Negocios deberían hacer presión en proveedores para que actualicen sus aplicaciones que usen cifrado de datos de menos de 1,024 bits antes de que sea demasiado tarde.

Lo que es actualmente una petición de actualización voluntaria por parte de Microsoft parece que se volverá obligatoria dentro de pocos meses, lo que significa que aplicaciones que usen  llaves de cifrado más débiles no funcionarán en una variedad de plataformas de Microsoft, dijo Paul Henry, analista forense y de seguridad de Lumension.

Algunos desarrolladores ni siquiera han producido versiones de 1,024 bits de sus aplicaciones en un esfuerzo por evitar obtener los permisos federales de exportación por ellos. Muchos vendedores de software en los Estados Unidos distribuyen productos con cifrado de 256 bits en su lugar, incluso para usuarios caseros, de esta forma no tuvieron que entrar en materia de permisos.

Microsoft dijo que si los productores de software no desarrollan versiones de sus aplicaciones de 1,024 bits, entonces dejarán de funcionar en las siguientes plataformas de Microsoft: Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

La actualización se produce justo después de que Microsoft Windows Update cayera presa ante el malware Flame, el cual tomó ventaja de las llaves débiles para firmar digitalmente malware como si fueran actualizaciones legítimas de Microsoft.

Hasta ahora, Microsoft ha permitido la actualización de forma voluntaria, pero que es probable que cambie con el fin de establecer la integridad en las plataformas de Microsoft, dijo Henry.

La resolución de claves débiles se convertirá en una carrera contra el reloj, ya que se necesita de 60 a 90 días para obtener los permisos de exportación, el tiempo podría alargarse si el gobierno se enfrenta un gran incremento de solicitudes de los vendedores que tratan de conseguirlos.

Henry recomienda a los usuarios corporativos ejecutar un banco de pruebas donde todas sus aplicaciones intenten conectarse con los productos afectados de Microsoft para ver dónde se encuentran fallos. Si es así, entonces necesitan saber cuáles son los planes de los productores de software al respecto y tomar los pasos adecuados, ya sea para la actualización o para el reemplazo del software.

Para ayudar a reducir problemas potenciales, Microsoft ha dejado una excepción en su actualización. Permitirá que aplicaciones que están firmadas antes del 1 de enero de 2010, usen llaves menores a 1,024 bits, así que un rastro de aplicaciones antiguas podrá seguir funcionando.