Malware y certificados digitales

Microsoft invalidaba en noviembre dos nuevos certificados de la compañía «DigiCert Sdn. Bhd» (Digicert Malasia), una entidad de certificación (CA) subordinada de Entrust y GTE CyberTrust. De hecho, se han añadido a la (tocada ya por tercera vez en 2011) lista de certificados no confiables en la mayoría de navegadores.

En los casos de Comodo y DigiNotar, la razón para revocarlos fue el robo. Sin embargo, en esta última ocasión el motivo para revocarlos ha sido diferente. Esta entidad había emitido 22 certificados con claves de 512 bits.

Normalmente se están usando claves RSA de 2048 o 4096 bits de longitud. Emitir claves de 512 bits es insuficiente desde hace tiempo. En resumidas cuentas: calcular todas las posibilidades es «abordable» y resulta relativamente viable por fuerza deducir la clave privada. Para conseguirlo, es necesario encontrar los dos números primos que, multiplicados, resultan en ese número de longitud 512 bits. O sea, el famoso problema de la factorización.

Así, un atacante, a partir de la clave pública que ya se encuentra en un certificado, podría deducir la clave privada. Esta información le permitiría (entre otras acciones) firmar cualquier software. La validación sería correcta (la clave pública asociada está avalada por el propio certificado) y podría parecer legítimo y que proviene de la entidad a la que pertenece el certificado.

Cuatro días después de la revocación de Microsoft, el 14 de noviembre, F-Secure anunciaba el descubrimiento de un malware firmado digitalmente con un certificado válido perteneciente a DigiCert. Todo hacía pensar en un caso de robo de certificado. Aparecieron después más muestras de malware firmado.

He descargado ese malware y comprobado su certificado. Está emitido para un dominio. O sea, su principal función es la autenticación del servidor por SSL, no firmar código. Normalmente los certificados tienen una restricción técnica para su uso, y un certificado utilizado para autenticar un dominio no debería emplearse para firmar software. Pero estos certificados no solo están lastrados por los 512 bits usados para las claves, sino que ni siquiera contienen esta restricción de uso.

Según Fox-it, de hecho, los atacantes buscaron certificados vulnerables de esta manera: probablemente analizaron por todo Internet servidores SSL (puerto 443) y sacaron certificados públicos. Comprobaron sus bits de clave RSA y sus restricciones. Una vez con un buen número de certificados «débiles» disponible, factorizaron las respectivas claves privadas y ya podían suplantar la personalidad de estos certificados.

En una una-al-día de septiembre de 1999, escribíamos lo siguiente:

Con lo que podemos hacernos una idea de lo «complicado» que podría resultar hoy en día. Por aquel entonces, la legislación norteamericana no permitía exportar al extranjero productos con claves RSA de longitud superior a los 512 bits.

Entrust se pregunta lo mismo. Es la compañía que emitió certificados intermedios a «DigiCert Sdn. Bhd» (Digicert Malasia) a la que se le permitió distribuir certificados S/MIME y SSL. Esta a su vez emitió los certificados con claves de 512. Esto según «Entrust» violaba los acuerdos y estándares.

MSA-2641690 – Los certificados digitales fraudulentos podrían permitir la suplantación de identidad

Factorización de RSA-155

Competición RSA

Sergio de los Santos

Twitter: @ssantosv

José Mesa Orihuela