El cifrado RSA-2048 falló y la identidad de media nación está en peligro

El cifrado RSA-2048

Un fallo en el cifrado RSA-2048 ha puesto en peligro la identidad de media nación. Mediante la vulnerabilidad que permite los atacantes suplantar la identidad de cualquier usuario que disponga de una clave con el cifrado RSA-2048; y haga uso de la librería Infineon.

Identidad de media nación en peligro porque el cifrado RSA-2048 sufrió un fallo

El cifrado RSA-2048 es manejado por decenas de plataformas de identificación; documentos de identidad, firma de software, accesos a entornos gubernamentales y transferencia segura de información. El gobierno de Estonia representa un modelo de nación digital en el siglo XXI, al permitir la digitalización de los documentos de identidad y la residencia electrónica mediante el programa e-Estonia State Portal.

¿Cuál es el peligro para el país báltico?

El peligro consiste en que los atacantes pueden suplantar la identidad de cualquier usuario. Pues varios investigadores han descubierto la clave privada, basándose solo en la clave pública de un usuario. En teoría una clave RSA de 2048 bits requiere de millones de años para ser factorizada por un ordenador normal y corriente. La complejidad del cifrado RSA se basa en un sistema criptográfico de clave pública. Esto significa que cada usuario dispone de dos claves de cifrado: una pública y una privada.

Una autenticación el usuario

Al querer realizar una autenticación el usuario A busca la clave pública del usuario B, cifra la información; y la envía para que el usuario B la descifre con su clave privada. Pero si se utiliza la biblioteca de Infineon para factorizar una clave RSA de 2048 bits; los millones de años antes mencionados se reducen a unos 100 años. Distribuyendo el proceso de factorización a varios ordenadores o servidores en la nube.

Desde el mes pasado, una de las medidas preventivas emitidas por el gobierno de Estonia; fue cerrar la base de datos de claves públicas. O sea, los ciudadanos no pueden realizar ninguna firma digital de momento. Esta medida se tomó después de diagnosticar que 750.000 identificaciones digitales emitidas desde 2014 eran vulnerables al ataque.

¿Qué es lo que más preocupa?

Lo más preocupante es que la librería de Infineon ha pasado filtros de certificación de seguridad reconocidos internacionalmente (FIPS 140-2 Level 2 y Common Criteria). Esta fue desarrollada por el fabricante alemán de chips Infineon y ha estado generando claves débiles desde 2012. Según los investigadores, el problema está en el hecho de no revelar el diseño y la implementación del código. Por parte de los fabricantes, ya que esto impide el descubrimiento de las vulnerabilidades a tiempo.