Primero, las claves de cifrado que protegen las conexiones SSH fueron robadas en un nuevo ataque

Por primera vez, los investigadores han demostrado que una parte importante de las claves de cifrado utilizadas para proteger los datos en el tráfico SSH de computadora a servidor son vulnerables a un compromiso total cuando ocurren errores computacionales naturales durante el establecimiento de la conexión.

Para subrayar la importancia de su descubrimiento, los investigadores utilizaron sus hallazgos para calcular la parte privada de casi 200 claves SSH únicas que observaron en escaneos públicos de Internet realizados durante los últimos siete años. Los investigadores sospechan que las claves utilizadas en las comunicaciones IPsec podrían correr la misma suerte. SSH es el protocolo de cifrado utilizado en conexiones de shell seguras que permite a las computadoras acceder de forma remota a servidores, generalmente en entornos empresariales sensibles a la seguridad. IPsec es un protocolo utilizado por redes privadas virtuales que enruta el tráfico a través de un túnel cifrado.

La vulnerabilidad ocurre cuando ocurren errores durante la generación de firmas cuando el cliente y el servidor establecen una conexión. Sólo afecta a las claves que utilizan el algoritmo de cifrado RSA, que los investigadores encontraron en casi un tercio de las firmas SSH que examinaron. Esto significa aproximadamente mil millones de firmas de los 3,2 mil millones de firmas examinadas. De los aproximadamente mil millones de firmas RSA, aproximadamente una de cada millón expone la clave privada del host.

Aunque el porcentaje es muy pequeño, el resultado es sorprendente por varias razones, en particular porque la mayoría de los programas SSH en uso han implementado una contramedida durante décadas que verifica si hay errores de firma antes de enviarla a través de Internet. Otro motivo de la sorpresa es que hasta ahora, los investigadores creen que los errores de firma solo revelaban las claves RSA utilizadas en el protocolo TLS (o Transport Layer Security) que cifra las comunicaciones web y de correo electrónico. Creían que el tráfico SSH era inmune a tales ataques porque los atacantes pasivos (es decir, los adversarios que monitorean el tráfico a medida que pasa) no podían ver parte de la información necesaria cuando ocurrían errores.

Los investigadores señalan que desde el lanzamiento de la versión 1.3 de TLS en 2018, el protocolo ha cifrado los mensajes de protocolo de enlace que se producen al negociar una sesión web o de correo electrónico. Esto sirvió como contramedida adicional para proteger la liquidación principal en caso de un error de cálculo. Keegan Ryan, investigador de la Universidad de California en San Diego y uno de los autores del artículo, sugirió que es hora de que otros protocolos incluyan las mismas protecciones adicionales.

En un correo electrónico, Ryan escribió:

Aunque el protocolo SSH existe desde hace casi 18 años y está ampliamente implementado, todavía estamos encontrando nuevas formas de explotar errores en los protocolos criptográficos e identificar aplicaciones vulnerables. Según nuestros datos, aproximadamente una de cada millón de firmas SSH reveló la clave privada del host SSH. Aunque esto es poco común, la gran cantidad de tráfico de Internet indica que los errores RSA en SSH ocurren con regularidad. Aunque la gran mayoría de las conexiones SSH no se ven afectadas, sigue siendo importante protegerse contra estos fallos. Sólo se necesita una firma incorrecta en una aplicación desprotegida para revelar la clave.

Afortunadamente, las implementaciones SSH más populares incluyen contramedidas para evitar que los errores de firma RSA causen filtraciones de claves catastróficas, pero las implementaciones que no lo hicieron aún eran lo suficientemente populares como para aparecer en nuestros datos.

Los nuevos hallazgos se presentaron en un artículo de investigación publicado a principios de este mes titulado «Hackeo pasivo de claves SSH a través de sinapsis“Se basa en una serie de descubrimientos que abarcan más de dos décadas. 1996 Y 1997Los investigadores publicaron resultados que, en conjunto, concluyen que cuando los errores computacionales que ocurren naturalmente conducen a una firma RSA defectuosa, un adversario puede usarla para calcular la parte privada del par de claves subyacente.