Daboweb

OpenSSL

Curvas elípticas en seguridad web. 2ª lección en el MOOC Criptografía con curvas elípticas de Crypt4you

Posted by Destroyer on septiembre 03, 2015
Seguridad Informática

El 03/09/2015 se ha publicado la segunda lección del curso de Criptografía con Curvas Elípticas en el MOOC de Crypt4you, con el título Curvas elípticas en seguridad web y siendo su autor el Dr. Francesc Sebé del Grupo de Investigación Cryptography & Graphs de la Universitat de Lleida.

En esta segunda lección se muestra cómo crear una clave pública certificada, en formato X.509, utilizando criptografía de curvas elípticas mediante la herramienta OpenSSL. Realiza además su instalación en un servidor web Apache2 y el acceso al servidor se lleva a cabo utilizando un navegador web Firefox.

La lección cuenta con los siguientes capítulos:
Apartado 2.1. Almacén de autoridades de certificación
Apartado 2.2. Creación de claves para criptografía de curvas elípticas
Apartado 2.3. Instalación del certificado
Apartado 2.4. Conexión segura con el servidor web
Apartado 2.5. Referencias bibliográficas

El curso consta de dos lecciones más que se publicarán próximamente: Lección 3. Criptografía con emparejamientos y  Lección 4. Protocolos criptográficos con curvas elípticas.

Acceso directo a la segunda lección: Curvas elípticas en seguridad web
http://www.criptored.upm.es/crypt4you/temas/ECC/leccion2/leccion2.html

Lecciones anteriores y otros cursos disponibles en el MOOC Crypt4you:
http://www.criptored.upm.es/crypt4you/portada.html

Grupo de investigación Cryptography & Graphs:
http://www.cig.udl.cat

Tags: , , , ,

Vulnerabilidad grave en OpenSSL. Versiones afectadas, info y parche para el “Heartbleed bug”.

Posted by Destroyer on abril 08, 2014
Seguridad Informática

Vulnerabilidad OpenSSL / SSL TLS hearbleed bug y parcheActualización: La mayoría de distribuciones están ofreciendo ya parches vía sus repositorios (Debian, Ubuntu, CentOS, etc). Por lo que vía aptitude / apt o yum, ya se pueden aplicar. Podéis comprobar si vuestro servidor es vulnerable desde http://filippo.io/Heartbleed.

Tal y como podemos leer en heartbleed.com, hablamos de una grave vulnerabilidad (CVE-2014-0160) en la popular biblioteca de software criptográfico OpenSSL. Este fallo, permite robar la información protegida bajo condiciones normales, por el cifrado SSL / TLS.

El tema es muy serio ya que SSL / TLS proporcionan una capa de seguridad y privacidad en las comunicaciones en un amplio espectro de Internet: aplicaciones web, pasarelas de pago, accesos a banca electrónica, correo electrónico, mensajería instantánea o algunas redes privadas virtuales (VPN).

El error “Heartbleed” permite a un atacante leer la memoria de los sistemas aparentemente protegidos por versiones vulnerables de OpenSSL. Este tipo de ataque puede comprometer las claves secretas que se utilizan para identificar a los proveedores de servicios y cifrar el tráfico, nombres de usuario y contraseñas, etc. Hablamos de comprometer comunicaciones que al estar usando SSL / TLS ya se entiende que son de naturaleza un tanto críticas caso de ser interceptadas con lo que ello supone.

¿Qué versiones de OpenSSL están afectadas?

OpenSSL 1.0.1 hasta la versión 1.0.1f (inclusive) son vulnerables
OpenSSL 1.0.1g No es vulnerable
OpenSSL rama 1.0.0 No es vulnerable
OpenSSL rama 0.9.8  No es vulnerable

Desde OpenSSL han publicado un parche para esta vulnerabilidad y os recomendamos aplicarlo con urgencia (o recompilar las versiones actuales con la opción: -DOPENSSL_NO_HEARTBEATS)

Tags: , , , , , , , , , , , , , ,