18/04/2024
🔈 Estado de PQC (QSafe) en Internet 🔈
👉 Interesante artículo en el que Cloudflare informa que entre el 1% y el 2% de las conexiones TLS utilizan algoritmos poscuánticos en la actualidad.
👨💻 Casi todo ese tráfico proviene de usuarios de Google Chrome. Según Cloudflare, aproximadamente el 10% de los usuarios de Google Chrome tienen habilitados los algoritmos PQC.
👁 Por un lado, esta cifra inferior al 2% parece lamentable. Pero cuando consideras cuánto tráfico maneja Cloudflare, te das cuenta de que estos algoritmos poscuánticos se están ampliando a escala. 📈
👨💻 Si estás interesado en saber más, consulta el blog de Cloudflare. Es una disertación de 10.000 palabras que cubre todo, desde por qué necesitamos algoritmos PQC hasta métricas de rendimiento para algoritmos individuales.
https://blog.cloudflare.com/pq-2024?utm_source=substack&utm_medium=email
🔈 Estado de PQC (QSafe) en Internet 🔈
👉 Interesante artículo en el que Cloudflare informa que entre el 1% y el 2% de las conexiones TLS utilizan algoritmos poscuánticos en la actualidad.
👨💻 Casi todo ese tráfico proviene de usuarios de Google Chrome. Según Cloudflare, aproximadamente el 10% de los usuarios de Google Chrome tienen habilitados los algoritmos PQC.
👁 Por un lado, esta cifra inferior al 2% parece lamentable. Pero cuando consideras cuánto tráfico maneja Cloudflare, te das cuenta de que estos algoritmos poscuánticos se están ampliando a escala. 📈
👨💻 Si estás interesado en saber más, consulta el blog de Cloudflare. Es una disertación de 10.000 palabras que cubre todo, desde por qué necesitamos algoritmos PQC hasta métricas de rendimiento para algoritmos individuales.
https://blog.cloudflare.com/pq-2024?utm_source=substack&utm_medium=email
#ciberseguridad #cybersecurity #cissp
30/03/2024
Huellas dactilares en las claves públicas RSA:
🖐 Estas huellas digitales que existen en las cláves públicas RSA permiten identificar la biblioteca criptográfica que generó una clave específica:
- Investigación y hallazgos: En 2016, investigadores analizaron sesenta millones de claves generadas por diversas bibliotecas de código abierto y tarjetas inteligentes de código cerrado. Al estudiar el byte más significativo del módulo de la clave pública, encontraron patrones distintivos. 😮
- Firmas dactilares: Estas “huellas dactilares” se utilizan para determinar qué biblioteca creó una clave en particular. Los patrones subyacentes se deben a diferentes enfoques en la generación de números primos. 🕵♂️
- Riesgo potencial: Estas huellas no son meramente curiosidades. Representan un riesgo cibernético potencial. Si se descubre una vulnerabilidad en una biblioteca popular, estas huellas podrían ayudar a identificar claves vulnerables en uso. Además, el proceso de “fingerprinting” podría contribuir a la desanonimización al utilizar servicios como Tor. 👨💻
- Gráficos interesantes: El artículo presenta mapas de calor que muestran la distribución probable de bits en las claves. Puedes explorar más de estos gráficos y acceder al artículo completo en el siguiente sitio web: RSA Key Fingerprinting. 💹
⚠ Espero que encuentres esta información interesante y útil. ¡Si tienes más preguntas, no dudes en preguntar!⚠
https://rsa.sekan.eu/
Huellas dactilares en las claves públicas RSA:
🖐 Estas huellas digitales que existen en las cláves públicas RSA permiten identificar la biblioteca criptográfica que generó una clave específica:
- Investigación y hallazgos: En 2016, investigadores analizaron sesenta millones de claves generadas por diversas bibliotecas de código abierto y tarjetas inteligentes de código cerrado. Al estudiar el byte más significativo del módulo de la clave pública, encontraron patrones distintivos. 😮
