En ciertos análisis que he llevado a cabo recientemente me he encontrado muchos usos todavía del algoritmo de Función Resumen MD5. Determinados Certificados, sistemas de autenticación o implementaciones de VPN hacen uso de este mecanismo. Sin embargo es de sobra conocido que esta función tiene algunos problemas sifnificativos.
En Marzo del año 2005 los investigadores Xiaoyun Wang y Hongbo Yu de la Universidad de Shandong, presentaron el documento: How to Break MD5 and Other Hash, donde documentaban el ataque mediante colisiones diferenciales.
Desde entonces los análisis han conseguido reducir el tiempo y complejidad del ataque, considerándose a día de hoy una función ciertamente insegura en contraposición a otras como HMAC, SHA u otros algoritmos FIPS. Este hecho repercute en algo tan significativo como la implementación del Esquema Nacional de Seguridad.
Hay que ser conscientes que dentro de las medidas consignadas en el RD 3/2010, se establece claramente que el Centro Criptológico Nacional será el encargado de determinar que algoritmos quedarán acreditados para su uso en sistemas que se encuentran al amparo del citado Real Decreto. En este sentido y a través de la guía CCN-STIC 807 se establece cuáles se encuentran validados para una implementación del ENS. Entre ellos no se encuentra MD5.
¿Implica eso que su uso está prohibido?
Para los casos de implementación del Esquema Nacional de Seguridad donde el nivel de seguridad del sistema quede establecido en nivel medio o alto, así es. En el caso del nivel bajo salvo la referencia correspondientes a las medidas de firma electrónica, donde se estable la necesidad de emplear cualquier medio de firma electrónica de los previstos en la legislación vigente, no existe mención a la necesidad de implementar algoritmos acreditados por el CCN.
No obstante y debido a la importancia de las funciones suma, las organizaciones deberían empezar a desechar funcionalidades del caduco MD5 y emplear algoritmos mejorados. Claro está ahora toca revisar cada elemento dentro de los procesos de criptografía (cifrado, autenticación, comunicaciones, etc.) para evaluar en qué medida afecta este hecho y realizar los cambios oportunos.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario