noviembre de 2011

Malware y certificados digitales

Este año los certificados han estado en boca de todos. Comodo y DigiNotar han protagonizado algunos "escándalos". Pero continúa el problema con los certificados, ahora en forma de malware, robos y factorización.

Microsoft invalidaba en noviembre dos nuevos certificados de la compañía "DigiCert Sdn. Bhd" (Digicert Malasia), una entidad de certificación (CA) subordinada de Entrust y GTE CyberTrust. De hecho, se han añadido a la (tocada ya por tercera vez en 2011) lista de certificados no confiables en la mayoría de navegadores.

En los casos de Comodo y DigiNotar, la razón para revocarlos fue el robo. Sin embargo, en esta última ocasión el motivo para revocarlos ha sido diferente. Esta entidad había emitido 22 certificados con claves de 512 bits.

¿Por qué son inseguros los certificados con claves de 512 bits?

Normalmente se están usando claves RSA de 2048 o 4096 bits de longitud. Emitir claves de 512 bits es insuficiente desde hace tiempo. En resumidas cuentas: calcular todas las posibilidades es "abordable" y resulta relativamente viable por fuerza deducir la clave privada. Para conseguirlo, es necesario encontrar los dos números primos que, multiplicados, resultan en ese número de longitud 512 bits. O sea, el famoso problema de la factorización.

Así, un atacante, a partir de la clave pública que ya se encuentra en un certificado, podría deducir la clave privada. Esta información le permitiría (entre otras acciones) firmar cualquier software. La validación sería correcta (la clave pública asociada está avalada por el propio certificado) y podría parecer legítimo y que proviene de la entidad a la que pertenece el certificado.

Se confirmó poco después

Cuatro días después de la revocación de Microsoft, el 14 de noviembre, F-Secure anunciaba el descubrimiento de un malware firmado digitalmente con un certificado válido perteneciente a DigiCert. Todo hacía pensar en un caso de robo de certificado. Aparecieron después más muestras de malware firmado.

He descargado ese malware y comprobado su certificado. Está emitido para un dominio. O sea, su principal función es la autenticación del servidor por SSL, no firmar código. Normalmente los certificados tienen una restricción técnica para su uso, y un certificado utilizado para autenticar un dominio no debería emplearse para firmar software. Pero estos certificados no solo están lastrados por los 512 bits usados para las claves, sino que ni siquiera contienen esta restricción de uso.


Según Fox-it, de hecho, los atacantes buscaron certificados vulnerables de esta manera: probablemente analizaron por todo Internet servidores SSL (puerto 443) y sacaron certificados públicos. Comprobaron sus bits de clave RSA y sus restricciones. Una vez con un buen número de certificados "débiles" disponible, factorizaron las respectivas claves privadas y ya podían suplantar la personalidad de estos certificados.



¿Es sencillo romper la seguridad de claves RSA de 512 bits?

En una una-al-día de septiembre de 1999, escribíamos lo siguiente:


"Un equipo de personas de todo el mundo, con casi 300 ordenadores, consigue completar la factorización RSA-155 en poco más de 5 meses. Este resultado demuestra de forma patente, una vez más, que las claves públicas RSA de 512 bits no suponen un obstáculo frente a cualquier organización de medianas proporciones."
Con lo que podemos hacernos una idea de lo "complicado" que podría resultar hoy en día. Por aquel entonces, la legislación norteamericana no permitía exportar al extranjero productos con claves RSA de longitud superior a los 512 bits.

¿Por qué emitir certificados con claves tan simples?

Entrust se pregunta lo mismo. Es la compañía que emitió certificados intermedios a "DigiCert Sdn. Bhd" (Digicert Malasia) a la que se le permitió distribuir certificados S/MIME y SSL. Esta a su vez emitió los certificados con claves de 512. Esto según "Entrust" violaba los acuerdos y estándares.

Más información:

Malware Signed With a Governmental Signing Key

MSA-2641690 - Los certificados digitales fraudulentos podrían permitir la suplantación de identidad

Factorización de RSA-155

Competición RSA


Sergio de los Santos
Twitter: @ssantosv

José Mesa Orihuela


No hay comentarios:

Publicar un comentario en la entrada