- Firmas dactilares: Estas “huellas dactilares” se utilizan para determinar qué biblioteca creó una clave en particular. Los patrones subyacentes se deben a diferentes enfoques en la generación de números primos. 🕵♂️
- Riesgo potencial: Estas huellas no son meramente curiosidades. Representan un riesgo cibernético potencial. Si se descubre una vulnerabilidad en una biblioteca popular, estas huellas podrían ayudar a identificar claves vulnerables en uso. Además, el proceso de “fingerprinting” podría contribuir a la desanonimización al utilizar servicios como Tor. 👨💻
- Gráficos interesantes: El artículo presenta mapas de calor que muestran la distribución probable de bits en las claves. Puedes explorar más de estos gráficos y acceder al artículo completo en el siguiente sitio web: RSA Key Fingerprinting. 💹
⚠ Espero que encuentres esta información interesante y útil. ¡Si tienes más preguntas, no dudes en preguntar!⚠
https://rsa.sekan.eu/
#ciberseguridad #cybersecurity #cissp
11/03/2024
COLLOSUS
🤖 A pesar de contribuir enormemente al éxito de los aliados en la segunda guerra mundial, pocas personas conocen la máquina Colossus. GCHQ está celebrando el 80 aniversario de la máquina Colossus, con algunas imágenes nunca antes vistas. 🤖
👨💻 Colossus se utilizó para descifrar el cifrado de Lorenz, que cifraba mensajes estratégicos entre oficiales alemanes de alto rango. Es ampliamente considerado como el primer sistema informático digital programable.
🔐 Colossus se mantuvo en secreto hasta principios de la década de 2000 (60 años después), lo que podría explicar su falta de fama. Por el contrario, el mundo conoció la historia de Enigma (otra máquina utilizada para descifrar también y hacer contraespionaje) allá por los años 1970.
⚡ Estas historias en las que vemos que durante 60 años se desencriptaban comunicaciones sin que nadie lo supiera, hacen que uno se pregunte si los cifrados actuales se han descifrado ya de alguna forma, aunque supongo que tendremos que esperar muchos años para descubrirlo. ⚡
👉 Puedes leer el artículo del GCHQ https://www.gchq.gov.uk/news/colossus-80?utm_source=substack&utm_medium=email
COLLOSUS
🤖 A pesar de contribuir enormemente al éxito de los aliados en la segunda guerra mundial, pocas personas conocen la máquina Colossus. GCHQ está celebrando el 80 aniversario de la máquina Colossus, con algunas imágenes nunca antes vistas. 🤖
👨💻 Colossus se utilizó para descifrar el cifrado de Lorenz, que cifraba mensajes estratégicos entre oficiales alemanes de alto rango. Es ampliamente considerado como el primer sistema informático digital programable.
🔐 Colossus se mantuvo en secreto hasta principios de la década de 2000 (60 años después), lo que podría explicar su falta de fama. Por el contrario, el mundo conoció la historia de Enigma (otra máquina utilizada para descifrar también y hacer contraespionaje) allá por los años 1970.
⚡ Estas historias en las que vemos que durante 60 años se desencriptaban comunicaciones sin que nadie lo supiera, hacen que uno se pregunte si los cifrados actuales se han descifrado ya de alguna forma, aunque supongo que tendremos que esperar muchos años para descubrirlo. ⚡
👉 Puedes leer el artículo del GCHQ https://www.gchq.gov.uk/news/colossus-80?utm_source=substack&utm_medium=email
02/01/2024
EL FIN DE UNA ERA DE ENCRIPTACIÓN
⛔ Es oficial: Triple-DES está prohibido para el cifrado en los sistemas federales de EEUU.
NIST retiró SP 800-67 Rev. 2 el 1 de enero. En el futuro, TDES solo se podrá utilizar con fines históricos, como descifrar mensajes antiguos, extraer claves y verificar MAC.
Marca el final de una era que se remonta a 1981. Sin embargo, no es el fin del TDES en sí.
