• Tweet

Investigadores de seguridad han demostrado un modo de violar la seguridad de OpenSSL al proporcionar ciertas llaves digitales, ante tal situación el proyecto OpenSSL fue alertado. SSL se utiliza en varios productos de seguridad, servidores Web seguros y redes privadas virtuales.

OpenSSL ha liberado una nueva versión que corrige el problema y pide a los usuarios que actualicen la versión de OpenSSL o apliquen el parche.

El error afecta solamente a un tipo particular de firmas -PKCS #1 v1.5- que son utilizadas por algunas autoridades certificadoras.

De acuerdo con el proyecto OpenSSL, si una llave RSA con exponente 3 es utilizada, es posible falsificar una firma PKSC #1 v1.5 firmada por esa llave. Se considera importante hacer esta declaración, pues existen varias autoridades certificadoras que utilizan ampliamente un exponente 3, y las firmas PKCS #1 v1.5 son utilizadas en certificados X.509, por lo que todo el software que utilice OpenSSL para verificar certificados X.509 es potencialmente vulnerable.

Las versiones afectadas de OpenSSL son la 0.9.7j y 0.9.8b.

Esta vulnerabilidad fue mostrada el mes pasado en la conferencia Crypto 2006 por Daniel Bleichenbacher; un experto en criptografía..