Cuando falla la implementación

Leo aquí un post de Sergio Hernando, que se hace eco de una notica aparecida hace un par de días: la vulneración de la seguridad de ciertos pendrives que estaban certificados con el nivel de certificación FIPS 140-2 (certificación, explicación de Wikipedia). Estos pendrives no estaban fabricados por cualquiera, sino que pertenecen a fabricantes destacados en este área.

¿Vulnerabilidad? ¿Algoritmos de cifrado rotos? No, de momento no.

La falla de seguridad no estaba en el algoritmo (AES de 256 bits  sigue siendo seguro), sino en la implementación del criptosistema. Más concretamente, en el proceso de autenticación (cuando el usuario introduce la contraseña para poder acceder al dispositivo de almacenamiento cifrado).  Se puede encontrar más sobre el fallo en el artículo de Bruce Schneier.

Como se menciona en los artículos citados, esto nos lleva a una pregunta. Es evidente que no todos los potenciales enemigos que puedan tener acceso a nuestros datos cifrados (imaginad cuantos pendrives, discos duros portátiles e incluso ordenadores portátiles se extravían o se dejan olvidados) tienen los conocimientos necesarios para explotar este tipo de fallas. Sin embargo, ¿cuan seguro resulta que un fabricante nos indique que su producto está certificado? ¿Deberían las certificaciones valorar la implementación? ¿Es ésta seguridad real? De nada nos sirve que nuestro software implemente algoritmos de cifrado realmente probados, si se dejan puertas abiertas para evitar estos procedimientos de cifrado.

Citando textualmente a Bruce Schneier (me quedo principalmente con la idea de que no hay que ceder a la cautivadora imagen del marketing): “The problem is that no one really understands what a FIPS 140-2 certification means. Instead they think something like: “This crypto thingy is certified, so it must be secure.” In fact, FIPS 104-2 Level 2 certification only means that certain good algorithms are used, and that there is some level of tamper resistance and tamper evidence. Marketing departments of security take advantage of this confusion — it’s not only FIPS 140, it’s all the security standards — and encourage their customers to equate conformance to the standard with security.”

Más sobre AES : especificación oficial,  explicación amena tipo cómic .

Actualización: Desde el blog de la Cátedra Telefónica de Telemedicina en la Universidad de la Laguna nos dan su visión sobre este tipo de problemas en el ámbito de la Sanidad.

Twitter Digg Delicious Stumbleupon Technorati Facebook Email

No hay comentarios aún... ¡Se el primero en dejar una respuesta!

Dejar un Comentario