💳 La industria de pagos sigue siendo un gran usuario del algoritmo, todavía se considera que TDES proporciona niveles suficientes de seguridad por ahora. PCI-DSS define "criptografía fuerte" como cualquier algoritmo probado en la industria que proporcione seguridad de 112 bits, como mínimo. No hace referencia a los estándares o algoritmos por su nombre, por lo que TDES aún cumple.
☠ Como es habitual, con las migraciones criptográficas, podemos esperar ver TDES en nuestras vidas durante muchos años más. Pero ciertamente hemos pasado a las etapas finales de su vida, porque muy probablemente, como suele pasar, tras NIST el resto de reguladores seguirá los mismos pasos.
EL FIN DE UNA ERA DE ENCRIPTACIÓN
⛔ Es oficial: Triple-DES está prohibido para el cifrado en los sistemas federales de EEUU.
NIST retiró SP 800-67 Rev. 2 el 1 de enero. En el futuro, TDES solo se podrá utilizar con fines históricos, como descifrar mensajes antiguos, extraer claves y verificar MAC.
Marca el final de una era que se remonta a 1981. Sin embargo, no es el fin del TDES en sí.
💳 La industria de pagos sigue siendo un gran usuario del algoritmo, todavía se considera que TDES proporciona niveles suficientes de seguridad por ahora. PCI-DSS define "criptografía fuerte" como cualquier algoritmo probado en la industria que proporcione seguridad de 112 bits, como mínimo. No hace referencia a los estándares o algoritmos por su nombre, por lo que TDES aún cumple.
☠ Como es habitual, con las migraciones criptográficas, podemos esperar ver TDES en nuestras vidas durante muchos años más. Pero ciertamente hemos pasado a las etapas finales de su vida, porque muy probablemente, como suele pasar, tras NIST el resto de reguladores seguirá los mismos pasos.
#ciberseguridad #cybersecurity #cissp
22/12/2023
👨💻 Para aquellos que se preocupan por una Internet segura y protegida, eIDAS 2.0 contiene muchas disposiciones preocupantes. Como recordatorio, eIDAS regula las transacciones electrónicas dentro de la UE. Define las reglas para firmas electrónicas, marcas de tiempo y otras tecnologías relacionadas.
📔 Una nueva versión de la norma se encuentra en la fase de aprobación. Y eso es preocupante porque incluye nuevas reglas para los certificados de sitios web que debilitarán la web. Según las nuevas reglas, los fabricantes de navegadores se verán obligados a confiar en las autoridades certificadoras seleccionadas por los estados miembros de la UE. Esto significa que se agregarán más de 40 nuevas autoridades certificadoras (CA) de la noche a la mañana a la lista de autoridades confiables. Cada uno de estos tendrá el poder de generar un certificado para cualquier sitio web del mundo.
⚠ Hoy en día, las alrededor de 80 CA en las que confían sus navegadores se ven obligadas a cumplir con estrictos requisitos de seguridad, establecidos por los propios navegadores. Estos mismos estándares no se aplicarán a las listas de la UE y, sin embargo, los navegadores no deben tratarlos de manera diferente.
😒 En resumen, esto significará que una CA de cualquier micropaís podrá emitir certificados para todos los sitios web importantes del mundo. Lamentablemente la seguridad en Internet está a punto de empeorar. La UE ha ignorado hasta ahora las peticiones de cientos de expertos en seguridad y parece que los próximos pasos son una formalidad.
Feliz Navidad 🎅
👨💻 Para aquellos que se preocupan por una Internet segura y protegida, eIDAS 2.0 contiene muchas disposiciones preocupantes. Como recordatorio, eIDAS regula las transacciones electrónicas dentro de la UE. Define las reglas para firmas electrónicas, marcas de tiempo y otras tecnologías relacionadas.
📔 Una nueva versión de la norma se encuentra en la fase de aprobación. Y eso es preocupante porque incluye nuevas reglas para los certificados de sitios web que debilitarán la web. Según las nuevas reglas, los fabricantes de navegadores se verán obligados a confiar en las autoridades certificadoras seleccionadas por los estados miembros de la UE. Esto significa que se agregarán más de 40 nuevas autoridades certificadoras (CA) de la noche a la mañana a la lista de autoridades confiables. Cada uno de estos tendrá el poder de generar un certificado para cualquier sitio web del mundo.
⚠ Hoy en día, las alrededor de 80 CA en las que confían sus navegadores se ven obligadas a cumplir con estrictos requisitos de seguridad, establecidos por los propios navegadores. Estos mismos estándares no se aplicarán a las listas de la UE y, sin embargo, los navegadores no deben tratarlos de manera diferente.
😒 En resumen, esto significará que una CA de cualquier micropaís podrá emitir certificados para todos los sitios web importantes del mundo. Lamentablemente la seguridad en Internet está a punto de empeorar. La UE ha ignorado hasta ahora las peticiones de cientos de expertos en seguridad y parece que los próximos pasos son una formalidad.
Feliz Navidad 🎅
#ciberseguridad #cybersecurity #cissp
04/12/2023
Fallo en SSH
⚠ Un grupo de investigadores sorprendieron a la comunidad criptográfica al recuperar claves privadas utilizadas en conexiones SSH. De vez en cuando fallos del hardware provocan que se utilice una firma RSA incorrecta en una conexión SSH. Cuando se detectan estos fallos, se pueden usar para recuperar la clave privada RSA.
👨💻 Se pensaba que las conexiones SSH eran inmunes a este tipo de ataque porque un observador pasivo no tiene acceso al secreto compartido de Diffie-Hellman. Pero un nuevo artículo (https://lnkd.in/dFyNPNA6) demuestra una forma de sortear esta limitación y recuperó con éxito cientos de claves privadas RSA.
🤙 Sin embargo, no hay necesidad de entrar en pánico. Los investigadores examinaron 1.200 millones de registros RSA SSH y encontraron solo 500.000 errores de firma (0,04%). Sólo alrededor de 5.000 de estos fallos revelaron la clave privada, lo que llevó a la identificación de sólo 189 claves privadas RSA únicas.
👉 Afortunadamente, solucionar este problema es bastante sencillo. Las implementaciones SSH deben validar sus firmas antes de enviarlas. Muchas implementaciones comunes ya hacen esto.
👌 A pesar de la falta de peligro inmediato, este sigue siendo otro poderoso ejemplo de cómo los investigadores pueden dañar sistemas de maneras inesperadas. Crypto-agility será cada vez más importante en los próximos años.
Fallo en SSH
⚠ Un grupo de investigadores sorprendieron a la comunidad criptográfica al recuperar claves privadas utilizadas en conexiones SSH. De vez en cuando fallos del hardware provocan que se utilice una firma RSA incorrecta en una conexión SSH. Cuando se detectan estos fallos, se pueden usar para recuperar la clave privada RSA.
👨💻 Se pensaba que las conexiones SSH eran inmunes a este tipo de ataque porque un observador pasivo no tiene acceso al secreto compartido de Diffie-Hellman. Pero un nuevo artículo (https://lnkd.in/dFyNPNA6) demuestra una forma de sortear esta limitación y recuperó con éxito cientos de claves privadas RSA.
🤙 Sin embargo, no hay necesidad de entrar en pánico. Los investigadores examinaron 1.200 millones de registros RSA SSH y encontraron solo 500.000 errores de firma (0,04%). Sólo alrededor de 5.000 de estos fallos revelaron la clave privada, lo que llevó a la identificación de sólo 189 claves privadas RSA únicas.
👉 Afortunadamente, solucionar este problema es bastante sencillo. Las implementaciones SSH deben validar sus firmas antes de enviarlas. Muchas implementaciones comunes ya hacen esto.
👌 A pesar de la falta de peligro inmediato, este sigue siendo otro poderoso ejemplo de cómo los investigadores pueden dañar sistemas de maneras inesperadas. Crypto-agility será cada vez más importante en los próximos años.
