Salta la alarma sobre la seguridad de la encriptación en los servidores
Según un estudio de la compañía de soluciones de seguridad nCipher
Según esta empresa, dentro de la criptografía existen dos tipos de llaves: la pública y la privada. Ambas son utilizadas para encriptar y desencriptar todo tipo de información. La seguridad de los mensajes encriptados depende directamente de la longitud en las llaves utilizadas para realizar esa encriptación.
A partir de esto, Colin Bastable, director de ventas y marketing para Europa de la corporación inglesa, comenta que “debido al crecimiento del mercado PKI (Public Key Infrastructure, o Infraestructura de Llave Pública), en el cual se encuentran las principales corporaciones y bancos, cada vez hay más llaves que están fuera del mismo. Sin embargo, cuantas más llaves haya en ese mercado, más fácil será encontrarlas”.
Dificultades en la búsqueda
La empresa añade que, desde el principio, se ha pensado que la búsqueda para una llave privada en un servidor Web sería extremadamente difícil porque las llaves pueden ocupar unos pocos cientos de bytes de espacio en un servidor que podría contener decenas de gigabytes de información. Asi, nCypher comenta que ha descubierto que encontrar estas llaves es mucho más fácil de lo que en un primer momento se había pensado. De acuerdo con esta compañía, desde que la mayoría de los esquemas de encriptación están basados en complicadas propiedades matemáticas es mucho más sencillo que sean identificadas a través de búsquedas de esas propiedades. Por ello, esta búsqueda no significa otra cosa que los ataques a estas llaves sean posibles. De cualquier manera, cualquier usuario con la capacidad para ejecutar software de un servidor de comercio electrónico de una compañía puede localizar estas llaves, permitiendo el acceso a lo que, a priori, es información segura dentro del servidor, oscilando entre los datos personales del usuario y los números de la tarjeta de crédito, según esta compañía de soluciones de seguridad.
Aplausos por parte de Microsoft
La bienvenida de este estudio ha sido variada. Sin embargo, y entre los más satisfechos de su aparición se encuentra Microsoft, la cual ha asegurado que estudios de este tipo “hacen capaces a los propios usuarios de saber lo que tienen que hacer y de decidir dónde quieren guardar sus datos”, según la compañía. Bastable confirma además que este peligro se puede extender a otros segmentos del mercado, tales como al de los ASPs (Application Service Provider), puesto que “éstos ofrecen acceso autorizado a los servidores a mucha gente. Cuanto más personas haya autorizadas para este acceso, es lógico que entonces sea mucho más fácil que se produzcan ataques en otras áreas que incluso sean totalmente ajenas al segmento de los servidores”.