Una nueva vulnerabilidad en la seguridad de Internet
(NC&T) Con la presentación de sus resultados, los expertos esperan incrementar la adopción de estándares de criptografía más seguros en internet y de ese modo aumentar la seguridad.
Cuando usted visita un sitio web cuya URL comienza con "https", aparece un pequeño icono en forma de candado en la ventana del navegador. Esto indica que el sitio web está asegurado utilizando un certificado digital emitido por una de las pocas Autoridades Certificadoras fiables. Para confirmar que el certificado digital es legítimo, el navegador verifica su firma utilizando algoritmos estándar de criptografía. El equipo de investigadores ha descubierto que uno de estos algoritmos, conocido como MD5, puede ser utilizado indebidamente.
En el congreso anual de criptografía "Crypto" de 2004 un equipo de investigadores chinos presentó el primer punto débil significativo en el algoritmo MD5. Ellos fueron capaces de crear dos mensajes diferentes con la misma firma digital. Aunque esta construcción inicial estaba severamente limitada, en Mayo de 2007 unos investigadores del CWI, la EPFL y la Universidad Técnica de Eindhoven anunciaron una construcción mucho más fuerte. Su método mostró que era posible tener libertad casi completa en la elección de ambos mensajes.
El equipo de investigadores ahora ha descubierto que es posible crear una autoridad certificadora fraudulenta que engañe a todos los principales programas de navegación web, mediante el uso de una implementación avanzada de la construcción descrita, y un conjunto de más de 200 videoconsolas de modelos disponibles comercialmente.
El equipo de investigadores consiguió así demostrar que una parte crítica de la infraestructura de internet no es segura. Una autoridad certificadora fraudulenta, en combinación con vulnerabilidades conocidas en el protocolo DNS, puede abrir las puertas para ataques de tipo phishing virtualmente indetectables. Por ejemplo, sin percatarse de ello, los usuarios podrían ser redireccionados hacia sitios maliciosos que presenten un aspecto idéntico al de páginas web bancarias o de comercio electrónico conocidas y fiables que crean estar visitando. El navegador web podría entonces recibir un certificado falso que sería erróneamente aceptado, y las contraseñas y otros datos privados de los usuarios podrían caer en malas manos.
Según los investigadores, su descubrimiento muestra que el MD5 no puede seguir siendo considerado un algoritmo de criptografía seguro para su uso en firmas y certificados digitales.
