La seguridad de los tokens en entredicho

Negocios

Un grupo de investigadores asegura haber explotado con éxito fallos criptográficos en los tokens de seguridad que les han permitido extraer sus claves.

Durante la conferencia CYPTO 2012 que se celebrará el próximo mes de agosto un grupo de investigadores tiene previsto demostrar cómo explotar un token de seguridad. En un documento aseguran que han sido capaces de explotar las funciones de importación de claves cifradas de diferentes dispositivos criptográficos para permitir ataques importantes.

Además de los tokesn, otros dispositivos que son vulnerables a este tipo de ataques con las smartcards. Los expertos han ofrecido un listado en el que aparecen los dispositivos RSA SecurID 800, Aladdin eTokenPro, Feitian ePass 2000 y 3003, Gemalto Cyberflex, the Safenet Ikey 2032, the SATA DKey y el Siemens CardOS.

Los investigadores aseguran que los ataques son lo suficientemente eficientes para ser prácticos y que tienen los detalles de todos los dispositivos vulnerables. “Ofrecemos análisis matemáticos de la efectividad de los ataques y amplios resultados empíricos”, dicen.

La empresa de seguridad RSA ha sido la primera en cuestionar que los investigadores sean capaces de crackear sus token SecureID. Asegura que la vulnerabilidad utilizada por los invesigadores hace que sea posible, pero imporbable, que un atacante con acceso a dispositivos smartcard del usuario y su PIN pueda acceder a la clave simétrica o a otros datos cifrados enviados a la smartcard. RSA dice también que en ningún caso un atacante sería capaz de comprometer las claves privadas almacenadas en la smartcard.


Leer la biografía del autor  Ocultar la biografía del autor