#ciberseguridad #cybersecurity #cissp
04/12/2023
CUÁNTICAMENTE SEGURO, PERO MUY ARRIESGADO
🤓 En la reciente conferencia PQC del PKI Consortium, el NIST reconoció que habían recibido muchos comentarios sólidos desde que se recomendaron hash-based signatures en CNSA 2.0.
🗒 Como recordatorio, CNSA significa conjunto de algoritmos de seguridad nacional comercial. Enumera los algoritmos criptográficos recomendados para ser utilizados por los operadores de sistemas de seguridad nacionales. En septiembre de 2022 se actualizó la CNSA. Ahora recomienda utilizar esquemas basados en hash con estado para la firma de firmware y software. El beneficio de estos esquemas es que están estandarizados y son seguros cuánticamente.
⚠ Entonces, ¿por qué seguimos preocupados? Bueno, porque los esquemas con estado son muy diferentes de los algoritmos criptográficos normales. Con un esquema normal, usted genera una clave y la usa durante el tiempo que recomienda el NIST (normalmente de 1 a 2 años, según el tipo de clave y el caso de uso). Por el contrario, con un esquema con estado, se genera una colección finita de claves que solo se pueden usar una vez. Si alguna vez usa accidentalmente la misma clave dos veces, la seguridad colapsa y es trivial romper la clave.
💾 Es fundamental evitar alteraciones accidentales o maliciosas del estado. Esto implica que necesita utilizar dispositivos de hardware para proteger sus claves y su información de estado. También tendrá dificultades para realizar copias de seguridad de esos dispositivos o hacerlos de alta disponibilidad porque será casi imposible sincronizar el estado entre sistemas separados.
📉 Si a esto le sumamos el hecho de que tenemos un número finito de firmas que podemos realizar, obtenemos un sistema frágil y semipeligroso. Por esta razón, imagino que muchos proveedores postergarán la implementación de estos algoritmos y esperarán a que se estandaricen Dilithium y SPHINCS+.
Si decides seguir adelante con estos algoritmos, ¡ten cuidado!
CUÁNTICAMENTE SEGURO, PERO MUY ARRIESGADO
🤓 En la reciente conferencia PQC del PKI Consortium, el NIST reconoció que habían recibido muchos comentarios sólidos desde que se recomendaron hash-based signatures en CNSA 2.0.
🗒 Como recordatorio, CNSA significa conjunto de algoritmos de seguridad nacional comercial. Enumera los algoritmos criptográficos recomendados para ser utilizados por los operadores de sistemas de seguridad nacionales. En septiembre de 2022 se actualizó la CNSA. Ahora recomienda utilizar esquemas basados en hash con estado para la firma de firmware y software. El beneficio de estos esquemas es que están estandarizados y son seguros cuánticamente.
⚠ Entonces, ¿por qué seguimos preocupados? Bueno, porque los esquemas con estado son muy diferentes de los algoritmos criptográficos normales. Con un esquema normal, usted genera una clave y la usa durante el tiempo que recomienda el NIST (normalmente de 1 a 2 años, según el tipo de clave y el caso de uso). Por el contrario, con un esquema con estado, se genera una colección finita de claves que solo se pueden usar una vez. Si alguna vez usa accidentalmente la misma clave dos veces, la seguridad colapsa y es trivial romper la clave.
💾 Es fundamental evitar alteraciones accidentales o maliciosas del estado. Esto implica que necesita utilizar dispositivos de hardware para proteger sus claves y su información de estado. También tendrá dificultades para realizar copias de seguridad de esos dispositivos o hacerlos de alta disponibilidad porque será casi imposible sincronizar el estado entre sistemas separados.
📉 Si a esto le sumamos el hecho de que tenemos un número finito de firmas que podemos realizar, obtenemos un sistema frágil y semipeligroso. Por esta razón, imagino que muchos proveedores postergarán la implementación de estos algoritmos y esperarán a que se estandaricen Dilithium y SPHINCS+.
Si decides seguir adelante con estos algoritmos, ¡ten cuidado!
#ciberseguridad #cybersecurity #cissp