Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/11/2011
Google millora el xifrat en el seu tràfic HTTPS contra atacs futurs
Els servicis HTTPS de Google implementen una tècnica de xifrat especial que impedirà en un futur que, per mitjà de tècniques de desxifrat retrospectiu, s’accedisca al trànsit de correu electrònic d’ara.
Google ha modificat el mètode d’encriptació utilitzat pels servicis amb HTTPS com Gmail, Docs o Google+, amb la finalitat d’impedir que el trànsit siga desxifrat en el futur, quan els avanços tecnològics pogueren fer-ho possible.
Actualment, HTTPS utilitza una clau privada que només coneix el propietari del domini per a generar sessions en què el trànsit entre el servidor i els seus clients està xifrat. El plantejament, vàlid ara, exposa les connexions a atac de desxifrat retrospectiu. El que es planteja és que d’ací a deu anys, quan els ordinadors siguen molt més ràpids, un enemic podria accedir a eixa clau privada i desxifrar, retrospectivament, el trànsit de correu electrònic de hui. Així ho ha explicat Adam Langley, membre de l’equip de seguretat de Google.
La proposta de Google és implementar una propietat de seguretat que es basa a utilitzar diferents claus privades per a xifrar sessions i esborrar-les després d’un període de temps. D’esta manera, si algú aconseguix robar les esmetades claus no podran robar una quantitat significativa de trànsit d’adreça electrònica que comprenga mesos d’activitat. De fet, amb este plantejament, ni tan sols l’administrador del servidor seria capaç de desxifrar el trànsit HTTP retrospectivament.
Com SSL no està dissenyat per a suportar mecanismes d’intercanvis de claus capaços d’eixa confidencialitat directa per defecte, allò que han fet els enginyers de Google ha sigut dissenyar una extensió per al popular OpenSSL.
De manera que la nova implementació HTTPS de Google utilitza ECDHE_RSA per a l’intercanvi de claus i el codificador RC4_128 per al xifrat. De moment, esta combinació només és suportada per Firefox i Chrome, per la qual cosa Explorer o Safari no es beneficiaran d’esta seguretat afegida.