Categories: SeguridadVirus

Claves de firma digital inseguras en GnuPG

GnuPG es un software Open Source (GPL) y gratuito, que permite la

firma y cifrado de documentos mediante criptografía simétrica y

asimétrica. GnuPG está inspirado en el popular PGP (Pretty Good

Privacy), y nació como respuesta a la introducción de las variantes PGP

comerciales. GnuPG cumple el estándar OpenPGP. Aunque GnuPG es una

herramienta fundamentalmente UNIX y línea de comando, existen

implementaciones también para plataformas Windows, y frontales gráficos

para un uso más simple.

Las claves de firmado digital

ElGamal generadas con las últimas versiones de GnuPG (a partir de

1.0.2, inclusive) resultan inseguras, de forma que un atacante puede

obtener información suficiente como para obtener la clave secreta de

firma y conseguir la falsificación de firmas digitales.

Los

usuarios que empleen claves ElGamal para firma digital deberían

revocarlas y regenerar claves de firma nuevas.

La vulnerabilidad

afecta exclusivamente a las claves de firma ElGamal. Las claves de

cifrado RSA y ElGamal, y firma DSA y RSA no se ven afectadas.

Es

de señalar que para generar ese tipo de claves se requiere activar un

modo especial en el programa, al ser consideradas ineficientes, por lo

que es de esperar que el número de personas afectadas por esta grave

vulnerabilidad sea reducido. Las primeras estimaciones indican unas

1.200 claves vulnerables en los servidores de claves públicos o,

aproximadamente, el 0,04 por ciento del total disponible de forma

pública.

La vulnerabilidad introducida en GnuPG 1.0.2

consiste en intentar generar claves de firma ElGamal con parámetros que

permitan su procesado más eficiente. Lamentablemente los parámetros

seleccionados hacen que las claves generadas sean inseguras, de forma

que a partir de una firma digital se puede descubrir la clave secreta.

Es de destacar que una clave ElGamal generada por una versión previa de GnuPG

será segura mientras no se utilice dicha clave para generar nuevas

firmas en versiones modernas de GnuPG. Por ello, lo más recomendable es

revocar y regenerar las claves ElGamal de firma, independientemente de

su fecha de generación original.

Para identificar claves

vulnerables, basta con listar sus parámetros y comprobar si se trata de

una clave de firma ElGamal (letra G mayúscula), en cuyo caso será

vulnerable. Cualquier otro tipo, como cifrado Elgamal (letra g

minúscula), RSA o DSA, no presentan ningún problema.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

“La IA allanará el camino hacia una jornada laboral más corta”

LinkedIn comparte una lista con las cinco tendencia que definirán la senda del mercado laboral…

13 horas ago

9 tendencias para 2025 en el campo de la ciberseguridad

Proopoint cree que el año que viene los delincuentes manipularán datos privados asociados a la…

14 horas ago

El sector TIC español invertirá más en innovación a lo largo del próximo año

Las implantación de nuevas herramientas, la optimización de productos ya existentes y la adopción de…

15 horas ago

8 de cada 10 responsables de seguridad optan por la IA generativa basada en plataformas

La mayoría renovaría por completo su infraestructura de seguridad para adoptar soluciones totalmente integradas.

16 horas ago

PUE DATA: “Sin duda, el 2025 la explosión de los espacios de datos”

Entrevistamosa Sergio Rodríguez, CTO de PUE DATA, para hablar del "boom" de los espacios de…

17 horas ago

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

3 días ago