 |  | | | |  | |  |  | Noticias anteriores
|  |  | |
| Martes, 15 noviembre | | · | Uponor lanza una nueva promoción con su herramienta M12 para Q&E |
| · | Madrid vuelve a la Tecnología Cavernícola |
| Domingo, 13 noviembre | | · | TuneUp Utilities 2012 aumenta la vida útil de la batería hasta en un 30% y manti |
| · | La UE aprueba la adquisición de Arla de Allgäuland-Käsereien |
| · | Netbook AIRIS KIRA N9000, el compañero de viaje perfecto |
| · | Los accesorios RTM de Uponor para MLCP traen regalos en Navidad |
| Martes, 25 octubre | | · | Grupo i68 firma un acuerdo con Grupo IMASA para la implantación de su sistema de |
| Jueves, 20 octubre | | · | ¿El arranque de tu PC es extremadamente lento? |
| Martes, 18 octubre | | · | Trend Micro presenta en EuropaDeep Security 8 |
| Lunes, 17 octubre | | · | Actualización del firmware Android 2.3 para la tableta Allview AllDro 2 |
| · | CirrusGH presenta nuevos accesorios para iPhone e iPod |
| Sábado, 15 octubre | | · | Grupo i68 abre sus fronteras con Izaro APS |
| Lunes, 10 octubre | | · | bizhub PRO C6000 de Konica Minolta: la Impresora del año 2011 |
| Sábado, 01 octubre | | · | TuneUp Utilities 2012 reduce el consumo de energía y conserva los recursos de si |
| · | Uponor participa en el Congreso Internacional de empresas instaladoras |
| Martes, 13 septiembre | | · | Flexo y Cornice, lo nuevo de TUCANO para iPad2 llega al mercado español |
| · | Aumenta la gama Prodata, apuesta de CirrusGH para el almacenamiento profesional |
| Viernes, 09 septiembre | | · | Personaliza tu PC con TuneUp Utilities |
| Viernes, 02 septiembre | | · | PATTON SmartNode™ presenta dos innovadoras líneas de producto BRI VoIP |
| Martes, 16 agosto | | · | InterFAX se alía con Microsoft para facilitar el envío de documentos Office por fax |
Artículos Viejos
|
|
|
|
 |  | | | |  |  |
|
| | | | | | | | |
Claves de firma digital inseguras en GnuPG
|  | |  | | |
| Enviado el Domingo, 14 diciembre a las 22:45:48 por Webmaster |
 Las claves de firma digital "ElGamal" generadas con versiones recientes de GnuPG son inseguras, lo que puede filtrar información suficiente como para regenerar la clave secreta de firma y permitir la falsificación de firmas digitales.
GnuPG es un
software "Open
Source" (GPL) y
gratuito, que
permite la
firma y cifrado
de documentos
mediante
criptografía
simétrica y
asimétrica.
GnuPG está
inspirado en el
popular PGP (Pretty
Good
Privacy), y
nació como
respuesta a la
introducción de
las variantes
PGP comerciales.
GnuPG cumple el
estándar OpenPGP.
Aunque GnuPG es
una herramienta
fundamentalmente
UNIX y línea de
comando, existen
implementaciones
también para
plataformas
Windows, y
frontales
gráficos para un
uso más simple.
Las claves de
firmado digital
"ElGamal"
generadas con
las últimas
versiones de
GnuPG (a partir
de 1.0.2,
inclusive)
resultan
inseguras,
de forma que un
atacante puede
obtener
información
suficiente como
para obtener la
clave secreta de
firma y
conseguir la
falsificación
de firmas
digitales.
Los usuarios que
empleen claves
ElGamal para
firma digital
deberían
revocarlas y
regenerar claves
de firma nuevas.
La
vulnerabilidad
afecta
exclusivamente a
las claves de
firma ElGamal.
Las claves de
cifrado RSA y
ElGamal, y firma
DSA y RSA no se
ven
afectadas.
Es de señalar
que para generar
ese tipo de
claves se
requiere activar
un
modo especial en
el programa, al
ser consideradas
ineficientes,
por lo
que es de
esperar que el
número de
personas
afectadas por
esta grave
vulnerabilidad
sea reducido.
Las primeras
estimaciones
indican unas
1200
claves
vulnerables en
los servidores
de claves
públicos o,
aproximadamente,
el 0'04% del
total disponible
de forma
pública.
La
vulnerabilidad
introducida en
GnuPG 1.0.2
consiste en
intentar
generar claves
de firma ElGamal
con parámetros
que permitan su
procesado
más eficiente.
Lamentablemente
los parámetros
seleccionados
hacen que
las claves
generadas sean
inseguras, de
forma que a
partir de una
firma
digital se puede
descubrir la
clave secreta.
Es de destacar
que una clave
ElGamal generada
por una versión
previa de
GnuPG será
segura mientras
no se utilice
dicha clave para
generar nuevas
firmas en
versiones
modernas de
GnuPG. Por ello,
lo más
recomendable es
revocar y
regenerar las
claves ElGamal
de firma,
independientemente
de
su fecha de
generación
original.
Para identificar
claves
vulnerables,
basta con listar
sus parámetros y
comprobar si se
trata de una
clave de firma
ElGamal (letra
"G" mayúscula),
en cuyo caso
será vulnerable.
Cualquier otro
tipo, como
cifrado Elgamal
(letra "g"
minúscula), RSA
o DSA, no
presentan ningún
problema.
Fuente :
Hispasec
|
|
|
|
| | | | | | |
| |
| | | | | | | | | Votos del Artículo
| | | |
Puntuación Promedio: 5
votos: 1
|
|
|
|
| | | | | | |
|
| | | | | | | |  |
|  | | | | |
| "" | Entrar/Crear Cuenta | 0 Comentarios |
|
| | Los comentarios son propiedad de quien los envió. No somos responsables por su contenido. |
|
|
|
|
| | | | | | |
| | | | | | | | |
| | | | | |
|
No se permiten comentarios Anónimos, Regístrate por favor |
|
|
|
| | | | | | |
|
Inicio:
Miembros:
Secciones:
Estadísticas: