El icono o URL indica OpenSSL, un conjunto de herramientas de criptografía que implementa el protocolo SSL, o un sistema similar se utiliza. Una nueva investigación de un equipo de colaboradores ha desarrollado un ataque que puede burlar la seguridad de OpenSSL deben proporcionar. El ataque se trabajó en una versión muy particular del software OpenSSL, 0.9.8g, y sólo cuando un conjunto específico de opciones se utilizaron.
El Dr. Dan Page, profesor titular de Ciencias de la Computación en el Departamento de Ciencias de la Computación en la Universidad de Bristol, y uno de los equipo de colaboración, presentará una ponencia en la conferencia RSA en San Francisco, hoy [miércoles 29 de febrero] sobre el EPSRC, financiado por investigación.
El ataque trabajado apuntando a un error en el software. Mensajes cuidadosamente construidos fueron enviados a la web del servidor, cada uno de los que provocó el error y la parte permitida de una clave criptográfica que debe recuperarse. Uso de mensajes suficientes, la clave de todo se pudo recuperar.
El Dr. Dan Page dijo: “Nuestro trabajo sugiere un problema de fondo con software y hardware desempeñando un papel cada vez más importantes en nuestro día a día la vida, ¿cómo se puede y debemos confiar en que son correctos.?
“La respuesta, al menos en parte, es un mayor énfasis en la inversión en la verificación formal y corrección de software de código abierto . Nuestra investigación pone de relieve el importante papel que este tema va a jugar por los ingenieros de software del futuro. ”
SSL está diseñado para proporcionar dos garantías. En primer lugar, que un servidor web que se accede es el esperado, y, en segundo lugar, que la comunicación posterior entre el usuario y el servidor web no puede ser leída por nadie más.
Ambas garantías son importantes para los sitios web de comercio electrónico que necesitan para gestionar los datos confidenciales , tales como datos de su tarjeta de crédito de forma segura y confiable. Sin embargo, ambos dependen de la web del servidor de mantenimiento de las claves de cifrado diferentes secreto.
OpenSSL está incrustado en muchas plataformas, en particular los basados en el sistema operativo Linux. Algunos proveedores de sistemas operativos han comenzado a lanzar advertencias que incitan la actualización de las versiones de OpenSSL. Esto actúa para limitar las consecuencias de un ataque.
Artículos relacionados
Etiquetas: icono de candado en el navegador, OpenSSL