Los investigadores han logrado determinar el secreto de la clave RSA de un token de autenticación RSA SecurID 800, en solo 13 minutos. El ataque descrito en el documento, "Efficient Padding Oracle Attacks on Cryptographic Hardware" (Ataques Padding Oracle eficientes en criptografía de hardware), escrito por Bardou, Focardi, Kawamoto, Simionato, Steel y Tsay no es nada nuevo.

Los investigadores de seguridad lo implementaron por medio de la mejora del “ataque del millón de mensajes”. Al que comunmente se le resta importancia por ser poco práctico; el ataque, que data de hace más de 10 años y que también es conocido  como  el ataque  Bleichenbacher, se ha convertido en una posibilidad real.

Según el documento, "Aladdin eToken Pro, SafeNet iKey 2032, Cyberflex de Gemalto", el CardOS de Siemens y otros, también son vulnerables a este tipo de ataques. Estos tokens se utilizan principalmente para autenticación de dos vías en entornos con altos requerimientos de seguridad, tales como bancos y agencias gubernamentales, debido a que se supone que es imposible extraer la clave secreta de tal token, por lo que todavía proporciona protección aún cuando, por ejemplo, el equipo en el que se utiliza ha sido comprometido.

El token de RSA SecurID 800 es uno de al menos 5 productos vulnerables

El método utilizado es un ataque Padding Oracle, un caso especial de un ataque conocido como "adaptive chosen-ciphertext attack"(ataque adaptado del texto-cifrado elegido), este se basa en el hecho de que el cifrado se realiza siempre en bloques de longitud fija y que el último bloque generalmente tiene que ser llenado fuera de esta longitud. Si un atacante obtiene un mensaje codificado correctamente y modifica el relleno, la función de descifrado en general se dará cuenta de que el relleno no es válido y emitirá un mensaje de error o por lo menos se comportará de manera diferente de lo que sería si el relleno fuera válido.

Muy raramente el atacante dará con un relleno válido por casualidad. Dando los suficientes golpes de suerte, un atacante puede determinar la clave secreta utilizada para el cifrado.

A pesar de que este problema se conoce desde hace varios años, muchas empresas siguen utilizando el tipo de relleno (especificado por el estándar RSA-PKCS#1 v1.5) el cual deja susceptible a este tipo de ataques. El especialista en criptografía Matthew Green ha sugerido que este débil algoritmo sea finalmente retirado y sustituido por RSA-OAEP, que es significativamente mejor y que es utilizado en PKCS#1 versión 2 y posteriores. En su blog, insta a las empresas productoras de sistemas criptográficos:  "Esta es la última advertencia que tendrán."