Mientras continúa el goteo
de informaciones acerca de hasta dónde se extienden los tentáculos de
la NSA y sus intentos de debilitar los sistemas de cifrado, incluyendo
el posible conocimiento de serias vulnerabilidades en algoritmos de
cifrado en uso actualmente, a los usuarios nos queda poco más que una
sensación de impotencia ante la magnitud del desafío. Sin embargo, lo
cierto es que podemos hacer algunas cosas para mitigar los efectos y
algunas de ellas son más simples de lo que podríamos pensar. Hoy quiero
presentaros una de ellas: Desactivar el uso de RC4 en las conexiones
HTTPS para usar cifrados más seguros...
El algoritmo RC4 es un algoritmo de cifrado de flujo que, si bien todavía no se considera totalmente roto, sí está marcado como deprecated, es decir, no apto para nuevos usos. Aún así, es usado muy frecuentemente en las conexiones HTTPS dado que es un algoritmo muy rápido. La forma de cambiar el tipo de cifrado que estamos usando en nuestro navegador es sorprendentemente simple en muchos navegadores por lo que los pasos que voy a explicar, si bien son específicos para Mozilla Firefox, serían equivalentes en otros navegadores. La excepción es Internet Explorer, que dificulta cada uno de los pasos (comprobación y cambio de configuración).
RC4, aunque tenga algunas vulnerabilidades no es un método de cifrado roto. La principal vulnerabilidad se basa en la predictibilidad de los primeros bytes, y resulta muy simple solventarla: así, el autor de RC4, Ron Rivest, confirma que basta con descartar los primeros 256 bytes o bien utilizar una función hash para preprocesar el vector de inicialización. El hashing en RC4 se aplica, por ejemplo, en el protocolo SSL., así que no hay ninguna razón para aconsejar que se desactive el uso de RC4 uso en las conexiones HTTPS.
Un problema relacionado es que RC4 no es vulnerable a un ataque BEAST, y ese uno de los motivos por los que se usa y recomienda cuando se está usando TLSv1. Sin embargo, Firefox implementa desde 2010 TLS v1.1 (RFC 4346), con lo cual se podría desactivar sin inconvenientes.
En este punto es recomendable verificar la lista de algoritmos reconocidos por cada navegador en esta lista.
NOTA: no sigas con esto si no estás seguro de lo que estás haciendo y este es un buen momento para leer sobre criptografía.
El primer paso es comprobar el tipo de conexión que estamos usando. Para ello, hacemos clic en el candado que aparece al lado de la URL en la barra de direcciones. Nos aparecerá una ventanita de información básica y un botón que pone "Más información". Hacemos clic en él y nos lleva a una pantalla donde, al fondo, nos muestra el tipo de cifrado que está usando. En nuestro ejemplo, como podemos ver, es RC4 de 128 bits.
El algoritmo RC4 es un algoritmo de cifrado de flujo que, si bien todavía no se considera totalmente roto, sí está marcado como deprecated, es decir, no apto para nuevos usos. Aún así, es usado muy frecuentemente en las conexiones HTTPS dado que es un algoritmo muy rápido. La forma de cambiar el tipo de cifrado que estamos usando en nuestro navegador es sorprendentemente simple en muchos navegadores por lo que los pasos que voy a explicar, si bien son específicos para Mozilla Firefox, serían equivalentes en otros navegadores. La excepción es Internet Explorer, que dificulta cada uno de los pasos (comprobación y cambio de configuración).
RC4, aunque tenga algunas vulnerabilidades no es un método de cifrado roto. La principal vulnerabilidad se basa en la predictibilidad de los primeros bytes, y resulta muy simple solventarla: así, el autor de RC4, Ron Rivest, confirma que basta con descartar los primeros 256 bytes o bien utilizar una función hash para preprocesar el vector de inicialización. El hashing en RC4 se aplica, por ejemplo, en el protocolo SSL., así que no hay ninguna razón para aconsejar que se desactive el uso de RC4 uso en las conexiones HTTPS.
Un problema relacionado es que RC4 no es vulnerable a un ataque BEAST, y ese uno de los motivos por los que se usa y recomienda cuando se está usando TLSv1. Sin embargo, Firefox implementa desde 2010 TLS v1.1 (RFC 4346), con lo cual se podría desactivar sin inconvenientes.
En este punto es recomendable verificar la lista de algoritmos reconocidos por cada navegador en esta lista.
NOTA: no sigas con esto si no estás seguro de lo que estás haciendo y este es un buen momento para leer sobre criptografía.
El primer paso es comprobar el tipo de conexión que estamos usando. Para ello, hacemos clic en el candado que aparece al lado de la URL en la barra de direcciones. Nos aparecerá una ventanita de información básica y un botón que pone "Más información". Hacemos clic en él y nos lleva a una pantalla donde, al fondo, nos muestra el tipo de cifrado que está usando. En nuestro ejemplo, como podemos ver, es RC4 de 128 bits.
0 comentarios:
Publicar un comentario