En marzo de este año los sistemas informáticos de la compañía de “seguridad” RSA fueron objeto de un ataque altamente sofisticado, con la finalidad de obtener datos confidenciales de uno de los productos estrellas de la compañía: RSA SecurID.

¿Qué es RSA SecurID? Se trata de un sistema de autenticación de dos pasos utilizado por algunos bancos y grandes corporaciones. En el caso de los bancos es ampliamente utilizado como sistema de seguridad para evitar los llamados fraudes electrónicos, en donde si al usuario le roban la contraseña de su cuenta en Internet los ladrones no pueden hacer nada mientras no cuenten con la llave electrónica (responsable de generar un número y que también es conocida como token).

Inicialmente la compañía sólo se limitó a confirmar el ataque sin entregar mayores detalles respecto a si este sistema había sido vulnerado, cosa que se vieron obligados a hacer luego de que comenzaran a salir a la luz los primeros clientes cuyos sistemas de seguridad se basaban en el uso de estos token.

Hace algunos días les contamos que uno de los principales proveedores de armamento del gobierno de los Estados Unidos (Lockheed Martin), había sido víctima de un ciberataque que logró ser neutralizado a tiempo. Pues bien esta compañía había contratado los servicios de RSA, por lo que de inmediato los investigadores relacionaron ambos hechos. Lo mismo habría sucedido con otras dos empresas contratistas de las Fuerzas Armadas del país del norte (L-3 Communications y Northrop Grumman).

De momento no se sabe si las compañías indirectamente afectadas por el ciberataque sufrido en marzo por RSA tomarán algún tipo de medida en contra de esta última, mientras tanto RSA Security se comprometió a reemplazar unos 40 millones de token entre todos sus clientes como medida de “seguridad”.

Link: RSA admits SecurID tokens have been compromised (Help Net Security)

Recientemente un grupo de hackers descifraron y publicaron el código de encriptación utilizado por GSM. Ahora investigadores de la Universidad de Michigan han encontrado una debilidad importante en el popular sistema de cifrado RSA.

La autenticación RSA es un método de cifrado popular utilizado en reproductores multimedia (incluyendo el Blu-ray), laptops, smartphones, servidores y otros dispositivos. Los bancos también dependen de ella para garantizar la seguridad online de la información de sus clientes.

Los investigadores descubrieron que podían frustrar el sistema de seguridad mediante la variación de voltaje de la alimentación en el dispositivo de la clave privada [PDF].

Las claves privadas contienen más de 1.000 dígitos de código binario, para adivinar un número tan grande llevaría más tiempo que la edad del universo. Pero con una variación de corriente eléctrica se puede provocar que el sistema cometa pequeños errores en la comunicación con los clientes. Estas fallas revelan pequeñas piezas de la clave privada y una vez que los investigadores provocan fallas suficientes, son capaces de reconstruir la clave en poco menos de 4 días.

Atacamos a la librería de autenticación OpenSSL corriendo un sistema SPARC Linux implementado sobre FPGA y logramos extraer la clave privada RSA de 1024 bits en aproximadamente 100 horas, sin que nuestro ataque requiriera el acceso a los componentes internos del sistema de la víctima.

Estos hallazgos deberían interesarle a bancos y fabricantes de dispositivos móviles que usan este cifrado, aunque se dice que es poco probable que un hacker utilice este método en una gran institución. En este sentido, dudo mucho que el equipo de Ocean’s Eleven utilice más de una vez el pulso electromagnético para intentar robar un Casino que emplee un sistema de cifrado RSA.

Link: Researchers crack RSA encryption algorithm (Slashgear)

Ahora el circuito cuántico fotónico puede imprimirse con relativa facilidad en un chip de silicio de sólo 26 mm de largo y pude ejecutar el algoritmo de Shor. Para la demostración compilada del algoritmo usaron luz en lugar de electricidad sobre una capa delgada que guía 4 fotones qbits con propiedades cuánticas para calcular el factor de 15.

El algoritmo fue desarrollado por el matemático Peter Shor para descomponer en factores un número entero de manera eficiente y rápida en una computadora cuántica, en la teoría de números la factorización de factorización de enteros consiste en encontrar un divisor no trivial de un número compuesto; Por ejemplo dado el número 91, el reto es encontrar un número tal como el 7 que lo divida.

Cuando los números son muy grandes no se conoce ningún algoritmo que resuelva eficientemente la factorización; un reciente intento para un número de 200 dígitos (RSA-200) tardó 18 meses y consumió más de medio siglo de tiempo de cálculo.

El algoritmo de Shor ya se había probado en  2001 por un grupo en IBM, que descompuso 15 en sus factores 3 y 5, pero usando una computadora cuántica con 7 qubits, mediante resonancia magnética nuclear.

En el 2005 F. Bahr, M. Boehm, J. Franke, T. Kleinjung factorizaron un número de 193 dígitos (RSA-640) utilizando 30 procesadores Opteron de 2.2Ghz en un periodo de 5 meses.

Este tipo de demostraciones se encaminan a la demostración del uso y futuro de la computación cuántica, donde aumenta la escala de integración y caben más transistores en un espacio. Así se fabrican microchips cada vez más pequeños alcanzando mayor velocidad de proceso. Mientras tanto con esta aplicación práctica en un chip de silicio podría crecer el interés de los hackers sobre OpenSSL y las competencias de factorización RSA. Una buena noticia para Sheldon, Leonard y Raj.

Link: Code-Breaking Quantum Algorithm On a Silicon Chip (Slashdot)