Descubren un punto débil en la autentificación RSA
(NC&T) La autentificación RSA es un método de encriptación popular usado en los reproductores de contenido multimedia, ordenadores portátiles, Smartphones (teléfonos inteligentes), servidores y otros dispositivos. Las tiendas y los bancos también dependen de este método para garantizar la seguridad de la información de sus clientes online.
Los científicos comprobaron que podían atacar el sistema de seguridad variando el voltaje suministrado al poseedor de la "clave privada", el cual puede ser el dispositivo donde está el original en el caso de protección contra copia, y el sistema de la tienda o del banco en el caso de una comunicación a través de internet. Los investigadores creen poco probable que un hacker pueda usar este método contra una institución de gran envergadura. El riesgo descubierto atañe más a las compañías especializadas en contenidos multimedia y a los fabricantes de dispositivos relacionados, sobre todo los portátiles, así como a quienes los utilizan.
"El algoritmo RSA proporciona seguridad bajo la suposición de que mientras la clave privada sea privada, no se puede violar a menos que se adivine ésta. Nosotros hemos mostrado que eso no es cierto", explica Valeria Bertacco, profesora en el Departamento de Ingeniería Electrónica y Ciencia de la Computación.
Estas claves privadas contienen más de 1.000 dígitos de código binario. Para adivinar un número tan grande se tardaría más tiempo que la edad del universo, señala Andrea Pellegrini. En cambio, usando la nueva estrategia de modificación del voltaje, los investigadores de la citada universidad pudieron extraer la clave privada en aproximadamente 100 horas.
Ellos manipularon cuidadosamente el voltaje con un dispositivo barato construido para este propósito. Variar la corriente eléctrica esencialmente pone bajo presión al ordenador y provoca que cometa pequeños errores en sus comunicaciones. Estos fallos revelan pequeños fragmentos de la clave privada. Una vez que los investigadores causaron suficientes fallos, pudieron reconstruir la clave.
Este tipo de ataque no daña al dispositivo, ni implica manipularlo de un modo que rompa los precintos de garantía de componentes internos.
