Seguridad de TI
Páginas: 2 (420 palabras)
Publicado: 6 de noviembre de 2013
Los datos extraídos alcanzan casi los 10Gb. Unos 130 millones de credenciales que Adobe ha ido almacenando a lo largo de varios años. Entre las cuentas robadas pueden observarse algunas quepertenecen a agencias del gobierno norteamericano tales como el FBI.
El problema hubiera sido "menor" si estas credenciales hubieran estado almacenadas en forma de hash usando una función sólida (sinproblemas conocidos de seguridad) y aplicando buenas prácticas. Este tipo de funciones son teóricamente irreversibles, es decir, una vez almacenado el hash debería ser imposible conocer qué cadena (lacontraseña) lo originó. Es lo que se conoce como criptografía asimétrica.
Adobe, sin embargo, no optó por almacenar los hashes de las credenciales. En vez de ello las contraseñas eran cifradas con unalgoritmo denominado TripleDES. Este algoritmo simétrico surgió debido a un problema de seguridad en el algoritmo DES relacionado con la longitud de clave (56 bits).
TripleDES es el resultado deencadenar tres veces el algoritmo DES en cada bloque de datos. Un método simple de prolongar la longitud de clave (168 bits) para reusar el DES y no invertir en el diseño de un nuevo algoritmo. Pero comosuele ser habitual en seguridad, era cuestión de tiempo para que surgieran ataques sobre TripleDES, como "Meet-in-the-middle" o a través del cifrado aislado de porciones conocidas de texto claro quese sospechen estén incluidas dentro del texto cifrado. Todos estos ataques tienden a reducir la efectividad de la longitud de clave.
Además, en el caso de Adobe se usó TripleDES con el método ECB(Electronic CodeBook). Esto quiere decir que el texto claro se separa el bloques de idéntico tamaño y es cifrado de manera independiente. El resultado final es que dos porciones o bloques que tengan elmismo texto claro tendrán la misma apariencia cuando sean cifrados. No es necesario decir que esto representa una ventaja enorme para el atacante.
Una mala práctica el escoger un cifrado...
El problema hubiera sido "menor" si estas credenciales hubieran estado almacenadas en forma de hash usando una función sólida (sinproblemas conocidos de seguridad) y aplicando buenas prácticas. Este tipo de funciones son teóricamente irreversibles, es decir, una vez almacenado el hash debería ser imposible conocer qué cadena (lacontraseña) lo originó. Es lo que se conoce como criptografía asimétrica.
Adobe, sin embargo, no optó por almacenar los hashes de las credenciales. En vez de ello las contraseñas eran cifradas con unalgoritmo denominado TripleDES. Este algoritmo simétrico surgió debido a un problema de seguridad en el algoritmo DES relacionado con la longitud de clave (56 bits).
TripleDES es el resultado deencadenar tres veces el algoritmo DES en cada bloque de datos. Un método simple de prolongar la longitud de clave (168 bits) para reusar el DES y no invertir en el diseño de un nuevo algoritmo. Pero comosuele ser habitual en seguridad, era cuestión de tiempo para que surgieran ataques sobre TripleDES, como "Meet-in-the-middle" o a través del cifrado aislado de porciones conocidas de texto claro quese sospechen estén incluidas dentro del texto cifrado. Todos estos ataques tienden a reducir la efectividad de la longitud de clave.
Además, en el caso de Adobe se usó TripleDES con el método ECB(Electronic CodeBook). Esto quiere decir que el texto claro se separa el bloques de idéntico tamaño y es cifrado de manera independiente. El resultado final es que dos porciones o bloques que tengan elmismo texto claro tendrán la misma apariencia cuando sean cifrados. No es necesario decir que esto representa una ventaja enorme para el atacante.
Una mala práctica el escoger un cifrado...
Leer documento completo
Regístrate para leer el documento completo.