Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/11/2011
Google mejora el cifrado en su tráfico HTTPS contra ataques futuros
Los servicios HTTPS de Google implementan una técnica de cifrado especial que impedirá en un futuro que mediante técnicas de descifrado restrospectivo se acceda al tráfico de correo electrónico de ahora.
Google ha modificado el método de encriptación utilizado por los servicios con HTTPS como Gmail, Docs o Google+, con el fin de impedir que el tráfico sea descifrado en el futuro, cuando los avances tecnológicos pudieran hacerlo posible.
Actualmente, HTTPS utiliza una clave privada que sólo conoce el propietario del dominio para generar sesiones en que el tráfico entre el servidor y sus clientes está cifrado. El planteamiento, válido ahora, expone las conexiones a ataque de descifrado retrospectivo. Lo que se plantea es que dentro de diez años, cuando los ordenadores sean mucho más rápidos, un enemigo podría acceder a esa clave privada y descrifrar, retrospectivamente, el tráfico de correo electrónico de hoy. Así lo ha explicado Adam Langley, miembro del equipo de Seguridad de Google.
La propuesta de Google es implementar una propiedad de seguridad que se basa en utilizar diferentes claves privadas para cifrar sesiones y borrarlas después de un periodo de tiempo. De esta forma, si alguien consigue robar dichas claves no podrán robar una cantidad significativa de tráfico de email de abarque meses de actividad. De hecho, con este planteamiento ni siquiera el administrador del servidor sería capaz de descifrar el tráfico HTTP retrospectivamente.
Como SSL no está diseñado para soportar mecanismos de intercambios de claves capaces de esa confidencialidad directa por defecto, lo que han hecho los ingenieros de Google ha sido diseñar una extensión para el popular OpenSSL.
De forma que la nueva implementación HTTPS de Google utiliza ECDHE_RSA para el intercambio de calves y el codificador RC4_128 para el cifrado. Por el momento esta combinación sólo es soportada por Firefox y Chrome, por lo que Explorer o Safari no se beneficiarán de esta seguridad añadida.