Los laboratorios Bell advierten sobre la vulnerabilidad de SSL
El defecto descubierto por Bell Laboratories en el protocolo de seguridad en Internet SSL (Secure Sockets Layers) permite a los piratas informáticos descubrir la clave para desencriptar e interceptar sesiones SSL mediante un complejo proceso de análisis matemático.
SSL es un protocolo de encriptación, desarrollado por Netscape Communications basándose en tecnología de RSA Data Security, que trabaja en el nivel de sesión. Su utilización generalizada en Internet para encriptar sesiones entre el servidor Web y el navegador, hace que el descubrimiento de este defecto pueda tener implicaciones negativas para el comercio electrónico.
Según los expertos, la vulnerabilidad descubierta afecta a los protocolos de establecimiento de clave interactivo que utilizan Public Key Criptography Standard (PKCS) 1, diseñado hace años por RSA. Esta compañía ya ha anunciado que está modificando PKCS 1 para corregir el problema y que ofrecerá una segunda versión probablemente a lo largo de este mes.
El proceso que habría de seguir un pirata para descubrir las claves de encriptación exigiría el análisis de cómo un servidor Web basado en SSL responde a una gran cantidad de mensajes y supondría la realización de aproximadamente un millón de intentos. Pero lo que realmente inquieta a las compañías implicadas es la posibilidad de que este proceso pudiera llegar a automizarse mediante el desarrollo de un software pirata específico.
Ante esta situación varios fabricantes de servidores Web han comenzado a ajustar su software para evitar el peligro. Por el momento, C2 Software, Consensus Development, IBM, Lotus Development, Microsoft, Netscape, Open Market y RSA, entre otros, han comenzado a avisar a sus clientes del problema a través de sus páginas Web.
Además, Microsoft aconseja al usuario que, mientras este defecto no haya sido corregido, cambien los certificados en la parte servidor de manera regular, a fin de que los piratas no puedan aprovechar los análisis sobre transacciones que fueran encriptadas con la clave previa. También sugiere que no se utilice el mismo certificado para una granja completa de servidores, ya que, si múltiples máquinas son configuradas con el mismo certificado, el asaltante podría utilizar la capacidad de procesamiento de cada una de ellas para intentar entrar en una única sesión y reducir así el tiempo requerido para conseguir averiguar las claves de desencriptación.
